Inspectie Werk en Inkomen
Juridische zaken
De Staatssecretaris van Sociale Zaken Postbus 11563
en Werkgelegenheid 2502 AN Den Haag
De heer ing. A. Aboutaleb Prinses Beatrixlaan 82
Postbus 90801 2595 AL Den Haag
2509 LV DEN HAAG Telefoon (070) 304 44 44
Fax (070) 304 44 45
www.iwiweb.nl
Contactpersoon Datum
Doorkiesnummer Uw kenmerk UB/S/2007/12795/16-04-2007
E-mail Ons kenmerk 2007/2390
Onderwerp 1028/193
T-toets amvb in het kader van eenmalige gegevensuitvraag werk en inkomen
Geachte heer Aboutaleb,
In uw bovenaangehaalde brief vraagt u de inspectie het ontwerpbesluit tot wijziging van het
Besluit SUWI in verband met eenmalige gegevensuitvraag aan burgers en intrekking van het
Besluit Inlichtingenbureau gemeenten te toetsen op toezichtbaarheid. De uitgevoerde toets
geeft aanleiding tot het maken van de navolgende opmerkingen.
consequenties voor het toezicht op de gegevensuitwisseling tussen Suwi-organisaties
Het voorgestelde artikel 5.22 van het Besluit SUWI bevat voorschriften over de beveiliging van
de gegevensuitwisseling tegen inbreuken op de beschikbaarheid, integriteit en vertrouwelijk-
heid. De gebruikers (CWI, UWV, SVB en colleges van burgemeester en wethouders) en het IB
dragen zorg voor die beveiliging en dienen ieder in een beveiligingsplan aan te geven hoe zij
daaraan invulling geven. Op grond van het derde lid worden bij ministeriële regeling regels
gesteld ten aanzien van de beveiliging.
In de huidige situatie is de beveiliging op overeenkomstige wijze geregeld in artikel 6.4 van de
Regeling SUWI voor de Suwinetpartijen (CWI, UWV, burgemeester en wethouders en het IB).
Daarbij is artikel 5.22 van de Regeling SUWI van overeenkomstige toepassing verklaard op het
gebruik en de inrichting van Suwinet. Hierdoor zijn de Suwinetpartijen tevens verplicht zich
jaarlijks te verantwoorden over de waarborgen voor beschikbaarheid, integriteit, vertrouwelijk-
heid en controleerbaarheid van de uitwisseling van gegevens via Suwinet. Die verantwoording
dient vergezeld te gaan van een oordeel en een rapport van bevindingen van een EDP-auditor.
De normen waaraan de uitwisseling van gegevens via Suwinet moeten voldoen zijn opgenomen
in bijlage XIV bij de Regeling SUWI, en zijn door de ketenpartijen nader uitgewerkt in een
verantwoordingsrichtlijn en een normenkader.
De Inspectie Werk en Inkomen draagt door haar toezicht bij aan het doeltreffend functioneren van het stelsel van werk en
inkomen. IWI is de onafhankelijke toezichthouder voor de minister van SZW.
Ons kenmerk 2007/2390
In het voorliggende ontwerpbesluit komt een verantwoordingsplicht niet voor. Wel is in para-
graaf 3.4 van de nota van toelichting aangegeven, dat de organisaties als onderdeel van de jaar-
lijkse verantwoording over de gegevensverwerking tevens rapporteren over het gebruik, de
inrichting en de beveiliging van Suwinet1, voor zover dit binnen hun verantwoordelijkheids-
domein valt. Hieruit concludeert de inspectie dat het wel de bedoeling is dat de organisaties
zich blijven verantwoorden over de gegevensuitwisseling. Zoals gezegd, schrijft het besluit dat
echter niet voor en wordt over de wijze waarop dit moet worden gerealiseerd evenmin iets ge-
zegd.
Ten behoeve van de toezichtbaarheid op de gegevensuitwisseling, hecht de inspectie aan het
continueren van de huidige voorschriften, zodat de partijen verantwoording afleggen over de
opzet en werking van de maatregelen en procedures, gericht op het waarborgen van een exclu-
sieve, integere, beschikbare en vooral controleerbare gegevensuitwisseling en waarbij de ver-
antwoordingsrapportage wordt vergezeld van een oordeel en rapportage van een EDP-auditor.
De inspectie tekent hierbij aan dat in de huidige situatie de bepalingen over de verantwoording
en het oordeel en rapport van bevindingen van een EDP-auditor daarover, formeel ook gelden
voor de colleges van burgemeester en wethouders. Als gevolg van de gewijzigde wetgeving
met betrekking tot de verantwoording door de colleges, zijn deze bepalingen in de praktijk ech-
ter zonder betekenis. De verantwoording van het college aan de Raad vindt plaats op basis van
de Gemeentewet. Deze verantwoording, aangevuld met een beperkte bijlage ten behoeve van
het financieel beheer door de minister, geldt ook als verantwoording aan de minister (single
audit/single information). Hierin is op geen enkele wijze voorzien in de verantwoording over
de (beveiliging van de) gegevensuitwisseling. Het is gewenst hiermee rekening te houden bij
het verder uitwerken van de verantwoordingsbepalingen.
De inspectie geeft u in overweging de verantwoording over de gegevensuitwisseling met in-
achtneming van het vorenstaande te regelen in het ontwerpbesluit, dan wel, indien het de be-
doeling is de verantwoording te regelen in de Regeling SUWI, dit in de toelichting te vermel-
den.
In uw bovenaangehaalde brief geeft u aan dat er een bijlage Beveiliging elektronische voorzie-
ningen zal worden uitgewerkt, en dat deze bijlage de opvolger is van Bijlage XIV bij de Rege-
ling SUWI. Hoe deze bijlage er uit gaat zien is op dit moment nog onduidelijk. Evenmin is
duidelijk op welke manier uitvoeringsorganisaties, gemeenten en eventueel ook partijen van
buiten het SUWI-domein met toegang tot het Digitaal Klantdossier gebruik zullen maken van
deze bijlage. De inhoud van de bijlage is in de eerste plaats van belang voor de wijze waarop
1 Zoals in de artikelsgewijze toelichting bij artikel I, onderdeel E, is aangegeven is het begrip Suwinet vervangen door 'elektronische
voorzieningen'. Het verdient aanbeveling de tekst van paragraaf 3.4 daarop aan te passen.
2/6
Ons kenmerk 2007/2390
de organisaties de beveiliging inrichten. Daarnaast is deze van cruciaal belang voor de mate
van diepgang van de verantwoording en daarmee voor de mogelijkheden voor IWI om gebruik
te maken van deze verantwoordingsinformatie bij het toezicht op de gegevensuitwisseling. Ge-
let hierop verzoekt de inspectie u deze bijlage voor een toezichtbaarheidstoets voor te leggen.
toezicht op de gegevensuitwisseling met derden
Artikel 5.23 van het ontwerpbesluit maakt het mogelijk de 'elektronische voorzieningen' ook te
gebruiken voor gegevensuitwisseling met derden. Daarvoor dient op grond van het eerste lid
overeenstemming te worden bereikt tussen de verantwoordelijke in de zin van de Wet be-
scherming persoonsgegevens (Wbp) en één van de gebruikers voor zover die tot de gegevens-
verstrekking of het opvragen van de gegevens bevoegd is. Onder gebruikers wordt verstaan
(artikel 1.1, onderdeel 2, van het ontwerpbesluit): de CWI, het UWV, de SVB en de colleges
van burgemeester en wethouders. Hieruit volgt dat de derde altijd tevens de verantwoordelijke
is. Aangezien dit artikel ziet op gegevensuitwisseling en gezien de definitie van de verantwoor-
delijke in de Wbp (de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursor-
gaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt), meent de inspectie dat deze formulering niet juist is. De inspectie
geeft u in overweging de formulering aan te passen.
Op grond van artikel 5.23 kunnen de elektronische voorzieningen ook worden gebruikt voor de
gegevensuitwisseling tussen gebruikers en andere instanties of personen indien er overeen-
stemming is bereikt over zaken als regelmaat en wijze van verstrekking van gegevens. In de
artikelsgewijze toelichting bij dit artikel is aangegeven dat dit kan worden vastgelegd in een
overeenkomst. De inspectie vraagt zich af of deze beleidsruimte is beoogd. Uit de formulering
van het tweede lid, waarin wordt verwezen naar "de overeenkomsten, bedoeld in het eerste lid",
kan immers worden opgemaakt dat het sluiten van een overeenkomst de regel is. Daarbij ver-
dient het ook voor de toezichtbaarheid de voorkeur dat de overeenstemming wordt vastgelegd
in een schriftelijke overeenkomst. De inspectie geeft u in overweging de tekst van de artikels-
gewijze toelichting aan te passen.
toezicht op het Inlichtingenbureau
Het Besluit Inlichtingenbureau gemeenten wordt ingetrokken (artikel II van ontwerpbesluit).
De bepalingen uit dat besluit worden voor zover relevant opgenomen in het Besluit SUWI en
nader uitgewerkt in de Regeling SUWI. De inspectie stelt vast dat het huidige artikel 9 uit dit
besluit, waarin budget, jaarplan, kwartaalverslagen, jaarverslag, jaarrekening en accountants-
verklaring worden geregeld, ongewijzigd wordt overgenomen in artikel 5.25 van het Besluit
SUWI. Daarmee wordt aan een belangrijke randvoorwaarde voor het toezicht door de inspectie
op het Inlichtingenbureau voldaan.
3/6
Ons kenmerk 2007/2390
Blijkens artikel 4.2 van de nota van toelichting is met de Wet eenmalige gegevensuitvraag
werk en inkomen voor IB beoogd ruimte te bieden voor ondersteuning van andere beleidsvel-
den dan de uitvoering van werk en inkomen door gemeenten. De taakomschrijving van het IB
in het Besluit Inlichtingenbureau gemeenten wordt hierop aangepast, aldus de nota van toelich-
ting.2 Ook in de laatste alinea van paragraaf 4.3 van de nota van toelichting wordt ingegaan op
deze andere taken: "Zoals aangegeven is het IB gerechtigd om andere taken ten behoeve van
gemeenten uit te voeren, dan die voortvloeien uit de Wet SUWI. Deze worden beschreven in
het jaarplan IB. Met dit besluit worden voorwaarden voor de uitoefening hiervan vastgelegd."
De inspectie vraagt zich allereerst af of artikel 63 van de Wet SUWI, zoals dat komt te luiden
na inwerkingtreding van de Wet eenmalige gegevensuitvraag werk en inkomen, voldoende
basis biedt voor regelgeving over dergelijke andere taken van het IB. In dit artikel is immers
slechts bepaald dat bij of krachtens algemene maatregel van bestuur regels worden gesteld voor
de taken, de financiering en het beheer van het Inlichtingenbureau bij de toepassing van de in
artikel 62 van de Wet SUWI genoemde wetten (dat zijn de WWB, de IOAW en de IOAZ). De
inspectie geeft u in overweging deze wettelijke grondslag nader te bezien en zo nodig aan te
passen.
Verder merkt de inspectie op dat in het voorliggende ontwerpbesluit geen bepalingen zijn op-
genomen betreffende de voorwaarden voor het verrichten van andere taken door het IB. Dit
impliceert dat het de inspectie niet mogelijk is te beoordelen of, en zo ja, welke consequenties
dit heeft voor het toezicht op het Inlichtingenbureau. Het IB kan ook nu al, op grond van artikel
2, tweede lid, van het Besluit Inlichtingenbureau gemeenten, andere taken vervullen indien de
Minister daarvoor schriftelijk toestemming geeft. Daarbij is artikel 3.1, eerste lid, van het Be-
sluit SUWI van overeenkomstige toepassing, waardoor bij het verlenen van toestemming onder
meer wordt beoordeeld of de taakuitoefening van de inspectie voldoende is gewaarborgd. De
inspectie geeft u in overweging, als de wettelijke grondslag daarvoor voldoende ruimte biedt,
de voorwaarden voor het verrichten van andere taken alsnog op te nemen in het Besluit SUWI
en daarbij artikel 3.1, eerste lid, van het Besluit SUWI van overeenkomstige toepassing te ver-
klaren.
relatie met Wbp
In het voorgestelde artikel 5.24 van het Besluit SUWI wordt bepaald dat het IB bewerker is in
de zin van de Wbp voor het verwerken van gegevens die bij of krachtens enige wet door tus-
senkomst van het IB aan of door colleges van burgemeester en wethouders worden verstrekt.
Onder 'bewerker' in de zin van de Wbp wordt verstaan: degene die ten behoeve van de verant-
woordelijke persoonsgegevens verwerkt, zonder rechtstreeks aan zijn gezag te zijn onderwor-
2 In deze zin in de nota van toelichting dient 'in het Besluit Inlichtingenbureau gemeenten' te worden geschrapt. Dit besluit wordt
namelijk niet aangepast, maar geschrapt.
4/6
Ons kenmerk 2007/2390
pen (artikel 1, aanhef en onderdeel e, van de Wbp). Op grond van het voorgestelde artikel 5.20
van het Besluit SUWI wordt in het Gegevensregister SUWI geregeld wie de verantwoordelijke
is in de zin van de Wbp. In de nota van toelichting wordt op een aantal plaatsen ingegaan op de
relatie van de voorgestelde wijzigingen met de Wbp. Zo wordt er in in paragraaf 3.4 van de
nota van toelichting aandacht geschonken aan de relatie met artikel 13 van de Wbp.
Er wordt evenwel niet ingegaan op de verplichtingen van de verantwoordelijke en de bewerker,
respectievelijk op de vraag wie van deze partijen aansprakelijk is bij eventuele schade (artike-
len 14, 15 en 49 van de Wbp) in relatie tot de artikelen 62 en 63 van de Wet SUWI en het Be-
sluit SUWI, zoals deze komen te luiden na de wijzigingen in verband met de eenmalige gege-
vensuitvraag. In de artikelsgewijze toelichting op het voorgestelde artikel 5.24 Besluit SUWI
wordt slechts aangegeven dat de bewerker gegevens verwerkt overeenkomstig de instructies
van de verantwoordelijke. Hierbij wordt niet expliciet gesproken over een contractuele relatie
(overeenkomst of andere rechtshandeling waardoor een verbintenis ontstaat als bedoeld in arti-
kel 14 Wbp) tussen de verantwoordelijke en de bewerker. Ook in paragraaf 4.3 van de nota van
toelichting, waarin wordt ingegaan op het toezicht op het IB door de inspectie, de Algemene
Rekenkamer en het College bescherming persoonsgegevens, wordt geen aandacht besteed aan
de relatie met de rol van de 'verantwoordelijke' ten opzichte van de bewerker, c.q. het IB. Om
misverstanden ter zake te voorkomen geeft de inspectie u in overweging om in de toelichting
bij het voorgestelde artikel 5.24 en met betrekking tot het toezicht specifiek aandacht te beste-
den aan de relatie met de artikelen 14, 15 en 49 van de Wbp.
bekendmaking bijlage II
In bijlage II bij het Besluit SUWI worden de gegevens vermeld die niet worden verkregen van
uitkeringsgerechtigden, alsmede de bron waaruit deze gegevens afkomstig zijn (zie het voorge-
stelde artikel 5.2a van het Besluit SUWI). Dit, aldus de artikelsgewijze toelichting bij artikel I,
onderdeel C, om het voor uitvoeringsorganen, werkgevers en burgers inzichtelijk te maken
welke gegevens voor meervoudig gebruik beschikbaar zijn. Uit het slotformulier van het ont-
werpbesluit volgt evenwel dat deze bijlage niet wordt gepubliceerd in het Staatsblad, maar ter
inzage wordt gelegd in de bibliotheek van het Ministerie van Sociale Zaken en Werkgelegen-
heid. Dit impliceert dat deze bijlage met name voor de doelgroepen werkgevers en burgers
minder goed toegankelijk zal zijn. Hoewel deze wijze van publiceren voor de toezichtbaarheid
van de eenmalige gegevensuitvraag geen verschil maakt, meent de inspectie er toch goed aan te
doen u in overweging te geven, ook bijlage II te publiceren in het Staatsblad. De toegankelijk-
heid en kenbaarheid voor werkgevers en burgers wordt daardoor vergroot, hetgeen ook de ef-
fectiviteit van de eenmalige gegevensuitvraag ten goede kan komen.
Het ontwerpbesluit en de daarbij behorende nota van toelichting geven de inspectie verder aan-
leiding tot het maken van enige technische opmerkingen. Deze opmerkingen zijn opgenomen
in de bijlage bij deze brief.
5/6
Ons kenmerk 2007/2390
Ik vertrouw erop u hiermee van dienst te zijn en verzoek u mij, overeenkomstig de afspraken
zoals die zijn neergelegd in het Protocol SG-IG IWI 2004, schriftelijk te informeren of, en zo ja
tot welke aanpassingen de resultaten van de uitgevoerde Toezichtbaarheidstoets aanleiding
hebben gegeven.
Hoogachtend,
Inspecteur-generaal
(Mw. mr.drs. C. Kervezee)
Bijl.
St/Wo
6/6
Ministerie van Sociale Zaken en Werkgelegenheid