Maar 4 procent van de gemeenten heeft voor het opvragen van persoonsgegevens via Suwinet voldoende beveiligingsmaatregelen getroffen. 13 procent van de gemeenten voldoet aan geen van de onderzochte normen voor informatiebeveiliging. Dit concludeert de Inspectie SZW in haar rapport 'De burger bediend in 2013/Veilig gebruik Suwinet' over informatiebeveiliging bij gemeenten. Staatssecretaris Klijnsma van Sociale Zaken en Werkgelegenheid zegt geschokt te zijn en heeft een aantal maatregelen aangekondigd.
Gemeenten, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Het gaat daarbij onder meer om inkomsten, uitkeringsgegevens, autobezit en diplomagegevens en examenresultaten. In het rapport oordeelt de Inspectie SZW van het ministerie van Sociale Zaken en Werkgelegenheid dat de beveiliging van Suwinet door gemeenten ondanks diverse inspanningen nog steeds onder de maat is; het gebrek aan beveiliging van persoonsgegevens bij het gebruik van Suwinet-Inkijk acht de Inspectie bovendien zorgwekkend. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld. Ongeveer 80 procent van de gegevens wordt bekeken in Suwinet-Inkijk.
Geen goede reden
De Inspectie heeft de zeven belangrijkste door gemeenten te treffen maatregelen onderzocht, die moeten voorkomen dat persoonsgegevens van burgers worden geraadpleegd zonder dat daarvoor een goede reden is. Deze maatregelen gaan over het beveiligingsbeleid, de organisatie van de beveiliging en het controleren van door medewerkers opgevraagde persoonsgegevens. Maar 4 procent van de gemeenten voldoet aan alle zeven normen en 13 procent van de gemeenten voldoet aan geen enkele norm. In totaal voldoet 76 procent van de gemeenten aan drie of minder normen.
Een duidelijk signaal is dat de Inspectie tijdens het onderzoek geconstateerd heeft dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. De inspectie hanteerde voor deze controle een beperkte lijst met honderd willekeurig geselecteerde bekende Nederlanders. In werkelijkheid zijn er enkele duizenden bekende Nederlanders van wie gegevens via Suwinet kunnen worden geraadpleegd.
Maatregelen
Staatssecretaris Klijnsma van SZW noemt de conclusies van de Inspectie zeer ernstig. ‘Het is onacceptabel dat de informatiebeveiliging rond de gegevensuitwisseling via Suwinet zo slecht op orde is. Ik vind dat gemeenten dit met de hoogste prioriteit moeten aanpakken. Net zoals bankmedewerkers niet zomaar rekeninggegevens van klanten mogen bekijken moet voor gemeenteambtenaren hetzelfde gelden. Het is onacceptabel dat er zonder noodzakelijke reden persoonlijke gegevens van mensen worden bekeken.’
De bewindsvrouw heeft inmiddels met de Vereniging Nederlandse Gemeenten (VNG) afgesproken dat snel wordt toegewerkt naar een zorgvuldig gebruik van via Suwinet uitgewisselde gegevens. Daarnaast heeft zij de volgende maatregelen genomen:
1. het College Bescherming Persoonsgegevens (CBP) is geïnformeerd over de resultaten van het inspectie-onderzoek. Het CBP heeft de mogelijkheid om gemeenten die niet voldoen aan de eisen van de WBP (Wet bescherming persoonsgegevens) een dwangsom op te leggen.
2. het laten uitzoeken of een tijdelijke sluiting van het leveren van gegevens aan gemeenten via Suwinet mogelijk is. Dit als passende maatregel om een zorgvuldig gegevensgebruik af te dwingen.
3. het maken van verdere afspraken met de VNG om een verantwoording over de informatiebeveiliging bij gemeenten wettelijk te verankeren. Inwoners moeten er op kunnen vertrouwen dat gemeenten de aan hen toevertrouwde gegevens zorgvuldig verwerken, aldus Klijnsma. Zij roept daarnaast gemeenteraden op hun colleges te controleren of de informatiebeveiliging ook daadwerkelijk op orde is.
4. het aan gemeenten vragen om heel snel alle benodigde stappen te zetten. Om gemeenten onder druk te zetten zal de Inspectie SZW in de eerste helft van 2015 onderzoeken of de informatiebeveiliging daadwerkelijk structureel is verbeterd.
Waarom wordt er niet gewoon een boete (150 euro) gezet op elke onterechte of illegale raadpleging. Als gemeenten dan niet kunnen aantonen dat de raadpleging juist is geweest, krijgt zowel de gemeente als de betreffende ambtenaar een boete. Is het zo afgelopen.
Dat dit het geval is was al veel langer bekend. Alleen is het nu dus officieel. Voor veel IT bedrijven zal het een opsteker zijn want die mogen aan de slag. Voor de burgers zullen binnenkort de gemeentebelastingen wel weer omhoog gaan.