Antwoorden schriftelijke vragen van de leden Schut Welkzijn en Van Wijngaarden (VVD) over “de beveiliging van SUWInet”

Met dank overgenomen van A. (Anoushka) Schut-Welkzijn i, gepubliceerd op zaterdag 3 oktober 2015, 3:09.

Donderdag 1 oktober 2015

2015Z12285

Vragen van de leden Schut-Welkzijn en Van Wijngaarden (beiden VVD) aan de staatssecretarissen van Sociale Zaken en Werkgelegenheid en van Veiligheid en Justitie over SUWINET (ingezonden 24 juni 2015)

1

Heeft u kennisgenomen van de uitzending van Argos van 20 juni jl.?

Ja.

2

Deelt u de analyse dat SUWINET gevoelige persoonsgegevens bevat? Zo ja, vindt u dat de bescherming van en omgang met thans op een adequaat niveau is geborgd?

Ik deel de analyse dat ook gevoelige persoonsgegevens via SUWInet worden ontsloten. De gemeenschappelijke elektronische voorziening SUWI (ook wel SUWInet genoemd) is een elektronische infrastructuur die is ontwikkeld om ervoor te zorgen dat de SUWI-partijen (UWV, SVB en gemeentelijke sociale diensten) gegevens met elkaar kunnen uitwisselen voor de uitoefening van hun wettelijke taak (WW, Participatiewet, IOAW, IOAZ e.a.). Er worden alleen gegevens uitgewisseld voor zover daar een wettelijke grondslag voor is.

In de Privacy Impact Asssesment (PIA) die ik heb laten uitvoeren en waar ik uw Kamer per brief op 5 februari jl. over heb geïnformeerd is geconstateerd dat er in de afgelopen jaren een aantal samenhangende kwetsbaarheden is ontstaan die elkaar op een negatieve manier beïnvloeden en daarmee tot privacyrisico’s leiden. In de brief van 5 februari jl. (Kamerstukken II, 2014/15, 26448, nr. 530) heb ik de actielijnen geschetst waarlangs verbetermaatregelen worden genomen.

3

Welke mate van bescherming van en zorgvuldige omgang met de persoonsgegevens binnen SUWI-net ambieert u? Welke sanctie staat er op ernstig verwijtbare nalatigheid in de omgang met deze gegevens?

Persoonsgegevens van burgers dienen te allen tijde beschermd te zijn met passende organisatorische en technische maatregelen. Bij het SUWInet dienen de maatregelen te worden getroffen in de keten die loopt van het aanleveren van gegevens door bronleveranciers, het transporteren van gegevens naar afnemers tot en met het gebruik van de gegevens door afnemers. Op SUWInet aangesloten organisaties dienen de beveiliging van het gebruik van SUWInet op orde te hebben. Het escalatieprotocol, dat ik u dit najaar toestuur, omvat een aantal stappen met als ultimum remedium het afsluiten van een organisatie van het SUWInet.

Iedere op SUWInet aangesloten organisatie dient beleid te voeren betreffende misbruik van gegevens door medewerkers. Bij misbruik door medewerkers is de uiterste sanctie hierbij ontslag. Er zijn mij gevallen bekend van gemeenten, SVB en UWV waar medewerkers zijn ontslagen omdat zij zonder noodzaak via SUWInet gegevens raadpleegden.

4

Deelt u de analyse dat het onrechtmatig raadplegen van deze gegevens niet alleen in strijd is met de wet maar ook met de openbare orde en zodoende ook een aandachtspunt moet zijn van de burgemeesters gelet op de gegevens van kwetsbare personen? Zo ja, bent u bereid de burgemeesters een brief te sturen om hen te wijzen op deze verantwoordelijkheid?

Ik deel uw analyse dat het onrechtmatig raadplegen van deze gegevens in strijd is met de wet.  Uw analyse dat het in strijd is met de openbare orde deel ik niet. Hier is geen sprake van onrust of ongeregeldheden op het terrein van de openbare orde. Naar aanleiding van het onderzoek van de Inspectie SZW in 2013 heb ik alle colleges van burgemeester en wethouders een brief gestuurd en hen gewezen op het feit dat zij de beveiliging van SUWInet op orde moeten brengen. Na de gemeenteraadsverkiezingen heb ik de nieuwe colleges eenzelfde brief gestuurd en hen op hun verantwoordelijkheid gewezen.

In september 2015 start de Inspectie SZW het onderzoek naar de beveiliging van SUWInet bij alle gemeenten. In de brief met de aankondiging van dit onderzoek wordt nogmaals aandacht gevraagd voor de bescherming van gegevens van personen, waarbij specifiek aandacht wordt gevraagd voor de bescherming van gegevens van kwetsbare personen.

5

Op welke wijze zijn Colleges van B&W verplicht om aan gemeenteraden systematisch te rapporteren over privacybescherming en incidenten in hun gemeente?

Ingevolge artikel 5.22 van het besluit SUWI zijn gemeenten verplicht om verantwoording af te leggen over de beveiliging van SUWInet. De verantwoording moet zijn voorzien van een oordeel van een EDP-auditor en dient eens per jaar voor 15 maart opgesteld te worden. In de verantwoordingsrichtlijn SUWI is opgenomen waarover gerapporteerd dient te worden. Dit betreft onder meer het informatiebeveiligingsbeleid, de evaluatie daarvan en de taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van SUWInet gegevens.

6

Kan de Tweede Kamer per kwartaal worden geïnformeerd over de voortgang van het onderzoek dat het College Bescherming Persoonsgegevens (CBP) is gestart naar de gang van zaken bij het Bureau Keteninformatisering Werk & Inkomen (BKWI) en SUWINET alsmede over het verbetertraject dat door het BKWI zal moeten worden ingezet?

Op 5 juni jl. heeft het CBP aangekondigd onderzoek te gaan doen naar de beveiliging van SUWInet bij gemeenten. Het CPB zal uw Kamer informeren over de voortgang van het onderzoek. In mijn brief van 30 juni jl. heb ik opgemerkt dat ik de Tweede Kamer aanstaande oktober zal informeren over de voortgang van het programma “Borging veilige gegevens­uitwisseling via SUWInet”. Hierbij zal ik ook ingaan op het verbetertraject dat door BKWI is ingezet naar aanleiding van het eerdere onderzoek van het CBP naar de toegang van niet-SUWI-partijen tot SUWInet.

7

In welke mate vindt er periodiek overleg plaats tussen u en de ambtelijke top van het BKWI?

Ik heb naar aanleiding van het onderzoek van Inspectie SZW een zogenaamde tafel informatiebeveiliging georganiseerd met bestuurders van UWV, SVB, VNG en CBP. Het BKWI is een organisatieonderdeel van UWV. Met het UWV voer ik periodiek overleg over BKWI.

8

Waar kan iemand met een burgerservicenummer (BSN) terecht als hij of zij veiligheidsredenen heeft om op de zogenaamde blacklist van het SUWINET te komen waardoor zijn of haar gegevens minder makkelijk opvraagbaar zijn? Hoe wordt hieraan voldoende bekendheid gegeven?

Burgers kunnen via de gemeente bij BKWI een verzoek indienen voor geheimhouding van hun persoonlijke gegevens (o.a. adresgegevens). Gemeenten kunnen dan via de beheerder (BKWI) van SUWInet het BSN op een Blacklist laten plaatsen. Opvragingen van deze BSN worden dan binnen SUWInet geblokkeerd en medewerkers van gemeenten, UWV en SVB krijgen geen gegevens te zien van deze BSN. Naar aanleiding van de motie Van Weyenberg / Voortman om te onderzoeken welke mogelijke andere bronnen er zijn waaruit iemands adres kan worden opgemaakt, in bijzonder de polisadministratie van UWV, en met een integrale oplossing te komen, zal ik bezien hoe meer bekendheid aan burgers kan worden gegeven over de mogelijkheid gegevens binnen de (digitale) overheid geheim te houden. In een recent overleg met de Federatie Opvang, de VNG en het UWV is afgesproken om voor vrouwen die bedreigt worden een correspondentieadres op te nemen. UWV, VNG en de Federatie Opvang werken deze afspraak momenteel verder uit. Zodra dit gereed is, zal ik uw Kamer hierover informeren.

9

Waar kan iemand met een BSN terecht als hij of zij wil opvragen hoe vaak en met welk doel zijn gegevens door de overheid zijn geraadpleegd?

Iemand die wil weten wanneer en door wie zijn gegevens zijn geraadpleegd kan hiertoe een schriftelijk verzoek doen bij de beheerder van SUWInet, het BKWI. Dit verzoek moet voorzien zijn van naam, BSN, contactgegevens en een handtekening. Tevens dient een kopie van een geldig identiteitsbewijs, waarmee BSN en handtekening kunnen worden geverifieerd, meegestuurd te worden.

10

Sluit u uit dat incassobureaus of andere derden tot op heden en vanaf nu niet direct of indirect gericht naar personen in SUWINET  kunnen zoeken? Zo nee, kunt u de Kamer hier dan alsnog nader over informeren?

Ik beschik niet over informatie in welke mate gemeenten incassobureaus of andere derden toegang geven tot SUWInet. De uitvoeringspraktijk zoals aan de orde gekomen in de uitzending van ARGOS wijs ik af. Op grond van de Wet bescherming persoonsgegevens is het toegestaan om een derde partij gegevens te laten verwerken, waarbij het college van B&W verantwoordelijke blijft. Hiervoor dient een bewerkersovereenkomst te worden gesloten. In het geval een gemeente een incassobureau inschakelt, mogen alleen die gegevens worden verstrekt aan het incassobureau die nodig zijn voor het incassobureau om de vorderingen te kunnen innen. Het is dus niet toegestaan dat incassobureaus toegang krijgen tot meer gegevens dan noodzakelijk voor de uitoefening van hun taak. Op grond hiervan is rechtstreeks toegang tot SUWInet niet toegestaan.

De VNG heeft in juli 2015 in de notitie ‘uitbesteden en toegang tot SUWInet’ aangegeven dat het autoriseren van medewerkers die onder het gezag staan van een partij waaraan is uitbesteed, zich niet verhoudt tot de Wet bescherming persoonsgegevens. De autorisaties aan deze medewerkers dienen te worden ingetrokken. In de brief die ik naar alle gemeenten zal versturen met daarin het escalatieprotocol, alsmede in de eerstvolgende verzamelbrief, zal ik gemeenten wijzen op het gebruik van de bewerkingsovereenkomst bij het verwerken van gegevens en het feit dat rechtstreeks toegang tot SUWInet voor incassobureaus niet is toegestaan.