2 0 NOV. 2015. lier». Ambt.: Streefdat.: Afschr.: B.V.O.: 5.024349. Regislratiedatum: Behandelend afdeling Afgehandeld door/op:



Vergelijkbare documenten
ui ui nu ui ii umi

Ministerie van Sociale Zaken en Werkgelegenheid

.Nr /Z'~1~8095

illinium i ui /12/2013

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

il'-'ih'li-l'li'-ihih

/Sf/7 06/,4 IÃ/ ass: 2G MW' Werkgelegenheid. i, r uw :aa -M 44 " M 20/5 ~ \IM \.\llir1\ \. / R/ 4 J. cenuemenuan mw. mr. A.

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

Datum 30 juni 2015 Betreft Aanvalsplan beveiliging Suwinet en beoordeling doelgroep banenafspraak

Aan welke eisen moet het beveiligingsplan voldoen?

Introductie Suwinet en ENSIA

2015; definitief Verslag van bevindingen

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

m tm Ministerie van SocialeZakenen Werkgelegenheid .iä

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

r'h'hil-lli'h'i'-i'l-ll-ll-ll

i\ r:.. ING. 1 8 FEB 2016

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

rliiiiihihhiiiivi.ilhn

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

Verantwoordingsrichtlijn GeVS 2019 (versie )

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

Datum 28 juni 2016 Betreft Rapport SUWInet 2015 Vervolgonderzoek veilig omgaan met elkaars gegevens

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid De Lange (VVD) over Nederlandse patiëntgegevens in Belgische gevangenis (2016Z01580).

B Baarle Nassau mhz 6875 kbd QAM-64

Oordeel over de kwaliteit van de verantwoording 2002 van CWI en BKWI

ons kenmerk ECSD/U Lbr. 14/091

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

UB/S/2007/12795/ / /193 T-toets amvb in het kader van eenmalige gegevensuitvraag werk en inkomen

'iľii ll "ll"ih'i l ľl'i'hľ''il"ll"ll

Uitslagen stemmingen buitengewone ALV VNG 17 november 2014 Account Gemeente Agenda Item Uitslag Aa en Hunze 4. Invulling vacatures in bestuur

Verantwoordingsrichtlijn

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Sociale Zaken en Werkgelegenheid ONS KENMERK z van de Tweede Kamer der Staten Generaal

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

1. Inleiding 2513AA22XA

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

College bescherming persoonsgegevens

Wet bescherming persoonsgegevens (Wbp) Bewerkersovereenkomst de gemeente Scherpenzeel met Jeugdbescherming Gelderland

, l ll ļ, l l,, l, l,l /BW/RAAD

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

ons kenmerk ECSD/U Lbr. 14/091

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Rekenkamercommissie Brummen

Overzicht verzoeken vangnetuitkering 2017

Datum 19 juni 2019 Betreft Wmo-toezicht - Openbaarmaken van toezichtsrapporten Wmo 2015

BSH Bewerkersovereenkomst

Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente Scherpenzeel met Veilig Thuis

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

College bescherming persoonsgegevens

16R RAADSINFORMATIEBRIEF 16R college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

Datum 6 april 2018 Betreft Toezicht en handhaving in de kinderopvang - onderzoeken van de Inspectie van het Onderwijs

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 19 juni 2014 Onderwerp kwaliteit incassobranche

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 23 maart 2015 Betreft Inzet huishoudelijke hulp toelage

Datum 8 september 2015 Onderwerp Antwoorden Kamervragen over de opslag van DNA data bij onder andere Google en Amazon

GESCAND OP. 2 h ^'J^l 201'» Gemeente Oostzaan. Datum if B JUL 2014 Betreft Beveiiiging Suwinet door gemeenten

Collegevoorstel. Zaaknummer Nieuwe bewerkersovereenkomst IKZ en mandaat

ľľih-ll-lli'hh'i'l-lh'lii"-!!

Cools, Luuk

Datum 13 april 2015 Betreft Beantwoording Kamervragen van het lid Merkies (SP) over de kwaliteit hersteladvies bij beleggingsverzekeringen

Advies: Bijgaande Raadsinformatiebrief goed te keuren en toe te zenden aan de raad

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft

GESCAND OP. 2 h JULI 20H. Gemeente Wormerland. Datum K 8 JUL 20Ï4 Betreft Beveiliging Suwinet door gemeenten

Verbeterplan Suwinet

Handleiding uitvoering ICT-beveiligingsassessment

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

Nota van B&W. Met deze nota stellen wij het handhavingsbeleid kwaliteit kinderopvang vast.

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Vereniging Eigen Huis - Rioolheffing steekproef 109 gemeenten (per november 2014)

A2 PROCEDURE MELDEN DATALEKKEN

2012D Is er een rol voor cliëntenraden bij deze problematiek en zo ja, wat is deze?

Tweede Kamer der Staten-Generaal

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam

;! ní:ij(ij iíim!ii!í[ii!iifiiiiiifi!jiiriĵiij íi!iiľįiľ /03/2015

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Tweede Kamer der Staten-Generaal

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

BEWERKERSOVEREENKOMST

ENSIA voor informatieveiligheid

Transcriptie:

Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag 2 0 NOV. 2015 Aan de Gemeenteraad lier». Ambt.: Streefdat.: Afschr.: B.V.O.: 5.024349 Postbus 90801 2509 LV Den Haag Parnassusplein 5 T 070 333 44 44 F 070 333 44 00 www.rijksoverheid.nl Contactpersoon mw. mr. A. van Splunter T 070 333 53 99 AvSplunter@minszw.nl Datum 19 november 2015 Betreft Veilig gebruik van SUWInet Regislratiedatum: Behandelend afdeling Afgehandeld door/op: 20/11/2015 Onze referentie 2015-0000252183 In deze brief vraag ik uw aandacht voor het gebruik van gegevens via SUWInet door gemeenten. De Inspectie SZW heeft in 2014 bij 78 gemeenten een vervolgonderzoek uitgevoerd naar de beveiliging van het gebruik van gegevens via SUWInet. Uit het onderzoek volgt dat er 13 gemeenten (17 0 zb) zijn die voldoen aan de 7 door de Inspectie SZW onderzochte normen voor de beveiliging van SUWInet. Er zijn 7 gemeenten (9 0 zb) die aan geen enkele onderzochte norm voldoen. Daarnaast heeft de Inspectie SZW 43 gemeenten onderzocht die ook bij het vorige onderzoek in 2013 in de steekproef zaten. Daar waar in 2013 er 2 gemeenten aan alle 7 normen voldeden, voldoen nu 6 gemeenten aan de 7 normen. De gemiddelde score van deze groep steeg van 2,4 naar 4,7 normen. Deze verbetering is groter dan de resultaten vanuit het landelijke beeld. In de bijlage bij deze brief vindt u een overzicht van de resultaten per gemeente. Ik stel vast dat met de eerder in gang gezette verbeteracties nog onvoldoende resultaat is bereikt. De verbetering die in gang is gezet moet worden voorgezet. De gemeenteraad, als controlerend orgaan, heeft hierin een belangrijke taak. U kunt erop toezien dat het College van burgemeester en wethouders, door middel van de jaarlijkse verantwoording aan uw raad, transparantie biedt over de invulling van de eisen die worden gesteld aan informatieveiligheid, waaronder de beveiliging en bescherming van persoonsgegevens die via SUWInet worden verwerkt. Naar aanleiding van de resultaten van het onderzoek van de Inspectie SZW heb ik het College Bescherming Persoonsgegevens (CBP) geïnformeerd. Het CBP heeft aangegeven direct een onderzoek te starten bij de gemeenten die aan geen enkele norm voldoen 1. Het CBP kan handhavend optreden en een last onder dwangsom opleggen. 1 Met uitzondering van één gemeente waar de Inspectie SZW een herhalingsonderzoek gaat uitvoeren. Pagina 1 van 2

De Inspectie SZW is inmiddels bij alle gemeenten met een onderzoek naar de beveiliging van SUWInet gestart. De Inspectie SZW gaat in dit onderzoek wederom uit van zeven essentiële normen voor het waarborgen van de vertrouwelijkheid, opgenomen in het enkader Gezamenlijke elektronische Voorzieningen SUWI (GeVS) 2. Indien uit het onderzoek volgt dat uw gemeente niet voldoet aan 7 essentiële normen, dan treedt het escalatieprotocol in werking, met als ultimum remedium het risico dat uw gemeente wordt afgesloten van het gebruik van SUWInet. Het escalatieprotocol 'afsluiten SUWInet' is als bijlage bij deze brief gevoegd. In de verzamelbrieven van juni en november 2015 heb aandacht gevraagd voor de verplichte jaarlijkse verantwoording over het gebruik van SUWInet. Datum onze referentie 2 0 1 5 0 0 0 0 2 5 2 1 8 Het escalatieprotocol is tot stand gekomen in samenwerking met VNG, SVB en UWV. De bescherming van de persoonsgegevens is een grondrecht en het is niet acceptabel dat de overheid hierin tekort schiet. Dit betekent dat gemeenten, ondersteund door de VNG, met hoge urgentie door moeten pakken en de beveiliging van SUWInet op orde moeten brengen. Paralel aan deze brief informeer ik de colleges van burgemeester en wethouders over het escalatieprotocol 'afsluiten SUWInet'. nheid, 2 Het enkader GeVS maakt deel uit van de Verantwoordingsrichtlijn GeVS. Het normenkader bevat in totaal 115 normen. Pagina 2 van 2

Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag Postbus 90801 2509 LV Den Haag Aan het College van Burgemeester en Wethouders PammuspMn 5 T 070 333 44 44 F 070 333 44 00 www.rijksoverheid.nl Contactpersoon mw. mr. A. van Splunter T 070 333 53 99 AvSplunter@minszw.nl Onze referentie Datum 19 november 2015 2015-0000252205 Betreft Veilig gebruik van SUWInet In deze brief vraag ik uw aandacht voor het gebruik van gegevens via SUWInet. Over de privacy van burgers moet goed worden gewaakt. Zeker door overheden die toegang hebben tot veel gevoelige persoonsinformatie. Daarom vind ik het van groot belang dat u zorgvuldig omgaat met de informatie van burgers die u tot uw beschikking heeft. Wat betreft het gebruik van SUWInet kan dat nog verbeterd worden, mede omdat met de eerder in gang gezette verbeteracties nog onvoldoende resultaat is bereikt. De bescherming van persoonsgegevens is een grondrecht en het is niet acceptabel dat de overheid hierin tekortschiet. U dient er voor te zorgen dat burgers in uw gemeente erop kunnen vertrouwen dat u zorgvuldig met gegevens om gaat en dat de beveiliging op orde is. De Inspectie SZW heeft in 2014 bij 78 gemeenten een vervolgonderzoek uitgevoerd naar de beveiliging van het gebruik van gegevens via SUWInet. Uit het onderzoek volgt dat er 13 gemeenten (17 0 zb) zijn die voldoen aan de 7 door de Inspectie SZW onderzochte normen voor de beveiliging van SUWInet. Er zijn 7 gemeenten (9 a Zo) die aan geen enkele onderzochte norm voldoen. Daarnaast heeft de Inspectie SZW 43 gemeenten onderzocht die ook bij het vorige onderzoek in 2013 in de steekproef zaten. Daar waar in 2013 er 2 gemeenten aan alle 7 normen voldeden, voldoen nu 6 gemeenten aan de 7 normen. De gemiddelde score van deze groep steeg van 2,4 naar 4,7 normen. Deze verbetering is groter dan de resultaten vanuit het landelijke beeld. In de bijlage bij deze brief vindt u een overzicht van de resultaten per gemeente. Naar aanleiding van de resultaten van het onderzoek van de Inspectie SZW heb ik het College Bescherming Persoonsgegevens (CBP) geïnformeerd. Het CBP heeft aangegeven direct een onderzoek te starten bij de gemeenten die aan geen enkele norm voldoen 1. Het CBP kan handhavend optreden en een last onder dwangsom opleggen. 1 Met uitzondering van één gemeente waar de Inspectie SZW een herhalingsonderzoek gaat uitvoeren. Pagina 1 van 3

De Inspectie SZW is bij alle gemeenten met een onderzoek naar de beveiliging van SUWInet gestart. De Inspectie SZW gaat in dit onderzoek wederom uit van zeven essentiële normen voor het waarborgen van vertrouwelijkheid, opgenomen in het enkader Gezamenlijke elektronische Voorzieningen SUWI (GeVS) 2. Indien uit het onderzoek volgt dat uw gemeente niet voldoet aan 7 essentiële normen dan treedt het escalatieprotocol 'afsluiten SUWInet' in werking en loopt u, met als ultimum remedium, het risico te worden afgesloten van het gebruik van SUWInet. Het escalatieprotocol is als bijlage toegevoegd aan deze brief. Datum Onze referentie 2015-0000252205 Wanneer alle stappen van het escalatieprotocol zijn doorlopen en geen enkele financiële prikkel heeft bijgedragen aan structurele verbetering van de informatiebeveiliging, resteert geen andere mogelijkheid dan afsluiten. Met afsluiten zijn ook kosten gemoeid: er moeten alternatieve wijze van gegevenswisseling worden opgezet, de dienstverlening wordt hierdoor arbeidsintensiever en trager en het risico op beroeps- en bezwaarprocedures van cliënten neemt hierdoor toe. Tegelijk moet worden gewerkt aan verbetering om weer aangesloten te kunnen worden. In het algemeen overleg met de Tweede Kamer op 24 juni jl. is veel aandacht besteed aan de beveiliging van SUWInet. In de reactie op het aanvalplan beveiliging SUWInet van D66 heb ik onder meer aangegeven 3 : 1. Gemeente afsluiten van SUWInet die hun zaken niet op orde hebben Het onderzoek van de Inspectie SZW zal uitwijzen in hoeverre iedere gemeente aan de 7 essentiële beveiligingsnormen voldoet. Een gemeente die nalaat om de beveiliging op orde te brengen, zal in een aantal stappen, als ultimum remedium, worden afgesloten van het gebruik van SUWInet. 2. Aanpassen systeem SUWInet zodat medewerkers alleen toegang hebben tot gegevens van eigen cliënten en conform de motie Ulenbelt-Van Weyenberg niet breder dan op burgerservicenummer kunnen zoeken In 2015 wordt de toegang van medewerkers tot de gegevens van personen die cliënt zijn van de betreffende organisatie beperkt. Om het aantal de gegevens dat een medewerker van een persoon kan raadplegen te beperken, wordt in 2015 een aantal aanvullende inkijk-pagina's ontwikkeld. In 2016 volgt het beperken van de toegang van medewerkers tot de gegevens van cliënten die medewerkers zelf behandelen. 3. Meer bekendheid geven aan de mogelijkheid in bepaalde gevallen gegevens binnen SUWInet af te schermen, in het bijzonder adressen van personen in een blijf-van-mijn-lijf huis Ik vind het van groot belang dat de gegevens van personen die verblijven in een blijf-van-mijn-lijf-huis geheim blijven. Gemeenten moeten speciale aandacht besteden aan het beschermen van gegevens van kwetsbare groepen. In overleg met de Federatie Opvang, het UWV en de VNG wordt bekeken in hoeverre er aanvullende maatregelen nodig zijn voor het afschermen van gegevens. 2 3 Het enkader GeVS maakt deel uit van de Verantwoordingsrichtlijn GeVS. Het normenkader bevat in totaal 115 normen. Kamerstukken II, 2014-2015, 26448, nr. 537. Pagina 2 van 3

In de verzamelbrieven van juni en november 2015 heb ik uw aandacht gevraagd voor de verplichte jaarlijkse verantwoording over het gebruik van SUWInet. In de wet- en regelgeving SUWI is geregeld dat iedere organisatie die van SUWInet gebruik maakt, moet aantonen dat het stelsel van de door zijn organisatie genomen maatregelen voldoet aan het SUWI-normenkader. In het jaarverslag geeft het college van burgemeester en wethouders aan op welke wijze zij sturing heeft gegeven aan de beveiliging van SUWInet en, indien nodig, welke maatregelen er zijn getroffen indien er sprake is van tekortkomingen. Het verdient aanbeveling om de sturing op de beveiliging van SUWInet te plaatsen binnen de bredere sturing op de informatieveiligheid. Naast voldoende bestuurlijke aandacht wil ik u in overweging geven om de gemeentesecretaris te belasten met de dagelijkse sturing op de informatieveiligheid. Datum Onze referentie 2015-0000252205 Alle gemeenten krijgen lograpportages van de beheerder van Suwinet BKWI. Uit eerder onderzoek van de Inspectie SZW is gebleken dat gemeenten moeite hebben met het naleven van deze norm. Daarom vraag ik extra uw aandacht voor naleving van deze norm. Lograpportages geven inzicht in het gebruik van gegevens via SUWInet door medewerkers en vormen een belangrijk instrument om oneigenlijk gebruik van SUWInet te signaleren. Tot slot wil ik uw aandacht vragen voor het leveren van gegevens via SUWInet aan incassobureaus of andere derden. Op grond van de Wet bescherming persoonsgegevens is het toegestaan om een derde partij als bewerker gegevens te laten verwerken, waarbij het college van B&W verantwoordelijke blijft. Hiervoor dient een bewerkersovereenkomst te worden gesloten. In het geval een gemeente een incassobureau inschakelt mogen alleen die gegevens worden verstrekt aan het incassobureau die nodig zijn voor het incassobureau om de vorderingen te kunnen innen. Daarbij is het niet toegestaan dat incassobureaus toegang krijgen tot meer gegevens dan noodzakelijk voor de uitoefening van hun taak. Op grond hiervan is toegang tot SUWInet, waar veel meer gegevens van (alle) burgers zijn in te zien, niet toegestaan. In de notitie 'uitbesteden en toegang tot SUWInet' die de VNG heeft opgesteld, kunt u hierover meer informatie vinden. Het escalatieprotocol is tot stand gekomen in samenwerking met VNG, SVB en UWV. De bescherming van de persoonsgegevens is een grondrecht en het is niet acceptabel dat de overheid hierin tekort schiet. Dit betekent dat gemeenten, ondersteund door de VNG, met hoge urgentie door moeten pakken en de beveiliging van SUWInet op orde moeten brengen. Paralel aan deze brief informeer ik de gemeenteraden over het veilig gebruiken van SUWInet. De Staatssecret en Werk ì -Van Sociale Zaken Jetta sma Pagina 3 van 3

Overzicht bevindingen gemeenten (78) Gemeente 1.3 1.4 1.5 2.2 2.3 13.1 13.5 Aantal normen Voldoende Aalten X X X X X 5 Alblasserdam X X X X X X 6 Albrandswaard X X X X X 5 Alkmaar 0 Assen X X X X X X X 7 Baaríe-Nassau 0 Barendrecht X X X X X 5 Binnenmaas X X X X X X X 7 Blaricum X X X X X 5 Boekei X X X X X X X 7 Boxmeer X X X X 4 Breda X X X X X X X 7 Brielle 0 Brummen 0 Bunnik X 1 Buren X X X X 4 Cranendonck X X X X 4 Dantumadiel X X X X X 5 Den Haag X X X X 4 Deurne X X X X 4 Deventer X X X X 4 Dinkelland X X X X 4 Ede X X X 3 Geldrop-Mierlo X X X X 4 Giessenlanden X X X X X X 6 Groesbeek X X X X 4 Heemskerk X X 2 Heemstede X X X X X X X 7 Heerenveen 0 Helmond X X X X 4 Hendrik-ldo-Ambacht X X X X X X 6 Het Bildt X X X X X X 6 Heumen X X 2 Hof van Twente X 1 Houten X X X X X X X 7

Gemeente 1.3 1.4 1.5 2.2 2.3 13.1 13.5 Aantal normen Voldoende Kampen X X X X X 5 Krimpen aan den IJssel X 1 Laren X X X X X 5 Leek X X X X X X X 7 Lelystad X X X X X X 6 Leusden X X X X X X 6 Lingewaard X 1 Meerssen X 1 Molenwaard X X X X X X 6 Nieuwkoop X X X X X X 6 Noordwijkerhout X X X X 4 Oisterwijk X X 2 Oldebroek X X X X X X 6 Ommen X X 2 Papend recht X X X X X X 6 Reusel-De Mierden X X X X X X X 7 Rheden X X X X X 5 Rhenen X 1 Roerdalen X X X X 4 Scherpenzeel X X 2 Schijndel X X X X X X X 7 Schinnen X 1 Schoonhoven X X X X X X 6 Sluis X X 2 Súdwest Fryslân X X 2 Texel X X X X X 5 Twenterand X X X X X 5 Tynaarlo X X X X X X X 7 Urk X X X X X X 6 Veldhoven X 1 Venray X 1 Vlaardingen X X X X X X X 7 Vught X X X 3 Waalre X X X X X X 6 Wassenaar X X X 3 Weert X X X X 4 Werkendam 0

Gemeente 1.3 1.4 1.5 2.2 2.3 13.1 13.5 Aantal normen Voldoende West Maas en Waal X X X 3 Weststellingwerf X X X X X X X 7 Wierden X X X 3 Wormerland X X X X X 5 Woudenberg 0 Zevenaar X X X X X X X 7 Totaal onderzoek 2013 76 0 /» 31 "/o 21 Vo 30X 240/0 38y 0 20V0 Gem. 2.4 Totaal onderzoek 2015 82 0 7o 63 0 7o 53 0 7 72Vc 44 0 /. 53 0 /. 37 0 7o Gem. 3.9 Gemeenten in kleur zaten ook in het vorige onderzoek van de Inspectie SZW.

Escalatieprotocol afsluiten S U W I n e t In dit protocol wordt beschreven uit welke stappen het "escalatieprotocol afsluiten SUWInet" bestaat. Iedere stap in het protocol is erop gericht om te bewerkstelligen dat tekortkomingen in de beveiliging van SUWInet worden weggenomen. Als ultimum remedium is het mogelijk om een gemeente af te sluiten van het gebruik van SUWInet. Afsluiting van het gebruik van SUWInet heeft vergaande consequenties voor de burger. Hij moet zijn gegevens opnieuw aanleveren en wordt daarmee onevenredig belast. STAP 1 Zelfevaluatie (vrijwillig) Gemeenten kunnen via een zelftest van de VNG onderzoeken of wordt voldaan aan de normen uit het SUWI-normenkader. De zelftest is een analyse die aangeeft op welke onderdelen uit het SUWInormenkader aanpassingen of verbeteringen aangebracht moeten worden. De zelftest is daarmee een instrument van en voor gemeenten zelf om invulling te geven aan de verantwoordelijkheid voor de beveiliging van de gegevens die via SUWInet worden ontvangen. Het verdient aanbeveling om de uitkomsten van de zelftest in het College van B&W te agenderen en het (eventuele) verbeterplan dat daaruit volgt door het College van B&W te laten vaststellen en hierover de gemeenteraad te informeren. Maatregelen kunnen ook worden opgenomen in het jaarlijks verplicht op te stellen beveiligingsplan en/of het verslag over de verantwoording. STAP 2 Jaarverslap (bestaande wettelijke verplichting) Op grond van de SUWI wet-en regelgeving is geregeld dat iedere gebruiker van Suwinet, dat wil zeggen het UWV, de SVB en de colleges van B&W voor de SUWI-taken aantoont dat het stelsel van de door zijn organisatie genomen maatregelen voldoet aan het SUWI-normenkader. Het jaarlijkse verslag over het gebruik van SUWInet moet ieder jaar worden vastgesteld. Het aantonen gebeurt door in te gaan op opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures gericht op de gegevenshuishouding in relatie tot SUWInet. De rapportage dient te worden bevestigd met een oordeel (van getrouwheid) van een tot de Nederlandse Orde van Register EDP-Auditor toegelaten persoon. De verantwoording over de informatiebeveiliging biedt het college van B&W en de gemeenteraad een handvat om hun verantwoordelijkheid voor informatiebeveiliging en bescherming van persoonsgegevens in te vullen. Daarnaast kunnen burgers er vertrouwen aan ontlenen dat gemeenten de aan hen toevertrouwde gegevens zorgvuldig verwerken. 1 STAP 3 Onderzoek van de Inspectie SZW De Inspectie SZW houdt toezicht op de wijze waarop het UWV, de SVB, en de colleges van burgemeester en wethouders bij de uitvoering van de aan hen opgedragen taken samenwerken. Het toezicht van de inspectie is onafhankelijk en signalerend. De aard en intensiteit van het toezicht hangen af van de kwaliteit van de uitvoering en de risico's die zich in de uitvoering voordoen. De risico's betreffende de informatiebeveiliging van SUWInet bij gemeenten wordt betrokken bij het opstellen van het jaarplan van de Inspectie. De mate waarin gemeenten hebben aangetoond dat de beveiliging van SUWInet op orde is, zal leidend zijn voor de intensiteit van onderzoek door de inspectie. Onderzoeken van de Inspectie SZW naar de beveiliging van SUWInet richten zich op de 7 normen uit het SUWI-normenkader. Uit het onderzoek van de Inspectie SZW volgt welke gemeenten niet aan alle 7 (essentiële) normen voldoen. Voor gemeenten die niet voldoen aan de 7 essentiële normen treedt stap 4 in werking. Het College Bescherming Persoonsgegevens zal worden geïnformeerd over de resultaten van het onderzoek van de Inspectie SZW. STAP 4 Aankondiging tot een aanwijzing De gemeente die niet aan alle 7 essentiële normen voldoet ontvangt een aankondiging tot een aanwijzing. De gemeente ontvangt dan een brief waarin het voornemen tot een aanwijzing wordt aangekondigd. De gemeente krijgt in deze fase een laatste mogelijkheid om de beveiliging van 1 Artikel 5.22 besluit SUWI en artikel 5.22 en 6.4 van de Regeling SUWI. 1

SUWInet op orde te brengen. In deze aankondiging zal een termijn worden genoemd, die afhankelijk is van de specifieke situatie in de betreffende gemeente. Na de genoemde termijn zal de gemeente moeten aangeven of de onrechtmatige situatie is hersteld en wordt voldaan aan alle 7 essentiële normen. Afhankelijk van de situatie kan het voorkomen dat een gemeente nog niet aan 1 norm kan voldoen. Met deze gemeente worden nadere afspraken gemaakt over de termijn waarbinnen alsnog aan deze norm wordt voldaan. STAP 5 Aanwijzing tot het op orde brengen van de beveiliging van SUWInet Een gemeente die geen verantwoordelijkheid neemt voor de beveiliging van SUWInet en ook na de aankondiging van de aanwijzing geen orde op zaken heeft gesteld, zal een aanwijzing ontvangen. Een mogelijke aanwijzing kan zijn dat een gemeente wordt verplicht o m, na een daartoe door SZW gestelde t e r m i j n, door middel van een audit aan te tonen dat de beveiliging van SUWInet op orde is. Dit is een relatieve milde aanwijzing. Dit kan aan de orde zijn als de gemeente verbeteringen heeft doorgevoerd, maar nog een aantal punten niet heeft opgelost. Ook kan een aanwijzing worden gegeven waarin de gemeente wordt opgedragen om een externe deskundige in te huren om de beveiliging van SUWInet op orde te brengen. De Minister van SZW bepaalt aan welke voorwaarden de externe deskundige dient te voldoen en welk resultaat bereikt dient te worden, voordat de gemeente weer zelfstandig de uitvoering ter hand kan nemen. De kosten voor het uitvoeren van een audit of het inhuren van één of meerdere externe deskundigen zijn volledig voor rekening van de gemeente. Dit zal aan de orde zijn als de gemeente er blijk van heeft gegeven het herstellen van de onrechtmatigheden niet zelfstandig uit te kunnen voeren. STAP 6 Treffen van noodzakelijke voorziening tot het afsluiten van SUWInet Indien een gemeente zelfs de aanwijzing niet opvolgt, zal de Minister van SZW zelf in de zaak voorzien. Zo kan de Minister zelf een externe deskundige aanstellen en bij een gemeente installeren, uiteraard op kosten van die gemeente. In situaties waarin er een acuut en reëel risico is op grove schendingen van de privacy van burgers, kan het geboden zijn een gemeente (tijdelijk) van SUWInet af te sluiten. De minister van SZW zal op dat moment aan de beheerder vragen om de verleende autorisaties voor SUWInet in te trekken. Dit betekent dat er geen mogelijkheid meer is voor gemeenten om gegevens in te zien. Gemeenten zullen wel gegevens kunnen blijven leveren. Het afsluiten van SUWInet heeft tot gevolg dat gemeenten zelf informatie van hun burgers zullen moeten vragen, of via individuele overeenkomsten met andere partners in de keten moeten betrekken. Voor zover die partners op grond van staande wetgeving niet zijn gehouden deze gegevens kosteloos te verstrekken, kunnen ook hiervoor kosten in rekening worden gebracht. 2 Toezicht College B e s c h e r m i n g P e r s o o n s g e g e v e n s De minister kan op ieder moment in het proces of wanneer daartoe aanleiding is het College Bescherming Persoonsgegevens informeren en vragen om handhavend op te treden. Het College Bescherming Persoonsgegevens maakt vervolgens een zelfstandige afweging of het overgaat tot het verrichten van een onderzoek. Het CBP kan een last onder dwangsom opleggen indien uit onderzoek van het CBP blijkt dat gemeenten niet voldoen aan de Wet bescherming persoonsgegevens. Een andere mogelijkheid is het opleggen van een boete. De wet die regelt dat het College Bescherming Persoonsgegevens (CBP) de bevoegdheid heeft om aan verantwoordelijken en bewerkers bestuurlijke boetes op te leggen voor overtredingen van de Wet bescherming persoonsgegevens (Wbp) en andere specifieke dataprotectieregels is door de Eerste Kamer aanvaard en zal vermoedelijk op 1 januari 2016 in werking treden. De boete kan maximaal C 810.000 bedragen. Gedacht kan worden aan bijvoorbeeld inhuur vanuit ABD-topconsult. 2

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback