Rekenkamercommissie Brummen



Vergelijkbare documenten
illinium i ui /12/2013

il'-'ih'li-l'li'-ihih

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

Aan welke eisen moet het beveiligingsplan voldoen?

WORKSHOP HOE BORG JIJ DE PRIVACY VAN JE KLANTEN?

Privacy Scan VISD juni Antwoordcategorie Ja/Nee/ Onbekend

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

Werkprocessen bij de gemeente Inzage, wijzigen en verwijderen gegevens. versie september 2015

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg

Workshop Privacy en Triage

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

2015; definitief Verslag van bevindingen

ECIB/U Lbr. 17/010

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

i\ r:.. ING. 1 8 FEB 2016

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Verbeterplan Suwinet

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

ons kenmerk ECSD/U Lbr. 14/091

rliiiiihihhiiiivi.ilhn

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

De Leeuwarder privacyaanpak: doen wat nodig is. Tea Bouma

Documentnummer: : Eindnotitie implementatie privacy

Rekenkameronderzoek. informatieveiligheid en privacy. sociaal domein gemeente Eindhoven. Eindhoven, 17 mei 2016

Congres: de AVG bent u er klaar voor? Workshop privacy en Sociaal Domein

PLATFORM IZO 21 OKTOBER 2016

Prijslijst. Privacy binnen het Sociaal Domein. Een scan naar de privacy en gegevensuitwisseling in uw gemeente

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

College bescherming persoonsgegevens

Cools, Luuk

Privacybeleid gemeente Wierden

BEANTWOORDING SCHRIFTELIJKE VRAGEN. Svr/006/ /antwoord. 24 november Aan de voorzitter van de raad

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Aantoonbaar in control op informatiebeveiliging

Privacy en de decentralisaties

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

ons kenmerk ECSD/U Lbr. 14/091

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Privacybeleid. Sociaal domein

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

Rekenkamer Arnhem. Zaaknr: Betreft: Rekenkamerbrief vervolgonderzoek informatieveiligheid en privacy. 16 mei Geachte raadsleden,

Privacyverklaring. Rekenkamercommissie Dordrecht

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

Collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet. Gemeente Gooise Meren

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Artikel 39 vragen van de fractie van D66 over privacy decentralisaties

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Informatiebeveiliging in Súdwest-Fryslân

Zelfscan privacy sociaal domein

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

Jaarverslag Informatiebeveiliging en Privacy

Factsheet. Uitleg over bescherming van persoonsgegevens De cliëntenraad aan zet

Verantwoordingsrichtlijn

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Uw privacy bij de gemeente Woerden

Resultaatsverslag. N.a.v. inspectiebezoek van Zorgcentrum Herema State in Heerenveen. op 14 februari 2017

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Norm 1.3 Beveiligingsplan

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Privacy Protocol sociaal domein gemeente Landsmeer 2016

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

REKENKAMERBRIEF. Aan de raad. Haren, 29 mei Geachte leden van de raad,

Rekenkamercommissie. Onderzoekprogramma vanaf 2012

Inleiding. Praktijk. Aan: Gemeenteraad. Van: College van burgemeester en wethouders. Datum: 05/09/17

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Algemeen privacybeleid gemeente Asten 2018

DE MELDCODE IN UW PRAKTIJK

Assurancerapport van de onafhankelijke IT-auditor

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Rapportage Informatiebeveiliging Deurne 2017

Introductie Suwinet en ENSIA

Welkom bij parallellijn 1 On the Move uur

Quick scan Informatiebeveiliging gemeente Zoetermeer

ENSIA voor informatieveiligheid

Handreiking Implementatie Specifiek Suwinetnormenkader

Privacyreglement Gemeente Tiel

Implementatieplan privacy sociaal domein

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Lees onderstaande informatie eerst aandachtig door voorafgaand aan de zelftest

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Tweede Kamer der Staten-Generaal

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Jaarverslag 2015 Rekenkamercommissie Gemeente Voorst Gemeente Brummen

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Transcriptie:

Rekenkamercommissie Brummen REKENKAMERBRIEF Privacy in de 3 decentralisaties INLEIDING Door de 3 decentralisaties verwerkt de gemeente vanaf 1 januari 2015 veel meer persoonlijke en privacygevoelige gegevens. Daarmee worden zorgen om privacy (weer) reëel. Verontrustende berichten over het schenden van privacy in tijdschriften (onder meer Binnenlands Bestuur) en inspectierapporten (over veilig gebruik van Suwinet) bracht de Rekenkamercommissie (RKC) Brummen op de gedachte om een vooronderzoek te starten naar de borging van privacy bij de gemeente Brummen. Het vooronderzoek startte september 2015 en bestond uit literatuuronderzoek en een verkennend gesprek met de Auditcommissie van Brummen. Nu er een raadsvoorstel voorligt om Kadernotitie gegevensverwerking en privacy in de 3 decentralisaties 2016-2018 en de bij behorende documenten vast te stellen, heeft de RKC besloten om haar verkenningen rondom privacy in de 3 decentralisaties vóór de raadsbehandeling van genoemd voorstel in een rekenkamerbrief met uw raad te delen. SAMENGEVAT De RKC waardeert de stap die het college zet met de kadernotitie gegevensverwerking en privacy in de 3 decentralisaties. In de kadernotitie formuleert het college beleid om de privacy van inwoners te waarborgen. Er is echter meer nodig om de privacy van burgers te (waar)borgen. Met deze rekenkamerbrief aan de gemeenteraad vraagt de RKC aandacht voor structurele aanpak van privacy, voor de positie (en het vertrouwen) van de burger en voor bewustwording en daadkracht in eigen huis. TOELICHTING De kadernotitie gegevensverwerking en privacy in de 3 decentralisaties geeft richtlijnen voor het zorgvuldig omgaan met persoonsgegevens in de 3 decentralisaties in de gemeente Brummen. Het is een (beleids)kader dat (citaat pag. 2 kadernotitie) richtinggevend is voor alle organisaties, professionals en ambtenaren die bij de uitvoering van gemeentelijke taken in het sociale domein actief betrokken zijn. De RKC wil het volgende onder de aandacht van uw raad brengen. 1. Eenduidig beleid is een noodzakelijke maar geen voldoende voorwaarde om de privacy van de inwoners te borgen Raad, wees u ervan bewust dat de kadernotitie een onderdeel is van een privacy-raamwerk. Om privacy goed te regelen moeten er maatregelen genomen worden op vijf gebieden, die met elkaar samenhangen: governance, beleid, werkprocessen en triage 1, bewustwording en training, en beheer en opslag (zie bijlage 1 toelichting). 1 Met triage wordt bepaald wanneer beslissingen over gegevensuitwisseling worden genomen. Rekenkamerbrief - Privacy in de 3 decentralisaties 1

Aandachtspunten Hoe is het gesteld met privacy in de werkprocessen, het (privacy-bewust) gedrag van gemeentelijk personeel (en partnerorganisaties) en beheer en opslag van gegevens? Zijn de privacy afspraken geïmplementeerd in de organisatie (governance)? Kortom: In welke mate zijn deze aandachtsgebieden privacy-proof? Wanneer en hoe gaat het college de genoemde aandachtsgebieden privacy-proof maken? Wat zijn de prioriteiten van het college? Hoe gaat het college de raad informeren en verantwoording afleggen over de aandachtsgebieden van het privacy-raamwerk? Waarover wil de raad minimaal geïnformeerd worden? 2. Het belang van de burger De gemeente heeft de plicht om zorgvuldig om te gaan met de persoonsgegevens van haar burgers. Daar moet de burger van op de hoogte zijn. Aandachtspunt Hoe gaat het college burgers informeren over de borging van hun privacy? En over de positie en rechten van burgers, zoals het opvragen van de eigen gegevens en klachtenafhandeling? 3. Bewustwording en daadkracht in eigen huis De gemeente is verantwoordelijk voor het veilig gebruiken van persoonsgegevens. Dat Brummen (en met Brummen vele gemeenten) dit onvoldoende op orde heeft in het domein werk en inkomen, blijkt uit inspectierapporten van het ministerie van SZW over Suwinet (zie bijlage 2). Recent besteedde de NPO in een televisie-uitzending van de monitor aandacht aan de onzorgvuldige en onprofessionele manier waarop een aantal gemeenten omgaan met medische gegevens van jeugdigen in de jeugdzorg. 2 Burgers hebben recht op een gemeentelijke overheid die zorgvuldig omgaat met persoonsgegevens en zeker met medische gegevens van burgers. Bewustwording en daadkracht in de gemeentelijke organisatie wat betreft privacy en veilig gebruik van persoonsgegevens is essentieel. Aandachtspunten Hebben het inspectierapport van SZW over veilig gebruik van Suwinet (2015) en de aangekondigde acties voor verbetering geleid tot acties van het college? Welke acties gaat het college in het komend jaar uitvoeren? Wanneer gaat het college een zelftest uitvoeren ten aanzien van veilig gebruik van gegevens in Suwinet? En hoe staat het met de implementatie van BIG (Baseline Informatiebeveiliging Gemeenten) in de organisatie? Zijn er personen in de organisatie aangewezen of benoemd (waaronder een wethouder) die informatieveiligheid in portefeuille hebben? Overweegt het college dit te doen? Heeft het college zicht op de manier waarop Team voor Elkaar omgaat met medische gegevens van met name cliënten in de jeugdzorg? Hoe wordt er met medische dossiers omgegaan? Zijn er extra voorschriften (ten opzichte van andere klantengroepen) voor cliënten in de jeugdzorg? 2 Terug te zien op www.npo.nl/de-monitor van 22 november 2015. Rekenkamerbrief - Privacy in de 3 decentralisaties 2

TOT SLOT Met deze rekenkamerbrief aan de raad sluit de RKC haar vooronderzoek rondom privacy in de 3 decentralisaties af. De RKC zal vooralsnog geen onderzoek in de gemeente Brummen starten over privacy en veilig gebruik van gegevens van burgers. Met vriendelijke groet, Rekenkamercommissie Brummen Eric Giesbers voorzitter Rekenkamerbrief - Privacy in de 3 decentralisaties 3

Bijlage 1: Privacy-raamwerk Om gemeenten te helpen privacy goed te waarborgen, heeft VNG een privacy raamwerk ontwikkeld. Het raamwerk toont vijf gebieden, die met elkaar samenhangen: governance, beleid, werkprocessen en triage, bewustwording en training, en beheer en opslag. Die vijf gebieden zijn randvoorwaarden om privacy in het sociaal domein goed te regelen. Beleid: Bepaal het kader rond de verwerking van persoonsgegevens en gegevensuitwisseling, zowel beleidsmatig als juridisch. Governance: Implementeer de afspraken in de organisatie. Wat zijn de privacy-afspraken? Wat zijn de rollen en verantwoordelijkheden, wie voert de regie, wie controleert, hoe wordt verantwoording afgelegd? Werkprocessen & triage: Organiseer het werk rondom het omgaan met persoonsgegevens. Bewustwording en training: Ontwikkel bewustzijn rondom privacy, om situaties te herkennen waar privacyvraagstukken spelen. Training en communicatie zijn essentieel. Beheer en opslag gegevens: Bepaal hoe gegevens in systemen worden opgeslagen en gedeeld. Wie heeft toegang? Hoe lang blijven gegevens bewaard? Wat wordt opgeslagen? Voor een toelichting op het privacy-raamwerk: zie www.visd.nl/visd/gegevensuitwisseling-en-privacy Rekenkamerbrief - Privacy in de 3 decentralisaties 4

Bijlage 2: Bewustwording en daadkracht Dat privacy bij gemeenten vóór de 3 decentralisaties onvoldoende geborgd was, blijkt uit twee inspectierapporten van SZW (2013 en 2015) over het gebruik van Suwinet. Gebruik Suwinet niet veilig Suwinet is het computersysteem dat gebruikt wordt door CWI, UWV en gemeenten bij het uitvoeren van hun taken op grond van de Wet SUWI (Wet Structuur Uitvoeringsorganisatie Werk en Inkomen). Met een paar muisklikken kunnen ambtenaren allerlei persoonlijke gegevens van burgers inzien, zoals huisadres, bankrekening, loon, hypotheek, studieschuld. In november 2013 stelde de Inspectie SZW vast dat het zeer slecht gesteld is met de manier waarop gemeenten Suwinet hebben beveiligd en hoe gemeenten omgaan met de gegevens die zij uit Suwinet halen. De Inspectie heeft dit gemeten aan de hand van (slechts) 7 normen van de in totaal 115 normen die opgenomen zijn in het Normenkader Suwinet. Het gaat om normen die sinds de start van Suwinet in 2002 gelden. Maar 4% van de gemeenten bleek aan de 7 getoetste normen te voldoen. VNG startte daarna een verbetertraject en in 2014 heeft de inspectie SZW het onderzoek naar veilig gebruik van Suwinet nogmaals herhaald. Voor het landelijke representatieve beeld werden 78 gemeenten (uit het totaal van 403 gemeenten) onderzocht. Toen bleek 17 % van alle gemeenten te voldoen aan alle 7 normen. De gemeente Brummen was een van de onderzochte gemeenten en bleek niet te voldoen aan de gestelde eisen. De RKC heeft deze bevinding ingebracht in een overleg met de Auditcommissie van Brummen op 22 september 2015. Dit was voor wethouder Paauw aanleiding om onderstaande informatie per mail aan de griffier te verstrekken. Suwinet en de gemeente Brummen Over het Suwinet-rapport schrijft wethouder Paauw het volgende (Email volledig citaat). Over het rapport Suwinet kan ik het volgende melden. Uit het definitieve verslag van de bevindingen veilig gebruik Suwinet 2014 blijkt dat de gemeente Brummen niet voldoet aan de gestelde eisen. Het rapport ziet uitsluitend toe op de toepassing van Suwinet op het gebied van de WWB. De gehele uitvoering van de WWB heeft de gemeente Brummen uitbesteed aan de gemeente Apeldoorn. Omdat tussen de gemeente Apeldoorn en de gemeente Brummen onduidelijkheid heeft bestaan over de verantwoordelijkheid voor de informatievoorziening en verstrekking is vanuit de gemeente Brummen niet tijdig gereageerd op de uitgezette vragen vanuit de inspectie. Nu blijkt dat, ondanks dat de gehele uitvoering van de WWB is belegd bij de gemeente Apeldoorn, de verantwoordelijkheid en dus ook de verantwoording over gebruik en het verstrekken van informatie daarover, is gelegen bij de gemeente Brummen. Hierdoor zijn er geen gegevens vanuit Brummen naar het rijk verzonden en zijn de resultaten in de eindrapportage dan ook navenant. Uit de zelfevaluatie die de gemeente Apeldoorn heeft uitgevoerd blijkt dat voldaan wordt aan alle eisen welke in dit onderzoek zijn gesteld. Dat betekent dat derhalve ook de gemeente Brummen aan deze eisen voldoet. Er is derhalve geen sprake van enig veiligheidsrisico zowel bij de gemeente Apeldoorn als bij de gemeente Brummen! De gemeente Brummen is bezig om de BIG (Baseline Informatiebeveiliging Gemeenten) te implementeren in de organisatie. Dit project wordt in 2015 afgerond en dient jaarlijks te worden geëvalueerd. Suwinet maakt hier onderdeel van uit. De resultaten van het eindrapport beschouwende komen wij als gemeente Brummen tot de conclusie dat een aantal actiepunten opgepakt en geïmplementeerd dienen te worden in de gemeente Brummen. Rekenkamerbrief - Privacy in de 3 decentralisaties 5

Wij gaan op korte termijn formeel een security officer binnen de organisatie aanstellen. Deze security officer zal verantwoordelijk worden voor de uit te voeren actiepunten waaronder: - Invullen zelfevaluatie Suwi - Verdere implementatie BIG - Contact met security officer Apeldoorn om alsnog de gegevens aan de inspectie te kunnen zenden De security officer beheert de beveiliginsprocedures en rapporteert hierover aan het management en het College van B&W. Een werkgroep binnen de VNG heeft informatie bij ons opgevraagd. Bovenstaand bericht is naar tevredenheid gedeeld. Rekenkamerbrief - Privacy in de 3 decentralisaties 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback