Ministerie van Sociale Zaken en Werkgelegenheid

Beveiliging Suwinet bij
gemeenten

Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten

Aan deze rapportage hebben meegewerkt:

Dhr. drs. B. van Honk
Mw. mr. J.C.P. van der Does
Dhr. E.H. Jansen
Dhr. P.F. Spermon RE RI CISA
Dhr. E.W. Steen
Mw. R. Steenkamp
Dhr. N.J. de Weijer

R04/29, december 2004
ISSN 1383-8733
ISBN 90-5079-000-3
2 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten

Voorwoord

Met de inwerkingtreding van de Wet Structuur uitvoering werk en inkomen zijn vanaf 2002 medewerkers van Bureau Keteninformatisering werk en inkomen, Centrum voor Werk en Inkomen, gemeenten, Inlichtingenbureau, Sociale Verzekeringsbank en Uitvoeringsinstituut Werknemersverzekeringen aangesloten op het Suwinet. Gemeenten hebben hiermee door middel van sofi-nummers toegang tot gegevens over het arbeidsverleden, loon, uitkeringen en opleiding van een groot aantal personen. Deze persoonsgegevens worden door de Suwinet- partijen via Suwinet, de elektronische infrastructuur, aan elkaar gekoppeld en via een speciale faciliteit `Suwinet-Inkijk' toegankelijk gemaakt. De wetgever heeft bij de invoering van Suwinet in 2002 onderkend dat deze ontwikkeling stringente gegevensbeveiliging in verband met privacyaspecten vereist.
De Inspectie Werk en Inkomen heeft in het tweede halfjaar van 2004 bij vijftig gemeenten een eerste onderzoek uitgevoerd naar de beveiliging van de gegevens die worden uitgewisseld met Suwinet. In dit rapport beschrijft de inspectie de resultaten van dit onderzoek. Mr. L.H.J. Kokhuis
Inspecteur-generaal

3 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten

4 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten

Inhoud


1 Inleiding 7
2 De beveiliging van Suwinet 9 2.1 Verantwoording over de beveiliging 9 2.2 Beveiliging 9
3 Oordeel IWI 11
4 Reactie Vereniging van Nederlandse Gemeenten 13 Lijst van afkortingen 14 Bijlage: Reactie Vereniging van Nederlandse Gemeenten 15


5 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


6 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


1 Inleiding

Het Bureau Keteninformatisering werk en inkomen (BKWI), het Centrum voor Werk en Inkomen (CWI), de Stichting Inlichtingenbureau Gemeenten (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur. Met de faciliteit 'Suwinet-Inkijk` worden de gegevens op basis van sofi-nummers toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking willen komen voor een uitkering. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Om de SUWI-keten effectief te laten functioneren moeten partijen er op kunnen vertrouwen dat `hun' gegevens door de partners in de SUWI-keten op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. Voor alle Suwinet-partijen is dit met beveiligingsvoorschrif- ten uitgewerkt in bijlage XIV van de regeling SUWI.
De gegevensbeveiliging en gegevensuitwisseling bij Suwinet-partijen op grond van de Wet Structuur uitvoering werk en inkomen (SUWI) en de Wet werk en bijstand (WWB), is een aspect van het toezicht van de Inspectie Werk en Inkomen (IWI). IWI ziet door de snelle implementatie van Suwinet en het grote aantal gebruikers bij gemeenten (9.000 op moment van onderzoek) een risico bij de beveiliging van deze privacygevoelige gegevens. Verantwoordingsinformatie van gemeenten over de beveiliging komt pas in oktober 2005 beschikbaar. Om een indruk te krijgen of de inspectie zich op basis hiervan een beeld kan vormen over de beveiliging van Suwinet bij gemeenten is tussen september en november 2004 dit onderzoek uitgevoerd. Hierbij is tevens een indicatie verkregen van de getroffen beveili- gingsmaatregelen.
De onderzoeksvragen waren als volgt geformuleerd:

1 Hoe gaan gemeenten zich over de beveiliging Suwinet verantwoorden? (de interne organisa- torische werkwijze en voorwaarden);

2 In welke mate voldoen gemeenten aan de beveiligingseisen die als Suwinet-partij aan hen worden gesteld?
Het gaat om een inventariserend onderzoek waarmee een landelijk beeld is verkregen. In lijn met het toezichtsbeleid doet IWI geen uitspraken over individuele gemeenten. De inspectie heeft geen onderzoek gedaan naar belemmeringen of oorzaken die bij de voortgang van de beveiliging van Suwinet een rol spelen.
De regeling SUWI bevat uitvoeringsvoorschriften voor de gegevensbeveiliging door de Suwinet- partijen (UWV, CWI, IB en gemeenten) bij hun gegevensuitwisseling. Gemeenten zijn als uit- voerders van de WWB verantwoordelijk voor de verwerking van Suwinet-gegevens. Zij zijn tevens Suwinet-partij en daarmee verplicht zich te verantwoorden over het gebruik van Suwinetgegevens. De artikelsgewijze toelichting van artikel 64 van de Wet werk en bijstand bevat daarom een koppeling met de regeling SUWI. De uitvoeringsvoorschriften rondom gegevensbeveiliging uit de regeling SUWI gelden door deze koppeling op grond van de WWB ook voor gemeenten.
Alle gemeenten moeten zich op grond van de WWB jaarlijks verantwoorden middels het ver- slag over de uitvoering aan de minister van Sociale Zaken en Werkgelegenheid (SZW). In deze verantwoording moeten gemeenten vanaf 2004 aangeven of zij voldoen aan de voorgeschreven beveiligingseisen en of er een beveiligingsplan is.
Aan vijftig gemeenten is een compacte vragenlijst gezonden die door alle vijftig gemeenten is ingevuld. Op basis van de antwoorden heeft IWI vervolgens tien gemeenten geselecteerd voor aanvullende vragen. Deze vragen hadden een verdiepend en validerend karakter.
7 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


8 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


2 De beveiliging van Suwinet

2.1 Verantwoording over de beveiliging
De meeste onderzochte gemeenten kunnen zich niet goed verantwoorden over de beveiliging van Suwinet. De respondenten die de colleges van burgemeester en wethouders aan de inspec- tie hebben toegewezen, hadden vaak geen totaaloverzicht. Ze waren slechts bekend met een deel van de activiteiten van de gemeente. Verder bleken de respondenten de in de vragenlijst gebruikte termen niet altijd op dezelfde manier te interpreteren. Hiermee is het voor de inspectie met dit onderzoek slechts in beperkte mate mogelijk gebleken om zich een betrouw- baar beeld over de beveiliging van het Suwinet en de verantwoording daarover te kunnen vormen.
Met de gegevens van de gemeenten heeft de inspectie niet kunnen vaststellen in hoeverre gemeenten gebruik maken van beveiligingsplannen en normenkaders, noch of gemeenten taken, bevoegdheden en verantwoordelijkheden goed hebben vastgelegd of speciale functionarissen hebben benoemd, die verantwoordelijk zijn voor het beveiligingsbeleid (security officers). De onderzochte gemeenten geven aan, dat nog onduidelijk is hoe ze zich over de beveiliging Suwinet zullen gaan verantwoorden bij de verantwoording over de uitvoering van de WWB in 2005. Aangegeven wordt dat nog onduidelijk is hoe zij dit gaan organiseren. Evenmin is duidelijk hoe een accountant betrokken zal worden bij het oordeel over de uitvoering. 2.2 Beveiliging
Bij het onderzoek is duidelijk geworden dat medewerkers bij de onderzochte gemeentelijke sociale diensten zich goed realiseren met privacygevoelige gegevens van andere Suwinet- partijen te werken waarbij zorgvuldigheid is vereist. Gemeenten hebben vaak aangegeven meer ondersteuning te wensen in de vorm van formats, toelichting op de voorschriften en informatie over hulpmiddelen die beschikbaar zijn. Gemeenten hebben hierin een wettelijke taak en ver- antwoordelijkheid.
De antwoorden op de vragen van de onderzochte gemeenten geven de indruk dat er voor de beveiliging van Suwinet nog veel zaken geregeld moeten worden. Het overgrote deel van de gemeenten geeft aan dat nog niet bekend is welk normenkader zij zullen gebruiken en veel gemeenten gaven aan er niet van op de hoogte te zijn dat zij een specifiek Suwinet-beveiligings- plan moeten opstellen. Minder dan de helft van de gemeenten antwoordde dat zij een functio- naris expliciet verantwoordelijk heeft gesteld voor de beveiliging. Uit de antwoorden blijkt niet dat de beveiligingssituatie anders is voor grote gemeenten dan voor kleine gemeenten. De beveiligingsproducten die door het Coördinatiepunt ICT gemeenten van Divosa worden aangeboden, vormen een hulpmiddel om het beveiligingsniveau van individuele gemeenten te verbeteren.

9 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


10 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


3 Oordeel IWI

De inspectie baseert zich bij haar oordeelsvorming over de uitvoering door gemeenten primair op het verslag over de uitvoering van de WWB dat de minister uiterlijk in september van het daaropvolgende jaar ontvangt (voor het eerst in september 2005). De inspectie constateert dat veel van de onderzochte gemeenten aangeven niet goed op de hoogte te zijn van wat er bij de verantwoording op het gebied van het Suwinet van hen wordt verwacht en van de daarbij te hanteren normen. Daardoor heeft de inspectie ten tijde van dit onderzoek nog geen zekerheid dat de verantwoording van gemeenten over 2004 een goede basis zal zijn voor een oordeel van de inspectie over de beveiliging van de met Suwinet uitgewisselde gegevens in het gemeentelijke domein. Dat betekent dat onderzoeksvraag 2 nog niet beantwoord kan worden. Naar aanleiding van dit onderzoek is de inspectie van oordeel dat er bij gemeenten beheers- matige risico's zijn voor de beveiliging van de met Suwinet uitgewisselde persoonsgegevens. Verder is het onzeker of gemeenten voldoende sturen op toereikende beveiliging en verant- woording.


11 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


12 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


4 Reactie Vereniging van Nederlandse

Gemeenten

De inspectie heeft de conceptrapportage voor een bestuurlijke reactie voorgelegd aan de Vereniging van Nederlandse Gemeenten (VNG). Hierna volgt de reactie van de VNG en het nawoord van IWI. De volledige reactie is opgenomen als bijlage.
De VNG geeft aan dat het onderzoek hoogstens een indicatie kan vormen van de situatie omtrent de beveiliging van Suwinet, omdat er slechts vijftig gemeenten zijn onderzocht en omdat IWI niet altijd met dezelfde categorie medewerkers heeft gesproken. Verder vindt de VNG dat IWI bij de conclusie ten onrechte niet de tijdsdruk en de implemen- tatietijd van de ICT-voorzieningen, in relatie tot de beperkte organisatorische en financiële mogelijkheden van gemeenten, heeft betrokken. En dat in het rapport ten onrechte geen mel- ding wordt gedaan van de gerealiseerde en te starten initiatieven om het geconstateerde pro- bleem aan te pakken.
Nawoord IWI
De resultaten van dit onderzoek bij vijftig gemeenten vormen voor de inspectie voldoende aan- leiding om de risico's op dit gebied in de conclusie op te nemen. Er is geen reden om te veron- derstellen dat de uitkomsten van het onderzoek bij een andere groep gemeenten of bij andere medewerkers die daarvoor door het college van burgemeester en wethouders zouden zijn aan- gewezen, anders zouden zijn.
De inspectie heeft oog voor de omstandigheden die VNG meldt, zoals de beperkte organisato- rische en financiële mogelijkheden van gemeenten. Dit kan echter niet het melden van risico's in de weg staan. IWI acht het van groot belang dat gemeentebesturen de nodige maatregelen treffen om te voldoen aan de beveiligingseisen die wet- en regelgeving aan haar als Suwinet- partij stelt. Verder heeft de inspectie geen verklarend onderzoek gedaan naar belemmeringen of oorzaken die bij de voortgang van de beveiliging een rol spelen. IWI waardeert de initiatieven die worden genomen om gemeenten te faciliteren en hun beveili- gingsbewustzijn te vergroten positief. Hoewel de onderzochte gemeenten niets over deze ini- tiatieven hebben gemeld, heeft IWI inmiddels producten van het Coördinatiepunt ICT gemeen- ten gezien en een opmerking aan het rapport toegevoegd over de beschikbaarheid daarvan.


13 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten

Lijst van afkortingen

BKWI Bureau Keteninformatisering werk en inkomen
CWI Centrum voor Werk en Inkomen
Divosa (Vereniging van) Directeuren van Overheidsorganen voor Sociale Arbeid IB Stichting Inlichtingenbureau Gemeenten
ICT Informatie- en communicatietechnologie
IWI Inspectie Werk en Inkomen
SUWI Wet Structuur uitvoering werk en inkomen
SZW Ministerie van Sociale Zaken en Werkgelegenheid
UWV Uitvoeringsinstituut Werknemersverzekeringen
VNG Vereniging van Nederlandse gemeenten
WWB Wet werk en bijstand


14 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten

Bijlage

Reactie Vereniging van Nederlandse
Gemeenten


15 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten


16 Inspectie Werk en Inkomen Beveiliging Suwinet bij gemeenten

Publicaties van de Inspectie Werk en

Inkomen

woensdag 29 december 2004