Add to collection(s) Add to saved
  1. Sociale wetenschap
  2. Politicologie
  3. Public Administration

B en W nummer 11 - Gemeente Leiden

advertisement 
B en W 13.1157 d.d. 17-12-2013
Onderwerp
De beantwoording van schriftelijk vragen aan het college van burgemeester en
wethouders van het raadslid M. KOEK (D66) over de bescherming van persoonsgegevens
in Suwinet (ingekomen 14 november 2013)
Besluiten:
1. de beantwoording van schriftelijk vragen aan het college van burgemeester en
wethouders van het raadslid M. Koek (D66) over de bescherming van
persoonsgegevens in Suwinet (ingekomen 14 november 2013) vast te stellen;
2. dit besluit te zenden aan de vragenstellers en de overige leden van de
gemeenteraad.
Behoudens advies van de c ommissie
Perssamenvatting:
Het college heeft schriftelijk vragen beantwoord van het raadslid M. Koek (D66) over de
bescherming van persoonsgegevens in Suwinet (ingekomen 14 november 2013).
Schriftelijk vragen aan het college van burgemeester en wethouders van het raadslid M.
KOEK (D66) over bescherming persoonsgegevens Suwinet (ingekomen 14 november 2013)
Afgelopen week berichtte de Inspectie SZW dat na onderzoek onder 80 Nederlandse
gemeenten de conclusie getrokken kan worden dat slechts 4 procent van alle gemeenten de
privacybeveiliging van Suwinet volledig op orde heeft.
Via Suwinet kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij
elkaar opvragen en naar elkaar sturen. Deze applicatie is primair bedoeld voor UWV, SVB en
de gemeentelijke sociale diensten, maar inmiddels maken ook veel andere
overheidsorganisaties gebruik van deze service voor digitaal gegevensverkeer. Het gaat hier
om persoonsgegevens en het is de verantwoordelijkheid van de gemeenten om ervoor te
zorgen dat de data op Suwinet niet zomaar worden opgevraagd. Gemeenten moeten hiertoe
zeven maatregelen nemen.
Uit het onderzoek van de Inspectie SZW blijkt dat slechts 4 procent van alle onderzochte
gemeenten al deze maatregelen hebben doorgevoerd. 13 procent voldoet aan geen enkele.
Bij 76 procent zijn drie of minder maatregelen genomen. Via Suwinet zijn vorig jaar 112
miljoen keer persoonsgegevens uitgewisseld. Opmerkelijk is dat vanuit 18 procent van de
onderzochte gemeenten gegevens zijn opgevraagd van bekende Nederlanders, zonder dat
een goede reden werd gegeven.
Staatssecretaris Klijnsma van Sociale Zaken roept gemeenten op de zaken snel in orde te
maken en heeft het College Bescherming Persoonsgegevens (CBP) op de hoogte gebracht
van het rapport. Van belang is dat het CBP de mogelijkheid heeft om gemeenten, die niet
voldoen aan de eisen van de WBP (Wet bescherming persoonsgegevens), een dwangsom op
te leggen. De Staatssecretaris heeft de Inspectie SZW gevraagd om begin 2015 weer een
onderzoek in te stellen naar de bescherming van persoonsgegevens.
D66 wil, op grond van artikel 45 van het Reglement van Orde voor de vergaderingen en
andere werkzaamheden van de gemeenteraad, het college van burgemeester en wethouders
de volgende schriftelijke vragen stellen:
1. Is het college op de hoogte van het onderzoek en de uitkomsten van de Inspectie
SZW?
Antwoord van het College:
Ja, het betreft een recente publicatie.
2. Is het college op de hoogte van de zeven maatregelen om ervoor te zorgen dat data
op Suwinet niet zomaar worden opgevraagd?
Antwoord van het College:
Ja. Het betreft echter geen maatregelen, maar zeven normen uit het normenkader
Gezamenlijke elektronische Voorzieningen Suwi (GeVS)
Normenkader onderzoek inspectie SZW 2013:
Norm 1.3: Het informatiebeleid en beveiligingsplan van het Suwinet zijn goedgekeurd door
het management van de Suwi-partij.
Norm 1.4: Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden
uitgedragen in de organisatie.
Norm 1.5: Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden
jaarlijks geëvalueerd en indien nodig geactualiseerd.
Norm 2.2: De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik,
de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en
infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van
de organisatie gescheiden zijn belegd.
 Operationeel beheer
 Functioneel beheer
 Technisch beheer
 Aansturing ICT-leveranciers
 Security Officer
 Autorisatiebeheer
 Eigenaarsschap Suwinet
Norm 2.3: De security Officer beheert en beheerst beveiligingsprocedures en maatregelen in
het kader van Suwinet, zodanig dat de beveiliging van Suwi overeenkomstig wettelijke eisen
is geïmplementeerd.
 De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt
rapportages over de status, controleert dat m.b.t. de beveiliging van Suwinet de
maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot
implementatie c.q. aanpassing van plannen op het gebied van de beveiligng van
Suwinet
 De security Officer rapporteert rechtstreeks aan het hoogste management.
Norm 13.1: De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de
Suwinet applicaties op basis van een formele procedure waarin is opgenomen:
 Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren
functie/taken.
 Het uniek identificeren van elke gebruiker tot één persoon.
 Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een
gemandateerde.
 Het tijdig wijzigen, dus ook intrekken, van de autorisatie bij functiewijziging of vertrek.
 Het benaderen van de Suwi-bestanden door gebruikers mag alleen plaatsvinden via
applicatieprogrammatuur, tenzij er sprake is van calamiteiten
Norm 13.5: De controle op verleende toegangsrechten en gebruik vindt meerdere keren per
jaar plaats.
 Interne controle op rechten en gebruik van Suwinet.
 Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens.
3. Kan het college aangeven welke van de zeven maatregelen de gemeente Leiden
heeft doorgevoerd?
Antwoord van het College
Norm 1.3
De gemeente voldoet aan deze norm. Er is een beveiligingsplan Suwi-Inkijk Team Werk en
Inkomen gemeente Leiden van januari 2010. In december 2012 is een Uitvoeringsplan
Informatiebeveiliging door de concerndirectie vastgesteld.
Norm 1.4
De gemeente voldoet aan deze norm. Het beveiligingsplan is door publicatie op de
Intranetpagia van het Team Werk & Inkomen beschikbaar voor iedere medewerker van Werk
& Inkomen.
Norm 1.5
De gemeente voldoet aan deze norm. In december 2012 is een evaluatie van de
gemeentelijke en regionale informatiebeveiliging door de concerndirectie vastgesteld. In dit
plan is de gemeentelijke informatiebeveiliging, waaronder gebruik van Suwinet, geëvalueerd
en zijn aanbevelingen gedaan voor beheer en verbetering van de informatiebeveiliging.
Norm 2.2
De gemeente leiden voldoet aan deze norm.
Norm 2.3
De Suwi-Verantwoordingsrichtlijn 2011 is van toepassing. Deze verantwoordingsrichtlijn is
binnen de Suwi-keten ontwikkeld en is door de Stuurgroep Keten ICT (SKI) en met de
instemming van het ministerie van SZW en de IWI vastgesteld.
In 2012 is een concept-voorstel voor aanpassing van de Suwi-verantwoordingsrichtlijn aan de
gemeenten toegezonden. De implementatie van deze Suwi-verantwoordingsrichtlijn is
besproken in ambtelijke overleggen. Hierbij is geconstateerd dat het gebruik van het Suwinet
zich niet meer beperkt tot het team Werk & Inkomen. Ook bij Burgerzaken en Handhaving
wordt gebruik gemaakt van deze gegevens. De rol van security-officer Suwi-inkijk is nu
ondergebracht bij kwaliteitscontroleurs van de Backoffice Dienstverlening
Rapportage van de security Officer aan het hoogste management vindt tot nog toe niet plaats.
Vanaf 2013 vindt deze rapportage wel plaats.
Norm 13.1:
De gemeente leiden voldoet aan deze norm.
Norm 13.5:
De gemeente Leiden voldoet aan deze norm. Periodiek wordt bij het BKWI algemene
gebruikersrapportages opgevraagd. Als deze gegevens daartoe aanleiding geven, wordt bij
het BKWI specifieke rapportages opgevraagd voor nadere analyse.
4. Indien dit niet alle zeven maatregelen zijn, kan het college aangeven welke
maatregelen niet zijn doorgevoerd en waarom niet?
Antwoord van het College:
Per 2013 voldoen we aan alle normen. Aan één onderdeel van norm 2.3 voldoen we vanaf
eind 2013. Het betreft hier de rapportage van de Security Officer aan het hoogste
management. Bij audits uitgevoerd door het BKWI is deze tekortkoming niet eerder
gesignaleerd Overigens hebben cliënten hierdoor geen verhoogd risico gelopen.
5. Indien niet alle maatregelen zijn doorgevoerd kan het college aangeven wanneer dit
wel het geval zal zijn, mede gelet op het volgende onderzoek van de Inspectie SZW
in 2015 en de mogelijke consequentie van het niet doorvoeren?
Antwoord van het College:
In 2013 werd voldaan aan de zeven normen. Het College ziet het onderzoek van de Inspectie
SZW in 2015 met vertrouwen tegemoet.
6. Is bij het college bekend of vanuit de gemeente Leiden gegevens van bekende
Nederlanders zijn opgevraagd?
Antwoord van het College:
We doen periodiek een controle waarbij alle Burgerservicenummers (BSN) die door de
gemeente Leiden zijn opgevraagd te vergelijken met de BSN’s van onze klanten. Verschillen
hiertussen moeten verklaard kunnen worden (bijvoorbeeld een aanvrager die uiteindelijk geen
aanvraag heeft gedaan of onderzoek naar fraude). Uit deze controle is gebleken dat er geen
gegevens van Bekende Nederlanders zijn opgevraagd.
Ook hebben wij nooit van het BKWI (die bij een aantal bekende Nederlanders screent op
opvragen van gegevens) bericht ontvangen dat deze gegevens zijn opgevraagd.
Overigens is in 2013 geen andere overtreding van de zorgvuldigheidsverklaring
geconstateerd.
7. Indien vanuit Leiden gegevens van bekende Nederlanders zijn opgevraagd, welke
consequenties heeft dat dan voor de opvragers?
Antwoord van het College:
Alle medewerkers die in Suwinet-Inkijk aansluiting nodig hebben moeten een
zorgvuldigheidsverklaring tekenen. Hierin is aangegeven wat wel en wat niet mag, met name
dat Suwinet-Inkijk alleen voor het werk gebruikt mag worden. Bij het overtreden van de
zorgvuldigheidsverklaring is het Protocol Disciplinaire zaken (het algemene HRM-protocol van
de gemeente) van toepassing. Afhankelijk van de overtreding kan gekozen worden voor een
maatregel, variërend van een aantekening in het personeelsdossier tot ontslag.
Related documents
Brief
Brief
Presentatie Informatiebeveiligingsbeleid
Presentatie Informatiebeveiligingsbeleid
Onderzoek gebruik Suwinet antwoorden feb16
Onderzoek gebruik Suwinet antwoorden feb16
Briefing awareness programma “Borging veilige
Briefing awareness programma “Borging veilige
dispensatie aanvraag
dispensatie aanvraag
2-Draag uw organisatienorm uit
2-Draag uw organisatienorm uit
Normen en Waarden student
Normen en Waarden student
Succesvol aanbesteden door inzicht ontwikkeling norm
Succesvol aanbesteden door inzicht ontwikkeling norm
de sheets bij deze workshop - Regionale energiestrategie
de sheets bij deze workshop - Regionale energiestrategie
Brandbestendigheid - Schneider Electric
Brandbestendigheid - Schneider Electric
Infofiche Ontwikkelingssamenwerking
Infofiche Ontwikkelingssamenwerking
Handleiding verzuimnorm voor
Handleiding verzuimnorm voor
Add Title Here
Add Title Here
Download
advertisement