Doelbinding en beveiliging in de
keten van werk en inkomen
De beveiliging van Suwinet en de privacy van de burger
Doelbinding en beveiliging in
de keten van werk en inkomen
De beveiliging van Suwinet en de privacy van de burger
Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
R06/01, januari 2006
ISSN 1383-8733
ISBN 90-5079-146-8
2 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Voorwoord
Uitvoeringsorganisaties en gemeenten werken in de keten van werk en inkomen intensief met
elkaar samen. Door middel van de elektronische voorziening Suwinet-Inkijk hebben ze de
beschikking over de persoonsgegevens van miljoenen Nederlanders. Burgers moeten ervan op
aan kunnen dat hun privacy daarbij voldoende gewaarborgd is.
De Inspectie Werk en Inkomen (IWI) heeft onderzoek gedaan naar de beveiliging van Suwinet-
Inkijk. De inspectie heeft het onderzoek gericht op de privacyaspecten doelbinding en beveili-
ging.
Uitvoeringsorganisaties, en sinds de invoering van de Wet werk en bijstand (WWB) ook ge-
meenten, verantwoorden zich jaarlijks over de maatregelen die ze nemen om de beveiliging
van Suwinet te waarborgen. De inspectie onderzoekt deze verantwoordingen en rapporteert
in haar jaarverslag over haar bevindingen.
Met het onderzoek naar de waarborgen voor doelbinding en beveiliging wil de inspectie, in
aanvulling op haar verantwoordingsgericht onderzoek, gericht het verband leggen tussen spe-
cifieke maatregelen die uitvoeringsorganisaties en gemeenten nemen en de daadwerkelijke
waarborgen voor de privacy van de burger.
Dit rapport gaat onder meer in op relevante lopende ontwikkelingen in 2005. Het loopt daar-
mee vooruit op de verantwoordingen van uitvoeringsorganisaties en gemeenten over dit jaar.
Mr. L.H.J. Kokhuis
Inspecteur-generaal
3 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
4 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Inhoud
1 Inleiding 7
2 Doelbinding en beveiliging vanuit de burger bezien 9
2.1 Doelbinding en beveiliging 9
2.2 Het perspectief van de burger 9
2.3 Klachten van burgers 9
2.4 Conclusie 10
3 Waarborgen voor doelbinding en beveiliging 11
3.1 Eisen aan de beveiliging van Suwinet 11
3.2 De verantwoording over de beveiliging van Suwinet 12
3.3 Verantwoordingen van uitvoeringsorganisaties 12
3.4 Verantwoordingen van gemeenten 12
3.5 Waarborgen voor doelbinding en beveiliging 13
3.6 Conclusie 15
4 Oordeel 17
5 Reacties betrokken uitvoeringsorganisaties 19
5.1 Bureau Keteninformatisering Werk en Inkomen 19
5.2 Centrale organisatie werk en inkomen 19
5.3 Stichting Inlichtingenbureau Gemeenten 19
5.4 Sociale Verzekeringsbank 19
5.5 Uitvoeringsinstituut Werknemersverzekeringen 20
5.6 Nawoord IWI 20
Lijst van afkortingen 21
Bijlagen 23
Reactie Bureau Keteninformatisering Werk en Inkomen
Reactie Centrale organisatie werk en inkomen
Reactie Stichting Inlichtingenbureau Gemeenten
Reactie Sociale Verzekeringsbank
Reactie Uitvoeringsinstituut Werknemersverzekeringen
Publicaties van de Inspectie Werk en Inkomen 35
5 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
6 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
1 Inleiding
De Inspectie Werk en Inkomen (IWI) heeft onderzoek gedaan naar de beveiliging van Suwinet-
Inkijk. De elektronische voorziening Suwinet wordt binnen de keten van werk en inkomen
gebruikt bij het uitwisselen van gegevens. Suwinet-Inkijk geeft medewerkers van ketenpartners
de mogelijkheid om gegevens in te zien die afkomstig zijn uit gegevensverzamelingen van andere
ketenpartners. Van de mogelijkheden die Suwinet biedt wordt Inkijk verreweg het meest
gebruikt: eind 2004 hadden ruim 25.000 medewerkers van uitvoeringsorganisaties en gemeen-
ten toegang tot Suwinet-Inkijk. Het grootschalige gebruik van een dergelijke voorziening vraagt
goede waarborgen voor de privacy van de burger.
Doel van het onderzoek was om vast te stellen in hoeverre de beveiliging van Suwinet-Inkijk
waarborgen biedt voor de privacy van de burger. Naast Suwinet-Inkijk beschikken uitvoerings-
organisaties en gemeenten over eigen geautomatiseerde systemen waarin ze gegevens verwer-
ken. De beveiliging van die systemen is niet in het onderzoek betrokken. De inspectie heeft
zich, bij het beantwoorden van de vraag naar de waarborgen voor de privacy van de burger,
1 gericht op de privacyaspecten doelbinding en beveiliging.1 Doelbinding houdt in dat persoons-
De privacyaspecten `doelbinding' en gegevens alleen maar mogen worden gebruikt voor het doel waarvoor ze zijn verzameld.
`beveiliging' komen uit het
Raamwerk Privacy Audit van het Beveiliging houdt in dat persoonsgegevens beschermd moeten worden tegen verstrekking aan
College Bescherming personen of organisaties die daar geen recht op hebben.
Persoonsgegevens. Dit `raamwerk'
vormt een vertaling van de Wet
bescherming persoonsgegevens in Het onderzoek richtte zich op de huidige gebruikers van Suwinet-Inkijk. Het gebruik van
concrete eisen aan informatie-
systemen. Suwinet-Inkijk door de Arbeidsinspectie en de Sociale Inlichtingen en Opsporingsdienst (SIOD),
en op termijn mogelijk ook door reïntegratiebedrijven, is niet in het onderzoek betrokken. De
Sociale Verzekeringsbank (SVB) voert dit jaar een proef uit met het gebruik van Suwinet-Inkijk.
Aangezien het gebruik van Suwinet-Inkijk door de SVB nog geen onderdeel is van het reguliere
proces, is ook het gebruik van Suwinet-Inkijk door de SVB niet bij het onderzoek betrokken.
Ook initiatieven om fraude op te sporen door gegevens uit het sociale verzekeringsdomein te
combineren met gegevens uit andere sectoren vallen buiten de reikwijdte van het onderzoek.
De inspectie heeft in dit onderzoek zo veel mogelijk gebruik gemaakt van verantwoordingen
van uitvoeringsorganisaties en gemeenten, resultaten van eigen onderzoek van de uitvoerings-
organisaties, en andere reeds beschikbare informatie. Uitvoeringsorganisaties en gemeenten
zijn zelf verantwoordelijk voor de beveiliging van (hun deel van) Suwinet. Ze verantwoorden
zich jaarlijks over de beveiliging van Suwinet, en van de uitvoeringsorganisaties is ook veel
informatie uit eigen onderzoek beschikbaar. De inspectie beoordeelt de verantwoordingen
ieder jaar in haar verantwoordingsgericht onderzoek. De inspectie heeft verder gesprekken
gevoerd met, onder meer, beveiligingsfunctionarissen en medewerkers die zijn belast met het
afhandelen van klachten van burgers. Ook heeft de inspectie de relevante klachten geïnventari-
seerd die in 2004 en 2005 zijn behandeld door het College bescherming persoonsgegevens
(CBP), de Nationale Ombudsman, het Ministerie van Sociale Zaken en Werkgelegenheid (SZW)
en de inspectie zelf.
Het onderzoek is uitgevoerd in de tweede helft van 2005. De inspectie heeft de relevante ont-
wikkelingen uit 2005 zo veel mogelijk in het onderzoek betrokken. Als toetsingskader heeft de
inspectie gebruik gemaakt van Bijlage XIV bij de Regeling SUWI. Bijlage XIV bevat de eisen aan
de beveiliging van Suwinet.
7 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
8 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
2 Doelbinding en beveiliging vanuit de
burger bezien
2.1 Doelbinding en beveiliging
Doelbinding en beveiliging maken deel uit van het recht op informationele privacy, op bescher-
ming van de eigen persoonsgegevens. Doelbinding houdt in dat persoonsgegevens alleen maar
mogen worden gebruikt voor het doel waarvoor ze zijn verzameld. Beveiliging betekent dat
persoonsgegevens beschermd moeten worden tegen verstrekking aan personen of organisaties
die daar geen recht op hebben.
2.2 Het perspectief van de burger
De burger krijgt met de keten van werk en inkomen te maken als hij zich, bijvoorbeeld, bij het
Centrum Werk en Inkomen (CWI) meldt voor werk of voor een uitkeringsaanvraag. Om in
aanmerking te komen voor arbeidsbemiddeling, reïntegratie of een uitkering verstrekt hij of zij
gegevens aan uitvoeringsorganisatie of gemeente. Daarnaast verzamelen de uitvoeringsorganisa-
ties gegevens die nodig zijn om het recht op uitkering vast te kunnen stellen, onder meer over
het arbeidsverleden van de burger.
Burgers lopen risico's als deze gegevens, binnen of buiten de keten van werk en inkomen,
worden gebruikt voor doelen waar ze niet voor bestemd zijn. Misbruik van loon- en uitkerings-
gegevens zou er, bijvoorbeeld, toe kunnen leiden dat bijstandsgerechtigden problemen onder-
vinden bij het aanvragen van een subsidie of het afsluiten van een telefoonabonnement.
Misbruik van arbeidsgeschiktheidgegevens zou ertoe kunnen leiden dat mensen die (gedeelte-
lijk) arbeidsongeschikt zijn, of zijn geweest, belemmeringen ondervinden bij, bijvoorbeeld, het
vinden van een nieuwe baan of het afsluiten van een arbeidsgeschiktheidverzekering.
Het is de vraag in hoeverre burgers misbruik van hun werk- en inkomensgegevens als zodanig
zullen herkennen. De verwerking van hun persoonsgegevens speelt zich grotendeels buiten hun
blikveld af.
2.3 Klachten van burgers
Burgers die constateren dat hun persoonsgegevens worden misbruikt kunnen daarover klagen
bij, onder meer, de betrokken instantie zelf, het CBP en bij de Nationale Ombudsman.
De inspectie heeft onderzocht in hoeverre burgers klagen over misbruik of oneigenlijk gebruik
van persoonsgegevens die afkomstig zijn uit de keten van werk en inkomen. Zij heeft voor dit
doel de relevante klachten geïnventariseerd die zijn binnengekomen bij het CBP, bij de
Nationale Ombudsman, bij de afdeling Publieksinformatie van het Ministerie van SZW, bij de
uitvoeringsorganisaties en bij de inspectie zelf.
Uit deze inventarisatie blijkt dat klachten over misbruik of oneigenlijk gebruik van gegevens uit
de keten van werk en inkomen zelden voorkomen. Uit 2004 of 2005 heeft de inspectie geen
relevante klachten aangetroffen. Klachten over het gebruik van persoonsgegevens binnen de
keten van werk en inkomen hebben veelal betrekking op zaken, zoals huisbezoeken door soci-
aal rechercheurs, die burgers ervaren als inbreuken op hun persoonlijke levenssfeer maar die
wettelijk zijn toegestaan.
In 2002 bracht een klacht van een burger een geval aan het licht van grootschalig misbruik van
persoonsgegevens die afkomstig waren uit, onder meer, de sociale zekerheid. De betrokken uit-
2 voeringsorganisaties hebben naar aanleiding van dit incident maatregelen genomen.2
`In goed vertrouwen, onrechtmatige
gegevensverstrekking aan een han-
delsinformatiebureau', IWI,
oktober 2004.
9 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
2.4 Conclusie
Klachten over misbruik of oneigenlijk gebruik van gegevens uit de keten van werk en inkomen
komen zelden voor. Uit het uitblijven van relevante klachten mag niet zonder meer worden
geconcludeerd dat misbruik of oneigenlijk gebruik niet voorkomt. Achter één klacht van een
burger kan grootschalig misbruik van persoonsgegevens schuil gaan.
10 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
3 Waarborgen voor doelbinding en
beveiliging
3.1 Eisen aan de beveiliging van Suwinet
Uitvoeringsorganisaties en gemeenten die gebruik maken van Suwinet zijn verantwoordelijk
voor de beveiliging van (hun deel van) Suwinet. De eisen waaraan ze zich moeten houden zijn
vastgelegd in bijlage XIV bij de Regeling SUWI. Deze eisen vormen de uitwerking van de eisen
uit de Wet bescherming persoonsgegevens (Wbp) en de Wet SUWI. De eisen houden, onder
meer, in dat uitvoeringsorganisaties en gemeenten voldoende maatregelen moeten treffen om
doelbinding en beveiliging te waarborgen.
Het is aan de uitvoeringsorganisaties en gemeenten zelf om invulling aan deze eisen te geven.
Ze worden daarbij ondersteund door het Bureau Keteninformatisering Werk en Inkomen
(BKWI), dat onder meer verantwoordelijk is voor de inrichting van Suwinet. BKWI biedt,
onder meer, technische mogelijkheden die de ketenpartners in staat stellen om hun medewer-
kers alleen toegang te geven tot die informatie in Suwinet-Inkijk die ze voor hun werkzaamhe-
den nodig hebben, en controleoverzichten die het mogelijk maken om het gebruik van Suwinet-
Inkijk achteraf te controleren. De ketenpartijen zelf hebben de verantwoordelijkheid om deze
technische middelen op zo'n manier te gebruiken dat doelbinding en beveiliging gewaarborgd
zijn.
Gemeenten worden bij het verwerven, gebruiken en beheren van ICT ondersteund door het
Coördinatiepunt ICT Gemeenten (CP-ICT). CP-ICT is een initiatief van de Vereniging
Nederlandse Gemeenten (VNG) en Divosa, de landelijke vereniging van leidinggevenden bij
Nederlandse overheidsorganisaties op het terrein van werk, inkomen en zorg.
3.2 De verantwoording over de beveiliging van Suwinet
De uitvoeringsorganisaties die gebruik maken van Suwinet verantwoorden zich jaarlijks over de
maatregelen die ze hebben genomen om aan de eisen uit Bijlage XIV te voldoen. De verant-
woording gaat vergezeld van een oordeel en een rapport van bevindingen van een register
EDP-auditor. De ketenpartijen hebben een verantwoordingsrichtlijn opgesteld, met daarbij een
normenkader dat de EDP-auditor bij het onderzoek moet gebruiken. Het normenkader vormt
de `vertaling' van Bijlage XIV naar een eenduidig toetsingskader. Met het gebruik van de verant-
woordingsrichtlijn en het normenkader willen de ketenpartners bereiken dat de beveiliging van
Suwinet bij alle uitvoeringsorganisaties op dezelfde manier wordt beoordeeld, waardoor er uit
onderzoek en verantwoording een eenduidig beeld ontstaat.
Sinds de invoering van de Wet werk en bijstand op 1 januari 2004 verantwoorden ook gemeen-
ten zich over de beveiliging van Suwinet, zij het veel beknopter dan de uitvoeringsorganisaties
dit doen. Het verslag over de uitvoering WWB gaat vergezeld van een accountantsverklaring.
De inspectie beoordeelt de verantwoordingen van de uitvoeringsorganisaties en gemeenten
ieder jaar in haar verantwoordingsgericht onderzoek.
3.3 Verantwoordingen van uitvoeringsorganisaties
Sinds de invoering van het SUWI-stelsel in 2002 hebben de uitvoeringsorganisaties veel moeite
gedaan om aan de eisen uit Bijlage XIV te voldoen. In het verantwoordingsgericht onderzoek
over 2004 stelde de inspectie vast dat de beveiliging bij de uitvoeringsorganisaties ten opzichte
van 2003 sterk was verbeterd, maar dat de beveiliging van Suwinet als geheel nog niet op het
vereiste niveau was. Verder constateerde de inspectie dat het hanteren van de verantwoor-
dingsrichtlijn de inzichtelijkheid van de getroffen beveiligingsmaatregelen heeft verbeterd, al
waren door verschillen in toepassing van de verantwoordingsrichtlijn de oordelen van de EDP-
11 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
auditors nog onvoldoende onderling vergelijkbaar.
Tot nu toe hebben de uitvoeringsorganisaties zich alleen nog verantwoord over opzet en
bestaan van hun maatregelen. Dit betekent dat de verantwoordingen vooral inzicht bieden in de
planvorming en de formele inrichting van de maatregelen, en in de concrete afspraken over de
uitvoering. In de verantwoording over 2005 zullen de uitvoeringsorganisaties zich, naar ver-
wachting ook gaan verantwoorden over de werking. Dit houdt in dat de verantwoording duide-
lijkheid moet bieden over de mate waarin de gemaakte afspraken gedurende het jaar daadwer-
kelijk zijn nageleefd. Er vindt momenteel overleg plaats tussen de uitvoeringsorganisaties over
de vraag hoe de werking over 2005 op een eenduidige manier bij alle ketenpartners kan
worden vastgesteld. Bij dit overleg wordt ook de Nederlandse Orde van Register EDP-auditors
(NOREA) betrokken. Een aantal uitvoeringsorganisaties is nog bezig om de beveiliging van
Suwinet op zo'n manier in te richten dat de EDP-auditor de werking van de getroffen maatrege-
len vast kan stellen, onder meer door uitgevoerde activiteiten voldoende te documenteren.
3.4 Verantwoordingen van gemeenten
Uit een inventariserend onderzoek in 2004 bleek dat veel gemeenten nog niet wisten hoe ze
zich over de beveiliging van Suwinet zouden verantwoorden, en wat de rol van de accountant
daarbij zou zijn. Medewerkers bij gemeenten realiseerden zich goed dat ze werken met privacy-
gevoelige gegevens van ketenpartners, en dat daarbij zorgvuldigheid is vereist. Veel gemeenten
bleken behoefte te hebben aan toelichting op de wettelijke voorschriften en aan praktische
3 hulpmiddelen.3
`Beveiliging Suwinet bij gemeenten',
IWI, februari 2005.
In hun verslag over de uitvoering WWB over 2004 moesten gemeenten zich voor het eerst
verantwoorden over de beveiliging van Suwinet. Ten tijde van het uitvoeren van dit onderzoek
had het Ministerie van SZW nog niet alle verslagen over 2004 ontvangen. Een eerste inventari-
satie van de beschikbare verslagen wijst erop dat ongeveer de helft van de gemeenten niet
beschikt over een beveiligingsplan voor Suwinet, of over een algemeen beveiligingsplan met
daarin specifieke elementen voor het gebruik van Suwinet.
De verslagen over de uitvoering WWB gaan vergezeld van een accountantsverklaring. De con-
trole op de verslagen over de uitvoering WWB wordt, voor een groot aantal gemeenten, uitge-
voerd door een beperkt aantal grote accountantskantoren. De controle door deze accoun-
tantskantoren blijkt met name gericht te zijn op de formele aspecten: de aanwezigheid van een
beveiligingsplan en de goedkeuring door burgemeester en wethouders. Dit is in overeenstem-
ming met het verantwoordings- en controleprotocol dat op deze controle van toepassing is. De
accountants beoordelen niet of het beveiligingsplan, bijvoorbeeld, aansluit bij organisatie en
werkwijze van de betreffende gemeente. Ook stelt de accountant niet vast of de medewerkers
van de gemeente op de hoogte zijn van wat er in het beveiligingsplan staat, en of ze dit in de
praktijk daadwerkelijk naleven. Wel geven de accountantskantoren aan dat ze dit soort aspec-
ten in voorkomende gevallen onder de aandacht van de gemeenten brengen.
Het toezicht op de uitvoering door gemeenten berust primair bij de gemeenteraad. Het is
mogelijk dat burgemeesters en wethouders, om zich tegenover de gemeenteraad te kunnen
verantwoorden, hun beveiligingsplannen door externe deskundigen hebben laten toetsen. Dit
komt echter niet in de verantwoording tot uiting.
De aandacht voor de beveiliging van Suwinet in het gemeentelijk domein neemt toe. In 2004
heeft BKWI, samen met het CP-ICT, een informatiemap samengesteld die gemeenten moet
ondersteunen bij het opstellen van een informatiebeveiligingsplan (de zogenaamde `sprekende
kluis'). In 2005 hebben BKWI en CP-ICT een website gepubliceerd, met aanvullende informatie
en voorbeelden van beveiligingsplannen.
In de praktijk blijken met name de kleinere gemeenten grote moeite te hebben met het opstel-
len van een beveiligingsplan en met het nemen van de vereiste maatregelen. Ze zijn van mening
dat de aangeboden richtlijnen en voorbeelden zijn toegesneden op grote gemeenten, en hebben
moeite deze toe te passen. BKWI en CP-ICT hebben toegezegd ondersteunend materiaal aan
te zullen reiken dat is toegespitst op middelgrote en kleine gemeenten.
12 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
3.5 Waarborgen voor doelbinding en beveiliging
Uitvoeringsorganisaties en gemeenten zijn verplicht om maatregelen te nemen om doelbinding
en beveiliging te waarborgen. De belangrijkste maatregelen zijn:
· Logische toegangsbeveiliging.
Door middel van logische toegangsbeveiliging zorgen uitvoeringsorganisaties en gemeenten dat
alleen die medewerkers die dat voor hun werk nodig hebben toegang krijgen tot Suwinet-Inkijk,
en dat deze medewerkers daarbij alleen toegang krijgen tot die gegevens die ze daadwerkelijk
nodig hebben. Logische toegangsbeveiliging is van groot belang voor het waarborgen van doel-
binding.
· Beveiliging bij ICT-dienstverleners.
Het technisch beheer van Suwinet is voor een groot deel uitbesteed aan ICT-dienstverleners.
Om de beveiliging van de gegevens te waarborgen moeten deze dienstverleners voldoende
maatregelen nemen om, bijvoorbeeld, inbraken door hackers te voorkomen.
· Controle op het gebruik van Suwinet-Inkijk.
BKWI maakt overzichten van het gebruik van Suwinet-Inkijk door medewerkers van uitvoe-
ringsorganisaties en gemeenten. Controle van deze overzichten helpt de ketenpartners bij het
opsporen van misbruik of oneigenlijk gebruik van gegevens uit Suwinet. Dit is van belang voor
zowel doelbinding als beveiliging.
· Beveiligingstests.
In een beveiligingstest of penetratietest proberen gespecialiseerde testers toegang te krijgen tot
gegevens in Suwinet. Ze kunnen daarbij technische inbraakpogingen doen (`hacking') of probe-
ren om van medewerkers informatie los te krijgen (`social engineering'). Uitvoeringsorganisaties
en gemeenten zijn niet verplicht om beveiligingstests uit te laten voeren. Wel kunnen dergelijke
tests inzicht geven in de zwakke plekken in de beveiliging van Suwinet, en kunnen ze een indica-
tie geven van de mate waarin doelbinding en beveiliging daadwerkelijk gewaarborgd zijn.
Het vervolg van deze paragraaf gaat in op de manier waarop uitvoeringsorganisaties en gemeen-
ten invulling geven aan deze maatregelen.
Logische toegangsbeveiliging
Bij de ingebruikname van Suwinet-Inkijk was het voor alle aangesloten gebruikers mogelijk om
alle beschikbare gegevens van burgers in te zien. De ketenpartners vonden dit ongewenst, en
besloten in 2003 om maatregelen te treffen om te zorgen dat medewerkers in Suwinet-Inkijk
alleen toegang krijgen tot die informatie die ze nodig hebben om hun taken uit te kunnen
voeren.
Bij het nemen van deze maatregelen werken de ketenpartners samen met BKWI. De ketenpart-
ners inventariseren welke rollen er binnen hun organisatie zijn, zoals baliemedewerker of claim-
behandelaar, en welke informatie medewerkers uit Suwinet-Inkijk nodig hebben om hun rol
naar behoren te kunnen vervullen. BKWI implementeert deze rollen vervolgens in Suwinet-
Inkijk, zodat medewerkers die Suwinet-Inkijk raadplegen alleen maar die gegevens kunnen zien
die bij hun rol horen.
Uitvoeringsorganisaties en gemeenten zijn zelf verantwoordelijk voor het toekennen van de
juiste rol aan de juiste medewerker. Ze moeten ook zorgen dat de koppeling van rollen aan
medewerkers actueel blijft, door periodiek te controleren of de betreffende medewerkers nog
steeds in dienst zijn en nog steeds dezelfde informatie nodig hebben om hun taken uit te
kunnen voeren.
De manier waarop uitvoeringsorganisaties en gemeenten invulling geven aan deze verantwoor-
delijkheid verschilt. Er zijn verschillen in het aantal rollen dat binnen organisaties worden
gehanteerd: het Uitvoeringsinstituut Werknemersverzekeringen (UWV) onderscheidt er 28 en
CWI 17, waarvan er in de praktijk maar één daadwerkelijk wordt gebruikt. Voor het gemeente-
lijk domein zijn vier rollen gedefinieerd. In de manier waarop gemeenten deze rollen aan mede-
werkers toekennen bestaan grote verschillen. Ook zijn er, bij ongeveer even grote gemeenten,
grote verschillen in de aantallen medewerkers die toegang hebben tot Suwinet-Inkijk. De ver-
schillen kunnen maar voor een deel worden verklaard uit, bijvoorbeeld, organisatieomvang en
inrichting van de werkprocessen.
13 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Bij de ingebruikname van Suwinet-Inkijk hadden de uitvoeringsorganisaties nog geen sluitende
procedures voor het aan- en afmelden van gebruikers. Dit leidde ertoe dat er in Suwinet-Inkijk
gebruikers in een bepaalde rol bekend waren, die in werkelijkheid van functie waren veranderd
of niet meer in dienst waren bij de betreffende uitvoeringsorganisatie. In de loop van 2004
hebben de uitvoeringsorganisaties een schoning uitgevoerd. UWV heeft inmiddels een proce-
dure ontwikkeld om periodiek een dergelijke schoning uit te voeren. De inspectie heeft geen
informatie over soortgelijke acties in het gemeentelijk domein.
Beveiliging bij ICT-dienstverleners
Het technisch beheer van het Suwinet is door de Suwi-organisaties uitbesteed aan ICT-dienst-
verleners. Deze dienstverleners voeren dagelijkse handelingen uit als het instellen en onder-
houden van systeemcomponenten en het maken van backups. Een deel van de werkzaamheden
die ze uitvoeren, bijvoorbeeld het instellen van firewalls en het implementeren van beveiligd
berichtenverkeer, is ook specifiek van belang voor de beveiliging van de gegevens in Suwinet-
Inkijk tegen inbraken van buitenaf.
De Wbp verplicht uitvoeringsorganisaties en gemeenten om ervoor te zorgen dat ICT-dienst-
verleners, die in opdracht van hen persoonsgegevens verwerken, zich aan dezelfde wettelijke
voorschriften houden die ook voor henzelf gelden. Dit betekent dat de normen uit bijlage XIV
bij de Regeling SUWI, en het normenkader waarin deze zijn vertaald, onverkort gelden voor
ICT-dienstverleners.
Uitvoeringsorganisaties en gemeenten zijn ook verplicht erop toe te zien dat de ICT-dienstver-
leners deze voorschriften naleven. Ze kunnen de naleving van deze voorschriften vooraf borgen
door hierover afspraken te maken in de contracten, serviceniveauovereenkomsten (SNO's) of
service level agreements (SLA's) die ze met de dienstverleners afsluiten. Verder is het gebruike-
lijk dat dienstverleners door een onafhankelijke EDP-auditor laten toetsen of ze zich aan de
gemaakte afspraken houden. Het resultaat van deze toetsing, de `third party mededeling' (TPM)
wordt beschikbaar gesteld aan de opdrachtgevers van de ICT-dienstverlener.
UWV heeft dit enige jaren geleden in de contracten met ICT-dienstverleners geïmplementeerd,
onder meer door met de dienstverleners afspraken te maken over het afgeven van TPM's.
UWV heeft een uitgebreid normenkader opgesteld dat de EDP-auditors, bij het afgeven van
TPM's, toe moeten passen. Inmiddels heeft UWV met de dienstverleners afgesproken dat die,
over 2005, ook de specifieke normen die gelden voor Suwinet zullen laten onderzoeken. CWI
vraagt hun ICT-dienstverleners niet om een specifieke TPM volgens het SUWI-normenkader,
maar hanteert hiervoor een algemeen normenkader. Het normenkader van CWI is, onder
meer, gebaseerd, op het SUWI-normenkader. BKWI heeft met zijn ICT-dienstverlener afgespro-
ken dat deze met ingang van 2005 een TPM volgens het SUWI-normenkader afgeeft.
De uitvoeringsorganisaties zullen de TPM's betrekken in het onderzoek dat ze jaarlijks uitvoe-
ren, of laten uitvoeren, ten behoeve van de verantwoording over de beveiliging van Suwinet.
Controle op het gebruik van Suwinet-Inkijk
Het is van belang om vast te stellen dat medewerkers, die voor hun werk toegang hebben tot
Suwinet-Inkijk, de gegevens uitsluitend gebruiken voor de doeleinden waarvoor ze bestemd
zijn. Behalve maatregelen zoals voorlichting van medewerkers, en het laten ondertekenen van
een geheimhoudingsverklaring, hebben uitvoeringsorganisaties en gemeenten weinig mogelijk-
heden om misbruik van Suwinet-Inkijk te voorkomen.
De ketenpartners hebben daarom gekozen voor controle achteraf. BKWI registreert alle raad-
plegingen van Suwinet-Inkijk, en maakt daar periodiek rapportages van. Deze rapportages infor-
meren de ketenpartners, op totaalniveau, over de raadplegingen van hun eigen medewerkers.
De rapportages zijn zo ingericht dat afwijkend gebruik van Suwinet-Inkijk binnen de eigen uit-
voeringsorganisatie of gemeente, zoals raadplegingen buiten werktijd en grote aantallen raad-
plegingen door specifieke (groepen) medewerkers, zichtbaar worden. BKWI verstrekt de rap-
portage periodiek aan de security officers (functionarissen die belast zijn met de informatie-
beveiliging) van uitvoeringsorganisaties en gemeenten.
Bij vermoeden van misbruik kan de security officer van de uitvoeringsorganisatie aanvullende
overzichten opvragen bij de security officer van BKWI. Security officers van gemeenten kunnen
deze overzichten opvragen via de Suwinet Servicedesk. In deze overzichten kan informatie zijn
opgenomen over het gebruik van Suwinet-Inkijk door individuele medewerkers.
14 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Een eerste inventarisatie van het gebruik van deze overzicht laat zien dat er, wat dit betreft,
tussen de ketenpartners verschillen in benadering bestaan.
CWI geeft aan de overzichten te gebruiken, en alleen aanvullende overzichten op te vragen bij
een duidelijk vermoeden van misbruik. De security officer van UWV geeft aan dat hij de perio-
dieke overzichten van BKWI bij zijn controles gebruikt, en dat hij jaarlijks een steekproef uit-
voert waarbij hij bij BKWI detailrapportages opvraagt en analyseert.
Veel gemeenten hebben (nog) geen security officer benoemd. Aangezien BKWI de rapportages
over het gebruik van Suwinet-Inkijk uitsluitend naar security officers stuurt, krijgen gemeenten
zonder security officer deze rapportages niet. In het najaar van 2004 kregen tien gemeenten
periodiek een rapportage toegestuurd. In september 2005 is dit aantal toegenomen tot 86.
Sinds 2004 hebben gemeenten een kleine dertig aanvullende rapportages opgevraagd.
Beveiligingstests
Een aantal uitvoeringsorganisaties heeft in de afgelopen jaren tests uit laten voeren op de bevei-
liging van Suwinet, zogenoemde penetratietests. In dergelijke tests proberen gespecialiseerde
testers om met ongeoorloofde middelen toegang te krijgen tot Suwinet-Inkijk.
In november 2004 heeft een penetratietest plaatsgevonden bij UWV. De uitkomst was dat het
voor ongeautoriseerde gebruikers van buiten het netwerk van UWV niet mogelijk was om toe-
gang te krijgen tot Suwinet-Inkijk.
Ook BKWI heeft, in juli 2004, een penetratietest laten uitvoeren. Hier kwam uit dat Suwinet
uitsluitend vanuit het SUWI-domein, dus vanuit uitvoeringsorganisaties en gemeenten, benader-
baar was. De beveiligingsinspanningen zullen zich dan ook met name richten op het verminde-
ren van de kwetsbaarheid voor `aanvallen' van binnenuit.
Deze tests zijn uitgevoerd bij één uitvoeringsorganisatie, en geven geen beeld voor de keten als
geheel. Er is tot nu toe nog geen test uitgevoerd met een opdracht als `probeer, op welke
manier dan ook en via welke ketenpartij dan ook, toegang te krijgen tot gegevens in Suwinet'.
Een dergelijke test zou belangrijke inzichten op kunnen leveren over de zwakke plekken in de
keten.
Ook hebben de ketenpartijen nooit een ketenbrede risicoanalyse voor Suwinet gemaakt. Dit
betekent dat er op dit moment geen goed onderbouwd beeld is van de risicogebieden waar
mogelijk extra maatregelen noodzakelijk zijn.
3.6 Conclusie
De inspectie heeft geen zicht op de waarborgen voor doelbinding en beveiliging in het gemeen-
telijk domein. Wel bieden de verslagen over de uitvoering WWB, hoe summier ook, enig zicht
op de stand van zaken rond de beveiliging van Suwinet in het algemeen. Het wordt steeds dui-
delijker dat veel gemeenten, met name de kleinere gemeenten, moeite hebben om de beveili-
ging van Suwinet aantoonbaar in overeenstemming met de wettelijke voorschriften in te rich-
ten. De aandacht voor de beveiliging van Suwinet in het gemeentelijk domein neemt toe, en
BKWI en CP-ICT bieden gemeenten ondersteuning.
De uitvoeringsorganisaties hebben in de afgelopen jaren waarneembare vorderingen gemaakt bij
het nemen van de maatregelen die noodzakelijk zijn voor doelbinding en beveiliging. Ze zijn nog
bezig om de werking van hun maatregelen aantoonbaar te maken.
Verschillen in de manier waarop de verschillende ketenpartijen hun maatregelen hebben geïm-
plementeerd zijn niet altijd verklaarbaar. Verder ontbreekt een ketenbrede risicoanalyse, en
geven de beveiligingstests die de ketenpartners hebben uitgevoerd geen beeld van de zwakke
plekken van de beveiliging van Suwinet binnen de keten als geheel.
15 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
16 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
4 Oordeel
Uitvoeringsorganisaties en gemeenten die gebruik maken van Suwinet zijn verantwoordelijk
voor de beveiliging van (hun deel van) Suwinet. Ze moeten zich daarbij houden aan de eisen die
zijn vastgelegd in bijlage XIV bij de Regeling SUWI. Naleving van deze eisen is een belangrijke
randvoorwaarde voor het waarborgen van doelbinding en beveiliging bij het gebruik van
Suwinet.
Een eerste inventarisatie van de verslagen over de uitvoering WWB over het jaar 2004 wijst uit
dat veel gemeenten de beveiliging van Suwinet niet aantoonbaar in overeenstemming met de
wettelijke eisen hebben ingericht. Gemeenten hoeven zich in het verslag over de uitvoering
WWB uitsluitend te verantwoorden over de aanwezigheid van een beveiligingsplan voor Suwi-
net, of een algemeen beveiligingsplan met daarin specifieke elementen voor het gebruik van
Suwinet. De verslagen over de uitvoering WWB bieden dientengevolge geen inzicht in de mate
waarin beveiligingsmaatregelen in de praktijk daadwerkelijk worden nageleefd. Binnen het
gemeentelijk domein heeft de beveiliging van Suwinet in toenemende mate de aandacht, en
BKWI en CP-ICT ondersteunen de gemeenten bij de inrichting.
De uitvoeringsorganisaties hebben in de afgelopen jaren waarneembare vorderingen gemaakt bij
de beveiliging van Suwinet in het algemeen, en het waarborgen van de privacyaspecten doelbin-
ding en beveiliging in het bijzonder. Gedurende de looptijd van het onderzoek waren de uitvoe-
ringsorganisaties nog bezig om de werking van hun beveiligingsmaatregelen, de mate waarin de
maatregelen in de praktijk worden nageleefd, aantoonbaar te maken. Uit de verantwoordingen
van de uitvoeringsorganisaties over 2005 zal blijken in hoeverre ze daarin geslaagd zijn. Zolang
de werking van de maatregelen niet aantoonbaar op orde is, blijft er onzekerheid bestaan over
de mate waarin de beveiliging van Suwinet daadwerkelijk is gewaarborgd.
Uit het al dan niet voorkomen van klachten van burgers over misbruik of oneigenlijk gebruik
van hun persoonsgegevens kunnen geen conclusies worden getrokken over de mate waarin
doelbinding en beveiliging gewaarborgd zijn. Het is daarom van groot belang dat de Suwinet-
partijen voldoende maatregelen nemen om doelbinding en beveiliging te waarborgen, en dat
deze maatregelen over de gehele keten heen van voldoende niveau zijn. Een ketenbrede risico-
analyse, en ketenbrede beveiligingstests, kunnen een indicatie geven van de mate waarin doel-
binding en beveiliging binnen de keten als geheel daadwerkelijk gewaarborgd zijn.
17 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
18 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
5 Reacties betrokken uitvoerings-
organisaties
De inspectie heeft de conceptrapportage voor een bestuurlijke reactie voorgelegd aan BKWI,
CWI, IB, SVB en UWV. Als het onderzoek over gemeenten gaat, vraagt de inspectie een
bestuurlijke reactie van de VNG. Dat is ook gebeurd bij dit rapport. De VNG heeft afgezien
van het geven van een bestuurlijke reactie. Hieronder volgt per ketenpartner een samenvatting
van de reacties met commentaar daarop van de inspectie. Aan het einde van dit hoofdstuk
geeft de inspectie een overall reactie. De schriftelijke reacties van de ketenpartners zijn inte-
graal opgenomen in de bijlagen bij dit rapport.
5.1 Bureau Keteninformatisering Werk en Inkomen
Het BKWI spreekt waardering uit voor het rapport.
5.2 Centrale organisatie werk en inkomen
CWI licht de genomen maatregelen toe op het gebied van logische toegangsbeveiliging. CWI
geeft aan meerdere varianten op één basisrol te onderscheiden en toe te passen, en het
bestand van gebruikers regelmatig te schonen.
Uit het uitblijven van klachten over misbruik of oneigenlijk gebruik van gegevens uit de keten
van werk en inkomen in 2004 en 2005 mag naar mening van CWI de voorzichtige conclusie
worden getrokken dat de maatregelen, die de uitvoeringsorganisaties hebben genomen om mis-
bruik en oneigenlijk gebruik te voorkomen, effectief zijn gebleken. Verder is CWI van mening
dat uit verschillen in de manier waarop uitvoeringsorganisaties en gemeenten hun beveiligings-
maatregelen hebben geïmplementeerd, niet zonder meer conclusies kunnen worden getrokken
voor het beveiligingsniveau van de keten als geheel.
CWI ziet het rapport als een stimulans om, bij het waarborgen van doelbinding en beveiliging,
op de ingeslagen weg voort te gaan. CWI geeft daarbij aan dat het eerste aandachtspunt, het
aantonen van de werking van de beveiligingsmaatregelen, in het kader van de jaarverantwoor-
ding over 2005 zijn beslag zal krijgen.
5.3 Stichting Inlichtingenbureau Gemeenten
Het bestuur van de Stichting Inlichtingenbureau onderschrijft het belang van beveiliging en doel-
binding en kan zich ook overigens geheel vinden in de inhoud en strekking van het rapport.
5.4 Sociale Verzekeringsbank
De SVB vindt Suwinet-Inkijk een positieve ontwikkeling, en heeft een proef met het gebruik van
Suwinet-Inkijk gestart. Wel geeft de SVB bij het uitwisselen van gegevens de voorkeur aan mas-
sale, batchgewijze geautomatiseerde gegevensuitwisseling. Aangezien Suwinet-Inkijk gericht is
op individuele gegevens zal de SVB hier naar verwachting minder gebruik van maken.
De SVB geeft aan alleen volledig in Suwinet-Inkijk te kunnen participeren als de beveiliging vol-
doende is gewaarborgd. De SVB vindt het dan ook een grote stap voorwaarts dat de uitvoe-
ringsorganisaties ten aanzien van de verplichtingen aangaande beveiliging grote vooruitgang
hebben geboekt. Wel constateert de SVB dat er ten aanzien van de beveiliging bij gemeenten
grote vraagtekens blijven bestaan, die ook hun weerslag hebben op de manier waarop de SVB
op dit moment aankijkt tegen participatie in Suwinet-Inkijk.
19 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
5.5 Uitvoeringsinstituut Werknemersverzekeringen
UWV kan zich vinden in het door IWI geschetste beeld en het oordeel met betrekking tot
doelbinding en beveiliging van de keten van werk en inkomen als geheel. UWV geeft aan de
beveiliging van Suwinet zeer belangrijk te vinden, en illustreert dit met een aantal maatregelen
die de organisatie op dit gebied heeft genomen. UWV onderschrijft het nut van een ketenbrede
risicoanalyse en beveiligingstest voor het vaststellen van de waarborgen voor doelbinding en
beveiliging binnen de keten als geheel.
5.6 Nawoord IWI
IWI neemt met waardering kennis van de lopende en geplande activiteiten waaraan in de
bestuurlijke reacties gerefereerd wordt. De inspectie ziet in de ontvangen reacties geen aanlei-
ding om haar oordeel te wijzigen. Wel hebben de reacties geleid tot enige tekstuele wijzigingen
in het rapport.
20 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Lijst van afkortingen
BKWI Bureau Keteninformatisering Werk en Inkomen
CBP College bescherming persoonsgegevens
CP-ICT Coördinatiepunt ICT gemeenten
CWI Centrale organisatie werk en inkomen
CWI Centrum voor Werk en Inkomen
Divosa Vereniging van directeuren van overheidsorganen voor sociale arbeid
EDP electronic dataprocessing, elektronische gegevensverwerking
ICT Informatie- en communicatietechnologie
IWI Inspectie Werk en Inkomen
NOREA Nederlandse Orde van Register EDP-auditors
SIOD Sociale Inlichtingen en Opsporingsdienst
SLA service level agreement, serviceniveauovereenkomst
SNO Serviceniveauovereenkomst
SUWI Structuur uitvoering werk en inkomen
SVB Sociale Verzekeringsbank
SZW Sociale Zaken en Werkgelegenheid
TPM third party mededeling
UWV Uitvoeringsinstituut Werknemersverzekeringen
VNG Vereniging van Nederlandse Gemeenten
Wbp Wet bescherming persoonsgegevens
WWB Wet werk en bijstand
21 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
22 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Bijlagen
Reactie Bureau Keteninformatisering Werk en Inkomen
Reactie Centrale organisatie werk en inkomen
Reactie Stichting Inlichtingenbureau Gemeenten
Reactie Sociale Verzekeringsbank
Reactie Uitvoeringsinstituut Werknemersverzekeringen
23 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
24 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
26 Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Inspectie Werk en Inkomen Doelbinding en beveiliging in de keten van werk en inkomen
Publicaties van de Inspectie Werk en
Inkomen
2006
R06/01 Doelbinding en beveiliging in de keten van werk en inkomen
De beveiliging van Suwinet en de privacy van de burger
Ministerie van Sociale Zaken en Werkgelegenheid