Introductie Suwinet en ENSIA Anton Slijkhuis senior beleidsmedewerker Directie Stelsel en Volksverzekeringen / Taakveld Handhaving en Gegevensuitwisseling oktober 2017
Inhoud 1. Feiten 2. Probleem 3. Aanpak 2
1. Feiten 2002: Structuur Uitvoering Werk en Inkomen (SUWI) Samenwerking UWV, CWI, gemeenten en SVB Ter ondersteuning het inrichten van Suwinet om onderling gegevens uit te kunnen wisselen Beheerder Centrale voorzieningen: Bureau Keteninformatisering Werk en Inkomen (BKWI) 3
4
Stelsel van gegevensuitwisseling Stelselverantwoordelijkheid: Ministerie van SZW o Wet SUWI art. 62 o Besluit SUWI o Regeling SUWI : bijlage 1 Stelselontwerp Gezamenlijke Electronische Voorzieningen SUWI (GeVS) UWV, SVB en gemeenten gezamenlijk verantwoordelijk voor het instandhouden van de GeVS o Maken van ketenafspraken: SUWI-gegevensregister, Keten- SLA, Verantwoordingsrichtlijn Beveiliging & Privacy, Ketenarchitectuur Reg. SUWI, bijlage 3 Aansluitprotocol voor niet-suwi-partijen 5
Voorzieningen voor toegang tot gegevens 1. Inkijk o Suwinet-Inkijk (BKWI) o Autorisatie, logging en rapportages via BKWI o Controle op gebruik door gemeente 2. Inlezen o Suwinet-Inlezen (BKWI) en DKD-Inlezen (IB) o Gegevens inlezen in bedrijfsapplicatie(s) o Autorisatie, logging en rapportages via bedrijfsapplicatie(s) o Controle op gebruik door gemeente 6
Beginselen WRR rapport ioverheid Stuwend (nieuw beleid) Procesmatig (verantwoording) Verankerend (privacy ondersteund door beveiliging) Rechten van burgers Vertrouwen van burgers in de overheid Vertrouwen van samenwerkende partijen in elkaar 7
Groei gegevensverkeer via Suwinet Toename aantal gegevens, gevoeligheid en aantal aangesloten organisaties Suwinet (2012): gegevens van 5,5 miljoen burgers opgevraagd door zo n 24.500 unieke gebruikers 112 miljoen uitgewisselde berichten, 10 procent meer als in 2011. Opgave: Balans tussen stuwende, verankerende en procesmatige beginselen 8
Onderzoeken 1. Inspectie SZW (2013) informatiebeveiliging gemeenten schiet ernstig tekort 2. Privacy Impact Assessment Suwinet (PIA) (2014) samenhangende privacykwetsbaarheden in de keten van bron tot afnemer 3. Autoriteit Persoonsgegevens (AP) (voorheen CBP) (2014) aansluiting niet-suwi partijen + gemeenten 9
10 Houston, we have a problem
Nadere duiding uitkomsten Ernstig Maatschappelijk niet acceptabel dat persoonsgegevens van burgers onvoldoende zijn beschermd Overheid dient het goede voorbeeld te geven 11
12 Eens kijken in Suwinet, ik dacht dat mijn buurman een uitkering had, maar nu heeft ie wel een nieuwe auto
Onderzoek Inspectie SZW 7 normen: 1.3 1.4 1.5 2.2 2.3 13.1 13.5 Beveiligingsplan Uitdragen Actualiseren Security Officer (CIO) Functiescheiding Autorisatiestructuur Controle 13
Maatregelen Verbeterplan VNG o Brochures, ledenbrieven, sessies in het land, selfassessments,... Escalatieprotocol Afsluiten Suwinet o Stappen die uiteindelijk kunnen leiden tot afsluiten o Basis is artikel 9 wet SUWI: Minister geeft aanwijzing bij ernstige tekortkomingen 14
15
PIA en Programma Borging veilige gegevensuitwisseling via Suwinet 14 maatregelen, doorlooptijd ongeveer 2 jaar: Beperking toegang tot gegevens: minder gegevens op inkijkpagina s zoekmogelijkheden caseload Bevorderen bewustwording medewerkers: ketenbrede bewustwordingscampagne 16
Kaders actualiseren: beveiligingsnormen actualiseren aansluitvoorwaarden opstellen/herijken wettelijk kader actualiseren Naleving: lograpportages verbeteren t.b.v controle achteraf beleid misbruik harmoniseren escalatieprotocol Versterking positie burger transparantie naar de burger verbeteren 17
Onderzoek AP BKWI ook bij Inlezen zicht op het gebruik van gegevens o Korte termijn: bij 3 gemeenten en SNG controle op het gebruik door IT-audit rapporteren aan BKWI o Structureel: via ENSIA 18
Belang ENSIA voor SZW Sluitend systeem van verantwoording en toezicht: Nalevingstekortkomingen in de beveiliging detecteren en wegnemen 3 Niveau s: 1. Organisatie (gemeenten/uwv/svb): sturen en beheersen 2. Keten: Beheerder BKWI stelt Totaalrapportage Beveiliging GeVS op 3. SZW: Escalatieprotocol Afsluiten Suwinet 19
20