Aan de Staatssecretaris van het Ministerie van Sociale Zaken en Werkgelegenheid, Mevrouw J. Klijnsma Postbus LV DEN HAAG pagina 1 van 4

Vergelijkbare documenten
Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

uw kenmerk ons kenmerk ECSD/U Lbr. 15/066

illinium i ui /12/2013

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

Introductie Suwinet en ENSIA

2015; definitief Verslag van bevindingen

rliiiiihihhiiiivi.ilhn

il'-'ih'li-l'li'-ihih

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

Tweede Kamer der Staten-Generaal

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

i\ r:.. ING. 1 8 FEB 2016

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

Cools, Luuk

ons kenmerk ECSD/U Lbr. 14/091

Privacy Impact Assessment

ons kenmerk ECSD/U Lbr. 14/091

Datum 30 juni 2015 Betreft Aanvalsplan beveiliging Suwinet en beoordeling doelgroep banenafspraak

ECIB/U Lbr. 17/010

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Verbeterplan Suwinet

9 augustus 2016 Gegevenswisseling Suwinet ECIB/U

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

CIOT-bevragingen Proces en rechtmatigheid

16R RAADSINFORMATIEBRIEF 16R college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

Handreiking Nieuwe Suwi Autorisaties

behandeld door E. de Graaf

B Sociale Verzekeringsbank Raad van Bestuur

Dienst Uitvoering Onderwijs Ministerie van Onderwijs, Cultuuren Wetenschap

Verantwoordingsrichtlijn

Ons kenmerk. Uw briefvan 22 februari Contactpersoon

Vraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd?

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

In deze brief informeer ik u over de voortgang van de daartoe door SZW en UWV ingezette activiteiten.

Ons kennnerl< Contactpersoon

Release Suwinet-Inkijk versie 14.06

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Advies: Bijgaande Raadsinformatiebrief goed te keuren en toe te zenden aan de raad

Stichting Schoolleidersregister PO T.a.v. Mevrouw drs. E.D.C.M. Lambrechts Postbus AL..UTRECHT

datum kenmerk Telefoonnummer 30 juni 2014 RvB79/14/NV/ptb

Privacyverordening gemeente Utrecht. Utrecht.nl

Tweede Kamer der Staten-Generaal

Verantwoordingsrichtlijn GeVS 2019 (versie )

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Aan welke eisen moet het beveiligingsplan voldoen?

De kracht van Middelgroot. Klik hier voor praktijkvoorbeelden

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

Aan de Voorzitter Raad van bestuur SVB de heer drs. E.F. Stoové Postbus BH AMSTELVEEN

%Y) B Ne4,tI$ndw Çt n fle

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Informatie over logging gebruik Suwinet-Inkijk

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

De Nationale ombudsman De heer mr. R.F.B. van Zutphen Postbus AC Den Haag

PLATFORM IZO 21 OKTOBER 2016

Aan de staatssecretaris van Sociale Zaken en Werkgelegenheid IVIevrouw drs. J. Klijnsma Postbus LV DEN HAAG

1 9 AU6. 20U Datum Betreft Betreft Uitvoeringstoets Quotumwet

Dit kabinet geeft prioriteit aan het terugdringen van schuldenproblematiek. Het verminderen van hoge terugvorderingen levert daar een bijdrage aan.

Onderwerp Uitvoeringstoets wetsvoorstel WWB Maatregelen 2014 inclusief wijzigingen Toeslagenwet

Norm 1.3 Beveiligingsplan

Rekenkamercommissie Brummen

Vragen en antwoorden whitelist en escapefunctie

Technische oplossingen voor een veilig gebruik van Suwinet. Zwolle, 20 april 2017

de Rechtspraak Raad voor de rechtspraak

ľľih-ll-lli'hh'i'l-lh'lii"-!!

Toegangsrechten voor Suwinet-Inkijk

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis

Toegangsrechten voor Suwinet-Inkijk

De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE. Datum 14 december 2017 Betreft SUWI-jaarplannen 2018

Stand van zaken eenmalige gegevensuitvraag werk en inkomen

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

AH Z Kent het artikel Personeel UWV krijgt onvoldoende? 1 Wat is uw reactie daarop?

Ministerie van Financiën. Datum 2 2 MEI 2015 Betreft Uitvoeringstoets Verzamelwet SZW 2016

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Nunspeet

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1

Verkennende Impactanalyse

Documentnummer: : Eindnotitie implementatie privacy

verantwoordingsonderzoek 2016 bij het Ministerie van SZW.

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Beantwoording schriftelijke vragen van de D66-fractie over de experimenten Participatiewet. Met bijgevoegde brief beantwoorden wij deze vragen.

College bescherming persoonsgegevens

Werkwijze DGSenB voor rechtmatige en gestructureerde gegevensuitwisseling

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober Inleiding

Handreiking Gebruikersrapportage Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

Inspectie Werk en Inkomen Ministerie van Sociale Zaken en Werkgelegenheid

Zaakgericht samenwerken. Visie en Koers

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Transcriptie:

Datum 2^ FEB. 2017 Postbus 58285, 1040 HG Amsterdam S'BK/95"O9/AM Aan de Staatssecretaris van het Ministerie van Sociale Zaken en Werkgelegenheid, Mevrouw J. Klijnsma Bijlage Postbus 90801 2509 LV DEN HAAG pagina 1 van 4 Onderwerp Bestuurlijke reactie Privacy Impact Assessment Toegang persoonsgegevens Suwinet' Geachte mevrouw Klijnsma, Begin 2015 heeft de staatssecretaris van SZW opdracht gegeven om een Privacy Impact Assessment (PIA) te laten uitvoeren naar de voortgang van de maatregelen die onder het ketenbrede Programma 'Borging veilige gegevensuitwisseling via Suwinet' worden geïmplementeerd. Het rapport'privacy Impact Assessment - Toegang persoonsgegevens Suwinet' is in november door Privacy Company opgeleverd. In deze bestuuhijke reactie reageren wij op de scope van het onderzoek, de conclusies en aanbevelingen uit het rapport, en we geven aan welke maatregelen UWV treft naar aanleiding van de aanbevelingen uit deze PIA. Scope van de PIA Het Programma 'Borging veilige gegevensuitwisseling via Suwinet' bevat een totaal aan 14 maatregelen, die er in samenhang met elkaar voor zorgen dat het gebruik van gegevens - die via Suwinet kunnen worden geraadpleegd - veiliger wordt. Bij de onderzoeksopzet voor de PIA is ervoor gekozen om het onderzoek te richten op twee van de maatregelen uit het Programma, namelijk het beperken van de zoekfunctionaliteiten en het beperken van de toegang tot personen. Waar het gaat om het beperken van de zoekfunctionaliteiten heeft Privacy Company geconcludeerd dat de Suwipartijen een goede invulling geven aan deze maatregel. De partijen hebben de zoekfunctionaliteit waar mogelijk beperkt tot het zoeken op BSN en door de invoering van nieuwe pagina's wordt geborgd dat medewerkers alleen nog gegevens kunnen raadplegen die zij nodig hebben voor de wettelijke taak die zij uitvoeren. De maatregel die toeziet op het beperken van de toegang tot personen is procesmatig en technisch complexer. In het rapport wordt dan ook voornamelijk aandacht besteed aan deze maatregel. Een van de mogelijkheden om de toegang tot personen in Suwinet-inkijk te beperken, is door het toepassen van een whitelist. Een whitelist bevat het BSN van personen die mogen worden geraadpleegd. Andere technische mogelijkheden om de toegang tot personen te beperken, zijn filtering en voorwaardelijke leveringen. Gezien de aard van het ICT-landschap van UWV (de hoeveelheid en diversiteit aan applicaties) en de ontwikkelingen die de komende jaren zullen plaatsvinden in het ICT-landschap, was bij aanvang van het Programma in 2014 al duidelijk dat een dergelijke maatregel niet op korte termijn uitvoerbaar zou zijn. In het Programmaplan is aangegeven dat mogelijkheden om de toegang te beperken nog nader worden onderzocht. In de reactiebrief van de staatssecretaris van 5 februari 2015 is vervolgens opgemerkt dat oplossingsrichtingen worden verwacht die leiden tot een daadwerkelijke beperking van de toegang. Om toch snel stappen te zetten die leiden tot daadwerkelijk resultaat, heeft UWV er daarom voor gekozen om sterk in te zetten op de andere maatregelen uit het Programma, die tevens borgen dat medewerkers in Suwinet-inkijk geen BSN raadplegen die niet tot de werkzaamheden behoren.

2 van 4 UWV heeft de volgende maatregelen getroffen: Het proces van monitonng en controle is opnieuw, in aangescherpte vorm, ingericht en geïmplementeerd. Dit houdt in dat het gebruik van Suwinet-inkijk frequenter, meer real-time (in plaats van achteraf) en op de werkvloer zelf wordt gecontroleerd. Gebruiksrapportages worden binnenkort nog specifieker per afdeling opgesteld en we streven ernaar om deze rapportages in de toekomst op ieder willekeurig moment online te kunnen opvragen, zodat verdacht gedrag direct kan worden gecontroleerd. Per afdeling is onderzocht of het aantal autorisaties voor Suwinet-inkijk kan worden gereduceerd. Dit resulteert in minder gebruikers van Suwinet. Per werkproces is door UWV in kaart gebracht welke Suwinet-gegevens minimaal benodigd zijn. Door het definiëren van een Suwinetpagina per werkproces met alleen de strikt noodzakelijke gegevens, wordt optimaal invulling gegeven aan de doelbinding. Medewerkers krijgen alleen de pagina's toegewezen voor de werkprocessen waarmee zij belast zijn. De implementatie van deze nieuw te bouwen fijnmazigere pagina's is reeds gestart, hierdoor wordt mogelijk misbruik van gegevens geminimaliseerd. De mogelijkheid om verschillende zoeksleutels te gebruiken is ingeperkt. Alleen vyaar dit noodzakelijk is, kan men nog een andere zoeksleutel gebruiken dan BSN. Er is veel aandacht besteed aan voohichting en bewustwording met betrekking tot het omgaan met persoonsgegevens. Het sanctiebeleid voor misbruik en oneigenlijk gebruik van gegevens is aangescherpt. Met deze maatregelen beperkt UWV het risico, dat medewerkers personen of gegevens inzien die niet tot de werkzaamheden behoren, fors. Conclusies en aanbevelingen in het rapport Privacy Company concludeert in het rapport dat er geen uniforme aanpak is op het gebied van het verbeteren van de privacy, die bij alle Suwi-partijen kan worden toegepast. De oorzaak hiervan ligt in de verschillende wijze waarop de organisaties en hun ICT-landschap zijn ingericht, de grootte van de organisaties, de hoeveelheid en diversiteit aan processen en de diversiteit aan wet- en regelgeving en dienstverlening die wordt uitgevoerd. Waar het gaat om het beperken van de toegang tot personen, stelt Privacy Company dat dit op twee verschillende manieren kan worden gerealiseerd, al dan niet in combinatie. Het gaat enerzijds om maatregelen aan de 'voorkant', zoals het beperken van de toegang tot BSN op verschillende niveaus en anderzijds om maatregelen aan de 'achterkant' zoals intensievere controle van logging en bewustwording. Privacy Company geeft hierbij aan dat de maatregelen aan de voorkant de voorkeur genieten. Wanneer blijkt dat deze niet (op korte termijn) kunnen worden geïmplementeerd, dan kan worden gekozen voor meer intensieve maatregelen aan de achterkant. Maatregelen door UWV Zoals hierboven beschreven, was het bij aanvang van het Programma in 2014 al duidelijk dat het op technische wijze beperken van de toegang tot BSN op organisatieniveau - zoals SVB en gemeenten dit kunnen toepassen - niet uitvoerbaar is voor UWV. Waar gemeenten lokaal werken en een whitelist kunnen toepassen op postcodegebied, werkt UWV landelijk. En waar SVB via een beperkt aantal centrale applicaties de toegang kan beperken tot actieve klantrelaties, heeft UWV te maken met een ICT-landschap dat op dit moment niet geschikt is om een organisatiebrede selectie te maken van alle klantrelaties van UWV. Ook de doelgroep van alle wet- en regelgeving en dienstverlening die UWV uitvoert, is te breed en te divers om als basis te dienen voor een nsicobeperkende whitelist. Om deze reden heeft UWV voor de korte termijn sterk ingezet op maatregelen aan de achterkant, op de wijze waarop Privacy Company dit ook adviseert in haar rapport. Wel is onderzocht of er op korte termijn toch maatregelen genomen kunnen worden om toegang aan de voorkant te beperken. Een dergelijke maatregel is het filteren van BSN op leeftijd. UWV wil deze maatregel in beheersbare stappen invoeren. Door een geleidelijke invoering van toegangsbeperking voor BSN's met een leeftijd die niet tot de kring van verzekerden werknemersverzekeringen horen, is een eerste mate van beperking mogelijk.

3 van 4 In de eerste plaats kan de toegang worden afgesloten voor BSN's met de leeftijd onder de 18 jaar. Een uitzondering hierop moet gemaakt worden voor behandeling van Wajongaanvragen, omdat deze aanvragen in een aantal gevallen al voor het bereiken van deze leeftijd worden ingediend. Daarnaast kan de toegang worden afgesloten voor BSN's met de leeftijd boven de AOWgerechtigde leeftijd, waarbij er altijd een zekere marge zal worden gehanteerd, omdat uitkeringen nog moeten worden afgehandeld. Uitzondering hierop zijn wordt gevormd medewerkers Invorderen, omdat voor invorderingen geldt dat deze ook boven de AOW-gerechtigde leeftijd kunnen plaatsvinden. Een tweede uitzondering betreft de uitvoering van de Toeslagenwet, omdat hiervoor ook gegevens van derden in de aanvraagbehandeling dienen te worden meegenomen (toepassing kostendelersnorm). Bij de geleidelijke invoering geldt nog een aantal aandachtspunten die nader onderzoek vergen. Met deze maatregelen kan voor een groot deel van de primaire processen van UWV de toegang worden beperkt. Toepassing van deze filters leidt ertoe dat voor uitzonderingsgevallen in het uitvoeringsproces van UWV een escape-functie dient te worden ingebouwd. In de toekomst ziet UWV meer mogelijkheden om maatregelen aan de voorkant te treffen. Het ICT-landschap van UWV ondergaat de komende jaren een aantal ontwikkelingen en verbeteringen, die tot doel hebben om diverse applicaties uit te faseren en toe te werken naar een ICT-landschap waarin, vanuit het concept "Zaakgericht Werken", een aantal gemeenschappelijke applicaties centraal komt te staan. Daarnaast worden procesondersteunende systemen waar de medewerkers mee werken vervangen. Dit toekomstbeeld zorgt er op twee manieren voor dat maatregelen aan de voorkant gemakkelijker kunnen worden toegepast: 1. Door deze ontwikkelingen zal UWV veel minder gebruik gaan maken van Suwinet-inkijk, omdat veel benodigde gegevens dan via deze gemeenschappelijke applicaties kunnen worden geraadpleegd. Via programma's als E-werken en E-dienstveHening wordt gerealiseerd dat medewerkers via deze gemeenschappelijke applicaties alleen toegang krijgen tot de BSN uit hun caseload. In de praktijk komt dit neer op een whitelist op medewerkersniveau. 2. Waar Suwinet-inkijk toch in gebruik moet blijven, kunnen de gemeenschappelijke applicaties binnen bepaalde processen als basis dienen voor een whitelist of andere technische maatregelen waardoor de toegang tot personen op proces- of afdelingsniveau wordt beperkt. De ontwikkeling van gemeenschappelijke voorzieningen en de nieuwe procesondersteunende systemen zijn randvoorwaardelijk om op een geautomatiseerde wijze de toegang tot personen in Suwinet-inkijk te kunnen beperken. De hiervoor bedoelde gemeenschappelijke voorzieningen hebben betrekking op toepassing van doelbinding door middel van Zaakgericht Werken. Hiervoor zijn inmiddels een aantal voorzieningen beschikbaar die primair zijn ontwikkeld om het werken voor UWV-medewerkers efficiënter te maken. Een belangrijk onderdeel hiervan is dat deze gemeenschappelijke voorzieningen worden ingezet voor het beperken van toegang tot interne gegevens. Deze voorzieningen worden, in vervolg op bestaande lopende projecten, ook ingezet voor beperking van toegang tot externe gegevens zoals die via Suwinet worden geraadpleegd. Hierbij wordt als eerste stap het gebruik van de voorzieningen voor dit doel getoetst. Naar verwachting kan dit in de loop van 2018 voor een aantal primaire processen worden gerealiseerd. Bij positief resultaat worden de voorzieningen vervolgens ook ingezet in reeds geplande en in het UWV Informatieplan (UIP) vermelde projecten voor het herontwerp van verschillende primaire processen. De inzet van de gemeenschappelijke voorzieningen zal conform deze meer gedetailleerde planning lopen. Deze planning is in het UIP voorzien voor de periode t/m 2020. Hiermee wordt in een aanzienlijk deel van de primaire processen de toegang tot BSN gegevens, voor zowel Suwinet als interne gegevensbronnen, tot het noodzakelijke beperkt. Deze ontwikkelingen sluiten aan bij de aanbeveling van Privacy Company om te streven naar het toepassen van whitelists en andere toegangsbeperkende maatregelen op een zo laag mogelijk niveau. UWV onderzoekt op dit moment voor een aantal processen, op welke wijze en op welke momenten, het toepassen van dergelijke beperkingen past binnen de ICT-ontwikkelingen die de komende jaren worden doorgevoerd.

4 van 4 Daar waar 'quick-wins' te behalen vallen, zullen wij deze realiseren. Van belang is wel dat de prioritering in het UWV Informatieplan hierbij leidend is. Door deze prioritering te volgen, creëren we immers een meer solide ICT-landschap waardoor technische maatregelen, waarmee we de toegang tot BSN nader kunnen beperken, vervolgens op een toekomstbestendige wijze kunnen worden geïmplementeerd. De prioritering in het UWV Informatieplan is in samenspraak met SZW tot stand gekomen en de Tweede Kamer is hier tevens in meegenomen. In april 2017 zullen we daarom een plan van aanpak met u delen, waarin wij concreet aangeven welke maatregelen wij op de korte termijn, middellange en langere termijn zullen treffen. De maatregelen op middellange en langere termijn zullen worden geïntegreerd in het UWV Informatieplan. De planning van deze maatregelen is afhankelijk van de momenten waarop bepaalde gemeenschappelijke applicaties centraal komen te staan. Vanaf dat moment kan worden gewerkt aan technische maatregelen om de toegang tot BSN nader te beperken. Wij hopen u hiermee naartevredenheid te hebben geïnformeerd. Hoogachtend, mr. drs. B.J. Bruins Voorzitter Raad van Bestuur

PostNL Port Betaald Port Payé Pays-Bas MINISTERIE VAN SZW - 2 m\ 2017 SCANPLAZA

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback