Handreiking Nieuwe Suwi Autorisaties

Vergelijkbare documenten
Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Technische oplossingen voor een veilig gebruik van Suwinet. Zwolle, 20 april 2017

Toegangsrechten voor Suwinet-Inkijk

Toegangsrechten voor Suwinet-Inkijk

Toegangsrechten voor Suwinet-Inkijk

Vraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd?

Handreiking Whitelist en Escapefunctie op Suwinet-Inkijk voor gemeentelijk domein Werk en Inkomen

Handreiking Gebruik Zoeksleutels in Suwinet-Inkijk

Toegangsrechten voor Suwinet-Inkijk

Handreiking gebruik Zoeksleutels in Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

Toegangsrechten voor Suwinet-Inkijk

Handreiking Whitelist en Escapefunctie Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

BRONPAGINA OVERZICHTSPAGINA ZOEKPAGINA OVERIGE. Terugvordering&Verhaal. Kostendelerstoets. Rechtmatigheid+ Re-integratie.

Toegangsrechten voor Suwinet-Inkijk

Vragen en antwoorden whitelist en escapefunctie

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

Verbeterplan Suwinet

Handreiking Gebruikersrapportage Suwinet-Inkijk voor het gemeentelijk domein Werk en Inkomen

Maak optimaal gebruik van de nieuwe gemeentelijke gebruikersrapportage Suwinet

Handreiking Gebruikersrapportage Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

Norm 1.3 Beveiligingsplan

Introductie Suwinet en ENSIA

Aan welke eisen moet het beveiligingsplan voldoen?

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft

College bescherming persoonsgegevens

Informatie over logging gebruik Suwinet-Inkijk

uw kenmerk ons kenmerk ECSD/U Lbr. 15/066

i\ r:.. ING. 1 8 FEB 2016

Release Suwinet-Inkijk versie 14.06

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Woudenberg

Autorisaties en toelichting

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

2015; definitief Verslag van bevindingen

Beveiligingsnota Suwinet 2014

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

In dit informatiebulletin zal worden ingegaan op een specifiek onderdeel van de nieuwe fraudewet, namelijk het Frauderegister.

rliiiiihihhiiiivi.ilhn

Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk

Beveiligingsplan Suwinet Gemeente Oegstgeest

il'-'ih'li-l'li'-ihih

Periodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Heerenveen

Knoppenmodel Transparantie naar burger Toekomstvisie

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Baarle-Nassau

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

illinium i ui /12/2013

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Toelichting Suwinet-Inkijk

Release bevat 1 algemene wijziging, 3 wijzigingen voor gemeenten, 1 voor UWV en 1 voor DUO.

Handreiking Suwinet Attentiepunten en illustrataties

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Zutphen

Handleiding Suwinet-Inkijk Gebruikersadministratie

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Eindhoven

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

Handreiking gebruik escape. Voor (I)GSD-en die gebruik maken van de whitelist op Suwinet

Bijeenkomst Suwinet. VNG / Inspectie SZW

College bescherming persoonsgegevens

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

Procedure aansluiting Suwinet Services

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Toelichting op gegevens van de Belastingdienst

Beveiligingsplan. SUWI inkijk. Gemeente Boxtel / Gemeente Haaren

Rekenkamercommissie Brummen

Rechten beheren op Mijn Gegevensdiensten

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober Inleiding

Dienst Uitvoering Onderwijs Ministerie van Onderwijs, Cultuuren Wetenschap

College bescherming persoonsgegevens

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Nunspeet

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

Gebruiker zonder rol weer zichtbaar in gebruikersadministratie

Beveiligingsplan Suwinet, Kolom Werk en Inkomen 2018

Vanwege de grote bijlage zal het Overzicht Suwinet Normenkader 2017 afzonderlijk worden toegevoegd.

Rechten beheren op Mijn Gegevensdiensten

Vanwege de grote bijlage zal het Overzicht Suwinet Normenkader 2017 afzonderlijk worden toegevoegd.

College bescherming persoonsgegevens

Beveiligingsplan. rechtmatig gebruik Suwinet-Inkijk. Intergemeentelijke Afdeling Sociale Zaken (IASZ)

Beveiligingsplan Suwinet gemeente Bunschoten 2016

9 augustus 2016 Gegevenswisseling Suwinet ECIB/U

Tweede Kamer der Staten-Generaal

Om Access Online veilig te houden, gelden er vanaf 2013 aanpassingen. Deze aanpassingen maken onderdeel

Het kan makkelijker!

Nota Informatiebeveiligingsbeleid Wijzer 2015

veilig omgaan met elkaars gegevens

Verantwoordingsrichtlijn

Transcriptie:

Handreiking Nieuwe Suwi Autorisaties

Inhoud 1. Inleiding 3 2. Doel 3 3. De huidige situatie 3 4. Zoeksleutels 4 5. Wijzigingen: nieuwe pagina s en nieuwe indeling 4 6. Wat moet de gemeente doen? 5 7. Communicatie naar medewerkers over proportionaliteit 8 Pag. 2 - Handreiking Nieuwe Suwi Autorisaties - Versie 1

1. Inleiding Het via Suwinet uitwisselen van gegevens tussen gemeenten, SVB, UWV en andere bronnen is om meerdere reden noodzakelijk. Allereerst om burgers beter te kunnen helpen en ten tweede om fraude of misbruik te voorkomen. De persoonsgegevens die via Suwinet worden uitgewisseld zijn zeer privacygevoelig. Daarom is het van belang dat gebruikers zorgvuldig met de gegevens die via het systeem worden uitgewisseld omgaan. In de praktijk gaat dat niet altijd goed. In het programmaplan Borging veilige gegevensuitwisseling via Suwinet staan maatregelen om oneigenlijk gebruik van Suwinet tegen te gaan. Eén van die maatregelen is het verbeteren van de autorisatiestructuur. Een fijnmaziger structuur betekent dat de afstemming tussen de gegevenslevering en de informatiebehoefte van de professional wordt verbeterd (verfijnd). Daarmee wordt voorkomen dat ambtenaren gegevens onnodig raadplegen of meer gegevens onder ogen krijgen dan echt nodig is. Alle gemeenten moeten vóór 1 juli 2017 hun Suwinet-autorisaties opnieuw inrichten. Wat houdt deze maatregel in? Welke werkzaamheden brengt dat met zich mee? Daarover gaat deze handreiking. 2. Doel Een fijnmaziger autorisatiestructuur bevordert proportionaliteit van gegevenslevering en gaat daarmee overmatig gegevensgebruik tegen. De toegang tot gegevens wordt beter afgestemd op wat voor de uitoefening van een taak noodzakelijk is. Niet meer en niet minder. Naast een fijnmaziger autorisatiestructuur vergt dit uiteraard ook een juist gebruik van zoeksleutels. Deze handreiking is geschreven voor de situatie bij gemeenten. De andere ketenpartijen, SVB en UWV zijn zelf verantwoordelijk voor het treffen van maatregelen ter bevordering van een adequaat autorisatiebeleid. 3. De huidige situatie Gebruikers kunnen via de webapplicatie Suwinet-Inkijk gegevens uit verschillende bronnen 1 opvragen. De bronhouder bepaalt per wettelijke taak welke gegevensset aan welke organisatie mag worden geleverd. Die gegevens worden getoond op de inkijkpagina s van Suwinet-inkijk. Deze inkijkpagina s bestaan uit bronpagina s en overzichtspagina s: Bronpagina: toont de gegevens van één bron Overzichtspagina: combineert gegevens van verschillende bronnen Probleem: meer gegevens dan nodig In sommige situaties vragen medewerkers meer gegevens op dan voor de uitvoering van hun taak nodig is. Daarmee is er sprake van disproportionaliteit. Dit gebeurt niet altijd bewust. De huidige opbouw en samenstelling van de inkijkpagina s is hier debet aan. 1 Waaronder die van de BRP, BRV (RDW), GSD, UWV, SVB, Kadaster en DUO Pag. 3 - Handreiking Nieuwe Suwi Autorisaties - Versie 1

Hiervoor zijn twee oorzaken: a) Afwezigheid bronpagina: Er wordt gebruik gemaakt van een overzichtspagina, terwijl gegevens van één bron nodig zijn. De medewerker zou in dat geval de bronpagina moeten raadplegen in plaats van een overzichtspagina. Uiteraard moet zo n bronpagina wel beschikbaar zijn. Niet voor iedere bron is een separate pagina beschikbaar. Als dat niet het geval is worden de gegevens daarom noodgedwongen via de overzichtspagina geraadpleegd; er worden dan ook gegevens opgevraagd die op dat moment niet nodig zijn. b) Te grote overzichtspagina: De overzichtspagina Klant Algemeen(+) is zeer uitgebreid. Deze overzichtspagina bevat gegevens die betrekking hebben op zowel inkomen en rechtmatigheid als op de arbeidsmarktpositie van de klant en diens re-integratie. Deze twee gemeentelijke kerntaken worden in veel gemeenten niet door dezelfde medewerker(s) uitgevoerd. In veel gemeenten zijn deze taken gescheiden. Er is dan (bijvoorbeeld) een klantmanager Inkomen en een klantmanager Werk. Door gebruik te maken van de overzichtspagina Klant Algemeen(+) krijgt een klantmanager Werk ook alle gegevens te zien die betrekking hebben op de rechtmatigheid en de klantmanager Inkomen ook de gegevens die gaan over re-integratie. Gemeenten kunnen nu nog geen onderscheid maken in de autorisaties voor deze subtaken omdat de benodigde gegevens op één overzichtspagina staan. Medewerkers krijgen daardoor in dergelijke gevallen onnodig (te) veel gegevens onder ogen en dat is onwenselijk. 4. Zoeksleutels Persoonsgegevens zijn in principe alleen op te vragen via het BSN van de betreffende burger. Maar voor enkele bronnen kan of moet dat met een andere zoeksleutel. Zo werkt het Suwi Bedrijvenregister niet met het BSN en zijn er bij de RDW mogelijkheden om gegevens op te vragen buiten het BSN om, bijvoorbeeld via kenteken of adres. Hiervoor zijn speciale zoekpagina s ingericht. Zoeken naar persoonsgegevens anders dan op BSN, zijn risicovolle autorisaties. Het advies is om deze beperkt toe te kennen. Medewerkers moeten voor deze zoekpagina s apart worden geautoriseerd. Voor het omgaan met de zoeksleutels anders dan BSN is een aparte handreiking beschikbaar. 5. Wijzigingen: nieuwe pagina s en nieuwe indeling Om disproportionele gegevenslevering op korte termijn te beperken veranderen er drie dingen: 1. De huidige overzichtspagina s (Klant Algemeen(+)) worden opgedeeld in twee afzonderlijke overzichtspagina s: overzichtspagina Rechtmatigheid GSD overzichtspagina Re-integratie GSD 2. Overzichtspagina s worden verwijderd per 1 juli 2017 overzichtspagina s Klant Algemeen (+) overzichtspagina Klantbeeld 3. Bronpagina s worden toegevoegd. Zo komen voor meer bronnen aparte pagina s beschikbaar. Het betreft: bronpagina SVB voor GSD bronpagina UWV Uitkeringen voor GSD bronpagina DUO gegevens voor GSD bronpagina UWV Inkomensverhoudingen voor GSD Pag. 4 - Handreiking Nieuwe Suwi Autorisaties - Versie 1

De nieuwe pagina s bevatten dezelfde en daarmee evenveel gegevens als in de huidige situatie. Er is geen sprake van gegevensverlies. De bronhouders hebben immers al eerder toestemming gegeven voor het verwerken van deze gegevens en deze gegevens zijn nodig om de klant optimaal te kunnen bedienen. De meest in het oog springende wijziging is dat de overzichtspagina Klant Algemeen(+) wordt opgeknipt. In de huidige situatie wordt die pagina meestal aan zowel inkomens- als werkconsulenten toebedeeld. Maar er zijn ook gemeenten waar inkomens- en werktaken door één en dezelfde consulent worden gedaan, vaak aangeduid als generalisten. In dat geval moeten in de nieuwe situatie aan deze rol beide nieuwe overzichtspagina s (Rechtmatigheid en Re-integratie) worden gekoppeld. Daarmee beschikt de medewerker over exact dezelfde informatie als voorheen op de pagina Klant Algemeen(+). De gegevens zijn alleen verdeeld over twee verschillende overzichtspagina s. Omdat de overzichtspagina Klant Algemeen(+) per 1 juli 2017 wordt gedeactiveerd, is het noodzakelijk om medewerkers tijdig te informeren en te instrueren over deze omzetting. Ook de overzichtspagina Klantbeeld zal voor gemeenten verdwijnen per 1 juli 2017. De autorisatie voor de pagina Klantbeeld is ontwikkeld in de begintijd van het DKD en was speciaal bedoeld voor KCC medewerkers die een klant aan de telefoon krijgen met vragen over de gegevens die de klant ziet via werk.nl. Samen met gemeenten is geconstateerd dat de pagina Klantbeeld veelvuldig geraadpleegd wordt en dat de autorisatie ook aan behoorlijk wat medewerkers is toegekend. Gebleken is echter dat deze autorisatie vrijwel nooit aan een KCC medewerker is verstrekt. Bovendien is gebleken dat gemeenten vrijwel nooit gebeld worden door klanten met vragen over hun gegevens op werk.nl. Het is dan ook aannemelijk dat de pagina Klantbeeld voor andere doelen wordt geraadpleegd dan oorspronkelijk is bedoeld. Bijvoorbeeld: aan een medewerker aan de balie die een wat kleinere gegevensbehoefte heeft dan een grote overzichtspagina. Maar er zijn ook gemeenten aangetroffen die op alle gebruikersaccounts de autorisatie voor Klantbeeld hebben toegekend. Bij het bekijken van een overzichtspagina die niet gerelateerd is aan een bepaalde taak ziet de gebruiker altijd meer gegevens dan nodig. Dat is ongewenst. Met gemeenten is gesproken over nut en noodzaak van de pagina Klantbeeld. Gemeenten hebben aangegeven dat deze overzichtspagina zijn doel voorbij streeft en dat er voldoende andere mogelijkheden en autorisaties zijn om eventuele vragen van klanten over getoonde GSD gegevens te kunnen bekijken en te beantwoorden. Dat wordt nog verder verbeterd door het beschikbaar komen van nieuwe overzichtspagina s rechtmatigheid en re-integratie en de nieuwe bronpagina s. Overigens blijven de gegevens in Klantbeeld wel beschikbaar voor klanten via werk.nl en mijn overheid.nl. Met de twee nieuwe overzichtspagina s Rechtmatigheid (+) en Re-integratie kunnen gemeenten de gegevenslevering aan medewerkers beter afstemmen op de aan hen opgedragen taken. In voorkomende situaties zal de medewerker een bronpagina moeten gebruiken in plaats van de overzichtspagina. Zo krijgt hij niet meer onnodig gegevens onder ogen. 6. Wat moet de gemeente doen? De nieuwe inkijkpagina s zijn beschikbaar vanaf 1 september 2016. De nieuwe pagina s en de nieuw ingedeelde pagina s zijn aanleiding om het autorisatiebeleid van de gemeente te herijken. Dit betekent dat autorisaties opnieuw worden bekeken en worden toegekend. Omdat de samenstelling van pagina s wijzigt, is het van belang dat de gegevenslevering aan medewerkers in lijn is met de door hun functie ingegeven Pag. 5 - Handreiking Nieuwe Suwi Autorisaties - Versie 1

gegevensbehoefte. Zo is het voor medewerkers die alleen re-integratie doen niet noodzakelijk om ook inkomensgegevens te kunnen inzien. Met de huidige overzichtspagina kregen ze die gegevens echter wel te zien. Door te autoriseren voor de nieuwe pagina Re-integratie behoort dit tot het verleden en is de gegevenslevering proportioneel. De werkzaamheden m.b.t het autoriseren zijn incidenteel en structureel van aard: 1 Voorbereiding (incidenteel): a) Inventariseren van de bestaande autorisaties door gebruikersbeheerder b) Opstellen van een nieuwe autorisatiematrix door gebruikersbeheerder en Security Officer (SO) aan de hand van functies en taken binnen de organisatie. 2. Implementatie (incidenteel): a) Vaststellen van de nieuwe autorisatiematrix door het MT b) Toekennen van autorisaties aan medewerkers door gebruikersbeheerder 3. Beheer en controle d.m.v. opvragen rapportages (structureel) a) Door management, SO en/of gemandateerde functionaris. De incidentele werkzaamheden (1 en 2) moeten uiterlijk 1 juli 2017 zijn afgerond. Immers, op 1 juli 2017 verdwijnen de overzichtspagina s Klant Algemeen (+) en Klantbeeld. Heel veel gebruikers zijn geautoriseerd voor deze pagina s en zouden de toegang tot informatie verliezen als hun autorisaties niet worden aangepast. Ad 1. Voorbereidend: inventarisatie en aanpassing Een belangrijke maatregel die u moet nemen is het aanpassen van de autorisatiematrix. In een autorisatiematrix staan de functies van een medewerker, en tot welke gegevens een specifieke functie toegang heeft. Dit betekent dat na inventarisatie van de huidige situatie per functie opnieuw moet worden vastgesteld welke Suwinet-pagina s gebruikt mogen worden en welke zoeksleutel daarbij mag worden gehanteerd. Dit is uiteraard afhankelijk van de taken die aan de betreffende medewerkers worden opgedragen. Wij adviseren u om medewerkers die autorisaties krijgen voor overzichtspagina s ook altijd te autoriseren voor de van toepassing zijnde bronpagina s. Op die manier kunnen medewerkers bewust kiezen of ze op dat moment een uitgebreid overzicht van gegevens van de klant nodig hebben of dat slechts gegevens uit één bron kunnen volstaan. Meer informatie over toegangsrechten en autorisatie vindt u in het Overzicht autorisaties voor GSD op de website van het BKWI. Binnen de Suwinet autorisatiestructuur kunnen gemeenten zelf autorisatierollen aanmaken en toewijzen aan bepaalde functies. Die rollen geven toegang tot één of meer pagina s op Suwinet-Inkijk. Het kan zijn dat bestaande gemeentelijke rollen anders moeten worden gedefinieerd door de nieuwe bron- en overzichtspagina s, maar dat zal niet altijd het geval zijn. Het is aan te raden om bij het opnieuw samenstellen van de rollen per functie, tegelijkertijd opnieuw te bepalen welke rollen/functies gebruik mogen maken van zoekpagina s met een zoeksleutel anders dan het BSN. Een autorisatiematrix maakt deel uit van het beheerproces op autorisaties. Het vaststellen en bijhouden van een autorisatiestructuur is een gemeentelijke taak die is belegd bij de autorisatiebeheerder. Hij doet dit in overleg met de Security Officer en het management. Een autorisatiematrix maakt in één oogopslag inzichtelijk hoe die autorisatiestructuur is opgebouwd. Nb. de autorisatieprocedure en de controle op toegang en gebruik behoort tot de onderzoeksnormen van de Inspectie SZW 2 2 Hier kunt u zien om welke normen het gaat: http://www.bkwi.nl/fileadmin/downloads/veiligheidspagina/relatie_7_suwinormen_tov_ BIGnormen.pdf Pag. 6 - Handreiking Nieuwe Suwi Autorisaties - Versie 1

Door het BKWI zijn voorbeelden van autorisatiematrices verzameld die als referentiemateriaal kunnen worden gebruikt. Ze zijn te vinden via deze link: http://www.bkwi.nl/veiligheid/normen/norm-131-autorisatiestructuur/ Ad 2. Implementatie: vaststellen en toekennen van de autorisaties Na het opnieuw samenstellen en (laten) vaststellen van de aangepaste autorisatiematrix 3, dient deze door het management te worden vastgesteld. Daarna kan de gebruikersbeheerder de gebruikersadministratie Suwinet-Inkijk aanpassen. Via de gebruikersadministratie worden de inkijkpagina s gekoppeld aan een rol en krijgen medewerkers één of meer rollen toebedeeld. Mogelijk moeten bestaande rollen worden aangepast of nieuwe rollen worden aangemaakt, afhankelijk van de bestaande gebruikersadministratie. Medewerkers moeten uiteraard worden voorgelicht over de nieuwe situatie. In de Handleiding Suwinet-Inkijk gebruikersadministratie, staat informatie over de manier waarop bestaande accounts kunnen worden bewerkt in de gebruikersadministratie. Deze kunt u vinden op de BKWI website via deze link: http://www.bkwi.nl/downloads/item/handleiding-suwinet-inkijk-gebruikersadministratie/ Het aanpassen van de gebruikersadministratie Suwinet-Inkijk moet door de gemeente zelf en handmatig plaatsvinden. Het is niet mogelijk om gebruik te maken van geautomatiseerde overzetting door het BKWI. Dit komt doordat bij iedere gemeente de functies en rollen anders zijn samengesteld. De gemeentelijke rollen in de gebruikersadministratie zijn niet inzichtelijk voor het BKWI, zij kunnen niet zoeken op toegekende pagina s per rol. Daardoor zijn overzettingen door zoek en vervang niet mogelijk. Gemeenten die al werken met een autorisatiematrix op functies met bijbehorende rollen in Suwinet-Inkijk, kunnen waarschijnlijk de gebruikersadministratie gemakkelijk en snel aanpassen. Andere gemeenten hebben naar verwachting veel meer tijd nodig voor de aanpassingen in de gebruikersadministratie. Ad. 3 Beheer en controle Hoe blijft u in control? Maandelijks stelt het BKWI per organisatie rapportages beschikbaar. De organisatie is zelf verantwoordelijk voor het ophalen van die rapportages. In de praktijk blijkt dat niet elke gemeente deze rapportages ophaalt. Dat is jammer, want de rapportages geven een goed inzicht in het gebruik door medewerkers. Analyse van de rapportages kan aanleiding geven om meer gespecificeerde rapportages op te vragen. De maandelijkse algemene rapportage bevat geen informatie over bevraagde BSN s of medewerkers die bepaalde gegevens hebben opgevraagd. De rapportage geeft ondermeer een beeld van: het aantal raadplegingen per inkijkpagina het percentage raadplegingen tussen 19:00 uur en 06:00 uur t.o.v. het totaal aantal raadplegingen het percentage raadplegingen op zoeksleutel anders dan BSN het aantal raadplegingen van de vijf meest geraadpleegde BSN s Het hoogst aantal medewerkers dat een bepaalde BSN heeft geraadpleegd (top 5) De top 5 van aantal raadplegingen door een gebruiker het percentage geblokkeerde accounts het aantal accounts dat tenminste 90 dagen niet is gebruikt overzicht hoeveel medewerkers voor welke rol zijn geautoriseerd 3 Een autorisatiematrix moet onderdeel zijn van het beveiligingsplan van de organisatie (Suwinorm 13.1) Pag. 7 - Handreiking Nieuwe Suwi Autorisaties - Versie 1

De gemeente heeft de mogelijkheid om naast de algemene rapportage ook specifieke rapportages op te vragen. Specifieke rapportages geven gedetailleerde informatie over de medewerkers en BSN s. Zo n rapportage wordt opgevraagd als onderdeel van de control cyclus (bijvoorbeeld steekproeven) of omdat de algemene rapportage daartoe aanleiding geeft (bijvoorbeeld een flinke toename in opvraging of toename in het gebruik van zoeksleutels anders dan BSN). De specifieke rapportage kan worden aangevraagd door een hiertoe gemandateerde functionaris, (bijvoorbeeld een Interne Controller of Security Officer) ter ondersteuning van het interne controleproces. De procedure voor het aanvragen van specifieke rapportages kunt u vinden via deze link: http://www.bkwi.nl/uploads/media/periodieke_en_specifieke_rapportages_gebruik_suwinetv2.0_07-10-2015.pdf 7. Communicatie naar medewerkers over proportionaliteit Medewerkers moeten op de hoogte worden gebracht van de wijzigingen. Het is de bedoeling dat de medewerker alleen de gegevens opvraagt die nodig zijn voor de uitvoering van zijn taak. Een medewerker die enkel voertuiggegevens nodig heeft, kan volstaan met raadpleging van de bronpagina RDW en hoeft geen overzichtspagina handhaving te gebruiken, waar de voertuiggegevens naast vele andere gegevens worden getoond. De verandering in het beperken van het gebruiken van overzichtspagina s betekent dat medewerkers zich bewust moeten worden dat less in veel gevallen more is. Tijdig beginnen is daarom essentieel. In de toekomst wordt het mogelijk dat burgers (met gebruik van hun DigID) zelf kunnen inzien welke organisatie uit welke bron gegevens van hen heeft opgevraagd. Als er dan steeds grote overzichtspagina s zijn opgevraagd is het niet uit te leggen dat een medewerker bijvoorbeeld inkomensgegevens heeft opgevraagd terwijl alleen geverifieerd moest worden of een auto op naam van de klant staat. Pag. 8 - Handreiking Nieuwe Suwi Autorisaties - Versie 1

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback