1 imd^h IK V <* t. Gemeente Woerden 13.029832. Registratiedatum: Behandelend afdeling Afgehandeld door/op: 14/11/2013



Vergelijkbare documenten
ons kenmerk BAWI/U Lbr. 13/097

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

ons kenmerk ECSD/U Lbr. 14/091

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Cools, Luuk

ons kenmerk ECSD/U Lbr. 14/091

illinium i ui /12/2013

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

il'-'ih'li-l'li'-ihih

BABVI/U Lbr. 13/057

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

Aan welke eisen moet het beveiligingsplan voldoen?

o n k Ö A fia* V/ \ ^ * f

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Rekenkamercommissie Brummen

Verbeterplan Suwinet

ons kenmerk ECIB/U Lbr. 16/046

2015; definitief Verslag van bevindingen

- 6 JUNI 21)14. Gemeente Woerden Brief aan de leden T.a.v. het college en de raad (070)

ons kenmerk BAWI/U Lbr. 10/120

Lees onderstaande informatie eerst aandachtig door voorafgaand aan de zelftest

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

9 augustus 2016 Gegevenswisseling Suwinet ECIB/U

Brief aan de leden T.a.v. het college en de raad. 5 april 2017 U Lbr. 17/018 (070)

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

i\ r:.. ING. 1 8 FEB 2016

ECIB/U Lbr. 15/079

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

ECIB/U Lbr. 17/010

r'h'hil-lli'h'i'-i'l-ll-ll-ll

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Voorstel Informatiebeveiliging beleid Twente

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

ons kenmerk BB/U

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

rliiiiihihhiiiivi.ilhn

ons kenmerk BAWI/U Lbr. 07/132

wei 100 Stuknummer: AI Inlichten instantie via pagina 1 van 2 , J jaar

ECSD/U Lbr. 15/072

BABVI/U Lbr. 12/015

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

uw kenmerk ons kenmerk ECSD/U Lbr. 15/066

Cools, Luuk

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Introductie Suwinet en ENSIA

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

iiiiiiiiiiiiiiiiiiiniiiiiiiiii

(070) Brief aan de leden T.a.v. het college en de raad. Samenvatting. informatiecentrum tel. ons kenmerk BAOZW/U Lbr.

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Brief aan de leden T.a.v. het college en de raad. 17 mei 2017 U Lbr. 17/028 (070) Gezamenlijke gemeentelijke uitvoering

Tjoelker, Nicolien. and. VNG Ledenbrief. Onderwerp: FW: Lbr. 16/046 - Ontwikkelingen informatieveiligiieid

Norm 1.3 Beveiligingsplan

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

BAOZW/U Lbr. 12/029

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Informatie over logging gebruik Suwinet-Inkijk

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

VIUG '' DEC, , * a *A tl & i> Gemeente Woerden Brief aan de leden T.a.v. het college en de raad (070)

uw kenmerk PK/3457 Lbr. 13/031

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Stand van zaken eenmalige gegevensuitvraag werk en inkomen

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

i-l ;EP 20i Stuknummer: AI pagina 1 van 1 Inlichten instantie via * 'jaar DER

Aantoonbaar in control op informatiebeveiliging

Informatievoorziening voor Raadsleden

Motie Ondersteuning Standaardisatie Uitvoeringsprocessen. voor BALV 17 november 2014

ons kenmerk ECSD/U Lbr. 15/047

raad /com; 4-t2.-i2- vka cf voorste+feaee:

ECSD/U Lbr. 14/010

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

ECSD/U Lbr. 14/048

BABVI/U Lbr. 12/067

Verantwoordingsrichtlijn

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

BABVI/U Lbr. 12/090

Geautomatiseerd kwijtschelden van gemeentelijke belastingen door bestandsvergelijking

Lbr. 15/087 VNG activiteiten en Campagne rondom de vastgestelde 'Global Goals' va... Page 1 of 2

16R RAADSINFORMATIEBRIEF 16R college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

ons kenmerk ECSD/U Lbr. 15/044

BAWI/U Lbr. 08/170

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

BAOZW/U Lbr. 11/015

04/05/ MEI 2015

Handreiking. Randvoorwaarden voor de veiligheid van jeugdigen in de toegang tot jeugdhulp

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Tweede Kamer der Staten-Generaal

VNG woensdag 2 april :39 Stadhuis Lbr.14/024 - Wijzigingen Woningwet: "Novelle" uw kenmerk. ons kenmerk ECFD/U Lbr.

Artikel 39 vragen van de fractie van D66 over privacy decentralisaties

Transcriptie:

Gemeente Woerden 13.029832 Registratiedatum: Behandelend afdeling Afgehandeld door/op: 14/11/2013 Brief aan de leden T.a.v. het college en de raad vnig Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) 1 betreft ons kenmerk Veilig gebruik van SUWI-net: BAWI/U201301372 reactie op inspectierapportage Lbr. 13/097 en verbetertraject voor gemeenten datum 12 november 2013 Samenvatting Eind oktober / begin november zal de rapportage van de SZW-Inspectie 'De burger bediend 2013' aan de Tweede Kamer worden verzonden. Daaruit naar voren komt dat gemeenten niet zorgvuldig omgaan met gegevens van burgers wanneer zij gebruik maken van SUWI-net (gegevensuitwisseling systeem voor Werk en Inkomen). Dat is een onwenselijke situatie gezien het feit dat de doorontwikkeling van gegevensuitwisseling van groot belang voor het goed kunnen uitvoeren van de taken gekoppeld aan de decentralisaties. Daarom zetten we in op een tweeledige aanpak: Generiek gemeentebreed: de ontwikkeling van de Baseline Informatieveiligheid Gemeenten die via de BALV op 29 november aanstaande onder de aandacht wordt gebracht. In deze ledenbrief wordt dit traject kort samengevat. Specifiek voor Werk en Inkomen: een daarop aanvullende op de kortere termijn gerichte verbetertraject specifiek met betrekking tot veilig gebruik van SUWI-net. In deze ledenbrief wordt dit traject nader toegelicht. In deze brief roepen we u op om gericht in te zetten op verbeteracties de VNG op de inspectierapportage is als bijlage bijgevoegd. ui De bestuurlijke reactie van 1 imd^h IK V <* t

Aan de leden VIUG t ma Vereniging van Nederlandse Gemeenten informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 1 Betreft ons kenmerk datum Veilig gebruik van SUWI-net: BAWI/U201301372 12 november 2013 reactie op inspectierapportage Lbr. 13/097 en verbetertraject voor gemeenten Geacht college en gemeenteraad, Wij vragen uw aandacht voor het volgende. Op 12 november heeft staatssecretaris Klijnsma de rapportage 'De burger bediend 2013' van de SZW-Inspectie naar de Tweede Kamer verzonden. Een groot deel van de rapportage betreft een onderzoek onder 80 gemeenten naar de wijze waarop deze gemeenten omgaan met gegevens van burgers. Gemeentelijke medewerkers kunnen deze gegevens opvragen via SUWI-net. SUWI-net is het systeem van gegevensuitwisseling binnen de kolom van Werk en Inkomen. UWV, SVB en gemeenten zijn belangrijke dataleveranciers en -afnemers. Van alle Nederlandse burgers zijn hierin gegevens opvraagbaar met betrekking tot inkomen, werk, bezit, opleiding, adres etc. Met het verzenden van de rapportage naar de Tweede Kamer wordt deze openbaar. De onderzoeken waarop de rapportage is gebaseerd, worden opvraagbaar. Hierin worden de 80 gemeenten met naam en score vermeld. De bestuurlijke reactie van de VNG op de inspectierapportage is als bijlage bij deze brief gevoegd. De integrale inspectierapportage inclusief de beleidsreactie van staatssecretaris Klijnsma kunt u downloaden van www.vnq.nl of www.tweedekamer.nl. Wat zijn resultaten? Voor wat gemeenten betreft zijn de resultaten schokkend. Uit het onderzoek blijkt dat de meeste gemeenten niet zorgvuldig omgaan met gegevens van burgers. De steekproefgemeenten zijn bevraagd op 7 normen waaraan zij al langere tijd moeten voldoen. Het betreft het hebben van een actueel, formeel goedgekeurd en uitgedragen informatieveiligheidsplan, het aanstellen van een security-officer, functiescheiding (tussen type gebruikers en tussen gebruikers en controleurs van het systeem), het werken met autorisatiematrices (wie mag welke gegevens inzien) en controle op het opvraaggedrag (door de security-officer). Meer dan de helft van de steekproefgemeenten voldoet aan slechts 0,1 of 2 normen.

Daarnaast is onderzocht of gegevens van een lijst van honderd bekende Nederlanders zijn opgevraagd. Dat bleek bij 14 van de 80 steekproefgemeenten het geval. Bij 13 van de 14 kon hiervoor geen verklaring gegeven worden. Gemeenten kunnen hun medewerkers niet specifiek controleren op het opvragen van bekende Nederlanders. Zij kunnen wel steekproefsgewijs controleren of er gegevens worden opgevraagd van burgers die geen uitkeringsrelatie met de betreffende gemeente hebben. Het kan dan ook gaan om onbekende Nederlanders. Kortom, SUWI-net wordt ook gebruikt voor het opvragen van gegevens van personen die niet bij de gemeente bekend zijn. Waarom zijn de resultaten dat schokkend? Gegevensuitwisseling berust op vertrouwen tussen de uitwisselende ketenpartners in een zorgvuldige aanlevering, verwerking en gebruik van de gegevens. Juist in een tijd waarin ketens steeds complexer worden, moet men op elkaar kunnen vertrouwen. Door de bovengenoemde uitkomsten komt het vertrouwen van het rijk, ketenpartners en burgers in de gemeenten als gebruiker van persoonsgegevens onder druk te staan. Dat kan een rem zetten op de doorontwikkeling van gegevensuitwisseling. Deze rem is ongewenst, gegevensontwikkeling wordt juist steeds belangrijker: Bij de nieuwe taken die voortkomen uit de decentralisaties is het kunnen en mogen uitwisselen van persoonsgegevens noodzakelijk om tot goede uitvoering te komen. Gegevensuitwisseling is een efficiënte methode om klanten integraal te kunnen helpen. Dat is van belang in een periode waarin overheidsbudgetten onder grote druk staan. Wat gebeurt er als we niets doen? Het vertrouwen in gemeenten van verschillende actoren komt onder druk te staan: Het rijk zal minder genegen zijn om gemeenten (wettelijk) te faciliteren bij de doorontwikkeling van gegevenswisseling ten behoeve van de decentralisaties. Niet uitgesloten is daarnaast dat er een escalatiemodel richting het tijdelijk afsluiten slecht presterende gemeenten van SUWI-net zal worden ontworpen. Ketenpartners zullen niet meer vanzelfsprekend hun gegevens aan een uitwisselingsysteem ter beschikking willen stellen. Denk bijvoorbeeld aan het inkomensgegeven dat via UWV door de Belastingdienst ter beschikking wordt gesteld. Gemeenten hebben dat gegeven nodig om WWB-aanvragen te kunnen toetsen. De burger zal minder vertrouwen hebben in de lokale overheid als dienstverlener. Dat zal de uitvoering van de decentralisaties er niet gemakkelijker op maken. Wat gaat de VNG doen - tweeledige aanpak? De VNG zet in op een verbetering van de gemeentelijke prestaties en realiseert daartoe een tweeledig verbetertraject: onderwerp Veilig gebruik van SUWI-net: reactie op inspectierapportage en verbetertraject voor gemeenten datum 12 november 2013 02/05

Een gemeentebrede aanpak die voorziet in een generiek normenkader voor informatieveiligheid in het algemeen. Dat normenkader (Baseline Informatiebeveiliging Gemeenten, BIG) wordt via de reguliere p&c cyclus (accountantscontrole, aanbieden aan de gemeenteraad) geaudit. Een uitgebreid voorstel wordt gepresenteerd en besproken tijdens de bijzondere algemene ledenvergadering op 29 november aanstaande. De stukken hiervoor kunt u vinden via hyperlink invoegen naar de documenten voorde BALV. Een hierop aanvullend specifiek traject gericht op korte termijn verbetering binnen de kolom Werk en Inkomen. Dit traject beslaat de periode 2013-2014 en is erop gericht significante verbetering te realiseren voordat de decentralisaties in werking treden. Hoe ziet het specifieke traject er precies uit? Bij het specifieke traject onderscheiden we vier fasen: Fase 1 Bewustwording en voorbereiding, oktober - december 2013 o We vragen aandacht voor veilig gebruik van SUWI-net en een binnenkort te verschijnen publicatie, die zal worden uitgedeeld op de BALV o We stellen een hulpmiddel ter beschikking waarmee u de eigen organisatie langs de meetlat van de 7 normen uit het inspectie-onderzoek kunt leggen. Dit om inzicht te ontwikkelen in de eigen sterke punten en de verbeterpunten. o We ontwikkelen hulpmiddelen voor verbetering (zie hieronder) Fase 2 Zelfanalyse en voorlichting, januari - maart 2014 o We roepen u op om de uitkomst van de zelfanalyse met de VNG te delen via een web-applicatie die daartoe zal worden ingericht. Gemeenten die niet tijdig aanleveren, zullen worden aangeschreven, o We stellen hulpmiddelen ter beschikking die gebruikt kunnen worden bij het verbeteren van de prestaties daar waar een of meer van de zeven normen nog niet behaald worden, o We organiseren voorlichtingsbijeenkomsten waar de hulpmiddelen worden toegelicht. Fase 3 Verbeterslag in de gemeentelijke organisaties - maart - september 2014 o In deze periode kunt u met de hulpmiddelen aan de slag om verbetering te realiseren. De VNG zal regelmatig over het onderwerp blijven communiceren en ook de verbinding blijven zoeken met de gemeentebrede generieke aanpak en ontwikkelingen rond VISD (Verkenning Informatiehuishouding Sociaal Domein). Fase 4 Eindmeting september - december 2014 o Wij verzenden een ledenbrief met een oproep tot het opnieuw verrichten van een zelfanalyse en het delen van de uitkomsten ervan met de VNG. De hierboven genoemde web-applicatie zal hiertoe opnieuw worden opengesteld. o VNG maakt een analyse op de uitkomsten en treedt daarmee naar buiten. Gemeenten die dan nog steeds laag scoren of de score niet melden zullen hierop individueel worden aangesproken. onderwerp Veilig gebruik van SUWI-net: reactie op inspectierapportage en verbetertraject voor gemeenten datum 12 november 2013 03/05

Hoe blijft u op de hoogte van de voortgang van de specifieke aanpak De hierboven beschreven specifieke aanpak is op hoofdlijnen beschreven. Wanneer op een specifiek onderdeel van het verbetertraject meer concrete en gedetailleerde informatie bekend is communiceren wij dat via webberichten op www.vnq.nl. Om hierop goed aangesloten te blijven adviseren wij u om een abonnement te nemen op het VNG-weekbericht, mocht u dit nog niet hebben. De betreffende webberichten zullen worden geplaatst op de beleidsvelden sociale zekerheid, informatiebeleid en de decentralisaties. Wat te doen als de (lokale en regionale) pers u benadert? Het is goed denkbaar dat de pers u als individuele gemeente benadert wanneer staatsecretaris Klijnsma de inspectierapportage naar de Tweede Kamer verzendt. Op dat moment zal naar verwachting de SZW-Inspectie een persbericht uitbrengen. Wij adviseren u om in ieder geval naar de bovengenoemde VNG-lijn te verwijzen. Deze is gericht is op het verbeteren van de resultaten en niet het ter discussie stellen ervan. Langere termijn: van SUWI-net Inkijk naar SUWI-net Inlezen. Van belang is nog om het verschil tussen SUWI-net Inkijk en SUWI-net Inlezen te benoemen. Inkijk betreft het opvragen van gegevens door gemeentelijke medewerkers. Het hierboven beschreven onderzoek naar gebruik van persoonsgegevens is hierop gericht geweest. Bij SUWInet Inlezen gaat de gemeente een stap verder: zij haalt de data op bij een centraal punt en verwerkt deze zelf. Daarbij gaat de gemeentelijke verantwoordelijkheid verder dan bij Inlezen, ook bij het verwerken van gegevens moet geborgd zijn dat alleen ter zake doende medewerkers hiertoe toegang hebben. De verwachting is dat steeds meer gemeenten van SUWI-net Inkijk naar SUWI-net Inlezen zullen bewegen: dit is een aandachtspunt voor de toekomst. Tenslotte: aandachtspunt voor gemeenten in de rol van data/everanc/er Al het bovengenoemde betrof de gemeente in haar rol als gebruiker van gegevens verstrekt via SUWI-net. Daarnaast is de gemeente ook leverancier van gegevens aan dit systeem. Het blijkt dat de tijdige en volledige aanlevering van gemeenten steeds verder terugloopt. Hierdoor kunnen afnemers soms hun taak niet uitvoeren. Dit probleem speelde al eerder en daarom is daar eind vorig jaar via het Inlichtingenbureau veel aandacht aan besteed. In februari 2013 was het aanleverpercentage van gemeenten ruim 92% maar op dit moment zakt het weer af. In augustus was het aanleverpercentage minder dan 55%. Bijna de helft van de door gemeenten te leveren data wordt (in eerste instantie) niet geleverd. Gemeenten zijn zich niet altijd van bewust van hun aanlevergedrag. Mogelijke oorzaken voor het niet aanleveren van de gegevens zijn: Er wordt een nieuwe versie van gebruikers- of besturingssoftware geïmplementeerd, de webservice is gestopt en wordt niet vanzelf weer opgestart; Firewall is aangepast; Gemeenten zonder webservice vergeten het bestand aan te leveren. onderwerp Veilig gebruik van SUWI-net: reactie op inspectierapportage en verbetertraject voor gemeenten datum 12 november 2013 04/05

Kortom: het niet meer aanleveren wordt vaak veroorzaakt door voorafgaand onderhoud. In de standaard procedure van de grote leveranciers wordt hier ook aandacht aan besteed. Vaak helpt het om één medewerker binnen de gemeente de taak te geven zorg te dragen voor de continuïteit van aanlevering. Wij roepen u op na te gaan of dit in uw gemeente geregeld is en zo nee, om dit op korte termijn alsnog te regelen. Nogmaals benadrukken wij het belang van veilige en betrouwbare gegevenswisseling. We roepen u dringend op om gericht in te zetten op verbetering hiervan en daarbij goed gebruik te maken van de ondersteuning die de VNG u zal bieden. Hoogachtend, Vereniging van Nederlandse Gemeenten J. Kriens Voorzitter directieraad Deze ledenbrief staat ook op www.vnq.nl onder brieven. onderwerp Veilig gebruik van SUWI-net: reactie op inspectierapportage en verbetertraject voor gemeenten datum 12 november 2013 05/05

VNG Vereniging van Nederlandse Gemeenten Ministerie van Sociale Zaken en Werkgelegenheid(SZW) Mw. drs. J. Klijnsma Postbus 90801 2509 LV 'S-GRAVENHAGE Ooorkiesnummor iiwkannwk bijlagen) (070) 373 8696 Eelreft ons kwimmfc Datum Bestuurlijke reactie VNG BAWI/U201301263 23 september 2013 rapportage SZW-Inspectie 'De burger bediend 2013' Geachte mevrouw Klijnsma, Hierbij ontvangt u de bestuurlijke reactie van de VNG op de rapportage 'De burger bediend in 2013' van de SZW-inspectie. De VNG vindt de uitkomsten van het onderzoek schokkend: een groot deel van de gemeenten gaat onzorgvuldig om met de gegevens van burgers. We nemen de inhoud van de rapportage en het oordeel van de inspectie dan ook zeer serieus en hechten aan het geven van een zorgvuldige reactie. Binnen de door de Inspectie gestelde reactietermijn en tijdsbestek was het voor ons niet mogelijk om een goed onderbouwde en gedragen reactie te realiseren. Daarom richten we onze reactie direct aan u. Deze reactie is bestuurlijk afgestemd met de commissie Werk en Inkomen van de VNG, de G4, de G32 en bevat inbreng van Divosa. De Inspectie zal een afschrift van deze reactie ontvangen. Belang van het onderzoek De VNG onderschrijft de conclusies van het inspectierapport, Op basis van de rapportage concludeert de VNG dat verbetering van de prestaties van een groot deel van de gemeenten aangaande het gebruik van SUWI-net noodzakelijk is. De VNG vindt dit zorgwekkend omdat al uit eerdere inspectieonderzoeken bleek dat een verbeterslag noodzakelijk was, zoals het opstellen van het verplichte beveiligingsplan. VNG heeft gemeenten toen aangespoord om deze verbeterslag daadwerkelijk te maken. De VNG acht verbetering noodzakelijk om de volgende redenen: Gemeenten pakken met name in het kader van de drie decentralisaties steeds meer taken op waarbij directe dienstverlening aan de burger centraal staat. Veilige wisseling en gebruik van gegevens van burgers daarvoor essentieel. Niet alleen voor het vertrouwen van de burger zelf maar ook voor dat van ketenpartners waarmee de gegevens gewisseld worden. Overheden hebben in dit kadereen voorbeeldfunctie. Burgers kunnen immers niet 'overstappen'. Gegevenswisseling wordt bij dienstverlening een steeds belangrijker fenomeen: ketens worden steeds complexer en hangen ook steeds sterker met elkaar samen. VNG Postbus 30435, 2500 GK Den Haag Tel 070-373 83 93 www.vna.nl 01

Gegevenswisseling is de meest efficiënte wijze om gegevens van een cliënt bij elkaar te brengen en deze cliënt integraal te kunnen ondersteunen. Verbetertrajecten VNG vindt het van belang dat er gericht wordt ingezet op verbetertrajecten. In de afgelopen jaren heeft dat plaatsgevonden door middel van de campagne 'Veilig SUWI-netgebruik'. Deze campagne werd gecoördineerd door een commissie bestaande uit vertegenwoordigers van SZW, IB, BKW1, Divosa en de VNG. Aan deze campagne lag de gelijknamige BKWI-monitor ten grondslag. Wij zijn van mening dat de monitor de afgelopen jaren goede diensten heeft bewezen: het gaf gemeenten een snelle eerste diagnose van goede en slechte punten van hun gebruik van suwinet. Daarmee geven we ook de beperkte houdbaarheid aan van de monitor. Een goede aanpak op papier loopt niet altijd gelijk op met de uitvoeringspraktijk. Nu dat vrijwel alle gemeenten bekend zijn met hun eerste diagnose, is het tijd voor volgende stappen. Periodiek (zelfonderzoek is wat de VNG betreft een structureel instrument. Hierop komen we later in de tekst terug. Generieke gemeentebrede aanpak Het verbeteren van informatieveiligheid en het waarborgen van privacy zijn aspecten die bij gemeenten niet uitsluitend aan de orde zijn binnen bij het beleidsveld werk en inkomen. Gemeentebreed in vrijwel alle dienstverlening aan burgers spelen deze aspecten een belangrijke rol. Naar aanleiding van DigiNotar en Lektober hebben gemeenten in 2012 ingestemd met de oprichting van de Informatiebeveiligingsdienst voor gemeenten (IBD, ondergebracht bij KING). De IBD richt zich in de kern op het vergroten van de weerbaarheid van gemeenten op het gebied van informatiebeveiliging. In opdracht van de VNG heeft de IBD hiervoor onder andere de Baseline Informatiebeveiliging Gemeenten (BIG) ontwikkeld, het basisnormenkader informatieveiligheid voor gemeenten. Gemeenten hebben met de BIG een instrument in handen waarmee zij in staat zijn om te meten of de organisatie de basis op orde heeft en minimaal voldoet aan normen en wettelijke voorschriften op gebied van informatieveiligheid. De gewenste verbetering in het domein van Werk en Inkomen willen we primair inzetten vanuit het bovengenoemde perspectief van zelfregulering. Wat we positief waarderen aan de onderzoeksmethodiek is dat deze zich richtte op een beperkt aantal- 7 - normen. Dat biedt focus bij het opstarten van verbetertrajecten. Het normenkader van de GeVS bevat 115 normen waaraan gebruikers zich dienen te conformeren. Daarnaast zijn er andere normenkaders waarmee gemeenten (moeten) werken. Gemeenten hebben behoefte aan één gemeenschappelijk kader. Gemeenten vragen dan ook erkenning van het rijk van het basisnormenkader Baseline Informatiebeveiliging Gemeenten. Dat biedt aanknopingspunten voor het terugdringen van de audit- en monitoringslasten. VNG en KING werken momenteel gericht aan een voorstel voor zelfregulering op informatieveiligheid die op 29 november aan de Buitengewone Algemene Leden Vergadering (BALV) van de VNG zal worden aangeboden. Met dit voorstel benoemen gemeenten de BIG als hét basisnormenkader voor informatieveiligheid voor gemeenten, én nemen gemeenten de verantwoordelijkheid voor informatieveiligheid (verder) op zich. Aan de hand van de BIG stellen gemeenten informatieveiligheidsbeleid op, gebaseerd op lokale risico-afwegingen, Gemeenten zijn tot slot transparant over de staat van de informatieveiligheid: in de eerste plaats horizontaal, maar ook in de richting van de (keten)partners. De bedoeling is om dit alles te borgen in de reguliere planning en controlcyclus van de gemeente. VNG Postbus 30435, 2500 GK Den Haag Tel 070-373 83 S3 wwy,vrtq.nl 02

Specifiek in aanvulling op generiek Naast de bovengenoemde generieke aanpak is er in onze beleving ruimte voor specifieke aanvullingen op het gebied van communicatie en van technische aanpassingen binnen SUWI-net. In aanvulling op het generieke kader ziet VNG toegevoegde waarde in een stimuleringstraject richting gemeenten aangaande het gebruikersgedrag met betrekking tot SUWI-net. VNG is van mening dat een gezamenlijk initiatief van Divosa, KING, BKWI en VNG de hoogste opbrengst zal genereren. KING en BKWI kunnen inhoudelijke expertise leveren over generieke respectievelijke specifieke verbeterslagen. VNG en Divosa zullen bij hun achterban het belang benadrukken van het gebruik maken van deze expertise. VNG is overigens daar overigens al mee gestart: in het voorjaar van 2013 hebben drukbezochte informatiesessies plaatsgevonden, deze worden vervolgd op 19 september en 3 oktober. De sessies zijn gericht op portefeuillehouders Zorg en Werk en Inkomen. De uitkomsten van het onderzoek kunnen de vraag opwerpen of nadere maatregelen gewenst zijn. Wanneer u dit afweegt vragen wij u om uitgangspunten als proportionaliteit, omkeerbaarheid en gewenste prikkels zwaar mee te wegen. In onze beleving sluiten sectorspecifieke administratieve lasten en kortingen / boetes hier niet op aan. Integendeel, deze doorkruisen de generieke aanpak en leggen beslag op de daartoe in te zetten gemeentelijke capaciteit. Wij menen dat we met de aanpak en inzet van de goed presenterende gemeenten de achterblijvende gemeenten het meest effectief kunnen bewegen om in actie te komen. De verschillen tussen gemeenten zijn groot. De gemeenten die hun zaken op orde hebben, kunnen hiervan de dupe worden. De VNG wil samen met goed presterende gemeenten het uiterste doen om achterblijvende gemeenten ertoe te bewegen hun veiligheidsbeleid op orde te brengen. VNG stelt de volgende totaalaanpak voor. / Collectief appel Dit onderdeel bestaat uit twee elementen: VNG zal op korte termijn een brief sturen aan alle gemeenten waarin we dringend oproepen om nog in 2013 een zelfanalyse te verrichten op de 7 normen die de inspectie ook heeft gehanteerd en uiterlijk in 2014 de acties te hebben afgerond op de normen waaraan men nog niet voldoet. En dit alles te rapporteren aan de VNG. Dat is enerzijds behulpzaam bij het verkrijgen van een totaalbeeld, anderzijds bij het ontsluiten van best practices. Wij bereiden een publicatie voor waarin best practices centraal staan en het belang van bestuurlijke borging wordt benadrukt. Deze publicatie is met name bestemd voor bestuurders, managers en beleidsambtenaren. Wij hopen deze publicatie in november te realiseren. // Voorlichting over het veranderen van de organisatie / inbedding in hrm-management. Hierin willen we graag het voortouw nemen in samenwerking met Divosa en best practice gemeenten. Uitgangspunt is dat medewerkers de boodschap zullen meekrijgen dat een correct gebruik van SUWInet het werk gemakkelijker en aangenamer maakt. Incorrect gebruik zal moeten worden gecorrigeerd en in voorkomende gevallen gesanctioneerd. Daarom is het belangrijk om aan te geven wat onder correct en incorrect gebruik wordt verstaan. Meer concreet kan hierbij gedacht worden aan aandacht voor veilig gebruik van SUWI-net in de arbeidsovereenkomst, in de hrm-cyclus van beoordelings- en functioneringsgesprekken, intakegesprek met nieuwe gebruiker over de normen voor goed gebruik, verhouding tussen bevoegdheden van manager ten opzichte van security officer, arbeidsrechtelijke sanctionering bij overtreding etc. VNG Postbus 30435. 2500 GK Den Haag Tel 070-3?3 83 93 www.vnq.nl 03

Ill Meer tools voor security officers. In het verlengde van elk van de onderzochte normen kan een tool ontwikkeld worden die voorkomen dat 408 security officers het wiel opnieuw moeten uitvinden. Te denken is aan: Een model beleidsplan gekoppeld aan een procesbeschrijving hoe deze periodiek te updaten Rollenoverzicht dat inzicht geeft in de rollen waarmee gemeentelijk medewerkers gebruik kunnen maken van suwinet. Model autorisatiematrix- en procedure, deze geeft inzicht in welke autorisatie bij welke rol hoort en via welke procedure wordt deze toegekend. Een beknopte handleiding om te loggingrapportages zo optimaal mogelijk te gebruiken. Hier geldt ook dat de inhoudelijke expertise bij BKWI aanwezig is en dat we samen willen optrekken. / V Voorlichting over de inzet van de tools. De VNG wil graag het voortouw nemen tot het organiseren van voorlichtingsbijeenkomsten over het inzetten van de tools, dit in samenwerking met Divosa, KING, BKWI en best practice gemeenten. V Technische aanpassingen in suwinet. Fijnmaziger autorisatie. Op basis van rollen wordt nu reeds gedifferentieerd in toegang tot gegevens. Wij pleiten voor een inventarisatie van verfijningsmogelijkheden. Een dergelijk onderzoek behoeft zorgvuldigheid: een aantal taken wordt intergemeentelijk uitgevoerd. Signaal naar betreffende security officer bij afwijkend opvraaggedrag van een gemeentelijk medewerker. Meer controle op het opvragen van loggingrapportages door security-officers. In een extreem geval van onzorgvuldig gebruik en uitblijvend ingrijpen door de gemeente kan gedacht worden aan tijdelijke afsluiting. Dit alleen wanneer er eerst een escalatiemodel is doorlopen en er ook direct een toegangstoets beschikbaar is waaruit blijkt of een gemeente zich zodanig heeft verbeterd dat deze weer aangesloten kan worden. BKWI is de organisatie die dit in praktische zin kan faciliteren. In de plannen van BKWI wordt veilig gebruik van suwinet als een prioriteit benoemd. VIMG wil dit graag in BKWi-verband meer in het bijzonder de Domeingroep Privacy en Beveiliging verder oppakken en doorontwikkelen. Wij hopen dat het bovengenoemde aanknopingspunten biedt voor nadere gedachtewisseling. Wij willen onze reactie en te nemen acties graag in het bestuurlijk overleg van 3 oktober aanstaande met u bespreken. Hoogachtend, Vereniging van Nederlandse Gemeenten riens voorzitter directieraad C c : SZW Inspectie, J van den Bos VNG Postbus 30435 2500 GK Den Haag Tel 070-373 83 93 www vno.nl 01

Van: Verzonden: Aan: Onderwerp: VNG [VNG@VNG.NL] dinsdag 12 november 2013 17:35 Stadhuis Lbr. 13/097 - Veilig gebruik van SUWI-net: reactie op inspectierapportage en verbetertraject voor gemeenten Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) 1 i #03 betreft Veilig gebruik van SUWI-net: reactie op inspectierapportage en verbetertraject voor ons kenmerk BAWI/U201301372 Lbr. 13/097 datum 12 november 2013 gemeenten Geachte heer, mevrouw, Eind oktober / begin november zal de rapportage van de SZW-Inspectie 'De burger bediend 2013' aan de Tweede Kamer worden verzonden. Daaruit naar voren komt dat gemeenten niet zorgvuldig omgaan met gegevens van burgers wanneer zij gebruik maken van SUWI-net (gegevensuitwisseling systeem voor Werk en Inkomen). Dat is een onwenselijke situatie gezien het feit dat de doorontwikkeling van gegevensuitwisseling van groot belang voor het goed kunnen uitvoeren van de taken gekoppeld aan de decentralisaties. Daarom zetten we in op een tweeledige aanpak: Generiek gemeentebreed: de ontwikkeling van de Baseline Informatieveiligheid Gemeenten die via de BALV op 29 november aanstaande onder de aandacht wordt gebracht. In deze ledenbrief wordt dit traject kort samengevat. Specifiek voor Werk en Inkomen: een daarop aanvullende op de kortere termijn gerichte verbetertraject specifiek met betrekking tot veilig gebruik van SUWI-net. In deze ledenbrief wordt dit traject nader toegelicht. In deze brief roepen we u op om gericht in te zetten op verbeteracties. De bestuurlijke reactie van de VNG op de inspectierapportage is als bijlage bijgevoegd. Klik op, of kopieer onderstaande link om de volledige ledenbrief en de bijlage te lezen: www.vng.nl/onderwerpenindex/sociale-zaken/samenwerken-op-de-arbeidsmarkt/brieven/veiliggebruik-van-suwi-net-reactie-op-inspectierapportage-en-verbetertraiect-voor-gemeenten l

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback