Ministerie van Sociale Zaken en Werkgelegenheid

Ministerie van Sociale Zaken en Werkgelegenheid

Aan de Voorzitter van de Tweede Kamer Postbus 90801 2509 LV Den Haag der Staten-Generaal Anna van Hannoverstraat 4 Binnenhof 22 Telefoon (070) 333 44 44 2513 AA `s-GRAVENHAGE Telefax (070) 333 40 33

Uw brief Ons kenmerk Doorkiesnummer UB/A/2005/7198 333

Onderwerp Datum Contactpersoon IWI-Rapport "Beveiliging Suwinet bij 14 februari 2005
gemeenten"

Hierbij bied ik u het rapport "Beveiliging Suwinet bij gemeenten" van de Inspectie Werk en Inkomen (IWI) aan. De inspectie heeft onderzocht hoe gemeenten zich over de beveiliging van Suwinet gaan verantwoorden en of gemeenten voldoen aan de beveiligingseisen die als Suwinet- partij aan hen worden gesteld. Daarvoor heeft de inspectie in de tweede helft van 2004 bij vijftig gemeenten een eerste onderzoek uitgevoerd.

De inspectie constateert dat veel van de onderzochte gemeenten niet goed op de hoogte zijn van wat er bij de verantwoording op het gebied van Suwinet van hen wordt verwacht en van de daarbij te hanteren normen. Voorts concludeert de inspectie dat er daardoor geen zekerheid is dat de verantwoording van gemeenten over 2004 een goede basis zal zijn voor een oordeel van de inspectie over de beveiliging van de met Suwinet uitgewisselde gegevens in het gemeentelijke domein. IWI heeft het rapport in het kader van hoor en wederhoor voorgelegd aan de Vereniging van Nederlandse gemeenten (VNG). De reactie van de VNG treft u aan in het rapport.

Met belangstelling heb ik kennisgenomen van de inhoud van het rapport. Het rapport heeft een nuttige signalerende werking. Hieronder ga ik nader in op de bevindingen van IWI.

Verantwoording door gemeenten over het gebruik van Suwinet
De Regeling SUWI bevat voorschriften over de beveiliging van Suwinet en de verantwoording daarover. Alle partijen die gebruik maken van Suwinet dragen zorg voor maatregelen gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking; partijen geven in een beveiligingsplan aan hoe zij daaraan invulling geven. De verantwoordingsvoorschriften zijn voor gemeenten verschillend dan voor andere gebruikers van Suwinet. Waar deze laatste zich verantwoorden door middel van een jaarlijkse EDP-audit, rust op gemeenten een verantwoordingsverplichting met betrekking tot het beveiligingsplan. Dit is bij de parlementaire behandeling van de WWB ook gemeld (Kamerstukken I, 2003-2004, 28 870 en 28 960 B, blz. 4). Het Verslag over de uitvoering WWB is hierop ingericht. De gekozen wijze van

2

verantwoording door gemeenten past in de opzet van de WWB, waarin primair de gemeenteraad de verantwoordelijkheid draagt voor de controle op de uitvoering van de WWB (en het gebruik van Suwinet in dat kader).

Het IWI-rapport bevestigt mijn eerdere conclusie dat de formulering van de Handreiking bij het Verslag over de uitvoering WWB 2004 aanleiding kan geven tot misverstanden. Om die reden is de formulering in de toelichting op het Verslag over de uitvoering WWB 2005 (Stcrt. 2004, nr. 239) gewijzigd. Via de eerstvolgende Verzamelbrief zal ik gemeenten informeren dat de verantwoordingsplicht over 2004 alleen betrekking heeft op het Beveiligingsplan. Dat betekent dat gemeenten moeten rapporteren aan SZW indien zij het Beveiligingsplan (nog) niet hebben vastgesteld.

Beveiligingseisen Suwinet
IWI geeft aan dat er bij gemeenten beheersmatige risico's zijn voor de beveiliging van de met Suwinet uitgewisselde persoonsgegevens. Omdat ten tijde van het onderzoek nog geen zekerheid over de verantwoording van de gemeenten over 2004 kon worden gegeven, geeft het IWI- onderzoek geen antwoord op de vraag in welke mate gemeenten voldoen aan de beveiligingseisen, die als Suwinet-partij aan hen worden gesteld. Vooruitlopend op het beantwoorden van deze onderzoeksvraag zal ik gemeenten vragen maatregelen ter verbetering te nemen.

In 2004 hebben het Bureau Keteninformatisering Werk en Inkomen (BKWI), het Inlichtingenbureau en Divosa (Coördinatiepunt ICT) gezamenlijk een handreiking informatiebeveiliging voor gemeentelijke sociale diensten opgesteld. Gezien het belang hiervan heb ik dit project financieel ondersteund. De handreiking (door gemeenten te raadplegen en op te vragen via www.cp-ict.nl) bevat verschillende praktische instrumenten om zowel op management- als op uitvoerend niveau de bewustwording en het treffen van fysieke maatregelen voor gegevensbeveiliging te ondersteunen.

Het is nu aan gemeenten om de informatiebeveiliging op het niveau te brengen dat op basis van de geldende voorschiften vereist is. Het rapport van de inspectie onderstreept de urgentie hiervan. Met de hen geboden ondersteuning ga ik ervan uit dat gemeenten hier voortvarend mee aan de slag gaan. Ik zal dat in deze zin ook bespreken in mijn bestuurlijk overleg met de VNG. In de Verzamelbrief aan gemeenten zal ik hierop nader ingaan.

De Staatssecretaris van Sociale Zaken
en Werkgelegenheid,

(H.A.L. van Hoof)