POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20



Vergelijkbare documenten
R e g i s t r a t i e k a m e r. De Minister van Sociale Zaken en Werkgelegenheid

Sociale Zaken en Werkgelegenheid ONS KENMERK z van de Tweede Kamer der Staten Generaal

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Het CBP voldoet hierbij aan dit verzoek. Kader

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

de minister voor Jeugd en Gezin Ontwerpbesluit verwijsindex risicojongeren

7 november 2000, SUWI/SEC/00/351 mr. A.de Heij, drs. N.van Seumeren

UB/S/2007/12795/ / /193 T-toets amvb in het kader van eenmalige gegevensuitvraag werk en inkomen

Aan welke eisen moet het beveiligingsplan voldoen?

Stichting RDC. Informatieverplichting

Arbodienst. Klacht; verzoeker/arbodienst

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

De Staatssecretaris van Sociale Zaken en Werkgelegenheid. Postbus LV DEN HAAG. Wetgevingsadvies lagere regelgeving Quotumwet.

de Minister van VWS concept wetsvoorstel structurele maatregel wanbetalers

illinium i ui /12/2013

De voorgestelde wijziging in artikel I B geven het CBP aanleiding tot het maken van de volgende op- en aanmerkingen.

Vangnetregeling huursubsidie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

NVAB. A. ter Linden en N.M. van Seumeren

Ons kenmerk z Contactpersoon

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Verantwoordingsrichtlijn

de Minister van Sociale Zaken en Werkgelegenheid advies inzake concept-wetsvoorstel Invoeringswet Wet werk en inkomen naar arbeidsvermogen

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

2015; definitief Verslag van bevindingen

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Klager bevindingen en beoordeling inzake klacht verzoeker/scholengemeenschap

Winkelier. Winkelier creditcard; definitieve bevindingen

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

De minister van Infrastructuur en milieu

Minister van Financiën. Postbus EE Den Haag

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

In de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.

rliiiiihihhiiiivi.ilhn

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

Nederlands Instituut van Psychologen inzagerecht testgegevens

R e g i s t r a t i e k a m e r. Landelijk instituut sociale verzekeringen. 28 februari 2001 mw. drs. N.M. van Seumeren

i\ r:.. ING. 1 8 FEB 2016

Bevindingen De bevindingen van het CBP luiden als volgt:

r'h'hil-lli'h'i'-i'l-ll-ll-ll

De Registratiekamer voldoet hierbij gaarne aan uw verzoek.

De Minister van VWS, de heer drs. J.F. Hoogervorst Postbus EJ DEN HAAG. mw. mr. V.C. Lucieer

Bijlage bij de brief van het College bescherming persoonsgegevens van 4 april 2012

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

R e g i s t r a t i e k a m e r. Vaste Commissie voor Onderwijs, Cultuur en Wetenschappen uit de Tweede Kamer der Staten-Generaal

il'-'ih'li-l'li'-ihih

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 20 februari Ons kenmerk z Onderwerp

Informatie over logging gebruik Suwinet-Inkijk

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

VNG: Referentiemodellen Gegevensuitwisseling Jeugddomein. Concept, 30 september 2014.

Ons kenmerk z Contactpersoon. Onderwerp Advies concept wetsvoorstel vereenvoudiging beslagvrije voet

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

23 april 2001, BPR2001/u64104 mr. drs. A.C.M. de Heij

Ons kenmerk z Onderwerp Advies concept besluit verplichte geestelijke gezondheidszorg

Definitieve bevindingen Rijnland ziekenhuis

Dienst Maatschappelijke Ontwikkeling ONS KENMERK z

Informatieprotocol Beleidsinformatie Jeugdzorg

Inhoud van het wetsvoorstel

verklaring omtrent rechtmatigheid

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

De Minister van Volksgezondheid, Welzijn. Advies conceptwijziging Besluit gebruik BSN in de zorg

R e g i s t r a t i e k a m e r. Gemeente Doetinchem

Bij brief heeft het CBP u laten weten de beslissing op het bezwaarschrift te verdagen.

de Minister van Justitie de heer mr. E.H.M. Hirsch Ballin Postbus EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

RAPPORT AD/2005/ Inzake de negende voortgangsrapportage Structuur Uitvoering Werk en Inkomen. Auditdienst

Oordeel over de kwaliteit van de verantwoording 2002 van CWI en BKWI

R e g i s t r a t i e k a m e r. Minister van Sociale Zaken en Werkgelegenheid

Definitieve bevindingen Centrale Huisartsenpost Gorinchem

De Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

8.50 Privacyreglement

Gezien het nader rapport van Onze Minister van Sociale Zaken en Werkgelegenheid van...; HEBBEN GOEDGEVONDEN EN VERSTAAN:

1 september 2000, SUWI/SEC/2000/230 drs. N. van Seumeren, mr.a. de Heij070-

Ons kenmerk z Contactpersoon

Uit artikel 24 Wbp volgt dat het gebruik van wettelijke identificatienummers, zoals het BSN, een wettelijke grondslag moet hebben.

Ons kennnerl< Contactpersoon

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Ook zet het CBP vraagtekens bij de noodzaak voor het van toepassing verklaren van het gehele hoofdstuk VIII van de AWBZ.

Op grond van de verstrekte informatie concludeert het CBP dat de FAD voornemens is het Protocol op een aantal punten te wijzigen.

z Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10

R e g i s t r a t i e k a m e r. Holding UVI Z. ..'s-gravenhage, 29 april Ons kenmerk 98\ Onderwerp Gebruik persoonsgegevens

R e g i s t r a t i e k a m e r. OR van een computerbedrijf

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Beschikking op Wob-verzoek Van de Minister van Sociale Zaken en Werkgelegenheid

Protocol bescherming persoonsgegevens van de Trimclub ABC

Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

Inleiding Begrippen en definities 5 3. Doelstellingen van een privacy-audit Opdrachtaanvaarding 8 9 4

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN De Minister van Sociale Zaken en Werkgelegenheid DATUM 22 november 2001 CONTACTPERSOON UW BRIEF VAN UW KENMERK ONDERWERP Advies concept-ministeriële regeling SUWI Bij brief heeft u, mede namens de Staatssecretaris van Sociale Zaken en Werkgelegenheid, de heer B, het College bescherming persoonsgegevens (CBP) verzocht zijn oordeel te geven over de uitvoerbaarheid van de conceptregeling SUWI. Kader Ingevolge artikel 51, eerste lid, Wet bescherming persoonsgegevens (WBP) ziet het CBP toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. In het kader van deze toezichthoudende taak kan het CBP een oordeel uitspreken over de toepassing van andere wettelijke regelingen die betrekking hebben op of gevolgen hebben voor de verwerking van persoonsgegevens. Met de inwerkingtreding van de WBP op 1 september 2001 wordt uitvoering gegeven aan Richtlijn 95/46/EG. De verwerking van persoonsgegevens in het kader van de uitvoering van de regeling SUWI wordt integraal door deze richtlijn bestreken. Zij zal derhalve aan deze richtlijn moeten voldoen. Het CBP ziet zich wederom voor een zeer korte adviestermijn gesteld. Het zal zich daarom in het advies beperken tot de hoofdlijnen. Voor de meer gedetailleerde opmerkingen ten aanzien van de regeling en de verschillende bijlagen, wordt u verwezen naar de bijlage bij het advies. Suwinet In eerdere advisering heeft de Registratiekamer (het CBP is de rechtsopvolger van de Registratiekamer) de noodzakelijkheid benadrukt van specificering van de gegevenshuishouding binnen SUWI. Specificering leidt tot transparantie voor de geregistreerde (wat gebeurt er met mijn gegevens) maar verhoogt ook de mogelijkheid om effectief toezicht te houden op het gehele proces van verwerking. Het CBP is van oordeel dat het inrichten van een Suwinet en het ontwikkelen van een standaard-gegevensregister in hoge mate bijdragen aan de specificering van het gegevensverkeer binnen SUWI. Uit de toelichting bij de regeling begrijpt het CBP dat het beheer van centrale voorzieningen binnen Suwinet wordt belegd bij het CWI. Het CWI richt daartoe een afzonderlijke organisatorische eenheid in, het zogenaamde Bureau Keteninformatisering Werk en Inkomen. Het BKWI heeft tot taak om operationele taken rond ontwikkeling, beheer en onderhoud van gemeenschappelijke afspraken en voorzieningen te voeren. De vraag die het CBP hierbij stelt is of het BKWI als verantwoordelijke in de zin van artikel 1, onder d, WBP voor het functioneren van Suwinet moet worden aangemerkt. Tevens doet zich de vraag voor of op onderdelen bij de BIJLAGEN BLAD 1

verwerking van persoonsgegevens sprake is van medeverantwoordelijkheid van de overige Suwipartijen. Het CBP dringt aan op nadere uitwerking hieromtrent in de toelichting bij de regeling. Informatieverstrekking CWI, UWV, SVb aan de Minister en de IWI In de toelichting bij de regeling wordt uitgelegd dat de Minister (met het inbegrip van de IWI) ten behoeve van de verschillende taken informatie nodig heeft: beleidsontwikkeling en evaluatie; de aansturing van, het toezicht op en de bijsturing van de uitvoering en de verantwoording naar het parlement. (conceptregeling SUWI, toelichting). Gesteld wordt dat de regeling van informatievoorziening in paragraaf 5.2.1. betrekking heeft op alle informatieverstrekking die in het kader van deze taken nodig is, voor zover deze niet reeds in de wet is geregeld. Als voordeel hiervan wordt genoemd dat een dergelijke integrale regeling de waarborg biedt dat afstemming plaatsvindt tussen de informatie die in het kader van verschillende functies wordt opgevraagd. Bovendien wordt voorkomen dat de uitvoeringsinstanties onnodig belast worden. Kern van de regeling is: De uitvoeringsinstellingen houden een aantal basisgegevens beschikbaar voor de Minister en de Inspectie Werk en Inkomen (IWI); De uitvoeringsinstellingen leveren periodiek een aantal rapportages en gegevensbestanden aan de Minister en de IWI; De Minister en de IWI hebben de mogelijkheid om ad hoc informatie op te vragen. Het CBP heeft geconstateerd dat een deel van de informatie die aan de Minister stelselmatig of incidenteel kan worden verstrekt of door de Minister kan worden opgevraagd, persoonsgegevens betreft. Dit heeft tot gevolg dat de verstrekking van deze gegevens dient te voldoen aan de vereisten die de WBP daaraan stelt. Met name valt dan te denken aan de aanwezigheid van een geldige grondslag en de vereisten van doelbinding. Voorts dient verdere verwerking te worden getoetst aan de vereiste verenigbaarheid ingevolge artikel 9 WBP. Op de eerste plaats merkt het CBP op dat niet altijd duidelijk is of er sprake is van persoonsgegevens. In artikel 5.11 wordt bijvoorbeeld gesproken over basisgegevens. Uit de bijlagen II, IV en VI maakt het CBP op dat dit voor een deel persoonsgegevens betreffen. Bij het ontwerpen van de desbetreffende bepalingen is echter geen onderscheid gemaakt tussen de zwaardere eisen die de WBP stelt aan de verwerking van deze gegevens ten opzichte van gegevens die niet herleidbaar zijn tot personen. Ook artikel 5.14 is hier een voorbeeld van. In het eerste lid van dit artikel is neergelegd dat het CWI, het UWV en de SVb op verzoek van de Minister respectievelijk de IWI informatie verstrekken aan personen of instanties die in zijn opdracht of met zijn instemming onderzoek of analyses uitvoeren. Ook hier luidt weer de vraag of hier om persoonsgegevens gaat, en zo ja, hoe wordt omgegaan met de eisen ingevolge de WBP. Idem dito geldt voor wat betreft artikel 5.14, derde lid. Het CBP is van oordeel dat de wettelijke bepalingen die verstrekking aan de Minister mogelijk maken in de huidige vorm ook toereikende grondslag ontberen en mede daardoor - bovendien onvoldoende specifiek zijn. Gespecificeerd dient te worden ten behoeve van welke publiekrechtelijke taak het noodzakelijk is dat de Minister persoonsgegevens ontvangt en op welke persoonsgegevens deze noodzaak betrekking heeft. Het zal zeker niet voor alle taken noodzakelijk zijn dat de Minister gegevens op persoonsniveau ontvangt. Ook dient er een duidelijk onderscheid gemaakt te worden tussen de gegevens die verstrekt worden aan de IWI in BLAD 2

het kader van haar toezichthoudende taak en de gegevens die aan de Minister worden verstuurd bijvoorbeeld ten behoeve van zijn beleidstaak. Voor beleidsdoeleinden zal op het niveau van de Minister doorgaans de verstrekking van persoonsgegevens niet een vereiste zijn. Vervolgens doet de vraag zich voor in hoeverre deze informatiebepalingen zich verhouden ten opzichte van de plannen van de Minister met betrekking tot het zogenaamde Knooppunt beleidsinformatie. In de toelichting wordt aangegeven dat: De basisgegevensset met betrekking tot personen en werkgevers ook het sofi-nummer bevat. Het sofi-nummer dient zuiver en alleen om ten behoeve van nadere beleidsanalyses- een relatie te kunnen leggen met gegevens die elders verzameld worden. Voor het koppelen van gegevens uit verschillende domeinen wordt bij het CBS een knooppunt beleidsinformatie ingericht. (conceptregeling SUWI, toelichting). Uit telefonisch contact met een medewerker van uw Ministerie heeft het CBP begrepen, dat de regeling in paragraaf 5.2 zoals die er nu ligt geen betrekking heeft op het Knooppunt beleidsinformatie. Niet uitgesloten wordt echter dat het Knooppunt in de loop van de tijd op grond van de betreffende bepalingen gegevens zal gaan verzamelen. Voor het CBP is het op dit moment niet duidelijk hoe de betreffende bepalingen zich daadwerkelijk verhouden ten opzicht van de plannen rond het Knooppunt beleidsinformatie. Helderheid hieromtrent is geboden. Dit geldt temeer daar de Registratiekamer en haar opvolger het CBP het afgelopen jaar een aantal gesprekken gevoerd hebben met medewerkers van uw Ministerie en het CBS over het Knooppunt beleidsinformatie. De voorzitter van het CBP, heeft in het laatste gesprek met uw directeur A&O aangegeven dat de plannen rond het Knooppunt in de huidige vorm niet kunnen rekenen op de instemming van het CBP wegens het ontbreken van een voldoende inbedding in het stelsel van de WBP. Afgesproken is dat het Ministerie en het CBS de komende periode zich zullen beraden op de op- en aanmerkingen die het CBP heeft gemaakt. Het CBP adviseert u met klem thans geen bepalingen in werking te laten treden voordat de discussie over het Knooppunt beleidsinformatie is afgerond. Reïntegratie De Registratiekamer en haar opvolger het CBP hebben meerdere malen in de advisering ten aanzien van het wetgevingstraject rond SUWI en Poortwachter aandacht gevraagd voor de risico s bij de overdracht van persoonsgegevens in het kader van reïntegratie en de kwetsbare positie waarin de te reïntegreren betrokkene verkeert. Keer op keer is in de adviezen de noodzaak benadrukt van specifieke regelgeving met betrekking tot de informatie-uitwisseling bij reïntegratie. Telkenmale is van uw zijde verwezen naar komende en hogere regelgeving waarin dit onderdeel zou worden uitgewerkt. Nu u aan het eind van het regelgevingsproces bent gekomen constateert het CBP dat u deze toezegging niet na bent gekomen. In de betreffende wetgeving worden echter telkens slechts op hoofdlijnen regels gesteld omtrent het gegevensverkeer en de bescherming van de persoonsgegevens bij reïntegratie. In het wetsvoorstel verbetering Poortwachter en de conceptregeling op grond hiervan, worden weliswaar regels gesteld ten aanzien van het gegevensverkeer in het eerste ziektejaar tussen werknemers/werkgevers en Arbo-diensten. Echter, niet is voorzien in regelgeving met betrekking tot het gegevensverkeer tussen bovengenoemde partijen en reïntegratie bedrijven en verzekeraars. Het CBP is van mening dat meer specifieke regelgeving noodzakelijk is, zowel ten aanzien van het gegevensverkeer bij BLAD 3

reïntegratie van uitkeringsgerechtigden als ook bij reïntegratie van werknemers in het eerste ziektejaar. Het CBP beschouwt dit als een ernstige omissie die naar zijn stellige verwachting de met de uitvoering van de regelgeving belaste instanties voor aanzienlijke problemen zal plaatsen. In dat verband verwijst het CBP naar de brief van de Registratiekamer aan het Lisv met betrekking tot uitvoeringsaspecten van de Wet Rea (Registratiekamer, z2000-0801, Den Haag mei 2001). Het CBP verneemt ook vanuit het veld de roep om heldere regels. Een voorbeeld hiervan is een door Achmea geïnitieerde werkgroep. In deze werkgroep, waaraan reïntegratie bedrijven, Arbo-diensten en verzekeraars hebben deelgenomen, zijn de belangrijkste knelpunten geïnventariseerd die zich voordoen bij gegevensverstrekkingen in het eerste ziektejaar. Dit heeft geleid tot een rapport waarin een gedetailleerde beschrijving wordt gegeven van het gegevensverkeer tussen de bovengenoemde organisaties, de problemen die daarbij optreden en de mogelijke oplossingen. Dit rapport is in november door de werkgroep aan het CBP aangeboden. Dit rapport kan worden betrokken bij het opstellen van gedetailleerde regels betreffende de informatie-uitwisseling in het kader van reïntegratieprocessen. Nu duidelijk is geworden dat in de huidige wetgevings-concepten niet is voorzien in gedetailleerde regelgeving met betrekking tot de gegevensoverdracht bij reïntegratie, zal het CBP zich inzetten om te komen tot een stelsel van protocollen voor gestructureerd gegevensverkeer bij reïntegratie. Als voorbeeld hiervoor kan dienen het protocol over uitwisseling van informatie in het kader van ziekteverzuim dat is ontworpen door het Verbond van Verzekeraars en de brancheorganisatie van Arbo-diensten en dat de instemming heeft gekregen van de Registratiekamer. Beveiliging Suwinet In de ministeriële regeling is bepaald dat alle Suwi-partijen zorg moeten dragen voor een adequate beveiliging van de gegevensuitwisseling. De opzet van het beveiligingsstelsel is in een bijlage bij de ministeriële regeling vorm gegeven. Deze bijlage geeft een uitwerking van de normering waaraan Suwi-partijen zich qua beveiliging dienen te houden. Naast het algemene kader (uitgangspunten, organisatie, uitvoering, verantwoording en controle) van het beveiligingsstelsel gaat de bijlage gedetailleerd in op de gewenste betrouwbaarheidseisen voor de verschillende bedrijfsprocessen en functies van Suwinet en de specifieke normen waaraan de beveiliging van Suwinet en van de bedrijfsprocessen en functies van elk van de Suwi-partijen moeten voldoen. Het gedetailleerde normenstelsel is gebaseerd op de Code voor Informatiebeveiliging, aangevuld met de normen vanuit A&V 23 Beveiliging van persoonsgegevens, zoals uitgegeven door de Registratiekamer in april 2001. De opzet van het beveiligingsstelsel komt hiermee tegemoet aan de eisen van artikel 13 WBP die aan verantwoordelijken de verplichting opleggen om passende maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen. Belangrijk is de wijze van implementatie van de beveiligingsnormen door elk van de betrokken organisaties. BLAD 4

Het CBP hecht er aan een aantal opmerkingen te plaatsen bij de beveiliging van Suwinet. In de bijlage over beveiliging wordt terecht gesteld dat de beveiligingsmaatregelen rond de gegevensuitwisseling bij alle partijen van een gelijk niveau moet zijn. De achterliggende gedachte hierbij is dat de partij met de zwakste beveiliging het beveiligingsniveau van het geheel bepaalt. Ook de beveiliging van de eigen bedrijfsprocessen en systeemfuncties, voor zover deze een relatie hebben naar Suwinet, dient van een zelfde niveau van beveiliging te zijn. Voorbeelden hiervan zijn de mailmechanismen binnen het Inlichtingenbureau en de doorroutering bij de Uitvoeringsinstellingen van ongestructureerde meldingen. In het document wordt onvoldoende duidelijk gemaakt hoe een gelijk niveau van beveiliging gerealiseerd zal worden en wat de reikwijdte van deze bepaling is voor de verschillende Suwi-partijen. Daardoor bestaat het risico dat partijen elk een andere interpretatie en/of invulling aan het voorgeschreven normenstelsel geven. Dit klemt te meer daar elk van de partijen te maken krijgt met een eigen migratietraject van de huidige opzet van beveiligingsmaatregelen naar de in het kader van Suwinet gewenste situatie. De regeling vereist wel dat alle partijen in een plan aangeven hoe de uitwerking van de normering binnen de eigen organisatie wordt geïmplementeerd. Of en op welke wijze dit beveiligingsplan object van beoordeling dan wel toetsing is, wordt niet aangegeven. Ook in de verantwoording door partijen over beveiliging en het toezicht op de naleving van de beveiligingseisen zou meer en expliciet aandacht aan dit punt geschonken moeten worden. Voor de eerste implementatie van beveiligingsmaatregelen door elk van de partijen zou een meer gerichte toetsing, bijvoorbeeld in de vorm van een postimplementatie audit, overwogen kunnen worden. Dit klemt des temeer gelet op de in het eerste onderdeel van het advies gestelde vragen over de verantwoordelijkheid voor de verwerking van persoonsgegevens via het Suwinet. Uit oogpunt van beveiliging worden in de regeling expliciet de kwaliteitscriteria van informatie, beschikbaarheid, integriteit en vertrouwelijkheid genoemd. Vanuit het oogpunt van toezicht op de naleving is het belangrijk dat invulling wordt gegeven aan het kwaliteitscriterium controleerbaarheid. Indien bij de opzet van de beveiliging onvoldoende rekening wordt gehouden met de eisen van controleerbaarheid, waaronder het realiseren van een adequate audittrail, wordt controle achteraf op de feitelijke naleving bemoeilijkt, zo niet, voor sommige punten, onmogelijk gemaakt. Het verdient derhalve aanbeveling in de regeling en in de bijlage specifiek aandacht te besteden aan het kwaliteitsaspect controleerbaarheid. Toezicht op de naleving Verantwoording over en toezicht op de implementatie en naleving van de beveiligingsnormen Suwinet is van groot belang voor een adequate beveiliging van Suwinet. In de bijlage bij de regeling is de wijze van verantwoording en (intern) toezicht beschreven. Het CBP vindt dat de paragraaf over verantwoording en toezicht nog onvoldoende duidelijk is en vindt dat deze op verschillende punten (periodiciteit van controle en rapportage, consistentie in rapportages door verschillende partijen, uitwerking auditbepaling, etc.) nader uitgewerkt moet worden. De bepalingen laten nu nog te veel ruimte voor verschillende interpretatie, hetgeen de consistente uitwerking door de Suwi-partijen niet bevordert. Onduidelijk is of de jaarlijkse audit uitgevoerd dient te worden door een onafhankelijke, externe auditor of ook door de eigen interne accountantsdienst uitgevoerd kan worden. Een onafhankelijke externe audit, naar analogie van de jaarlijkse audit naar het gegevensbeheer bij de uitvoeringsinstellingen heeft de voorkeur van het BLAD 5

CBP. Naast een jaarlijkse toetsing van de beveiligingseisen zou ook de naleving van de overige aspecten van privacybescherming object van periodiek onderzoek moeten zijn. Een dergelijke audit zou bij uitstek kunnen plaatsvinden met behulp van het door de Registratiekamer, beroepsorganisaties van auditors en marktpartijen ontwikkelde Raamwerk Privacy Audit. Het CBP is van mening dat de verantwoording over en het toezicht op de beveiliging een plaats dient te krijgen in de regeling SUWI. Nu regelt artikel 6.4 Beveiliging Suwinet alleen de zorg voor het realiseren van beveiliging en de wijze waarop aan de beveiliging invulling wordt gegeven door middel van een beveiligingsplan. Om de beleidscyclus rond te maken zouden ook verantwoording over en toezicht op de naleving in het artikel geregeld moeten worden, waarbij de feitelijke uitwerking in de bijlage plaatsvindt. Ontwikkeling Suwinet spoor 2 Bij de ontwikkeling van Suwinet is om pragmatische redenen gekozen voor een fasering in twee sporen. De essentiële functies en beveiligingsvoorzieningen worden in spoor 1 gerealiseerd, dat op 1 januari 2002 operationeel moet zijn. De ontwikkeling van Suwinet in spoor 2 is gericht op de ontwikkeling van een duurzame infrastructuur, waarin aanvullende functies gerealiseerd worden, zoals een beveiligde mailvoorziening. Het CBP wijst erop dat de betrouwbaarheid van de infrastructuur in termen van vertrouwelijkheid en integriteit uit oogpunt van privacybescherming vanaf de eerste operationele fase gewaarborgd dient te zijn. De gefaseerde ontwikkeling van Suwinet, waarbij de ontwikkelorganisatie ook nog onder grote tijdsdruk staat, brengt risico s met zich mee voor de betrouwbaarheid van de infrastructuur. Deze risico s dienen onderkend te worden en in de operationele fase, waar nodig op basis van calamiteitenscenario s geadresseerd te worden. Het CBP verwacht ook bij de verdere ontwikkeling van Suwinet betrokken te worden. Ik vertrouw er op u hiermee voldoende te hebben geïnformeerd. Een afschrift van deze brief zal worden verstuurd aan de Staatssecretaris van Sociale Zaken en Werkgelegenheid. Hoogachtend, mr. U. van de Pol Collegelid BLAD 6

Bijlage De concept-regeling SUWI en de bijbehorende toelichting Artikel 2.4, onder f, spreekt over welke andere waarnemingen zij bij de uitvoering van artikel 28 van de Wet SUWI met betrekking tot de belanghebbende heeft gedaan die relevant kunnen zijn voor de beslissing op de aanvraag door B&W onderscheidenlijk het UWV. Deze bepaling verdient nadere specificatie. Wat wordt precies bedoeld met waarnemingen die relevant kunnen zijn voor de beslissing op de aanvraag? Betreft het hier het vastleggen van het gedrag van de aanvrager? In artikel 3.1 is neergelegd dat het UWV aan de verzekerde een registratiemelding verstrekt. Artikel 3.2 regelt dat het UWV aan de verzekerde en aan de uitkeringsgerechtigde eenmaal per jaar een statusoverzicht verstrekt. Het UWV is hiertoe ingevolge artikel 33, vierde en vijfde lid SUWI, verplicht. In de artikelen 33 en 34 van de WBP wordt de informatieplicht naar de geregistreerde geregeld. Formeel bezien betreft het hier twee afzonderlijke wettelijke verplichtingen. Materieel gezien kan het CBP zich voorstellen dat het registratieoverzicht en het statusoverzicht zo worden ingericht dat met het verstrekken hiervan tevens wordt voldaan aan de informatieverplichtingen die de WBP stelt. In artikel 5.5, derde lid, onder b, wordt gesproken over nieuwe experimenten met informatieuitwisseling als bedoeld in artikel 3, tweede lid, van het Besluit Inlichtingenbureau gemeenten. De Registratiekamer heeft in haar advies over het Besluit Inlichtingenbureau gemeenten, ten aanzien van dit artikel gesteld dat het uitvoeren van andere taken door het IB wordt begrensd door het vereiste van doelbinding. De Registratiekamer is van oordeel dat de huidige ruime omschrijving van het nevendoel, te weten diensten ten behoeve van gemeenten op het gebied van informatievoorziening en gegevensuitwisseling, onvoldoende is bepaald. en In deze omstandigheden acht zij het noodzakelijk in de tekst van het besluit een koppeling aan te brengen tussen de kerntaken van het IB uit het eerste lid en de overige taken. Deze dienen niet alleen maar in het verlengde te liggen hiervan te liggen. Het criterium dient te zijn da deze hiermee noodzakelijk zijn verbonden. (Registratiekamer, z2001-0762, Den Haag, 1 augustus 2001). Het CBP is van oordeel dat het woord experimenten in artikel 5.5, derde lid, onder b, van de conceptregeling zich niet verdraagt met de strakke vereisten van doelbindingen en verenigbaarheid ingevolge de WBP. In artikel 5.11, vierde lid, wordt gesproken over het overdragen van persoonsgegevens aan het Steinmetzarchief van het Nederlandse Instituut voor Wetenschappelijke Informatiediensten. Gesteld wordt dat bij de overdracht de richtlijnen van het Steinmetzarchief in acht worden genomen. Het CBP wil u er op wijzen dat in casu voldoen te dient te worden aan vereisten van artikel 9, derde lid, WBP. In artikel 5.16 is neergelegd dat de uitvoeringsorganisatie de taak heeft om te zorgen voor een deugdelijke administratie teneinde te kunnen garanderen dat tijdig en op de juiste wijze aan de informatieverplichtingen in de regeling kan worden voldaan. Het CBP wil u er op attenderen dat ook in de WBP eisen ten aanzien van de kwaliteit van de verwerking van persoonsgegevens zijn neergelegd. BLAD 7

In de toelichting staat dat alle verstrekte gegevens en (een afschrift van de) bewijsstukken door het CWI worden overgedragen aan het UWV en de GSD-en. De vraag die zich vervolgens voordoet is welke gegevens er achterblijven in de administratie van het CWI en welke bewaartermijn daarvoor wordt gehanteerd. Het beheer van autorisaties, aangevuld met specifieke beoordeling van logverslagen over toegang tot bestanden en het nemen van actie naar aanleiding van ongeoorloofde acties, vormt een kritisch punt uit oogpunt van vertrouwelijkheid. Omtrent logging is alleen geregeld dat er periodieke rapportages worden opgesteld, maar niet aan wie die worden voorgelegd en hoe daarmee wordt omgegaan. Het beheer van autorisaties en de controle op de naleving daarvan is voor een belangrijk deel decentraal belegd bij de verschillende Suwipartijen. Bij het toezicht op de implementatie en de naleving verdient dit punt extra aandacht. Voor zover logging herleidbaar is naar individuele personen is sprake van een personeelsvolgsysteem, waar onder meer ingevolge de WOR - verschillende privacyaspecten zijn verbonden. Stelselontwerp Suwinet (Bijlage XII): Door het ontbreken van een mechanisme waardoor een gebruiker uitsluitend toegang krijgt tot die persoonsgegevens die bij een bepaald sofi-nummer behoren waarmee de betrokken functionaris een relatie heeft, is de controle op de toegang tot persoonsgegevens door middel van logging essentieel. In paragraaf 5.2.1 van het Stelselontwerp Suwinet wordt als eis voor gegevenstransport via openbare netwerken versleuteling genoemd. Naast versleuteling gelden er nog andere eisen waaraan bij transport via openbare netwerken moet worden voldaan. De koppeling tussen de kolomnetwerken van elk van de Suwipartijen en Internet vormt in dit kader een extra risico. Het SOAP-verkeer tussen CWIntake en de overzichtsapplicatie enerzijds en de XML-pagina s anderzijds wordt niet beveiligd met behulp van het pakket SelectAccess. De vraag rijst op welke wijze deze beveiliging dan wel geregeld wordt. In Bijlage XII Stelselontwerp Suwinet wordt op pagina 10 gesproken over de minimale benodigde groep van gegevens die voor ontvangende partijen vastgesteld en beheerst dient te worden vanuit oogpunt van privacy. Het CBP gaat er vanuit dat hier sprake is van een omissie en dat het hier gaat om de maximale groep gegevens. In het Stelselontwerp Suwinet wordt aangegeven dat bij het testen gebruik wordt gemaakt van testdata die bestaat uit anonieme gegevens. Het gebruik van bestaande persoonsgegevens die geanonimiseerd wordt brengt risico s met zich meer in verband met mogelijkheid van indirecte herleiding. In dat geval is nog steeds sprake van persoonsgegevens in de zin van de WBP. Zo wordt het weghalen van sofi-nummer, naam en adres van personen niet aangemerkt als anonimiseren. Het verdient aanbeveling om ten behoeve van het testen daadwerkelijk fictieve testgegevens aan te maken en te gebruiken. BLAD 8

Bijlage XV Ontwerp elektronische voorziening IB 1. 0 Met bijlage XV, wordt ingegaan op de bewaartermijn die het IB hanteert ten aanzien van de gegevens die zij verwerkt op grond van de Abw, IOAW en IOAZ. Onderbouwd dient te worden waarom voor een dergelijke lange bewaartermijn (maximaal 2 jaar nadat het signaal is beëindigd) is gekozen. Daarbij doet zich de vraag voor welke bewaartermijnen gehanteerd worden ten aanzien van de gegevens die door het IB worden verwerkt op grond van de wet SUWI. BLAD 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback