Gemeenten hebben moeite om zich te houden aan de procedures rond bescherming en beveiliging van persoonsgegevens. De Inspectie Werk en Inkomen stipt dit aan in een recent onderzoek, nadat eerder al het College Bescherming Persoongegevens (CBP) aan de bel trok.
De Inspectie Werk en Inkomen concludeert in haar onderzoek Beveiliging Suwinet bij gemeenten dat veel gemeenten geen inzicht kunnen bieden in de manier waarop zij de beveiliging regelen van persoonsgegevens die sociale diensten uitwisselen met CWI en UWV. Daarbij wordt gebruikgemaakt van Suwinet.
Van deze elektronische infrastructuur kunnen medewerkers van gemeenten, Bureau Keteninformatisering Werk en Inkomen, Centrum voor Werk en Inkomen, Inlichtingenbureau, Sociale Verzekeringsbank en Uitvoeringsinstituut Werknemersverzekeringen gebruikmaken. Gemeenten halen er bijvoorbeeld via sofi-nummers informatie over arbeidsverleden, loon, uitkering en opleiding vandaan van aanvragers en ontvangers van bijstandsuitkeringen. De wetgever heeft bij de invoering van Suwinet in 2002 (oftewel de Wet Structuur Uitvoering Werk en Inkomen) onderkend dat het werken met privacygevoelige persoonsgegevens strikte beveiligingsmaatregelen vereist.
De Inspectie Werk en Inkomen zag in de snelle implementatie van Suwinet en het grote aantal gebruikers (momenteel circa 9000) een risico ontstaan bij de beveiliging van gegevens van burgers. Een vervolgens ingesteld onderzoek onder vijftig gemeenten leerde de inspectie dat de meeste zich niet goed kunnen verantwoorden over de beveiliging van Suwinet. Het overgrote deel gaf aan dat een benodigd beveiligingsplan ontbreekt en dat er geen speciale beleidsfunctionarissen zijn aangesteld. Bovendien hebben veel gemeenten die zich in de loop van dit jaar behoren te verantwoorden over de beveiliging van Suwinet, nog geen idee via welke normenkaders zij dit doen.
De inspectie concludeert dan ook dat er bij gemeenten beheersmatige risico’s bestaan met het oog op de beveiliging van de met Suwinet uitgewisselde persoonsgegevens. De Vereniging van Nederlandse Gemeenten betreurt in een reactie dat de inspectie in het onderzoek twee reeds genomen verbeterinitiatieven heeft genegeerd. Het ’Coördinatiepunt ICT gemeenten’ verspreidt namelijk beveiligingshandreikingen en start een beveiligings-bewustwordingscampagne voor Gemeentelijke Sociale Diensten.
Vorig jaar zomer nog sloeg het College bescherming persoonsgegevens alarm, toen bleek dat 130 gemeenten hadden verzuimd het CBP een afschrift van de gemeentelijke regelingen rond GBA (Gemeentelijke Basisadministratie) toe te sturen. Dat is wettelijk verplicht. Het college houdt toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Inmiddels hebben alle gemeenten de afschriften opgestuurd, meldt het CPB.
Het rapport Beveiliging Suwinet bij gemeenten is opvraagbaar via www.iwiweb.nl.
