Persoonsgegevens van Suwinet zijn niet goed beveiligd
Nieuws -> InformatiefBron: College bescherming persoonsgegevens
04-12-2014
Het UWV en de gemeente 's-Hertogenbosch hebben onvoldoende maatregelen getroffen om te zorgen voor een adequate beveiliging van de persoonsgegevens die met Suwinet (Wet structuur uitvoeringsorganisatie werk en inkomen - het systeem voor uitwisseling van persoonsgegevens van burgers voor uitkeringsverstrekking en handhaving) worden uitgewisseld, zo blijkt uit onderzoek van het College bescherming persoonsgegevens. “Zonder een afdoende beveiligingsplan, zonder adequate analyse en afwikkeling van beveiligingsincidenten en zonder volledige logging is er een onacceptabel risico, dat gegevens in verkeerde handen komen”, aldus Jacob Kohnstamm, voorzitter van het CBP.
Suwinet is een besloten systeem, waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Kohnstamm: ”Adequate beveiliging van persoonsgegevens bij de overheid is des te belangrijker, gezien de naderende verschuiving van taken van het Rijk naar gemeenten”. Het UWV en ’s-Hertogenbosch hebben naar aanleiding van het onderzoek laten weten maatregelen te gaan treffen om de persoonsgegevens beter te beschermen. Het CBP zal de komende tijd controleren, of het UWV en ’s-Hertogenbosch de overtredingen hebben beëindigd en kan zo nodig handhavende maatregelen inzetten.
(Bron Fotoarchief Eerste Kamer - 2014)
Jacob Kohnstamm (1949), (D66) voorzitter van het College bescherming persoonsgegevens
Beveiliging persoonsgegevens
Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Het is van groot belang, dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen. Zowel bij het UWV als bij de gemeente ’s-Hertogenbosch zijn de maatregelen niet toereikend om deze bescherming te kunnen bieden. Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt. Zowel het UWV, als beheerder van Suwinet, als ’s-Hertogenbosch als afnemer van Suwinet hebben geen beveiligingsplan specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Zo kan geen lering worden getrokken en kunnen geen adequate maatregelen worden genomen.
Logging
Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen.
Autorisatie
Niet alle medewerkers binnen een gemeente mogen persoonsgegevens via Suwinet raadplegen. Een gemeente moet ervoor zorgen, dat alleen bevoegde medewerkers bij deze gegevens kunnen. Bij de gemeente ‘s-Hertogenbosch bleken ook voor een andere functie toegangsrechten te kunnen worden gecreëerd. Hiermee heeft deze gemeente onvoldoende maatregelen getroffen om onbevoegde toegang tot Suwinet tegen te gaan.
Inzage door Ierland
Het Ierse ministerie van Sociale Zaken had ook toegang tot Suwinet. Het Ierse ministerie mocht weliswaar bijvoorbeeld gegevens inzien van Ieren die in Nederland hebben gewerkt, of hier een uitkering hebben ontvangen om te beoordelen, of zij recht hebben op een uitkering in Ierland, maar het Ierse ministerie bleek ten onrechte toegang te hebben tot persoonsgegevens van álle personen in Suwinet. Het UWV heeft naar aanleiding van het onderzoek de gegevensverstrekking aan Ierland via Suwinet stopgezet. Lees het onderzoeksrapport over Suwinet bij het UWV (pdf 24 pagina’s 300 KB), Lees het onderzoeksrapport over Suwinet bij de gemeente ’s-Hertogenbosch (pdf 27 pagina’s 297 KB)
Suwinet?
In Nederland is in 2002 al gestart met de ontwikkeling van het Digitaal Klantdossier. De term Digitaal Klantdossier bestond toen nog niet en het dossier bevatte alleen maar gegevens van uitvoeringsinstellingen als Cadans en USZO (nu samen in het UWV), gemeenten, en het toenmalige CWI (nu: UWV WERKbedrijf). Gegevens waren alleen toegankelijk via een applicatie genaamd Suwinet Inkijk die ontwikkeld werd door een door de minister van Sociale Zaken en Werkgelegenheid ingestelde beheerorganisatie (Bureau Keteninformatisering Werk en Inkomen, BKWI).
Voor de uitwisseling van de gegevens tussen de diverse instanties wordt een beveiligd landelijk netwerk gebruikt. Daarnaast is er een landelijk in de wet SUWI vastgelegd gegevensregister (SUWI Gegevens Register, SGR), waarin alle afnemende partijen staan geregistreerd. Omdat de afname van de gegevens allemaal via een centraal punt verloopt is er goed toezicht mogelijk op het gebruik van de gegevens. De professionals hebben daarvoor diverse middelen tot hun beschikking. Enerzijds wordt nog steeds de applicatie Suwinet Inkijk gebruikt voor inzage in de gegevens.
Hiervoor is een landelijk autorisatiemechanisme ingericht, dat beheerd wordt door het Bureau Keteninformatisering Werk en Inkomen. Dit mechanisme is gebaseerd op gebruikersnaam/wachtwoord-combinaties. Ook kunnen de professionals vaak toegang krijgen tot de gegevens via de applicaties die zij in hun dagelijkse werkzaamheden gebruiken. Deze applicaties zijn ook beveiligd via gebruikersnaam/wachtwoord-combinaties. Er is echter geen koppeling met het landelijke autorisatiesysteem.