Februari 2015 Jaargang 5 Nieuwsbrief Privacy en bescherming van persoonsgegevens Inhoud -College bescherming persoonsgegevens presenteert toezichtagenda voor 2015. -Persoonsgegevens Suwinet niet goed beveiligd. -College bescherming persoonsgegevens zou meer bevoegdheden moeten krijgen volgens een kamermeerderheid. IN DIT NUMMER -Toezichtagenda CBP... 2 -Beveiliging Suwinet....4 -Meer bevoegdheden CBP.....5 Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen info@gravenadvies.nl 045-5716391 1
Toezichtagenda CBP 2015 Persoonsgegevens bij lokale overheden Het College bescherming persoonsgegevens heeft op 28 januari 2015 haar toezichtagenda gepresenteerd. De thema s waarop de toezichthouder zich komend jaar gaat richten zijn: profiling, bijzondere persoonsgegevens, persoonsgegevens bij lokale overheden, persoonsgegevens in de arbeidsrelatie en beveiliging van persoonsgegevens. Bijzondere persoonsgegevens zijn gevoelige, extra beschermde gegevens over bijvoorbeeld gezondheid en strafrechtelijk verleden. Het CBP gaat onderzoek doen naar de verwerking van medische gegevens door zorgaanbieders, gemeenten en technologiebedrijven. Deze bedrijven produceren apparatuur waarmee mensen zelf hun gezondheid en levensstijl kunnen monitoren. Ook richt het CBP zich op de uitwisseling van strafrechtelijke gegevens door politie en justitie met andere partijen binnen samenwerkingsverbanden. Op 1 januari 2015 zijn de Jeugdwet, de Participatiewet en de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) in werking getreden. Het CBP heeft zich de afgelopen jaren als wetgevingsadviseur kritisch uitgelaten over deze wetten. Gemeenten hebben door deze wetten meer taken gekregen en gaan meer persoonsgegevens verwerken. Het CBP zal dit jaar als toezichthouder de verwerking en beveiliging van persoonsgegevens door lokale overheden controleren. De wijdverbreide toepassing van ICT en de omvang van de gegevensbestanden zorgen ervoor dat de impact bij onvoldoende beveiliging van de gegevens sterk is toegenomen. In 2015 treedt naar verwachting de meldplicht datalekken in werking. Organisaties worden verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dit moet worden gemeld aan het CBP en in veel gevallen ook aan mensen van wie de gegevens zijn (betrokkenen). Het CBP gaat onderzoek doen naar de verwerking van medische gegevens door zorgaanbieders, gemeenten en technologiebedrijven. 2
Persoonsgegevens Suwinet niet goed beveiligd Het UWV en de gemeente Den Bosch hebben onvoldoende maatregelen getroffen om te zorgen voor een adequate beveiliging van de persoonsgegevens die met Suwinet worden uitgewisseld. Dit blijkt uit het onderzoek dat door het CBP is uitgevoerd. Zonder een afdoende beveiligingsplan, zonder adequate analyse en afwikkeling van beveiligingsincidenten en zonder volledige logging is er een onacceptabel risico dat gegevens in verkeerde handen komen, aldus het CBP. Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Adequate beveiliging van persoonsgegevens bij de overheid is des te belangrijker gezien de naderende verschuiving van taken van het Rijk naar gemeenten. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Het is van groot belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen. Het CBP concludeerde dat zowel bij het UWV als bij de gemeente Den Bosch de maatregelen niet toereikend zijn om deze bescherming te kunnen bieden: Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt. Zowel het UWV, als beheerder van Suwinet, als de gemeente Den Bosch als de afnemer van Suwinet hebben geen beveiligingsplan specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Zo kan geen lering worden getrokken en kunnen geen adequate maatregelen worden genomen. Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen. Niet alle medewerkers binnen een gemeente mogen persoonsgegevens via Suwinet raadplegen. Een gemeente moet ervoor zorgen dat alleen bevoegde medewerkers bij deze gegevens kunnen. Bij de gemeente Den Bosch bleken ook voor een andere functie toegangsrechten te kunnen worden gecreëerd. Hiermee heeft deze gemeente onvoldoende maatregelen getroffen om onbevoegde toegang tot Suwinet tegen te gaan. Het Ierse ministerie van Sociale Zaken had ook toegang tot Suwinet. Het Ierse ministerie mocht weliswaar bijvoorbeeld gegevens inzien van Ieren die in Nederland hebben gewerkt of hier een uitkering hebben ontvangen om te beoordelen of zij recht hebben op een uitkering in Ierland, maar het Ierse ministerie bleek ten onrechte toegang te hebben tot persoonsgegevens van alle personen in Suwinet. Het UWV heeft naar aanleiding van het onderzoek de gegevensverstrekking aan Ierland via Suwinet stopgezet. Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt. 3
Suwinet toegang WMO consulenten Staatssecretaris Teeven is het met de Kamer eens dat het CBP meer bevoegdheden moet krijgen. 4 Voor het SUWI-stelsel geldt een gesloten verstrekkingenregime. Binnen de gemeente Den Bosch hadden medewerkers in de hoedanigheid van WMO-consulent toegang tot Suwinet. Autorisaties voor gebruik van Suwinet mogen slechts verleend worden voor de uitvoering van de bijzondere bijstand taak, aldus het CBP. Gegevens via Suwinet mogen slechts worden ontsloten voor de WWB taak en niet voor de WMO taak. Hierbij dient tevens te worden aangegeven welke beheersmaatregelen zijn genomen. Op deze wijze is sprake van autorisaties die transparant zijn belegd en die controleerbaar zijn. In dit geval dient de gemeente in ieder geval te controleren of de persoonsgegevens via Suwinet niet zijn geraadpleegd voor het uitvoeren van WMO taken. De gemeente Den Bosch beschikte op het moment van onderzoek door het CBP niet over een formeel vastgestelde en gedocumenteerde autorisatieprocedure met betrekking tot toegang tot Suwinet. De gemeente Den Bosch handelt naar het oordeel van het CBP hiermee in strijd met artikel 13 Wbp, dat bepaalt dat de verantwoordelijke voor de verwerking van persoonsgegevens passende technische en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Er zijn onvoldoende maatregelen getroffen om onbevoegde kennisneming van persoonsgegevens via Suwinet tegen te gaan, aldus het CBP. Ook werd door de gemeente Den Bosch de wettelijke informatieplicht jegens betrokkenen ex artikel 34 Wbp niet nageleefd. Staatssecretaris Teeven is het met de Kamer eens dat het CBP meer bevoegdheden moet krijgen. Een hack van het computersysteem. Het als oud papier aanbieden van gevoelige stukken. Het verliezen van een geheugenstick. Teeven wil dit soort datalekken aanpakken door het invoeren van een meldplicht en het versterken van de bevoegdheden van het CBP. Het CBP zou volgens een Kamermeerderheid van PvdA en VVD niet alleen sneller boetes moeten kunnen uitdelen, maar ook vaker, zo werd donderdag 5 februari jl. duidelijk tijdens de behandeling van een wetswijziging die het CBP meer armslag moet geven. Volgens de behandelde versie van het wetsvoorstel zou het CBP alleen bij het opzettelijk lekken van privacygevoelige gegevens door organisaties direct optreden door boetes op te leggen, bijvoorbeeld bij het verkopen van persoonsgegevens met winstoogmerk. In andere gevallen is het CBP aangewezen op het in eerste instantie uitdelen van een 'bindende aanwijzing', in feite een waarschuwing. Het geeft een bedrijf of organisatie alsnog de kans om zijn leven te beteren. Pas als dit niet binnen een bepaalde periode gebeurt kan het CBP een boete opleggen. Volgens de Tweede Kamer moet er echter harder opgetreden kunnen worden door het CBP. Staatssecretaris Teeven van Veiligheid en Justitie heeft laten weten dat hij de mening van de Kamermeerderheid deelt en heeft aangegeven dat het CBP voortaan ook direct moet kunnen ingrijpen als er sprake is van ernstig verwijtbare nalatigheid. Daarbij kan het boetebedrag maximaal 800.000 euro bedragen. Het wetsvoorstel zal op dat punt aangepast worden.
Graven Juridisch Advies is een zelfstandig en onafhankelijk adviesbureau op het gebied van privacy en bescherming van persoonsgegevens. Voor meer informatie neem contact op met mr. Charlotte Graven op 06-22778091 of stuur een e-mail naar info@gravenadvies.nl Opdrachtgevers privacy gemeenten - Veiligheidshuis Midden Limburg - Maastricht Bereikbaar - Gemeente Sittard-Geleen - Gemeente Valkenburg aan de Geul - Gemeente Maastricht - Gemeente Vaals - Gemeente Venlo - Regionale Sociale Dienst Pentasz Mergelland - Gemeente Eijsden-Margraten - Gemeente Gulpen-Wittem - ISD BOL (Intergemeentelijke Sociale Dienst Brunssum Onderbanken Landgraaf) - Gemeente Beek - Gemeente Roermond - Gemeente Onderbanken - Gemeente Brunssum - Gemeente Stein - Gemeente Maasgouw - Gemeente Weert - Gemeente Nederweert Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen Telefoonnummer: 045-5716391 of 06-22778091 emailadres: info@gravenadvies.nl www.gravenadvies.nl 5 Disclaimer: De inhoud van deze Nieuwsbrief is van informatieve aard en kan niet worden beschouwd als een juridisch advies in welke vorm dan ook. Ondanks de zorgvuldige samenstelling van de inhoud van deze nieuwsbrief kan Graven Juridisch Advies geen enkele aansprakelijkheid aanvaarden voor schade, direct dan wel indirect, ten gevolge van eventuele fouten of vergissingen. Dit geldt zowel ten aanzien van de eigen content als ten aanzien van de door Graven Juridisch Advies aangeboden content die afkomstig is van derden.