%Y) B Ne4,tI$ndw Çt n fle

Transcriptie

1 Postbus 58285, 1040 HG Amsterdam %Y) B Ne4,tI$ndw Çt n fle Datum 28 FEB. 201? SBK/95314/AM Aan de minister en de staatssecretaris Pagina van Sociale Zaken en Werkgelegenheid, Mevrouw drs.]. Klijnsma Postbus Bijlage 2509 LV DEN HAAG Pagina 1 van 2 Onderwerp Aanbieding eindrapportage Programmaplan Borging Veilige Gegevensuitwisseling via Suwinet Geachte mevrouw Klijnsma, In oktober 2014 is het Programmaplan Borging Veilige Gegevensuitwisseling via Suwinet (BVGS) opgesteld. BVGS is een ketenbreed programma van UWV, SVB en de VNG/gemeenten. Het Programmaplan behelst een breed pakket van samenhangende maatregelen, gericht op het beter borgen van de informatiebeveiliging en privacy met betrekking tot persoonsgegevens die via Suwinet worden uitgewisseld. De aanleiding voor het opstellen van het Programmaplan was het rapport van de Inspectie SZW ÇDe burger bediend in 2013 ) en een in 2014 uitgevoerde Privacy Impact Assessment Suwinet. Het programma BVGS heeft ongeveer twee jaar gelopen. Sinds de start van het programma zijn er grote en belangrijke stappen gezet. Het eerste jaar (2015) heeft in het teken gestaan van de analyse van mogelijke oplossingen voor de gewenste maatregelen. In 2016 stond realisatie van de diverse oplossingen centraal. Zoals nieuwe Suwinet inkijkpagina s voor UWV, SVB en gemeenten, waardoor medewerkers alleen de gegevens te zien krijgen die zij nodig hebben voor hun wettelijke taak (de oude, algemene overzichtspagina s worden uitgefaseerd). Een ander voorbeeld is het (verder) beperken van het hanteren van zoeksleutels anders dan BSN, zodat niet meer onnodig gezocht wordt op adresgegevens of andere criteria. Ook zijn verschillende instrumenten ingezet om de awareness te vergroten op het gebied van een zorgvuldig gebruik van gegevens (online toolkit, algemeen voorlichtingsmateriaal, publieksversies van programmaproducten). Inmiddels is het programma in een afrondende fase en 2017 zal in het teken staan van afronding van de implementatie door partijen en de structurele borging van de programmaresultaten. Dit valt buiten het programma. Terugkijkend op de afgelopen jaren is er veel bereikt en is de informatiebeveiliging en privacy van persoonsgegevens die via Suwinet worden uitgewisseld sterk verbeterd. Tegelijkertijd zal na afronding van het programma de aandacht voor privacy niet afnemen.

2 Pagina 2 van 2 Thema s als privacy en informatiebeveiliging spelen ook buiten het gegevensleveringskanaal Suwinet en raken vrijwel alle uitvoeringsprocessen. Ook met het oog op andere grote ontwikkelingen, zoals de toenemende behoefte aan gegevensuitwisseling (binnen de sector werk en inkomen, maar ook sectoroverstijgend), de toenemende digitalîsering van overheidsprocessen, maar ook technische en juridische ontwikkelingen, zullen de Suwipaftijen hier blijvend aandacht aan besteden. Mede namens de overige leden van het Opdrachtgeversberaad BKWI, Hoogachtend, vanuuruwv Bijlage 1: Eindrapportage Programma Borging Veilige Gegevensuitwisseling via Suwinet Bijlage II: Two-pager resultaten Programma Borging Veilige Gegevensuitwisseling via Suwinet

3 0 werken aan perspectief s y voor hit.v.n Sodale Verzekeringsbank Vereniging van Nederlandse Gemeenten PROGRAMMA EINDRAPPORTAGE BORGING VEILIGE GEGEVENSUITWISSELING SUWINET 21 DECEMBER 2016

4 2 2.1 AANSLurnNG OP LAATSTE VOORTGANGSRAPPORTAGE OVERDRACHT PROGRAMMAPRODUCTEN NAAR BEHEER HuIDIGE STAND VAN ZAKEN MAATREGEL RISICOKLASSEN RESULTATEN EVALUATIE PROGRAMMA PROGRAMMAORGANISATIE MAATREGEL FIJNMAZIGE AUTORISATIESTRUCTUUR MAATREGEL ONTWIKKELING EN VASTSTELLING AANSLUIWOORWAARDEN SUWINET INLEZEN SAMENVATTING.3 2. TOELICHTING HUIDIGE STAND VAN ZAKEN EXTERNE RELATIES EN AFHANKELIJKHËDEN FINANCIEN RIsico s 7 3. REALISATIE EN ACCEPTATIE MAATREGELEN MAATREGEL SANCTIEBELEID MAATREGEL BEPERKING ZOEKSLEUTELS OORSPRONKELIJK PROGRAMMAPLAN EN WI)ZIGINGEN MAATREGEL VERBETERING LOGGING EN GEBRUIKSRAPPORTAGES MAATREGEL KETENBREDE AWARENESSCAMPAGNE MAATREGEL HERIJKING NORMENKADER EN VERANTWOORDINGSRICHTLIJN MAATREGEL TELEWERKEN EN DOORLEVERING VAN GEGEVENS MAATREGEL BEPERKING TOEGANG TOT GEGEVENS PERSONEN NA AFSLUITING PROGRAMMA EFFEcnvITEIT MAATREGELEN COMMUNICATIE AFSLUITING PROGRAMMA 25 Bijlage A Risico overzicht Bijlage B Producten awareness 5.2 PROGRAMMADOCUMENTATIE EN ARCHIVERING 24 Inhoud

5 Samenvatting In het laatste kwartaal 2014 is het programma BVGS van start gegaan op basis van het door de Suwi partijen gezamenlijk opgestelde Programmaplan. Het programma loopt nu ongeveer twee jaar, waarbij het eerste jaar hoofdzakelijk in het teken heeft gestaan van analyse van mogelijke oplossingen voor de gewenste maatregelen. In het tweede jaar stond realisatie van de diverse oplossingen meer centraal. Producten die dit jaar zijn afgerond, betreffen: - Nieuwe Inkijk pagina s voor gemeenten en de handreiking ten behoeve van implementatie hiervan (gericht op de inrichting van de benodigde autorisatiestructuur); - Eerste nieuwe Inkijkpagina s voor UWV uit de pilot die eind vierde kwartaal 2016 is afgerond. - Inrichting en implementatie van processtructuur om effectiever te kunnen sturen op informatie uit rapportages die zicht geven op misbruik (UWV en SVB), aanscherping van de handreiking voor gebruik van (gemeentelijke) rapportages, een interne procesoptimalisatie bij BKWI om rapportages sneller beschikbaar te krijgen en stimulering van het gebruik van SUWI mail; - Middelen om de awareness op gebied van zorgvuldig gebruik van gegevens te vergroten (onhine toolkit, algemeen voorlichtingsmateriaal, publieksversies van programmaproducten, etc.); - Beleidsvoorstellen voor een uniform sanctiebeleid (UWV heeft naar aanleiding hiervan haar sanctiebeleid aangescherpt); - Normenkaders voor afnemers, bronhouders en beheerder als specifieke invulling van de generieke normenkaders BIG en BIR; - Te hanteren richtlijnen voor telewerken en doorlevering van gegevens (uitbesteding); - Handreiking (VNG document) voor beperking van het gebruik van zoeksleutels (tot BSN nummer); met name voor gemeenten was hierin nog een verbeterslag te bereiken. - Aanpassing van de whitelist functie (escapefunctie met rapportages), opdat het technisch mogelijk wordt om op organisatieniveau caseloadgewijs te gaan werken voor gemeenten en de SVB (de voor implementatie benodigde aansluiting van bedrijfsprocessen maakt hier geen onderdeel van uit). Voor UWV is de whitelist op organisatieniveau niet geschikt, door de complexiteit, diversiteit en breedte van de wettelijke taken. UWV verkent andere mogelijkheden om de toegang tot BSN s te beperken, waaronder filtering en voorwaardelijke leveringen. - Analyse van gegevens met een hogere privacygevoeligheid De komende tijd zal in het kader van realisatie nog een beperkt aantal zaken moeten worden afgerond, welke zullen doorlopen in Het betreft: - Maatregel 1: Realisatie / verfijning van UWV en SVB pagina s; de ontwikkeling van deze nieuwe pagina s wordt uitgevoerd door BKWI, echter de aansturing hiervan zal door de partijen zelf worden uitgevoerd. - Maatregel 2: Beschikbaarstelling van de online tool ten behoeve van het zelf samenstellen van rapportages. Op basis van een door BKWI te begeleiden pilot, kan een projectvoorstel worden opgesteld voor een verdere uitrot. 3

6 4 basis van dê uitkomsten van een onafhankelijke WBP toets alle ketendocumenten aan te stellen procesregisseur dit meenemen in een vervolgproces waarbij mede op Opdrachtgeversberaad d.d. 21 septemberjj. zullen partijen onder aansturing van een worden getoetst en in onderlinge samenhang worden beoordeeld. vervolg, waarna de module in 2017 door BKWI kan worden afgerond. De het eerste Opdrachtgeversberaad in 2017 zal besluitvorming plaatsvinden over het voorwaardelijke levering is bevroren in afwachting van de uitkomsten van de PIA. In aanbevolen dit als partijen gezamenlijk op te pakken en te borgen. partijen rechtstreeks plaatsvinden. eindrapportage wordt hier invulling aan gegeven. Deze eindrapportage gaat in op de onderstaande punten: opstellen van een afzonderlijke voortgangsrapportage naast deze eindrapportage zou leiden tot voorliggende eindrapportage. Voor implementatie geldt dat partijen hiervoor zelf verantwoordelijk zijn en deze derhalve geen deel uitmaakt van het gezamenlijke programma; de verantwoording hierover zal door De afrondende fase waarin het programma thans verkeert, vraagt om een schets van de huidige status en een vooruitblik naar de periode waarin het programma is afgesloten en Deze eindrapportage vervangt de voortgangsrapportage over de afgelopen periode. Het veel overlap tussen deze twee documenten en biedt geen meerwaarde ten opzichte van de - Komen - Hoe maatregelen in een reguliere beheersituatie dienen te zijn geborgd. Middels deze van het programma (kan pas NA implementatie worden vastgesteld); evenwel wordt De komende tijd zal veel meer het accent op implementatie door partijen komen te liggen. - Maatregel 3: Aansluitvoorwaarden; overeenkomstig besluitvorming in het - Maatregel 9: Beperken toegang tot personen; de realisatie van de module - Zijn - Hoe - Openstaande - Planning - Communicatie afsluiting programma - Archivering documentatie o Oorspronkelijk programmaplan en wijzigingen hierop o Opgeleverde producten o Consequenties doelstellingen programma o Programmaorganisatie - Evaluatie programma is het beheer geborgd? resultaten overeen met de doelstellingen uit het programmaplan? producten geaccepteerd? wordt geborgd dat de beoogde verbeteringen ook worden behaald? issues, met aanbevelingen voor vervolgacties en begroting Het meten van de effectiviteit van de genomen programmamaatregelen valt buiten de scope zelf aangestuurd. projectmatige aansturing hiervan vindt door KING plaats (hiervoor zijn de financiele middelen beschikbaar). Daarnaast voeren UWV en SVB nog onderzoeken uit naar de toepassing van de whitelist functionaliteit. Deze onderzoeken worden door de partijen

7 1-2. Toélichting huidige stand van zaken Dit hoofdstuk beschrijft op hoofdlijnen de stappen die in de afgelopen periode zijn gezet en op welke wijze de laatste activiteiten zijn! worden afgerond. 2.1 Aansluiting op laatste Voortgangsrapportage De derde en laatste Voortgangsrapportage had betrekking op de periode oktober 2015 maart In deze vorige periode is de realisatie van veel producten afgerond. Ook zijn gedurende deze periode proefimplementaties in het gemeentelijk domein uitgevoerd, waar bij de landelijke implementaties op kan worden voortgeborduurd. 2.2 Huidige stand van zaken In de afgelopen periode zijn -voor wat betreft veel programmamaatregelen de nodige voorbereidingen getroffen voor implementatie. Elk van de Suwi partijen kent hierin haar eigen aanpak, zowel inhoudelijk (de te maken keuzes) als met betrekking tot het tijdspad. Op basis van het door UWV uitgevoerde onderzoek naar de fijnmazigheid bij het gebruik van pagina s door medewerkers, is door BKWI een impactanalyse uitgevoerd op aan te passen pagina s. Op basis van deze impactanalyse zijn middelen aan BKWI beschikbaar gesteld voor realisatie. Door BKWI worden deze pagina s thans aangepast (eind 2016 zijnde eerste pagina s uit de pilot voor UWV opgeleverd); naar verwachting zal de realisatie in de loop van 2017 voor UWV afgerond worden, waarna volledige implementatie bij UWV zal plaatsvinden. Een analyse naar de toepassingsmogelijkheden van de whitelist functionaliteit binnen de SVB is vergevorderd en wordt binnenkort afgerond. Hierna wordt een verdere analyse uitgevoerd naar de huidige pagina s van de SVB met als doel om in beeld te krijgen welke gegevens niet noodzakelijk zijn voor de SVB dienstverlening. Door de partijen zijn de maatregelen en hiervoor ontwikkelde producten doorgenomen met het oog op implementatie; in hoofdstuk 3 wordt per maatregel hierop ingegaan. Ten behoeve van de implementatie van producten zijn de benodigde voorbereidende activiteiten en ondersteunende middelen voor communicatie opgepakt en verder uitgewerkt. De implementatie van de maatregelen bij 390 afzonderlijke gemeenten vormt een grote uitdaging; hiervoor heeft VNG aan KING de opdracht verleend om met een team van 6 accountmanagers gemeenten actief te benaderen, te stimuleren en waar mogelijk te ondersteunen bij de implementatie. Dit team is in augustus 2016 van start gegaan en zal naar verwachting medio 2017 haar werkzaamheden beëindigen. Nog niet alle maatregelen zijn (volledig) uitgewerkt; dit betekent dus dat een aantal producten later zullen worden opgeleverd en nu niet kunnen worden meegenomen in de implementatie. Oplevering van deze producten zal langs de reguliere lijn moeten plaatsvinden. Bij de behandeling van de maatregelen wordt hier, waar dat van toepassing is, nader op ingegaan. 5

8 6 Over 2015 is ten behoeve van het programma een bedrag van euro ter beschikking Inmiddels is hiervan een bedrag van euro bestemd ( euro aan VNG Naast bovengenoemde financiële middelen hebben Suwi partijen zelf ook fors geïnvesteerd in besteed voor implementatie zijn weliswaar niet beschikbaar, maar het moge duidelijk zijn dat 2.4 Externe relaties en afhankelijkheden aansluitprotocol opgesteld. Het uitgangspunt hierbij is geweest dat partijen nu als WBP verschillende ketendocumenten en de behoefte om deze onderlinge relaties in kaart te brengen voeren onafhankelijke WBP toets. Zowel de opgeleverde normenkaders, de concept Gedragscode en Protocol als de nog op te stellen aansluitvoorwaarden maken hiervan deel uit. Ten aanzien van de aansluitvoorwaarden hebben de Suwi partijen na afstemming met het geadresseerd. Aanvullend op de aansluitvoonvaarden zijn een concept gedragscode en een aanvullende, korte termijn maatregelen getroffen om de beveiliging en privacy van Suwinet integrale set aan ketendocumenten (welke in concept gereed zijn) buiten het programma door de verschillende maatregelen. Door UWV en SVB zijn gedurende de programmaperiode 1640 onderbesteding bij BKWI in 2015 (minder inzet extern personeel); conform afspraak zijn de voorinvesteringen van BKWI ad euro ten behoeve van de voorziening decentraal samenstellen van pagina s hiervan ten laste gebracht. Het totale beschikbare en voor 2016 te bestemmen bedrag komt hiermee op euro. toegekende subsidies, euro op basis van het PID BKWI en euro op basis van respectievelijk 795 uur besteed welke voor eigen rekening zijn genomen, o.a. voor deelname aanpassingen in wet- en regelgeving. Opdrachtgeversberaad de benadering breder ingestoken dan de problematiek van de verantwoordelijke hun taken willen uitvoeren en hierover willen verantwoorden. De Wet- en regelgeving zou hierop moeten aansluiten. Naar aanleiding van onderzoek van de Autoriteit Persoonsgegevens bij UWV zijn termijn maatregelen die in programmaverband zijn ontwikkeld met gemeenten en SVB. Mede van aansluitvoorwaarden, waarbij ook discussie is ontstaan over relaties tussen de aansluitvoorwaarden zelf, zoals deze in het PIA rapport (uit 2014) en het programmapïan is gesteld. Hiervan is in verband met onderbesteding een bedrag van euro vrijgevallen (SVB). Hierdoor is het uiteindelijk beschikbare bedrag over 2015 uitgekomen op euro. een overeengekomen bestemming voor UWV pagina s). aan de diverse werkgroepen en implementatie. De uren die door gemeenten zijn/worden dit een aanzienlijk aantal betreft. het kader van dit programma door de Suwi-partijen worden genomen, niet op zichzelf. Met name de op beleid en beleidsaanpassingen gerichte maatregelen, zijn sterk afhankelijk van beter te borgen. Deze korte termijn maatregelen zijn niet altijd in lijn met de structurele, lange 2.3 Financien Over 2016 is door het Ministerie van SZW een bedrag van euro beschikbaar gesteld. Een overschot van euro kon hier aan worden toegevoegd vanwege Zoals in de voorgaande voortgangrapportage reeds is gemeld, staan de maatregelen welke in als gevolg hiervan is een aanzienlijke vertraging ontstaan in de gezamenlijke ontwikkeling en overlap te schrappen In het Opdrachtgeversberaad d.d. 21 septemberj.l. is besloten om de BKWI en IB hierop te laten doorlopen en tevens te toetsen aan de uitkomsten van een uit te :1

9 De herijking van het normenkader heeft alles te maken met de introductie van de generieke normenkaders BIR en BIG. Bij UWV en SVB lopen projecten om invulling te geven aan de implementatie van de BIR; gemeenten hebben de BIG als generiek normenkader omarmd door het aannemen van de hierop betrekking hebbende resolutie tijdens de ALV in november Hierbij is tevens uitgesproken dat de verantwoording hierover door gemeenten zal plaatsvinden volgens het single information single audit principe. Hiervoor is door de betrokken ministeries, (waaronder SZW) en gemeenten het landelijke ENSIA project gestart. In 2017 wordt de verantwoording door gemeenten over het jaar 2017 conform de ENSIA lijn voor de eerste maal uitgevoerd. Het nieuwe specifieke Suwinet normenkadër dat een concrete invulling is van de generieke BIG en BIR normen, wordt hiervoor t.b.v. Suwinet als basis gebruikt. 2.5 Risico s Het overzicht in bijlage A geeft aan welke risico s met betrekking tot het programma zijn onderkend en welke beheersmaatregelen hierbij zijn voorzien, teneinde het risico zoveel mogelijk te kunnen afdekken. Naast de risico s die al bij aanvang waren onderkend, heeft zich tijdens het programma een nieuw risico gemanifesteerd dat te maken had met verschillen in opvatting tussen partijen. Dit speelde met name bij de totstandkoming van de aansluitvoorwaarden en het proces rond de herijking van het normenkader en de verantwoordingsrichtlijn. Rond het normenkader (Afnemers) hebben partijen elkaar uiteindelijk weten te vinden en is het ook mogelijk geweest de producten op te leveren. Met betrekking tot de aansluitvoorwaarden is lange tijd discussie geweest over de inrichting van verantwoordelijkheden en de consequenties die hieruit voortvloeien voor o.a. de betrokken organisaties en de invulling van de aansluitvoorwaarden. Uiteindelijk is in het Opdrachtgeversberaad d.d. 21 septemberj.l. besluitvorming geweest over het vervolgproces, waarbij het Opdrachtgeversberaad heeft besloten dit verder buiten het programma op te pakken. Een laatste risico dat is toegevoegd had betrekking op een tijdige oplevering van de ENSIA tooling. Dit risico is niet meer aan de orde, aangezien de planning voor ENSIA zich nog steeds richt op 2017 en er geen signalen zijn dat dit niet lukt. 7

10 8 autorisatiestructuur fijnmaziger zal moeten worden ingericht. Gebruikers hebben thans Doelstelling: In het Programmaplan is aangegeven dat voor de SUWI partijen de toegang tot relatief veel gegevens, hetgeen dient te worden beperkt middels een goede toedeling van rollen en autorisaties. Een inventarisatie op de noodzaak van getoonde gegevens geautoriseerd zijn en vervolgens hierop gericht te controleren. 3.1 Maatregel fijnmazige autorisatiestructuur wordt uitgevoerd. Voor de uitvoering van een groot aantal wettelijke taken blijft het echter nodig om een grote set gegevens in te kunnen zien. Door een goede toedeling van autorisaties Resultaat: De SUWI partijen hebben ervoor gekozen om een structurele oplossing te laten uitwerken (kosten, toekomstbestendigheid, teclmische en organisatorische consequenties), pagina s samen te stellen welke optimaal kunnen aansluiten op de wijze waarop hun eigen processen zijn ingerièht. Aangezien uitwerking en realisatie van deze oplossing meer tijd en pagina s te laten ontwikkelen welke aanmerkelijk minder gegevenssets bevatten dan de aanmerkelijke verbetering bewerkstelligd. De realisatie van deze nieuwe pagina s is conform planning verlopen; de zes nieuwe pagina s zijn in oktober opgeleverd. onzekerheid ten aanzien van de wijze waarop gegevensuitwisseling binnen het domein werk Naar aanleiding hiervan heeft UWV een impact analyse laten uitvoeren voor het door BKWI huidige, hiervoor in gebruik zijnde pagina s. Op korte termijn wordt hiermee al een getoond worden op de huidige SVB pagina s. Naar aanleiding daarvan worden eventueel benodigde wijzigingen doorgevoerd; dit vindt echter plaats langs de lijn van regulier onderhoud. Acceptatie: Bij een viertal gemeenten en een gemeentelijk samenwerkingsverband heeft een proefimplementatie plaatsgevonden voor inzet van de zes nieuwe pagina s. Naar aanleiding van deze proefimplementatie is een evaluatierapport opgesteld dat in het opdrachtgeversberaad op 28 januari 2016 is vastgesteld. Weliswaar was al rekening gehouden met de kans dat implementatie van de nieuwe pagina s voor de gemeenten een grote uitdaging In oktober zijn de uitkomsten van het nader onderzoek naar de lange termijn oplossing voor en inkomen in de toekomst zal plaatsvinden, heeft ertoe geleid dat hiervoor niet is gekozen. waarbij de autorisatiebeheerders op decentraal niveau de mogelijkheid krijgen om zelf geld vraagt, is er tevens voor gekozen om voor gemeenten op korte termijn een zestal nieuwe het fijnmazig autoriseren door BKWI opgeleverd (decentraal pagina s samenstellen); echter, laten aanpassen van UWV pagina s. De realisatie hiervan zal naar verwachting in de loop van zou zijn, doch achteraf bleek dat dit voor gemeenten nog complexer was dan reeds was voorzien. Naar aanleiding hiervan is de handreiking voor implementatie inmiddels aangepast. pagina s als de handreiking worden door KING meegenomen als product bij de implementatie zijn voltooid, waarna de pagina s voor UWV beschikbaar zijn voor implementatie. Ook door SVB wordt een verdere analyse gestart naar de noodzakelijkheid van gegevens die Met betrekking tot de pagina s zelf zijn geen verbeterpunten naar voren gekomen. Zowel de 3. Realisatie en âcceptatie maatregelen is het echter wel mogelijk om goed inzichtelijk te maken welke medewerkers breed

11 Aandachtspunten, issues en vervolgacties: Met betrekking tot deze maatregel zijn de onderstaande punten relevant voor de komende periode: 1) De realisatie van de UWV pagina s loopt nog; voor de realisatie van de nieuw UWV pagina s wordt in het vierde kwartaal van 2016 eerst een pilot uitgevoerd. 2) Er dient een meer permanente aandacht te zijn voor de fijnmazigheid van de pagina s; de situatie in het gebruik kan wijzigen, bijvoorbeeld als gevolg van (landelijke en lokale) ontwikkelingen. Voor aanpassingen aan de pagina s zelf zullen partijen een beroep moeten doen op de capaciteit van BKWI, aangezien er geen mogelijkheid is om pagina s zelf te wijzigen of samen te stellen. 3) In het bijzonder voor gemeenten geldt dat de zes nieuwe pagina s zijn geïntroduceerd als quick-win om snel resultaat te kunnen boeken. Hieraan heeft een analyse ten grondslag gelegen, welke met de pilotgemeenten is afgestemd. Maar quick-wins kenmerken zich ook door de mogelijkheid dat oplossingen nog niet volledig zijn c.q. niet geheel sluitend. Er dient rekening mee te worden gehouden dat dit bijvoorbeeld bij de implementatie naar boven komt, waardoor nog aanvullende maatregelen nodig zijn. 4) Beide overzichtspagina s waarvoor de zes nieuwe pagina s als alternatief zijn ontwikkeld, zullen voorlopig nog in gebruik moeten blijven. Tijdens de implementatiefase bij gemeenten (die doorloopt tot augustus 2017) wordt gemonitord in hoeverre gemeenten overgaan naar de nieuwe pagina s. Op basis van de mate waarin gemeenten uiteindelijk volledig zijn overgegaan naar de nieuwe pagina s, zal het opdrachtgeversberaad een besluit moeten nemen om de oude overzichtspagina s niet meer beschikbaar te stellen. 3.2 Maatregel verbetering logging en gebruiksrapportages Doelstelling: Logging en rapportage over gebruik van gegevens (teneinde misbruik te signaleren) dient te worden verbeterd; het programmaplan geeft hiervoor de onderstaande acties aan: 1) Verbetering gebruiksrapportages 2) Sneller rapportages beschikbaar krijgen ton-line tool) 3) Onderzoek naar verbetering/optimalisering structuur voor sturen op informatie uit de rapportages Resultaat: De gebrniksrapportages zijn verbeterd voor de SUWI partijen; de effectiviteit van de rapportages wordt echter vooral bepaald door de wij ze waarop deze worden gebruikt. Door UWV en SVB zijn activiteiten uitgevoerd om te komen tot een processtrnctuur om effectiever te kunnen sturen op informatie uit de rapportages. Deze processtmctuur is in 2016 geïmplementeerd bij UWV; SVB heeft in 2016 de controlekalender doorgevoerd. VNG heeft het verbetertraject hiervoor al in 2014 uitgevoerd. Uit een recente analyse is echter naar voren gekomen dat niet alle gemeenten generieke of specifieke rapportages opvragen. Ook maken nog niet alle gemeenten gebruik van SUWI mail, waarmee rapportages sneller kunnen worden geleverd. Ook SVB zal op korte termijn overgaan op SUWI mail. Bij de ketenbrede awarenesscampagne en bij de voorlichting over de maatregelen zal hieraan extra aandacht moeten worden besteed. Hierbij dient rekening te worden gehouden met de mogelijkheid dat in de toekomst ook de online rapportagetool beschikbaar wordt gesteld om zelf rapportages samen te stellen. Wanneer dit gestalte krijgt, zal de behoefte aan SUWI mail kleiner worden. 9

12 10 aanvullende rapportages voor maatregel 9 (beperking toegang tot personen) is door BKWI voorgesteld om de online rapportagetool als voorziening in te zetten, teneinde deze rapportages snel beschikbaar te kunnen stellen voor gemeenten. Het betreft in dit geval wel standaardrapportages. Het feit dat de omgeving voor deze tool wordt ingericht, biedt echter beperkt aantal gemeenten kan uitwijzen of het wenselijk is de inzet van de tool hiervoor ook landelijk op te pakken. Dit wordt niet binnen het programma opgepakt. besloten het sneller beschikbaar kunnen stellen van de gevraagde rapportages en het gebruik hiervan allereerst te bewerkstelligen middels korte termijn maatregelen als de interne niet te kiezen voor de inzet van een online tool bij gemeenten; echter, ten behoeve van benaderen. procesoptimalisatië bij de beheerder BKWI, informatievoorziening hierover naar gemeenten uitgewerkt en in het opdrachtgeversberaad d.d. 26 januari 2016 vastgesteld. geautomatiseerd opleveren van rapportages met behulp van de online tool, wordt deze versnelling significant. Er is in 2016 een data-analyse uitgevoerd, teneinde patronen in het (oneigenlijk) gebruik van gegevens te kunnen vaststellen, naar aanleiding waarvan desgewenst nieuwe signaleringsrapportages kunnen worden ontwikkeld. Op basis van de data-analyse is door VNG/KING geconcludeerd dat het bepalen van voor alle (gemeentelijke) organisaties bruikbare generieke getallen (gemiddelden) niet haalbaar is; hiervoor zijn de onderlinge (organisatorische) verschillen tussen de organisaties te groot. Werkprocessen en belangrijke meerwaarde bieden; deze online tool biedt organisaties de mogelijkheid zelf aantallen te bepalen welke als basis voor rapportage dienen (maatwerk). Deze online tool online tool komt beschikbaar als gevolg van de keuze om deze in te zetten ten behoeve van rapportages voor maatregel 9, i.c. de whitelist. bedrijfsvoering kunnen tussen gemeenten sterk uiteenlopen. De online tool kan hierin een voor te leggen aan een panel, maar is van mening dat het hiervoor zinvoller is eerst de resultaten van gebruikmaking van de online tool af te wachten. Ook wordt ten aanzien van signalering met betrekking tot raadpleging buiten de eigen caseload, voorgesteld allereerst voorrang te geven aan de implementatie van maatregel 9 (die gericht is op beperking van de caseload) is inmiddels afgerond. Er is een zichtbare versnelling gerealiseerd. Met het realiseren van het en bijvoorbeeld stimulering van het gebruik van SUWI mail. is door BKWI een lijst opgeleverd van gemeenten die in het laatste jaar niet meer dan 1 keer De verantwoordelijke werkgroep heeft om legitieme redenen ervoor gekozen om vooralsnog Op basis van de analyse die door BKWI is uitgevoerd, zijn in lijn hiermee voorstellen De interne procesoptimalisatie bij BKWI om specifieke rapportages sneller te kunnen leveren, De handreiking gericht op (gemeentelijke) gebruikersrapportages is aangescherpt. Daarnaast ook mogelijkheden voor gemeenten om zelf rapportages samen te stellen; een pilot met een Om meer de focus te kunnen leggen op de kwaliteit en het gebruik van de rapportages is een rapportage hekben opgevraagd, teneinde hiermee gemeenten gerichter te kunnen De werkgroep heeft er daarom voor gekozen om de resultaten van de data analyse niet nu t

13 Acceptatie: Voor de implementatie van deze maatregel bij gemeenten worden de door BKWI geleverde analyseresultaten (inclusief de lijst van gemeenten die niet meer dan 1 maal per jaar specifieke rapportage hebben opgevraagd, en een lijst van gemeenten die SUWI mail inzetten) gebruikt, alsmede de aangescherpte handreiking. Aandachtspunten. issi.ies en vervolgacties: Met betrekking tot deze maatregel is het onderstaande punt relevant voor de komende periode: 1) Door inzet van de online tool voor maatregel 9 ten behoeve van de levering van de gevraagde standaardrapportages, is de mogelijkheid aanwezig om deze voorziening ook in te zetten voor het door organisaties / gemeenten zelf samenstellen van rapportages; echter, dit is een geheel ander gebruik van deze voorziening dan in geval van maatregel 9 (voor maatregel 9 betreft het immers standaard rapportages). Het zelf samenstellen van rapportages zal daarom niet meer in het kader van het programma worden uitgewerkt; wanneer hieraan behoefte is, wordt het opdrachtgeversberaad aanbevolen vanuit BKWI een pilot te stârten. 3.3 Maatregel ontwikkeling en vaststelling aansluitvoorwaarden Suwinet Inlezen Doelstelling: Conform het programmaplan dienen aansluitvoorwaarden en gebruiksvoorwaarden te worden gesteld om een veilig gebruik van Suwinet Inlezen te bewerkstelligen. Door passende aansluitvoorwaarden en gebruiksvoorwaarden wordt het gebruik van Suwinet Inlezen transparanter en veiliger. Resultaat: Om diverse redenen is het niet haalbaar gebleken te komen tot oplevering van aansluitvoorwaarden. Oorzaken zijn onder andere de complexiteit van het vraagstuk rondom aansluitvoorwaarden waardoor de aanpak zich heeft moeten verbreden naar het opstellen van een gedragscode en een aansluitprotocol, de verschillende perspectieven van de Suwi partijen, verschillende externe ontwikkelingen en voortschrijdend inzicht van de Suwi partijen zelf. Het onderzoek van de AP met betrekking tot eisen op gebied van logging en rapportage hierover, heeft bijvoorbeeld aangetoönd dat uitvoering en regelgeving niet op elkaar aansluiten (bijvoorbeeld als gevolg van (technologische) ontwikkelingen of nieuwe diensten). Deze maatregel heeft een sterke samenhang met maatregel 6 (herjking normenkader en verantwoordingsrichtlijn). Hierop zal bij deze maatregel ook nader worden ingegaan. In het opdrachtgeversberaad van 21 september j.1. is een besluit genomen ten aanzien van het vervolg; hierbij is allereerst gekozen voor een onafhankelijke WBP toets op de Gedragscode en het Protocol, alsmede de opdracht aan BKWI en IB om alle ketendocumenten, inclusief de nog op te stellen aansluitvoorwaarden, in onderlinge samenhang te beoordelen en relaties in kaart te brengen; dit moet leiden tot een compact en werkbaar geheel van het totaal aan ketendocumenten. Hiermee wordt een veel bredere invulling gegeven aan deze maatregel dan in het programmaplan is aangegeven; dit vervolgproces zal dan ook verder buiten het programma worden uitgevoerd. Acceptatie: Met betrekking tot deze maatregel zijn thans geen producten welke voor acceptatie in aanmerking komen. Aandachtspunten, issues en vervolgacties: Met betrekking tot deze maatregel zijn de onderstaande punten relevant voor de komende periode: 11

14 12 worden gegeven aan de WB? verantwoordelijkheid; de onafhankelijke WBP toets BKWI zal deze opdracht worden verstrekt door het Opdrachtgeversberaad BKWI. de inzake dient hier uitsluitsel over te geven en is daarom zeer bepalend voor het vervolgproces. dienen in dit verband nader te worden bepaald (worden zij hiermee belast?). Voor het Voor IB zal echter afstemming dienen plaats te vinden met het bestuur van IB. 3.4 Maatregel ketenbrede awarenesscampagne 1) Suwi partijen en SZW denken verschillend over de wijze waarop invulling dient te inclusief de registratiemodule. Hiervoor is gekozen voor inzet van e-learning, specifiek gericht op een veilig gebruik van programma gestalte te laten geven. Voor gemeenten zal de ontwikkeling en uitrol in samenwerking met de VNG Academie beschikbaar worden gesteld. Ten behoeve hiervan is uitgebreid met een Suwinet modute. Voor gemeenten zal derhalve worden voortgeborduurd Voor UWV geldt dat een van de bestaande e-leaming toepassingen rond veilig gebruik van gegevens wordt uitgebreid met Suwi aspecten. Deze komt beschikbaar in de 2e helft van 2017, de bestaande e-learning module van de VNG Academie voor veilig gebruik van gegevens, op de e-leaming modules welke reeds beschikbaar zijn bij de VNG Academie. mag wel en wat mag beslist niet) op een effectieve en efficiënte wijze dient plaats te vinden. Suwinet. Het opdrachtgeversberaad BKWI heeft besloten deze ontwikkeling buiten het vereiste overdracht van kennis met betrekking tot een verantwoord gebruik van gegevens (wat De grote omvang van de groep eindgebruikers van Suwinet brengt met zich mee dat de voorlichtingsmateriaal, pubtieksversies van programmaproducten, inventarisatie van media, bijvoorbeeld de factsheet Veilig Suwinet en de 1-bewustzijn campagnes). etc.). Daarnaast hebben ook de Suwi partijen zelf middelen ontwikkeld (bij UWV aanzien van de programmamaatregelen communicatiemiddelen ontwikkeld welke o.a. via noverheid.nl beschikbaar zijn (online toolkit, algemeen Resultaat: Elk van de partijen kende met betrekking tot het onderwerp awareness bij de start maar desalniettemin is gekozen voor een gemeenschappelijke benadering, waarbij kennis met van het programma weliswaar een eigen uitgangspositie en een daaraan gerelateerde aanpak, elkaar wordt gedeeld en wordt nagegaan of het wenselijk en haalbaar is aan te haken bij elkaars acties. Er zijn zowel ten behoeve van awareness in zijn algemeenheid als specifiek ten onder de aandacht te brengen. Door de campagne en door de inrichting van een ketenbrede structurele voorlichting zullen medewerkers en managers in de hele SUWI-keten bewuster omgaan met privacygevoelige gegevens. Doelstelling: Het programmaplan geeft aan dat de Suwi partijen een ketenbrede awareness campagne opzetten om de bewustwording en bekwaamwording bij medewerkers verantwoordelijkheden die ze dragen in het kader van het gebruik van gegevens via Suwinet hier om de verankering van nieuwe documenten, maar tenminste ook om de actualisatie van bestaande regelgeving. Suwi partijen vast te stellen verantwoordingsrichtlijn) te worden aangepast: het gaat 5) Als sluitstuk van het beschreven vervolgproces dient de regelgeving (inclusief de door dient invulling te worden gegeven aan de implementatie. De rollen van BKWI en IB 4) Nadat de nieuwe opzet van aansluitvoorwaarden in het aansluitbeleid is verankerd, persoon de onafhankelijke WBP toets zal worden uitgevoerd. dient een register voor getekende aansluitvoorwaarden te worden bijgehouden; er 2) SUWI partijen en SZW dienen gezamenlijk te bepalen door welke Organisatie / 3) Een procesregisseur dient te worden aangesteld om het vervolgproces aan te sturen

15 SVB zal voor het veilig gebruik van Suwinet een nieuwe e-leaming module ontwikkelen ten behoeve van gebruikers. Acceptatie: Het in bijlage 3 opgenomen overzicht geeft een opsomming van de producten welke ten behoeve van awareness c.q. programmacommunicatie zijn opgeleverd; deze producten zijn door de werkgroep c.q. KING beoordeeld en worden allereerst ingezet bij de implementatie ten behoeve van gemeenten. Aandachtspunten, issues en vervolgacties: Met betrekking tot deze maatregel zijn de onderstaande punten relevant voor de komende periode: 1) De uitrol van e-ïeaming bij gemeenten zal in samenwerking met de VNG Academie plaatsvinden. Hiervoor vindt allereerst bij een beperkt aantal gemeenten een pilot plaats, waarna snel zal worden opgeschaald naar een landelijke uitrol. 2) Inzet van materiaal met betrekking tot bewustwording vindt doorlopend plaats, met name ook nog tijdens de implementatiefase. Behoefte om deze te verbeteren / aan te vullen zal zich hierdoor ook ontwikkelen. Er is echter vanaf 1januari 2017 geen capaciteit op programmaniveau beschikbaar om producten aan te passen. Producten kunnen waar nodig ook door partijen zelf worden aangepast. 3) Gedurende de ontwikkelfase van het programma is communicatiemateriaal gepubliceerd op ibewustzijnoverheid.nl; per 1januari 2017 zullen producten worden overgedragen aan BKWI als beheerder van Suwinet. In aanvulling hierop zullen producten ook worden gepubliceerd op de site van IBD (ten behoeve van gemeenten) en het CIP; voor de laatste zal dit ook gebeuren in het kader van een algemene overdracht van ibewustzijnoverheid naar CIP (de site van ibewustzijnoverheid wordt na 1januari 2017 niet meer beheerd). 3.5 Maatregel sanctiebeleid Doelstelling: In het programmaplan wordt aangegeven dat het Opdrachtgeversberaad BKWI het beleid inzake het misbruik van gegevens door medewerkers van de SUWI partijen met elkaar zal delen en een zoveel mogelijk eenduidig beleid in de SUWI-keten zal nastreven. Voor de VNG geldt dat zij een model-beleid kan aanbieden aan haar leden; het is aan de gemeenten zelf om te bepalen of zij dit willen overnemen. De maatregel leidt ertoe dat er een zoveel mogelijk eenduidige aanpak komt bij misbruik van gegevens in de SUWI keten, dat er (nog meer) bestuurlijke aandacht komt voor dit beleid en de uitvoering hiervan. De maatregel bevordert het vertrouwen tussen de partijen. Resultaat: Een analyse van toepassing van het sanctiebeleid bij de verschillende Suwi partijen heeft plaatsgevonden, waarbij partijen de casuïstiek met elkaar hebben gedeeld. Op basis hiervan zijn de verschillen in beeld gebracht. De analyse en beleidsvoorstellen zijn op 26januari 2016 vastgesteld door het Opdrachtgeversberaad BKWI. Naar aanleiding hiervan is door UWV onderzocht hoe het sanctiebeleid met betrekking tot het stelselmatig misbruik meer in lijn kan worden gebracht met de wijze waarop SVB hiermee omgaat. UWV heeft naar aanleiding hiervan haar sanctiebeleid aangescherpt. Daarnaast is aanvullend onderzoek gedaan naar het gewenste sanctiebeleid voor externe medewerkers (mogelijkheden en onmogelijkheden om de desbetreffende sancties op te leggen, mogelijke alternatieven hierin, voorkomen dat externe medewerkers na overtreding weer elders aan de slag gaan, etc.). Belangrijke conclusies waren hierbij allereerst het belang van preventieve maatregelen, een adequate voorlichting aan ook externe medewerkers 13

16 14 lijst wordt niet als passend beschouwd in verband met de voorwaarden die hieraan worden gesteld. Voor geen van de partijen geldt dat op dit moment sprake is van een formeel constateren van misbruik de arbeidsrelatie te beëindigen. Aangifte is uitsluitend van toepassing in het geval van het vermoeden van een misdrijf. Het opstellen van een zwarte sanctiebeleid ten aanzien van extemen. SVB en gemeenten kiezen ervoor om na misbruik de arbeidsrelatie met de externe medewerker direct te beëindigen; UWV heeft het sanctiebeleid behandelen. Acceptatie: De door het Opdrachtgeversberaad BKWI vastgestelde beleidsvoorstellen zijn Dit is door KING beoordeeld en wordt ingezet bij de implementatie ten behoeve van cyclus. Daarbij is het van belang dat dit wettelijk kader geldt voor alle verantwoordingsrichtljnen en de normenkaders te actualiseren. De VNG heeft eerder namens 3.6 Maatregel herijking normenkader en verantwoordingsrichtlijn aangescherpt en kiest ervoor vast en tijdelijk personeel waar mogelijk op gelijke wijze te door programmacommunicatie verwerkt in een voor implementatie te gebruiken document. Aandachtspunten. issues en vervolgacties: gemeenten. Met betrekking tot deze maatregel zijn geen specifieke aandachtspunten, issues of vervolgacties. Doelstelling: De SUWI partijen geven in het programmaplan aan de leggen over het gebruik van gegevens leidt ertoe dat er binnen gemeenten bestuurlijk gezien en BIG verantwoorden en zien zij daarom graag dat de verschillende relevante geeft inzicht in aan te passen regelgeving. Aanpassingen in regelgeving hangen samen met de verantwoordingsrichtljnen en normenkaders goed op elkaar aansluiten. Een informatiebeveiligingsbeleid en de uitvoering daarvan, gekoppeld aan de jaarlijkse P&C gemeenten aangegeven dat de verantwoordingsrichtlijn niet goed aansluit bij de wijze waarop gemeenten verantwoordelijkheid willen nemen, hetgeen ook in de uitgevoerde Privacy Impact Assessment is gesignaleerd. De realisering van een wettelijk kader voor de verantwoording door gemeenten wordt noodzakelijk geacht. In dit wettelijk kader moet worden geregeld dat colleges van B&W zich jaarlijks voor de raad verantwoorden over het gegevensuitwisselingen en dat hierbij geen onderscheid wordt gemaakt tussen SUWI-taken en niet-suwi-taken. Een wettelijke verplichting voor gemeenten om verantwoording af te meer aandacht komt voor juiste uitwisseling van gegevens en het juiste gebruik van gegevens. Daarnaast willen de SUWI-partijen zich zoveel mogelijk op basis van de inhoud van de BIR ontdubbelingsanalyse in lijn met ENSIA (eenduidige normatiek single information audit) aansluitvoorwaarden; het binden van partijen aan het normenkader kan plaatsvinden middels publicatie van de (gewijzigde) regelgeving, maar in een aantal gevallen ook middels aansluitvoorwaarden. opdrachtgeversberaad vastgesteld; de specifieke onderdelen voor bronhouders en beheer zijn Resultaat: Het Suwinet specifieke normenkader voor afnemers is opgeleverd en door het inmiddels met betrokkenen (bronhouders en BKWI / IB) afgestemd, op basis hiervan aangepast en tenslotte opgeleverd. In lijn met de in het Opdrachtgeversberaad van 21 september vastgestelde notitie over aansluitvoorwaarden, zullen deze documenten worden (inclusief bevordering van bewustzijn) en de mogelijkheid om bij externen direct na het

17 meegenomen in de eerder genoemde toetsing met andere ketendocumenten en daarna, gelijktijdig met de andere documenten worden vastgesteld. Het Suwinet specifieke normenkader voor afnemers zal in 2017 door gemeenten als basis voor de verantwoording wordén gehanteerd in het kader van ENSIA. UWV en SVB nemen het resultaat mee bij hun BIR implementaties. De verantwoordingsrichtljn zal in lijn hiermee moeten worden aangepast. Acceptatie: Na de vaststelling van het laatste onderdeel van het nonnenkader Afnemers (transparantienorm) in het Opdrachtgeversberaad op 20juni 2016, is de redactionele eindversie (1.0) beschikbaar gesteld. Een toelichtend document is door programmacommunicatie opgesteld en door KING beoordeeld. Zowel het normenkader Afnemers als het toelichtend document worden door KING opgezet ten behoeve van de implementatie bij gemeenten. Aandachtspunten, issues en vervolgacties: Met betrekking tot deze maatregel zijn de onderstaande punten van belang voor de komende periode: 1) Suwi partijen laten impactanalyses uitvoeren op het normenkader Afnemers; deze impactanalyses dienen allereerst om inzicht te krijgen in eventueel benodigde implementatietijd en aanvullende ondersteuning/activiteiten, maar de resultaten hiervan kunnen daarnaast ook worden meegenomen in de toetsing die BKWI en IB gaan uitvoeren (zie vervolgproces maatregel 3). Naast de impactanalyse door de Suwi partijen zullen ook BKWI en IB een impact analyse uitvoeren op het normenkader (beheer). Het normenkader bronhouders is voornamelijk een subset van normen uit het normenkader Afnemers en is met name bedoeld voor bronhouders welke geen afnemer zijn. Met de desbetreffende bronhouders heeft afstemming plaatsgevonden. 2) Mede op basis van de uitkomsten van de impactanalyses zal een tijdpad moeten worden bepaald voor het van kracht worden van de normenkaders en mogelijke toetsing op opzet, bestaan en werking, rekening houdend met de eventueel benodigde extra tijd voor implementatie. Afhankelijk hiervan zal de invulling van een transitieperiode moeten worden beschreven (eventueel stapsgewijze invoering van de nieuwe normenkaders). De impactanalyses worden derhalve niet uitgevoerd om de normen opnieuw in overweging te nemen, maar mocht behoefte zijn om deze bij te stellen, zal dit door de beheerder worden opgepakt. 3) Er wordt een mapping uitgevoerd op het oude normenkader versus het nieuwe normenkader dat is afgeleid van BIR/BIG, teneinde een volledig beeld te krijgen van de daadwerkelijke wijzigingen. Uitgangspunt is dat de uitgevoerde herijking, waarbij voor het normenkader de BIG c.q. BIR als uitgangspunt hebben geleid, niet heeft geleid tot nieuwe normen. 4) In relatie tot het project ENSIA resteert nog een aantal aandachtspunten welke vanuit de projectgroep ENSIA worden opgepakt: a. Er dient een definitieve uitspraak te komen over de vertaling van de normen in de vragenlijst ENSIA; b. Er dient te worden vastgesteld waar voor 2017 het accent op komt te liggen (bijvoorbeeld 7 essentiele normen, allereerst opzet en bestaan); c. Een transitieplan voor de toepassing van ENSIA in ) Door de beheerder BKWI is aangegeven graag in gesprek te willen gaan met SZW over de rol van BKWI met betrekking tot monitoring, toezicht en signalering door BKWI, gericht op naleving van de normen. Met name in relatie tot ENSIA bestond onduidelijkheid over de consequenties (beoordelen transparantierapportages, 15

18 16 toont aan dat hiermeê feitelijk uitbesteding wordt bedoeld. Derhalve wordt hiervoor ook de term uitbesteding gehanteerd 2 In het programmaplan wordt de term doorleveren gehanteerd; echter, de beschrijving in het programmaplan Op basis van deze beoordeling is geconstateerd dat deze producten als richtlijn kunnen De richtlijnen voor telewerken en doorlevering van gegevens zijn als product in het Het zijn generieke maatregelen vanuit de BIG welke tevens toepasbaar zijn voor SUWI - Het uitbesteden van taken aan private partijen waarbij gegevens worden ingezien via - Voor telewerken: Telewerkbeleid, Cloudcomputing, Mobile Device Management en - Voor - Telewerken - Samenwerkingsverbanden gevolgd door overleg op 20 oktoberj.l. oktoberj.l. heeft hierover reeds een overleg plaatsgevonden tussen BKWI en SZW, opstellen samenvattende rapportage, extra werklast die hiermee gepaard gaat). Op Maatregel telewerken en doorlevering van gegevens Doelstelling: De SUWI partijen willen gegevens kritisch kijken naar de criteria die een bronhouder aan de afnemende partij kan stellen op het gebied van: en toegang tot gegevens via Suwinet Suwinet binnen de overheid waarbij gegevens worden ingezien via Suwinet Verwacht wordt dat afnemende partijen en hun medewerkers bewuster zullen omgaan met telewerken (in combinatie met het kunnen inzien van persoonsgegevens) en dat er betere hun rol als bronhouder en afnemer van afspraken worden gemaakt omtrent het doorleveren van gegevens. Resultaat: Ten behoeve van telewerken en doorlevering2 van gegevens zijn de volgende producten van de Informatiebeveiligingsdienst beoordeeld op inhoudelijke aspecten (inclusief toepasbaarheid): Logging, gegevens. De combinatie van deze producten beschrijft de maatregelen die getroffen dienen te worden voor veilig gebruik van gegevens in geval van uitbesteden. Acceptatie: De richtlijnen worden door de Suwi partijen meegenomen bij de implementatie van de programmamaatregelen. Met betrekking tot deze maatregel zijn geen specifieke aandachtspunten, issues of uitbesteding: Contractmanagement, Model Bewerkersovereenkomst en Logging worden gehanteerd, hetgeen is voorgelegd aan het Opdrachtgeversberaad. Opdrachtgeversberaad van 17 maart 2016 vastgesteld. Aandachtspunten, issues en vervolgacties: vervolgacties. 3.8 Maatregel beperking zoeksieutels Doelstelling: In het programmaplan is aangegeven dat de SUWI partijen het van groot belang vinden dat er niet onnodig op andere zoeksleutels dan BSN wordt gezocht. Voor de uitvoering van wet- en regelgeving is het echter regelmatig nodig om andere zoeksieutels te gebruiken dan alleen BSN. Verwacht wordt dat naarmate de rollen en autorisaties beter zijn toegespitst, vanuit

19 het veel minder mogelijk is om te zoeken op andere zoeksieutels wanneer dit niet gewenst is. Voor medewerkers die wel geautoriseerd zijn, geldt dat de awareness campagne hen bewuster zal laten omgaan met het gebruik van andere zoeksleutels. Voor de SUWI partijen is nu reeds het uitgangspunt dat uitsluitend het BSN als zoeksleutel wordt gehanteerd. Bij gemeenten en UWV is slechts een beperkt aantal gebruikers geautoriseerd om andere zoeksieutels dan BSN te gebruiken. Gedurende het traject van de PIA Toegang persoonsgegevens Suwinet is uitvoering gegeven aan het nog verder beperken van het kunnen hanteren van zoeksieutels, anders dan BSN. Voor SVB geldt dat wel meer medewerkers geautoriseerd zijn voor het gebruiken van andere zoeksieutels. Dit is nodig voor de betreffende rollen binnen de uitvoeringsprocessen. In minder dan 3 procent van het totaal aantal bevragingen wordt gebruik gemaakt van een andere zoeksieutel dan BSN. SVB controleert regelmatig op het uitgebreidere zoeksleutelgebruik. Er is geen sprake van een verhoogd risico. Resultaat: In december 2015 is de handreiking beperking zoeksieutels opgeleverd; hierin wordt ingegaan op risico s van het gebruik van andere zoeksleutels dan burgerservicenummer, de te nemen stappen bij toekennen van andere zoeksleutels (zoals autorisatiematrix), de controle achteraf en de verankering van gebruik Suwinet in wet- en regelgeving. Acceptatie: Deze Handreiking is aan Suwi partijen beschikbaar gesteld. Bij de implementatie bij gemeenten zal deze ook worden toegepast. Aandachtspunten, issues en vervolgacties: Met betrekking tot deze maatregel zijn geen specifieke aandachtspunten, issues of vervolgacties. 3.9 Maatregel beperking toegang tot gegevens personen Doelstelling: Het programmaplan geeft het belang aan dat medewerkers alleen gegevens raadplegen van personen die nodig zijn voor de werkzaamheden van de medewerker. Tegelijkertijd is het niet mogelijk om de toegang tot alle niet-relevante personen af te sluiten. De reden hiervoor is dat voorafgaand aan de aanvraag, niet kan worden vastgesteld welke personen wel en niet relevant zijn. In het programmaplan wordt met betrekking tot deze maatregel onderscheid gemaakt tussen een oplossing op de korte/middellange termijn, en een sluitende oplossing die pas op de lange termijn kan worden gerealiseerd. Voor de korte termijn wordt aangegeven het kunnen inziçn van gegevens die niet relevant zijn voor het werk van medewerkers zoveel als mogelijk te beperken middels een goed en fijnmazig autorisatiebeheer. Voor medewerkers die wel geautoriseerd zijn om een brede set van gegevens te kunnen inzien, geldt dat de awareness campagne hen bewuster zal laten omgaan met het zoeken op gegevens van bepaalde personen en dat de gerichte controle door de gebruiksrapportages ertoe leidt dat er minder gegevens van personen worden ingezien die niet relevant zijn voor de werkzaamheden van de medewerker. Resultaat: Aanvullend hierop is besloten om voor gemeenten de whitelist functie te implementeren; deze white list bestaat uit de BSN nummers van personen waarvan gegevens door medewerkers van een organisatie (gemeente) mogen worden geraadpleegd; het gaat dan om personen met wie de Organisatie een dienstverleningsrelatie heeft. Om deze white list ook hanteerbaar te maken, is deze uitgebreid met een zogenaamde escape functie, 17

20 1$ te besluiten tot implçmentatie. SVB verwacht de whitelist functionatiteit in 2017 te kunnen de uitgebreide whitelist functionatiteit als de handreiking die hierbij ter ondersteuning dient waarbij het mogelijk is aanvullende voorwaarden te verbinden aan het opvragen van gegevens controleren of deze raadpleging terecht heeft plaatsgevonden. Naast deze op korte termijn te implementeren oplossing, is hiervoor ook een aanvullende waarmee het mogelijk is de white list incidenteel te omzeilen. Wanneer dit plaatsvindt, leidt dit wel tot een signâlering (rapportage) bij de verantwoordelijke die dan achteraf dient te oplossing nader uitgewerkt; het betreft de aanvullende module voorwaardelijke levering, medewerker vervult). over personen (bijvoorbeeld medewerker die het dossier in behandeling heeft, rol die de Inmiddels is met de voorbereiding van de realisatie gestart. Definitieve besluitvorming hierover is echter gekoppeld aan de uitkomsten van de PIA en besluitvorming die hierover moet plaatsvinden. Naar aanleiding van de PIA onderzoekt UWV mogelijkheden om BSN s verder te beperken via filtering en voorwaardelijke leveringen. proefimplementatie plaatsgevonden voor inzet van de whitetist met escapefunctie. Naar aanleiding van deze proefimplementatie is een evaluatierapport opgesteld dat in het opdrachtgeversberaad in mei is vastgesteld. De whitelist bleek van zeer grote meerwaarde verbeterpunten gesignaleerd welke in een notitie aan het Opdrachtgeversberaad zijn Acceptatie: Bij een viertal gemeenten en een gemeentelijk samenwerkingsverband heeft een voor gemeenten om de toegang tot gegevens van personen te beperken. Wel zijn een aantal wijzigingen is de whitelist met escapefunctie beschikbaar gesteld voor verdere uitrol. Zowel voorgelegd. Deze zijn door het Opdrachtgeversberaad overgenomen. Na realisatie van de UWV en SVB onderzoeken de impact van deze functionaliteit voor hun organisatie, alvorens het eerstvolgende Opdrachtgeversberaad in januari 2017 dient een besluit te worden genomen wel geautoriseerd zijn om deze gegevens in te kunnen zien, geldt dat de awareness campagne Als gevolg van de toename van de gegevensuitwisseling via Suwinet is het risicoprofiel de 3.10 Maatregel rsicoklassen worden door KING meegenomen als product bij de implementatie implementeren. Aandachtspunten, issues en vervotgacties: De realisatie van de module voorwaardelijke levering dient te worden afgerond. In het opdrachtgeversberaad d.d. 21 september 2016 is besloten de ontwikkeling op te schorten in verband met mogelijke uitkomsten van de PIA. In privacygevoelige risicoklassen behoren, moeilijker of niet dienen zijn in te zien voor over het vervolg. Voorgesteld wordt om dit verder als reguliere activiteit te benaderen. Doelstelling: In het programmaptan wordt aangegeven dat gegevens die tot bepaalde medewerkers. Onderzocht wordt om welke gegevens het gaat, welke beveiligingsmaatregelen passend zijn bij deze gegevens en hoe daarover afspraken tussen de gegevens uitwisselende het veel minder mogelijk om privacygevoelige gegevens in te zien. Voor medewerkers die hen bewuster zal laten omgaan met het inzien van deze gegevens en dat de gerichte controle partijen dienen te worden gemaakt. Naarmate de rollen en autorisaties beter zijn toegespitst, is door de gebruikersrapportage ertoe zal leiden dat deze privacygevoelige gegevens minder (onnodig) worden ingezien. Indien nodig dient een zwaarder authenticatieniveau voor deze gegevens nog meer veiligheid te bieden. afgelopen jaren toegenomen. De beveiliging van de gegevens is hier echter niet op aangepast.

21 In de in 2013 uitgevoerde PIA wordt ingegaan op gebruik van gegevens welke onder de hogere risicoklasse III vallen, op basis van de zogenaamde A&V 23-indeling van het CBP. In de opvolger van deze A&V 23, de CBP richtsnoeren Beveiliging van Persoonsgegevens, is deze indeling in risicoklassen komen te vervallen en wordt gesproken over passende beveiligingsmaatregelen. De afweging of deze maatregelen als passend worden beschouwd, dient allereerst door het Opdrachtgeversberaad te worden gemaakt. Resultaat: Onderzocht is welke gegevens het betreft, de wijze waarop deze worden gebruikt, de risico s welke hierbij worden onderkend en de maatregelen welke hierbij reeds zijn genomen. Deze zijn vastgelegd in een notitie welke in januari 2016 is voorgelegd aan het Opdrachtgeversberaad. Op basis hiervan heeft het Opdrachtgeversberaad de maatregelen als passend beschouwd en heeft hierin geen noodzaak gezien om stelsel breed het authenticatieniveau te verhogen. Acceptatie: Aangezien deze maatregel op basis van de uit te voeren analyse niet heeft geleid tot een verhoging van het authenticatieniveau, is implementatie hiervan ook niet van toepassing. In het kader van implementatie is het product dan ook niet door partijen beoordeeld en geaccepteerd. Aandachtspunten, issues en vervolgacties: Opgemerkt wordt dat deze conclusie van de werkgroep dat het authenticatieniveau niet stelseibreed behoeft te worden aangepast, is gebaseerd op de in het programmaplan beschreven analyse (binnen de scope van het programma). Dit staat echter los van de steeds meer heersende opvatting over authenticatie dat de traditionele combinatie van gebruikersnaam en wachtwoord in zijn algemeenheid onvoldoende is en daarom zou moeten worden verhoogd. De Domeingroep Architectuur buigt zich momenteel over dit onderwerp en zal hier zo nodig een onderzoek naar uitvoeren. 19

22 De werkgroep heeft hiervoor de oplossing uitgewerkt om het decentraal (door lokaal in het Opdrachtgeversberaad d.d. 21 septemberj.l. besloten om, na een onafhankelijke WBP goed gemonitored te worden en eventueel te leiden tot aanpassing van pagina s. Naast de SUWI mail). Naar aanleiding daarvan is er voor gekozen om thans niet in te zetten op de 4.1 Oorspronkelijk programmaplan en wijzigingen Hoofdstuk 3 besch±ijft per maatregel de doelstelling, zoals deze is vastgelegd in het programmaplan. Maatregel 1 betreft een fijnmazige autorisatiestructuur welke wordt bereikt door een adequate inrichting van de autorisatiestructuur (autorisaties gekoppeld aan rollen) en een beperking van organisatie-eenhedçn hun processen hebben ingericht. Voor gemeenten en UWV is invulling het tonen van gegevens op pagina s. Of de beschikbare pagina s in voldoende mate deze beperking kennen wordt voor een groot deel bepaald door de wijze waarop organisaties of gegeven aan nieuwe, meer fijnmazige pagina s. Door SVB wordt op korte termijn een analyse gestart naar gegevens die getoond worden op de huidige SVB pagina s en mogelijke beperking hiervan. beheerders) samenstellen van nieuwe pagina s te faciliteren. Deze oplossing is niet gekozen, hetgeen betekent dat de ontwikkeling van nieuwe pagina s centraal blijft plaatsvinden. gegevens, dient de fijnmazigheid van pagina s in overleg met de gebruikersorganisaties steeds inhaalsiag die nu middels het programma wordt gerealiseerd zal er in plaats van de sluitende Aangezien (decentrale) ontwikkelingen consequenties kunnen hebben voor toegang tot oplossing van het decentraal samenstellen van pagina s, een meer permanent proces moeten komen om verbeteringen in de fijnmazigheid van pagina s te bewerkstelligen (en te behouden). Ten aanzien van maatregel 2 (Rapportages) heeft analyse uitgewezen dat er nog onvoldoende van het gebruik van de bestaande rapportagevoorzieningen. aan de tekortkomingen die bij de in 2014 uitgevoerde Privacy Impact Assessment naar voren gebruik wordt gemaakt van de bestaande rapportagevoorzieningen (specifieke rapportages, Echter, in het kader van maatregel 9 (beperking toegang gegevens van personen) is er voor beschikbaarstelling van een online tool, welke wel als oplossing is genoemd in het programmaplan. Prioriteit wordt eerst gegeven aan stimulering en bewustwording ten aanzien gekozen om de technische omgeving van de tool in te richten, teneinde deze te kunnen gebruiken voor het leveren van aanvullende standaardrapportages (maakt deel uit van de voorgestelde wijzigingen naar aanleiding van de proefimplementatie). Aangezien als gevolg hiervan de technologie toch beschikbaar is, biedt dit mogelijkheden voor een (beperkte) pilot. Maatregel 3 (Aansluitvoorwaarden;) is, na afstemming in het Opdrachtgeversberaad, breder opgepakt dan in het programmaplan was geadresseerd. Complexiteit van de materie, verschillende inzichten hierbij en (externe) ontwikkelingen (zoals het eerder genoemde onderzoek door AP) hebben ertoe geleid dat het gezamenlijk opstellen van domein is wel een voorzet voor aansluitvoorwaarden gemaakt welke minimaal invulling geeft aansluitvoorwaarden een andere aanpak en ook meer tijd vragen. Voor het gemeentelijk waren gekomen. Omdat naast de discussie over uitgangspunten ook de behoefte is ontstaan om inzicht te krijgen in de samenhang van de verschillende ketendocumenten en de onderlinge relaties, is 4. Evaluatie programma 20

23 toets de integrale set aan ketendocumenten buiten het programma door BKWI en IB hierop te laten doorlopen en tevens te toetsen aan de uitkomsten van deze onafhankelijke WBP toets. Zowel de opgeleverde normenkaders, de concept Gedragscode en Protocol als de nog op te stellen aansluitvoorwaarden maken hiervan deel uit. Voor de overige maatregelen geldt dat deze overeenkomstig het programmaplan zijn uitgevoerd, waarbij voor maatregel 6 de kanttekening moet worden geplaatst dat de producten Normenkader Beheer en Normenkader Bronhouders weliswaar zijn opgeleverd, doch thans niet worden vastgesteld; dit heeft echter te maken met het streven alle ketendocumenten te toetsen in onderlinge samenhang. 4.2 Programmaorganisatie Het projectcoordinatorenoverleg binnen het programma is verantwoordelijk voor de overall sturing en stelt de producten vast voor aanbieding aan het Opdrachtgeversberaad. De projectcoordinatoren bewaken hierbij dat de producten in voldoende mate zijn afgestemd en beoordeeld binnen hun eigen domein. De werkgroepstructuur neemt binnen het programma een prominente plaats in voor de analyse van maatregelen en ontwikkeling van producten. De werkgroepen kennen een vertegenwoordiging van tenminste de SUWI partijen. BKWI neemt als opdrachtnemer deel aan de werkgroepen. Met name tijdens de analysefase hebben de werkgroepen een richtinggevende rol gehad. De rol van de werkgroepen bij realisatie is met name bij werkgroep 1 (fijnmazigheid) en 2 (rapportages) aanmerkelijk minder. BKWI speelt immers bij de desbetreffende maatregelen een centrale rol bij de realisatie van de maatregelen. Bij de andere werkgroepen gaan analyse en realisatie veel meer vloeiend in elkaar over en wordt de realisatie ook door de werkgroep zelf opgepakt. Echter, bij de implementatie spelen werkgroepen geen rol meer. De leden van de werkgroepen vertegenwoordigden hun eigen organisatie en waren in veel gevallen afhankelijk van interne besluitvorming binnen de eigen organisatie. Om het benodigde draagvlak te creëren, is deze aanpak zeer wenselijk. Echter, deze vraagt wel meer doorlooptijd, hetgeen soms ten koste gaat van de slagvaardigheid en snelheid. Met name wanneer partijen een verschillend inzicht hebben. Ook de samenstelling (met name de omvang) van de werkgroep is tijdens het programma bepalend gebleken voor de slagvaardigheid en snelheid bij het komen tot het eindproduct. 4.3 Resultaten Hoofdstuk 3 geeft per maatregel een uitgebreide beschrijving van de resultaten. Producten van de werkgroepen zijn allereerst door de leden van de werkgroep afgestemd binnen hun eigen domein / Organisatie. Nadat de leden van de werkgroep met het desbetreffende product hebben ingestemd, werden deze door de trekker van de werkgroep aangeboden aan het projectcoördinatorenoverleg. De projectcoördinatoren beoordeelden het product en toetsten of deze binnen hun Organisatie / domein ook de inhoudelijke goedkeuring 21

24 22 - Maatregel partijen zelf geaccepteerd voor implementatie. Voor de gemeentelijke implementatie heeft dit door KING plaatsgevonden. Hoofstuk 3 geeft, waar dat van toepassing is, bij diverse maatregelen aandachtspunten, issues doorlopen tot Dit betreft: en openstaande acties aan. Voor een aantal maatregelen geldt dat activiteiten nog zullen opdrachtgeversberaad voorgelegd en vastgesteld. De afzonderlijke producten zijn door Programmacommunicatie in afstemming met de werkgroep nader uitgewerkt en worden door programmacommunicatieplan en het awarenessplan als producten aan het Met betrekking tot programmacommunicatie en awareness zijn de kaders voor het beschouwd. 2: Beschikbaarstelling van de online tool ten behoeve van het zelf samenstellen van rapportages. Op basis van een door BKWI te begeleiden pilot, kan beschikbaar). Daarnaast voeren UWV en SVB nog onderzoeken uit naar de toepassing door de partijen zelf aangestuurd. aansturing) belegd bij de staande Organisatie en wordt het verder als reguliere activiteit Op deze wijze wordt de afronding van de resterende activiteiten in 2017 (inclusief de Opdrachtgeversberaad d.d. 21 septemberj.l. zullen partijen onder aansturing van een voorwaardelijke levering zal in 2017 worden afgerond. De projectmatige aansturing - Maatregel - Maatregel een projectvoorstel worden opgesteld voor een verdere uitrol. aan te stellen procesregisseur dit meenemen in een vervolgproces waarbij mede op - Maatregel zal door de partijen zelf worden uitgevoerd in samenwerking met BKWI. 1: Realisatie / verfijning van UWV en SVB pagina s; de aansturing hiervan 3: Aansluitvoorwaarden; overeenkomstig besluitvorming in het worden getoetst en in onderlinge samenhang worden beoordeeld. 9: Beperken toegang tot personen; de realisatie van de modute overleg voorgelegd aan het opdrachtgeversberaad en daar vastgesteld. basis van de uitkomsten van een onafhankelijke WBP toets alle ketendocumenten hiervan vindt door VNG/KING plaats (hiervoor zijn de financiële middelen van de whitelist functionaliteit. Deze onderzoeken en de vervolgactiviteiten worden hebben. Nadat dit heeft plaatsgevonden, werd het product door het projectcoördinatoren

25 5. Na afsluiting programma 5.1 Overdracht programmaproducten naar beheer Bij afsluiting van het programma dient de overdracht van resultaten en producten (inclusief hierop betrekking hebbende documentatie) op een zorgvuldige wijze plaats te vinden. Hierbij is het relevant onderscheid te maken tussen aanpassingen in Suwinet zelf, beleid en awareness. Producten die betrekking hebben op toegenomen functionaliteit in Suwinet kunnen leiden tot hogere beheerkosten voor BKWI. Het betreft hier bijvoorbeeld de uitbreiding van de aantallen pagina s, de aangepaste functionaliteit met het oog op een succesvolle uitrol van de whitelist en de hiermee samenhangende nieuwe rapportagevoorziening (inrichting omgeving voor de online tool). Daarnaast zal ook oplevering van de module voorwaardelijke levering mogelijk leiden tot hogere beheerkosten. In de eerder door BKWI opgeleverde impactanalyses voor de desbetreffende functionaliteit zijn geen extra beheerkosten opgenomen. Het is ook niet zeker dat er daadwerkelijk sprake zal zijn van extra beheerkosten. Vooralsnog wordt voorgesteld de ontwikkeling hiervan te monitoren. In de impactanalyse met betrekking tot de maatregel Rapportages waren wel extra beheerkosten opgenomen. Hier betrof het echter voornamelijk kosten voor extra ondersteuning van gebruikers bij het zelf samenstellen van rapportages. Een uit te voeren pilot geeft een meer onderbouwd inzicht in de extra kosten hiervoor op basis waarvan besluitvorming kan plaatsvinden over een verdere uitrol. Voor een aantal programmaproducten geldt dat deze geen betrekking hebben op beheertaken van BKWI; het is een verantwoordelijkheid van de partijen zelf om hier invulling aan te geven. Het betreft hier de beleidsvoorstellen rond sanctiebeleid (maatregel 5), richtlijnen met betrekking tot telewerken (maatregel 7) en de analyse met betrekking tot de gevoeligheid van gegevens (maatregel 10). Voor de gerealiseerde awareness producten (maatregel 4) geldt dat deze door BKWI in beheer wordt genomen, wanneer deze een ketenbreed karakter hebben. Programmaproducten die, naast de Suwinet aanpassingen zelf, wel onder de beheertaken van BKWI vallen, betreffen de handreiking zoeksleutels (maatregel 8) en de handreiking whitelist (maatregel 9). Daarnaast vallen uiteraard ook de aansluitvoorwaarden, verantwoordingsrichtlijn en normenkaders (maatregelen 3 en 6) onder de beheertaken van BKWI. Echter, de wijze waarop de rol wordt ingevuld, verandert voor BKWI en wellicht ook voor IB (tekenen gewijzigde aansluitvoorwaarden door partijen, opstellen samengestelde rapportage op basis van (ENSIA) transparantiegegevens), waardoor ook de werklast kan wijzigen. In hoeverre dat aan de orde is zal helder worden, wanneer in 2017 meer duidelijk is over met name de wijze waarop met de verschillende ketendocumenten dient te worden omgegaan en de invulling van de aansluitvoorwaarden. De verankering van het beheer van beleidsdocumenten dient plaats te vinden door het opnieuw in leven roepen van de domeingroep Privacy en Beveiliging. Besluitvorming over de nieuwe samenstelling van deze domeingroep dient nog plaats te vinden. BKWI zal een voorstel indienen voor het opnieuw opstarten van de Domeingroep Privacy en Beveiliging. 23

26 De effectiviteit van maatregeten dient te worden onderscheiden van de mate waarin de de VNG, aangezien hier ook de programmaorganisatie is gepositioneerd; het voorstel is deze 24 Maatregel 1 Aantallen autorisaties op brede pagina s Maatregel 2 Aantallen opvragingen rapportages Maatregel 3 Nader te bepalen Maatregel 4 Aantallen incidenten Maatregel 5 Aantal gevallen oneigenlijk gebruik Maatregel 6 Meting ENSIA Maatregel 7 Meting ENSIA Maatregel 8 Aantallen autorisatie afwijkende zoeksleutels Maatregel 9 Aantallen in caseload van medewerkers Maatregel 10 N.v.t. e-learning module opgelegde sancties. Aantal V Doorlopen Enquete onderzoek De documentatie van de programmaorganisatie (van opgeleverde en vastgestelde producten gaat bijvoorbeeld om stukken welke aan het Opdrachtgeversberaad BKWI worden Pas na de implementatie kan worden vastgesteld hoe effectief de maatregelen zijn; het meten van de effectiviteit is derhalve geen onderdeel van het programma (buiten de scope). op basis waarvan effectiviteit kan worden gemeten. Het overzicht dient niet te worden 5.2 Programmadocumentatie en archivering Documentatie aangaande het programma wordt in diverse gremia gedeeld en beheerd. Het voorgelegd. Maar stukken van het programma worden ook gedeeld binnen overleggremia desbetreffende documenten ligt uiteraard bij deze gremia zelf. binnen de betrokken organisaties. De verantwoordelijkheid voor het beheer en opslag van de tot urenverantwoordingen, voortgangsrapportages en subsidietoekenningen) bevindt zich bij documentatie bij VNG te archiveren. 5.3 Effectiviteit maatregelen maatregelen daadwerkelijk zijn geimplementeerd. Bij effectiviteit gaat het om de mate waarin daadwerkelijk met de maatregelen de doelstellingen worden behaald. Aangezien de implementatie doorloopt tot in 2017, is het meten van de effectiviteit pas mogelijk vanaf gezamenlijk op te pakken. Het bepalen van (meetbare) criteria op basis waarvan de effectiviteit kan worden bepaald, is niet eenvoudig. VôorgesteÏd wordt een onderzoek naar effectiviteit van de maatregelen hiervan wordt in het onderstaande overzicht per maatregel een suggestie gedaan voor criteria beschouwd als vaststaand, aangezien haalbaarheid en meerwaarde voor elk van de organisaties dient te worden bepaald. Als doelstelling van het programma kan worden gedefinieerd een veilige uitwisseling van gegevens; in het programmaplan wordt per maatregel de doelstelling beschreven, Op basis

27 Voor het kunnen meten van de effectiviteit met betrekking tot de maatregelen op basis van bovengenoemde criteria, is het noodzakelijk om te beschikken over meetgegevens voor en na implementatie. Indien wordt besloten deze criteria te hanteren, dienen gegevens door elk van de organisaties te worden verzameld en vastgelegd. 5.4 Communicatie afsluiting programma Communicatie over de afsluiting van het programma dient plaats te vinden aan alle betrokkenen, zowel intern als extern De informatie die in dit verband wordt verstrekt, omvat - Omschrijving De programmaorgamsatre De centrale programmaorgarnsatie heeft als taak gehad de gezamenlijke analyse en realisatie van programmamaatregelen Deze activiteit is nagenoeg afgerond. Naar aanleiding hiervan zal worden gecommuniceerd dat de programmaorganisatie per 1 januari 2017 zal worden ontbonden. Aan het programma en de onderliggende werkgroepen is decharge verleend. van de in 2017 nog af te ronden activiteiten en hoe deze worden opgepakt. - Toelichting op de implementatietrajecten: hiervoor zijn partijen zelf verantwoordelijk en maakt geen deel uit van het programma. Communicatie zal zich extern richten op alle bij het programma betrokken organisaties (inclusief afzonderlijke gemeenten, bronhouders, beroepsorganisaties, etc.). Vanuit het programma zal een bericht hiervoor worden opgesteld dat via de programma nieuwsbrief zal worden verspreid; het bericht wordt tevens beschikbaar gesteld aan UWV en $VB voor interne communicatie hierover. 25

28 26 regelgeving vraagt doorgaans een maatregelen vertraging ontstaan of de focus verschuiven transparantie niet tijdig worden waargemaakt Door vertraging van ENSIA kunnen verwachtingen omtrent II Onderlinge samenhang tussen maatregelen aangepast. betr. wet- en regelgeving is veel gevallen een grote Kan meerdere jaren bestrjken Kan leiden tot druk op programma lange doorlooptijd, terwijl er in om maatregelen op te schorten tot Aanpassing van wet- en samenhang is met diverse Aanpassingen vragen onderzoek! voorbereiding en behandeling inzicht in aanpassingen [)e samenhang die er is tussen druk staan proberen de verschillen scherp te krijgen en alsnog tot elkaar te komen geleverd de verwachtingen worden bij onvoldoende afstemming kan meer tijd vragen, partijen van EN SlA tijdig overeenkomstig zelfs kan conilicteren zijn SUWI partijen afhankelijk van SZW van belang is wel dat de producten relaties tussen maatregelen en andere onvoorziene zaken kan liet binnen het programma opererende oplossingen optimaal op elkaar aansluiten en elkaar versterken; combinatie van gekozen oplossingen minder effectief is en knnsbcstuiving te kunnen worden bewerkstelligd diverse maatregelen, vereist dat treedt het gevaar op dat de bereiken van de doelen, ook kan kwaliteit van producten onder t.ang besluitvormingstraject realisatie maatregelen later; voor conform dc ENSIA lijn inrichten, doorlooptijd en mogelijk niet t Door complexiteit, niet voorziene [)it kan leiden tot langere verantwoording en rapportage financiering en keuze voor verschillende oplossingen, start Gemeenten willen hun De uitwerking van maatregelen te maken voor het programma bewaken korte termijn oplossingen en structurele! kostbaarder Om besluitvorming over te maken keuzes niet onnodig bekend is en hierop actie kan worden genomen ENStA er uit zien te laten vertragen, dienen verschillen van mening / te zijn om ook helder te hebben hoe de producten van Er dient voldoende inhoudelijke afstemming met ENSIA De voortgang van ENSIA dient goed te worden de benodigde financiële middelen Door samenstelling san de werkgroepen dient voldoende Korte communicatielijnen tussen werkgroepen, onafhankelijk maken van aanpassing van wet- en regelgeving op basis van vastgestelde consequenties en Afhankelijkheden tussen maatregelen dienen vooraf te projectco&dinatorenoverleg dient de samenhang te projecteoördinatoren, programmanianagement en SZW Onderscheid tussen toekenning financiele middelen voor discussiepunten in een eerder stadium aan het Opdrachtgeversberaad te worden voorgelegd om tot bindende financiële regeling te komen, voor basis proces zo voortvarend mogelijk te kunnen oppakken impact worden vastgesteld en helder te zijn voor alle Indien nodig tussentijdse besluitvorming, heldere BZK inzake aanpassing van Wet- en regelgeving, om dit lijdens programma ontstaat Intensieve samenwerking / afstemming met SZW en Implementatie van maatregelen waar mogelijk betrokkenen. dienen signalen op dit punt zo spoedig mogelijk helder kaderstelling en duidelijke procedures Intensiveren van overleg tussen StJWI partijen en SZW realisatie+ implementatie maatregelen oplossingen gemonitored, opdat vertraging zo spoedig mogelijk 1. besluitvorming. verschillen tussen de partijen Er manifesteren zich meer Start realisatiefase duurt langer, door onzekerheid in financiering! 1) BIJLAGE A - RISICO OVERZICHT OMÇflê iuercelen P

29 Algemene basisteksten en beelden ibewustzijnoverheldnl Doelgroep Gereedfopgeleverd Basisteksten gericht op bewustwording Alle Ontwikkeling filmpjes mcl briefing, script, afstemming begeleiding etc (improvisatie cabaret met Alle voorbeelden gericht op bewustwording) Ontwikkeling nieuw filmmateriaal op basis van voorbeelden van gemeenten Alle Beeldmateriaal (ontwikkelen nieuwe beelden, aanpassen bestaande beelden, ontwikkeling Alle 01 en cartoons) gericht op bewustwording Basistekst factsheets gericht op bewustwording Alle Gadget/Gimmick aangepaste BKWI kalender Alle Gouden regels gericht op bewustwording Alle Factsheets gericht op bewustwording Alle Sprekende one liners gericht op bewustwording Alle Ontwikkeling nieuw materiaal Alle webinars (begin/einde campagne) interactieve dialoog over het onderwerp Alle Kennis, ervaring en best pratices delen Communicatieadviseurs (nieuwe materialen) Awaress bijeenkomsten privacy en veilig gebruik Suwinet Directeuren en managers 5-feb-16 BIJLAGE B Communïcatîematrix awareness Ontwikkeling en aanpassingen materialen ihkv implementatie 03 en Toolkit programma Suwinet op ibewustzijnoverheid.nl M;1IN TWLJ1.i-h J1tI

30 $ Workshop Workshop workshop Workshop 6 veilig bijeenkomsten uitgaande van veilig gebruik VlAG congres gebruik Suwinet najaarscongres ism Divosa tot Divosa combi bewustwording en vakmanschap (locatie, catering etc, personen) Themabijeenkomsten awareness (veilig l&a 7-nov-16 Directeuren en managers 17-nov-16 Alle , 01 en gebruik Suwinet) gemeenten Managers en securtity officers Inzet sociale media en blog i-bewustzijnoverheid.nl Doelgroep Blog Peter van der Zwan programmamanager Blog Wijnand Helmen projectleider implementatieteam Blog Jasja van lifvill. veilig gebruik Suwinet 360 graden congres Medewerkers van gemeenten, overheden en 20-feb-16 publieke organisaties Ark VNG Alle Actuele onderwerpen bewustwording Alle jan-16 Alle 18-jul Alle 26-aug VNG Weekoverzicht,-,.e Binnenlands bestuur Bestuurders ibestuur Bestuurders 02 en FAM0 website en (online) magazine Alle IBD ICTU KING SVB UWV VGS VlAG website en (online) magazine website en (online) magazine (online) kanalen website en (online) magazine website en (online) magazine website en (online) magazine website en (online) magazine Alle Alle Alle Alle Alle Alle Alle ci t/m 04 Q4 Q en en 03 02, 03 en t/m t/m Suwirapportage Alle * Budget is later aangevraagd en toegekend waardoor ook het grootste deel van de activiteiten een aantal kwartalen later moest worden gepland

31 syyé, Onderwerp: 2-pager resultaten Programma Borging Veilige Gegevensuitwisseling via Suwinet In oktober 2014 is het Programmaplan Borging Veilige Gegevensuitwisseling via Suwinet (BVGS) opgesteld. In dit Programmaplan hebben de VNG/gemeenten, SVB en UWV een samenhangend pakket aan maatregelen geformuleerd om de beveiliging en privacy van gegevensuitwisselingen die via Suwinet lopen, nog beter te borgen. De maatregelen uit het Programmaplan bouwen voort op bevindingen en aanbevelingen van onderzoeken van de Inspectie SZW ( De burger bediend in 2013 ) en een Privacy Impact Assessment (2014). De aanbevelingen en bevindingen uit deze onderzoeken zijn nadrukkelijk meegenomen in de genomen stappen om het vertrouwen in de veiligheid van Suwinet te herstellen. Onderverdeeld in vier clusters van maatregelen, heeft het programma BVGS zich gericht op: 1) een meet fijnmazige autorisatiestructuur en verbetering van de logging en gebruikersrapportages; 2) de ontwikkeling en vaststelling van een gedragscode, protocol en aansluitvoorwaarden voor Suwinet en de uitvoering van een ketenbrede awareness campagne; 3) onderzoeksmaatregelen gericht op de vraag of en op welke wijze richtlijnen en beleid moeten worden aangepast (bijvoorbeeld het sanctiebeleid of de herijking van gehanteerde normenkaders), en; 4) nadere maatregelen voortbouwend op de categorie 1 maatregelen. Bij deze nadere maatregelen kan gedacht worden aan een verdere aanscherping om gehanteerde zoeksleutels die medewerkers gebruiken zo veel mogelijk te beperken tot BSN. Als zoekcriteria mag alleen van het BSN worden afgeweken (bijvoorbeeld zoeken op adres of postcode ) als dit strikt noodzakelijk is voor het werk. Ook is gekeken naar of en hoe de toegang van gebruikers tot Suwinet zo veel mogelijk kan worden beperkt tot de BSN s die noodzakelijk zijn. Verder is gekeken naar beveiligingsvereisten bij gegevens van een hogere risicoklasse (bijvoorbeeld medische gegevens). Inmiddels hebben de Suwipartijen er samen voor gezorgd dat de gegevenslevering proportioneler is ingericht. Dat betekent dat medewerkers zo veel mogelijk alleen de gegevens zien die strikt noodzakelijk zijn voor de uitoefening van hun wettelijke taken. De Suwinet-pagina s die medewerkers te zien krijgen, zijn voor gemeenten al fîjnmaziger ingericht, zodat geen gegevens getoond worden die niet relevant zijn. Via een whitelist krijgen gemeentelijke medewerkers alleen toegang tot de clienten die bij de eigen gemeente horen. De uitvoeringsorganisaties zullen op korte termijn ook werken met steeds fijnmazigere Suwinet-pagina s. Ook is er een gemeenschappelijk veiligheidsniveau gedefinieerd. De gehanteerde veiligheidsnormen voor het gebruik van Suwinet zijn aangescherpt en in lijn gebracht met bredere overheidsnormen, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Baseline Informatiebeveiliging Gemeenten (BIG). De veiligheidsnormen gaan in op tal van zaken die te maken hebben met een zorgvuldig en verantwoord gebruik van (persoons)gegevens, zoals normen met betrekking tot een zo proportioneel mogelijke raadpleging van gegevens of eisen met betrekking tot het opstellen van rappoftages en de controle hierop. Dit laatste is een belangrijk aandachtspunt. Bij gevallen waar sprake is van misbruik of oneigenlijk gebruik van gegevens, kan nu sneller en gerichter controle, monitoring en handhaving plaatsvinden. Rappoftages voor controle zijn sneller beschikbaar en

32 benadrukken. Dit zijn maatregelen om te komen tot een gedragsverandering, een groter besef van overheidsdienstverlening. bronhouders, intermediairs en afnemers duidelijker te definiêren. Naar verwachting wordt deze maatregel in 2017 afgerond door een herijkte set ketendocumenten, nieuwe normenkaders en een doorzetten in 2017, dat in het teken staat van het structureel borgen van de programma het vervolgonderzoek hierop in 2016) blijkt verder dat er al sprake is van een substantiële verbetering in de beveiliging van persoonsgegevens via Suwinet. Deze beweging zal zich ook SZW bij gemeenten (onderzoeksrapport Suwinet, Veilig omgaan met elkaars gegevens, 2015, en de gevoeligheid van persoonsgegevens waarmee wordt gewerkt en een betrouwbaardere digitale de genoemde maatregelen robuust in te voeren en de dynamiek van de omgeving in de sector werk en inkomen, sorteren de genomen maatregelen al effect. De Suwipaftijen hebben samen met nieuwe Algemene Verordening Gegevensbescherming. Uit onderzoeksrapporten van de Inspectie ook te maken heeft met gedrag, is ook sterk geïnvesteerd in zaken als bewustwording. Er zijn betere borging van informatiebeveiliging en privacy niet een uitsluitend technische kwestie is maar awarenesscampagnes opgestart om het belang van een zorgvuldige omgang met gegevens te geven de betreffendé overheidsorganisatie een beter beeld van mogelijke risico s. Omdat een Inmiddels zijn we bijna 2,5 jaar verder. Ondanks de grote complexiteit van de vraagstukken op het gebied van informatiebeveiliging en privacy, de benodigde intensieve ketenbrede afstemming om het Ministerie van SZW de eerste stappen gezet om de governance en verantwoordelijkheden van voorstel hoe naar aanleiding hiervan wet- en regelgeving te herijken, mede in samenhang met de activiteiten in de afzonderlijke organisaties.