RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding Medewerkers van Sociale Zaken beschikken over de mogelijkheid om gegevens van klanten te controleren via Suwinet Inkijk. Via deze applicatie kunnen gegevens van Sociale diensten, het UWV WERKbedrijf en partners onderling worden bekeken. In het kader van de beoordeling of conform de voorschriften en afspraken wordt gewerkt is een audit uitgevoerd naar de naleving van de voorschriften. Het resultaat hiervan is vastgelegd in een rapportage. De rapportage bestaat uit vier delen. Onderstaand wordt aangegeven welke dat zijn. - Algemeen (deel 1 van deze rapportage) - Wetscontrol (deel 2) - Samenvattingen en conclusies (deel 3) - Bespreking en vaststelling rapportage (deel 4) Met betrekking tot de inhoud van de diverse delen, wordt verwezen naar het korte voorwoord dat bij ieder deel is opgesteld. Opmerkingen *Overeenkomstig de Wet op de Ondernemingsraden is op 22 september 2009 instemming gevraagd voor dit onderzoek aan de Ondernemingsraad (OR). Op 27 oktober 2009 heeft de OR toestemming gegeven om dit onderzoek periodiek uit te voeren met als advies om in algemene bewoordingen de resultaten van dit onderzoek aan de medewerkers terug te koppelen. *In de nieuwsbrief van september 2012 is het voorgenomen onderzoek naar het gebruik van Suwinet door medewerkers over twee willekeurige maanden aangekondigd. *In de nieuwsbrief van januari 2013 wordt het resultaat vermeld. Hiermee is aan het advies van de Ondernemingsraad voldaan. Deel 1. Algemeen In dit algemene deel van deze rapportage wordt aandacht geschonken aan het doel van de audit (paragraaf 1.1) en de uitgangspunten die bij het uitvoeren van de audit zijn toegepast (1.2). In paragraaf 1.3 is aangegeven op welke massa de aselecte steekproef is uitgezet en hoe groot de omvang van de steekproef is. 1.1 Doel van de audit Het doel van deze uitgevoerde audit is het in kaart brengen van de mate van rechtmatigheid van het gebruik van opvragingen via Suwinet door daartoe geautoriseerde gebruikers van de Sociale Dienst. Iedere Suwipartner heeft de verplichting om aan de hand van de periodieke rapportage - met login-gegevens - te controleren of het gebruik van Suwinet-Inkijk plaatsvindt binnen de wettelijke kaders. 1
Aan de hand van de bevindingen worden zonodig aanbevelingen gedaan, die er op zijn gericht de geconstateerde (structurele) tekortkomingen weg te nemen. 1.2 Uitgangspunten bij het uitvoeren van de audit Er gelden diverse uitgangspunten bij het uitvoeren van de audit. Over de wettelijke onderdelen (zie deel 2 wetscontrol ) wordt aan het Managementteam van Sociale Zaken verantwoording afgelegd. De oordeelsvorming die in deze rapportage plaatsvindt is gebaseerd op de richtlijnen die in artikel 13 Wet Bescherming Persoonsgegevens staan vermeld en waarin is bepaald dat de Suwipartijen maatregelen moeten nemen om persoonsgegevens te beveiligen tegen onrechtmatige verwerking en gebruik. Eén van de maatregelen is uitgewerkt in de Regeling SUWI. Volgens de regeling is het BKWI (Bureau Keteninformatisering Werk en Inkomen) verplicht gegevens te loggen waarmee het gebruik van iedere gebruiker van Suwinet-Inkijk kan worden nagegaan. Iedere Suwipartner heeft de verplichting om aan de hand van de periodieke rapportage met logingegevens te controleren of het gebruik van Suwinet-Inkijk plaatsvindt binnen de wettelijke kaders. 1.3 Massa en steekproefomvang Om een uitspraak te kunnen doen over het juiste gebruik van Suwinet Inkijk bij de dienst is een onderzoek verricht over de maanden augustus en oktober 2012. Hoe is het onderzoek gedaan? Bij het BKWI (Bureau Keteninformatisering Werk en Inkomen) is een bestand opgevraagd met alle gedane opvragingen van bekende en onbekende klanten - in Suwinet in de maanden augustus en oktober 2012. In dit bestand is herleidbaar welke medewerkers de opvragingen hebben gedaan. Door de functioneel beheerder van de afd.automatisering is de lijst met opgevraagde BSNnummers vervolgens gekoppeld aan de tabel met alle in GWS4all bekende BSN-nummers van alle cliënten en ex-partners. Het resultaat hiervan is, dat er inzicht is in het aantal opgevraagde BSN-nummers van bekende en van onbekende klanten. Bij de opvragingen van onbekende klanten is het onrechtmatig gebruik van Suwinet het eenvoudigst vast te stellen, vandaar dat het onderzoek zich daarop heeft gericht. Na matching van beide bestanden blijkt, dat in augustus en oktober 2012 van 331 onbekende klanten BSN-nummers door medewerkers zijn opgevraagd. Na de steekproef (1 op 4) zijn in beide maanden totaal 82 BSN-nummers van onbekende klanten onderzocht. 1.4 Gehanteerde norm bij BSN-nummers van onbekende klanten. Gelet op het grote risico bij onrechtmatig gebruik van de persoonsgegevens van Suwinet in relatie tot het gebruik ervan in het bijzonder bij BSN-nummers van onbekende klanten, is gekozen voor de hoge risiconorm van 99%. Hierbij wordt aangesloten bij de norm die ook geldt voor onrechtmatig gebruik van de Wet Werk en Bijstand. 2
Deel 2. Wetscontrol In dit deel van deze rapportage zal worden gerapporteerd over de bevindingen die zijn geconstateerd op het onderdeel wetscontrol. De bevindingen hebben betrekking op de wettelijke onderdelen. In paragraaf 2.1 is vermeld aan welke brondocumenten is getoetst. In paragraaf 2.2 worden de bevindingen besproken. In paragraaf 2.3 wordt het resultaat van het onderzoek vermeld. Tenslotte wordt in paragraaf 2.4 de kwalificatie van het onderzoek vermeld. 2.1 Brondocumenten wetscontrol Bij de uitvoering van de audit op het gebruik van Suwinet-inkijk is in het kader van wetscontrol getoetst aan de onderstaande brondocumenten. - Wet Bescherming Persoonsgegevens - Wet SUWI - Besluit SUWI 2.2. Bevindingen onderzoek. In deze paragraaf worden de bevindingen van het onderzoek weergegeven. Voorafgaand aan het onderzoek is het aantal onbekende klanten bij Sociale Zaken per unit geselecteerd en in onderstaand schema zijn deze opvragingen verdeeld naar de teams, vermeld. Afd. Aantal opvragingen A & FB 34 BK 6 CA 11 Deb 18 KIC 5 Specials 13 SR 141 TI 55 Werk 25 ZI 23 Eindtotaal 331 Hierbij is het volgende vastgesteld: 141 Opvragingen van BSN-nummers van onbekende klanten vinden plaats bij de Sociale Recherche. Deze score is te verklaren omdat de Sociale Recherche in het kader van fraudebestrijding de gegevens moet natrekken van bijvoorbeeld inwonende personen, partners etc. Het kan voor komen dat de gecontroleerde personen geen uitkering (hebben) aangevraagd of ontvangen en derhalve ook niet in GWS4all staan vermeld. De resterende opvragingen van BSN-nummers van onbekende klanten vinden plaats bij diverse teams binnen de dienst en deze opvragingen zijn niet herleidbaar naar een bepaalde uit te voeren (incidentele) taak van een team tijdens de onderzoekperiode, zoals dat bij de Sociale Recherche 3
het geval is. Het onderzoek is vervolgens gericht op de 331 opgevraagde BSN-nummers van onbekende klanten (inclusief die van de Sociale Recherche) in augustus en oktober 2012. Uit deze opgevraagde BSN-nummers is een a-selecte steekproef genomen (1 op vier), waarbij gebruik is gemaakt van het steekproefgeleideformulier sturing en verantwoording. In dit onderzoek is nagegaan of de medewerker zijn eigen Suwinet-gegevens heeft opgevraagd, danwel die van collega s of familieleden (broers,zussen,(ex)-partners) en medebewoners. 2.3 Resultaat onderzoek. Zoals hierboven vermeld is voor het onderzoek een a-selecte steekproef genomen van de opvragingen van onbekende klanten door gebruikers van Suwinet van Sociale Zaken in de maanden augustus en oktober 2012. In deze periode zijn 331 BSN-nummers van onbekende klanten opgevraagd. Uit de steekproef en het onderzoek van 82 gevallen (dit is 25%) zijn geen onrechtmatige opvragingen in voormelde periode vastgesteld. De gestelde norm voor dit onderzoek is vastgesteld op 1%. In dit onderzoek wordt deze norm niet overschreden. 2.4 Totaaloordeel kwaliteit wetscontrol Kwalificatie onderzoek t.a.v. BSN-nummers van onbekende klanten: voldoende Deel 3 Samenvattingen en conclusies In dit derde deel van deze rapportage is een samenvatting en zijn conclusies opgenomen over het onderdeel wetscontrol (paragraaf 3.1 3.1 Samenvatting conclusie en aanbevelingen onderdeel wetscontrol Samenvattend kan over het onderdeel wetscontrol worden gesteld dat er geen tekortkomingen zijn geconstateerd op de rechtmatigheid. Gelet op de vermelde bevindingen kan geconcludeerd worden, dat bij Sociale Zaken het gebruik van Suwinet-Inkijk plaatsvindt binnen de wettelijke kaders (art. 13 van de Wet Bescherming Persoonsgegevens) Concluderend wordt het volgende gesteld. Met betrekking tot wetscontrol is er uit de steekproef van totaal 82 gevallen géén tekortkoming geconstateerd. De volgende aanbevelingen worden gedaan: 1)Het cijfermatige resultaat van de Suwinet-audit opnemen in de eerstvolgende nieuwsbrief; 2)Het volgende onderzoek naar de rechtmatigheid van het gebruik van Suwinet-inkijk te doen in juli 2013 over de maanden maart en april 2013. 4
Deel 4 Bespreking en vaststelling rapportage 4.1 Bespreking rapportage Deze rapportage is d.d..besproken in het MT. De in de rapportage beschreven bevindingen en conclusies zijn onderschreven. 4.2 Vaststelling rapportage Vaststelling Deze memo is ter vaststelling voorgelegd aan de direkteur Sociale Zaken Dhr. ing. Besluit direkteur Wel/niet overgenomen Datum behandeling Paraaf dhr. ing. Middels het paraferen van deze memo zijn de documenten vastgesteld. Advies en financieel beheer 9 januari 2013 5