Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Vergelijkbare documenten
Handreiking Nieuwe Suwi Autorisaties

Toegangsrechten voor Suwinet-Inkijk

Toegangsrechten voor Suwinet-Inkijk

Technische oplossingen voor een veilig gebruik van Suwinet. Zwolle, 20 april 2017

Toegangsrechten voor Suwinet-Inkijk

Handreiking gebruik Zoeksleutels in Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

Toegangsrechten voor Suwinet-Inkijk

Handreiking Gebruik Zoeksleutels in Suwinet-Inkijk

Vraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd?

Handreiking Whitelist en Escapefunctie Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

Handreiking Whitelist en Escapefunctie op Suwinet-Inkijk voor gemeentelijk domein Werk en Inkomen

Toegangsrechten voor Suwinet-Inkijk

BRONPAGINA OVERZICHTSPAGINA ZOEKPAGINA OVERIGE. Terugvordering&Verhaal. Kostendelerstoets. Rechtmatigheid+ Re-integratie.

Toegangsrechten voor Suwinet-Inkijk

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Vragen en antwoorden whitelist en escapefunctie

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Maak optimaal gebruik van de nieuwe gemeentelijke gebruikersrapportage Suwinet

Handreiking Gebruikersrapportage Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

Handreiking Gebruikersrapportage Suwinet-Inkijk voor het gemeentelijk domein Werk en Inkomen

Aan welke eisen moet het beveiligingsplan voldoen?

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

uw kenmerk ons kenmerk ECSD/U Lbr. 15/066

Informatie over logging gebruik Suwinet-Inkijk

i\ r:.. ING. 1 8 FEB 2016

Beveiligingsplan Suwinet Gemeente Oegstgeest

Verbeterplan Suwinet

Gebruiker zonder rol weer zichtbaar in gebruikersadministratie

College bescherming persoonsgegevens

Introductie Suwinet en ENSIA

2015; definitief Verslag van bevindingen

Norm 1.3 Beveiligingsplan

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Release bevat 1 algemene wijziging, 3 wijzigingen voor gemeenten, 1 voor UWV en 1 voor DUO.

Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk

Knoppenmodel Transparantie naar burger Toekomstvisie

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle

rliiiiihihhiiiivi.ilhn

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Periodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Woudenberg

Autorisaties en toelichting

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Eindhoven

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Zutphen

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010

il'-'ih'li-l'li'-ihih

Handleiding Suwinet-Inkijk Gebruikersadministratie

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

In dit informatiebulletin zal worden ingegaan op een specifiek onderdeel van de nieuwe fraudewet, namelijk het Frauderegister.

Beveiligingsnota Suwinet 2014

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

illinium i ui /12/2013

Beveiligingsplan. SUWI inkijk. Gemeente Boxtel / Gemeente Haaren

Toelichting op gegevens van de Belastingdienst

Release Suwinet-Inkijk versie 14.06

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

Handreiking Suwinet Attentiepunten en illustrataties

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

r'h'hil-lli'h'i'-i'l-ll-ll-ll

College bescherming persoonsgegevens

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Baarle-Nassau

Toelichting Suwinet-Inkijk

Procedure aansluiting Suwinet Services

College bescherming persoonsgegevens

Handreiking Wlz-Registertoets

College bescherming persoonsgegevens

Rekenkamercommissie Brummen

Inhoud. Beveiligingsbeleid Suwinet 2017 gemeente Heerde Pagina 2 van 18

Verantwoordingsrichtlijn

Handreiking Wlz-Registertoets

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

Vanwege de grote bijlage zal het Overzicht Suwinet Normenkader 2017 afzonderlijk worden toegevoegd.

Vanwege de grote bijlage zal het Overzicht Suwinet Normenkader 2017 afzonderlijk worden toegevoegd.

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Heerenveen

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Nunspeet

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Het kan makkelijker!

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Informatie over het gebruik van Suwinet-Inkijk door gemeentelijke belastingdeurwaarders. Datum Versienummer Auteur BKWI afdeling K&A

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Informatie over het gebruik van Suwinet-Inkijk door gemeentelijke belastingdeurwaarders.

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober Inleiding

Veilig gebruik Suwinet 2013

FO Gebruikersadministratie

Handleiding Gegevensuitwisseling via de Portal Inburgering voor gemeenten. Participatieverklaringstraject en maatschappelijke begeleiding

Handreiking gebruik escape. Voor (I)GSD-en die gebruik maken van de whitelist op Suwinet

Beveiligingsplan Suwinet gemeente Bunschoten 2016

Transcriptie:

Handreiking Suwi autorisaties voor het gemeentelijk domein Werk en Inkomen Versie 2.0 mei 2019

Inhoud 1. Inleiding... 3 2. Doel... 3 3. Zoeksleutels... 3 4. Wat moet de gemeente doen?... 4 4.1. Voorbereidend: inventarisatie en aanpassing... 4 4.2. Implementatie: vaststellen en toekennen van de autorisaties... 5 4.3. Beheer en controle... 6 5. Communicatie over proportionaliteit... 7 2/7

1. Inleiding Het via Suwinet uitwisselen van gegevens tussen gemeenten, SVB, UWV en andere bronnen is om meerdere reden noodzakelijk. Allereerst om burgers beter te kunnen helpen en ten tweede om fraude of misbruik te voorkomen. De persoonsgegevens die via Suwinet worden uitgewisseld zijn zeer privacygevoelig. Daarom is het van belang dat gebruikers zorgvuldig met de gegevens die via het systeem worden uitgewisseld omgaan. In de praktijk gaat dat niet altijd goed. Een maatregel om dat te bereiken is het verbeteren van de autorisatiestructuur. Een fijnmaziger structuur betekent dat de afstemming tussen de gegevenslevering en de informatiebehoefte van de professional wordt verbeterd (verfijnd). Daarmee wordt voorkomen dat ambtenaren gegevens onnodig raadplegen of meer gegevens onder ogen krijgen dan echt nodig is. Alle gemeenten moeten hun Suwinet-autorisaties inrichten volgens een fijnmazige autorisatiestructuur in een autorisatiematrix. Wat houdt dat in? Welke werkzaamheden brengt dat met zich mee? Daarover gaat deze handreiking. 2. Doel Een fijnmaziger autorisatiestructuur bevordert proportionaliteit van gegevenslevering en gaat daarmee overmatig gegevensgebruik tegen. De toegang tot gegevens wordt beter afgestemd op wat voor de uitoefening van een taak noodzakelijk is. Niet meer en niet minder. Naast een fijnmaziger autorisatiestructuur vergt dit uiteraard ook een juist gebruik van zoeksleutels. Deze handreiking is geschreven voor de situatie bij gemeenten. De andere ketenpartijen, SVB en UWV zijn zelf verantwoordelijk voor het treffen van maatregelen ter bevordering van een adequaat autorisatiebeleid. 3. Zoeksleutels Persoonsgegevens zijn in principe alleen op te vragen via het BSN van de betreffende burger. Maar voor enkele bronnen kan of moet dat met een andere zoeksleutel. Zo werkt het Suwi Bedrijvenregister niet met het BSN en zijn er bij de RDW mogelijkheden om gegevens op te vragen buiten het BSN om, bijvoorbeeld via kenteken of adres. Hiervoor zijn speciale zoekpagina s ingericht. Zoeken naar persoonsgegevens anders dan op BSN, zijn risicovolle autorisaties. Het advies is om deze beperkt toe te kennen. Medewerkers moeten voor deze zoekpagina s apart worden geautoriseerd. Voor het omgaan met de zoeksleutels anders dan BSN is een aparte handreiking beschikbaar. 3/7

4. Wat moet de gemeente doen? Bij het (her)ijken van het autorisatiebeleid van de gemeente, is het van belang dat de gegevenslevering aan medewerkers in lijn is met de door hun functie ingegeven gegevensbehoefte. Zo is het voor medewerkers die alleen re-integratie doen niet noodzakelijk om ook inkomensgegevens te kunnen inzien. Door strikt te autoriseren voor alleen de noodzakelijke gegevens voor de uitvoerende taken wordt de gegevenslevering proportioneel. Via de webapplicatie Suwinet-Inkijk worden gegevens uit verschillende bronnen 1 opgevraagd. De bronhouder bepaalt per wettelijke taak welke gegevensset aan welke organisatie mag worden geleverd. Die gegevens worden getoond op de inkijkpagina s van Suwinet-inkijk. Deze inkijkpagina s bestaan uit bronpagina s en overzichtspagina s: - Bronpagina: toont de gegevens van één bron - Overzichtspagina: combineert gegevens van verschillende bronnen Op de website van het BKWI kunt u in het document Overzicht Autorisaties op Suwinet-Inkijk voor GSD vinden welke pagina s beschikbaar zijn en welke gegevens die pagina s bevatten. Daarbij worden ook suggesties gedaan voor welk soort uitvoerende taken de pagina s bedoeld zijn. De werkzaamheden m.b.t het autoriseren zijn incidenteel en structureel van aard: 1. Voorbereiding (incidenteel): a) Inventariseren van de bestaande autorisaties door gebruikersbeheerder b) Opstellen van een nieuwe autorisatiematrix door gebruikersbeheerder en Security Officer (SO) aan de hand van functies en taken binnen de organisatie. 2. Implementatie (incidenteel): a) Vaststellen van de nieuwe autorisatiematrix door het MT b) Toekennen van autorisaties aan medewerkers door gebruikersbeheerder 3. Beheer en controle d.m.v. opvragen rapportages (structureel) a) Door management, SO en/of gemandateerde functionaris. 4.1. Voorbereidend: inventarisatie en aanpassing Een belangrijke maatregel die u moet nemen is het opstellen of aanpassen van de autorisatiematrix. In een autorisatiematrix staan de functies van een medewerker, en tot welke gegevens een specifieke functie toegang heeft. Dit betekent dat na inventarisatie van de situatie per functie moet worden vastgesteld welke Suwinet-pagina s gebruikt mogen worden en welke zoeksleutel daarbij mag worden gehanteerd. Dit is uiteraard afhankelijk van de taken die aan de betreffende medewerkers worden opgedragen. In sommige situaties vragen medewerkers meer gegevens op dan voor de uitvoering van hun taak op dat moment nodig is. Meestal gebeurt dat onbewust door het opzoeken van één specifiek gegeven via een overzichtspagina (bijvoorbeeld: heeft de klant vorige maand gewerkt?). In voorkomende situaties zal de medewerker een bronpagina moeten gebruiken in plaats van de overzichtspagina. Zo krijgt hij niet meer onnodig gegevens onder ogen. Wij adviseren u daarom om medewerkers die autorisaties krijgen voor overzichtspagina s ook altijd te autoriseren voor de van toepassing zijnde bronpagina s. Op die manier kunnen medewerkers 1 waaronder die van de BRP, BRV (RDW), GSD, UWV, SVB, Kadaster en DUO 4/7

bewust kiezen of ze op dat moment een uitgebreid overzicht van gegevens van de klant nodig hebben of dat slechts gegevens uit één bron kunnen volstaan. Binnen de Suwinet autorisatiestructuur kunnen gemeenten zelf autorisatierollen aanmaken en toewijzen aan bepaalde functies. Die rollen geven toegang tot één of meer pagina s op Suwinet- Inkijk. Het is aan te raden om bij het opnieuw samenstellen van de rollen per functie, tegelijkertijd opnieuw te bepalen welke rollen/functies gebruik mogen maken van zoekpagina s met een zoeksleutel anders dan het BSN. Een autorisatiematrix maakt deel uit van het beheerproces op autorisaties. Het vaststellen en bijhouden van een autorisatiestructuur is een gemeentelijke taak die is belegd bij de autorisatiebeheerder. Hij doet dit in overleg met de Security Officer en het management. Een autorisatiematrix maakt in één oogopslag inzichtelijk hoe die autorisatiestructuur is opgebouwd. Nb. de autorisatieprocedure en de controle op toegang en gebruik is een van de normen uit het Suwinet-normenkader waaraan gebruikers moeten voldoen. Een eenvoudig en fictief voorbeeld van een autorisatiematrix voor Suwinet-Inkijk van een gemeente vindt u op de website van BKWI en op de website van VNG-Realisatie onder Suwinet. 4.2. Implementatie: vaststellen en toekennen van de autorisaties Na het samenstellen en (laten) vaststellen van de autorisatiematrix 2, dient deze door het management te worden vastgesteld. Daarna kan de gebruikersbeheerder de gebruikersadministratie Suwinet-Inkijk aanpassen. Via de gebruikersadministratie worden de inkijkpagina s gekoppeld aan een rol en krijgen medewerkers één of meer rollen toebedeeld. Mogelijk moeten bestaande rollen worden aangepast of nieuwe rollen worden aangemaakt, afhankelijk van de bestaande gebruikersadministratie. Medewerkers moeten uiteraard worden voorgelicht over de nieuwe of gewijzigde situatie. In de Handleiding Suwinet-Inkijk gebruikersadministratie, staat informatie over de manier waarop bestaande accounts kunnen worden bewerkt in de gebruikersadministratie. Deze kunt u vinden op de BKWI website. Het aanpassen van de gebruikersadministratie Suwinet-Inkijk moet door de gemeente zelf en handmatig plaatsvinden. Het is heel vaak niet mogelijk om gebruik te maken van geautomatiseerde overzetting door het BKWI. Dit komt doordat bij iedere gemeente de functies en rollen anders zijn samengesteld. De gemeentelijke rollen in de gebruikersadministratie zijn niet inzichtelijk voor het BKWI, zij kunnen niet zoeken op toegekende pagina s per rol. Daardoor zijn overzettingen door zoek en vervang vaak niet mogelijk. Gemeenten die al werken met een autorisatiematrix op functies met bijbehorende rollen in Suwinet- Inkijk, kunnen waarschijnlijk de gebruikersadministratie gemakkelijk en snel aanpassen. Andere gemeenten hebben naar verwachting veel meer tijd nodig voor de aanpassingen in de gebruikersadministratie. 2 Een autorisatiematrix moet onderdeel zijn van het beveiligingsplan van de organisatie (Suwinorm 13.1) 5/7

4.3. Beheer en controle Hoe blijft u in control? Maandelijks stelt het BKWI per organisatie rapportages beschikbaar. De organisatie is zelf verantwoordelijk voor het ophalen van die rapportages. In de praktijk blijkt dat niet elke gemeente deze rapportages ophaalt. Dat is jammer, want de rapportages geven een goed inzicht in het gebruik door medewerkers. Analyse van de rapportages kan aanleiding geven om meer gespecificeerde rapportages op te vragen. De maandelijkse algemene rapportage bevat geen informatie over bevraagde BSN s of medewerkers die bepaalde gegevens hebben opgevraagd. De rapportage geeft ondermeer een beeld van: - het aantal raadplegingen per inkijkpagina - het percentage raadplegingen tussen 19:00 uur en 06:00 uur t.o.v. het totaal aantal raadplegingen - het percentage raadplegingen op zoeksleutel anders dan BSN - het aantal raadplegingen van de vijf meest geraadpleegde BSN s - Het hoogst aantal medewerkers dat een bepaalde BSN heeft geraadpleegd (top 5) - De top 5 van aantal raadplegingen door een gebruiker - het percentage geblokkeerde accounts - het aantal accounts dat tenminste 90 dagen niet is gebruikt - overzicht hoeveel medewerkers voor welke rol zijn geautoriseerd De gemeente heeft de mogelijkheid om naast de algemene rapportage ook specifieke rapportages op te vragen. Specifieke rapportages geven gedetailleerde informatie over de medewerkers en BSN's. Zo n rapportage wordt opgevraagd als onderdeel van de control cyclus (bijvoorbeeld steekproeven) of omdat de algemene rapportage daartoe aanleiding geeft (bijvoorbeeld een flinke toename in opvraging of toename in het gebruik van zoeksleutels anders dan BSN). De specifieke rapportage kan worden aangevraagd door een hiertoe gemandateerde functionaris, (bijvoorbeeld een Interne Controller of Security Officer) ter ondersteuning van het interne controleproces. De procedure voor het aanvragen van specifieke rapportages kunt u vinden op de website van het BKWI. 6/7

5. Communicatie over proportionaliteit Medewerkers moeten uiteraard op de hoogte worden gebracht van eventuele wijzigingen. Het is de bedoeling dat de medewerker alleen de gegevens opvraagt die nodig zijn voor de uitvoering van zijn taak. Een medewerker die enkel voertuiggegevens nodig heeft, kan volstaan met raadpleging van de bronpagina RDW en hoeft geen overzichtspagina handhaving te gebruiken, waar de voertuiggegevens naast vele andere gegevens worden getoond. De verandering in het beperken van het gebruiken van overzichtspagina s betekent dat medewerkers zich bewust moeten worden dat less in veel gevallen more is. Voorlichting en continue in gesprek blijven is daarom essentieel. In de toekomst wordt het mogelijk dat burgers (met gebruik van hun DigID) zelf kunnen inzien welke organisatie uit welke bron gegevens van hen heeft opgevraagd. Als er dan steeds grote overzichtspagina s zijn opgevraagd is het niet uit te leggen dat een medewerker bijvoorbeeld inkomensgegevens heeft opgevraagd terwijl alleen geverifieerd moest worden of een auto op naam van de klant staat. 7/7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback