Het Ministerie SZW schrijft in een recente brief naar de gemeenten dat de beveiliging van het gebruik van Suwinet verbeterd moet worden. De wet GBA stelt eisen aan beveiliging en continuïteit, BIBOB en BAG hebben ook zo hun voorschriften en in de praktijk wordt voor iedere brief, register en werkproces een eigen noodverband aangelegd om de komende (her)audit door te komen.
Iedere gemeente is vertrouwd met de GBA-audits en de eisen die hieraan gekoppeld worden ten aanzien van informatiebeveiliging en continuïteit. Niet dat het overal even goed geïmplementeerd en uitgevoerd wordt, maar door de driejaarlijkse audits wordt dit in ieder geval opgepakt. Grote valkuil is echter dat dit beveiligingsbeleid voor GBA gezien en gebruikt wordt als gemeentebreed beveiligingsbeleid. Daarvoor is het te zeer gericht op het GBA en ontoereikend voor de gehele organisatie.
De Inspectie Werk en Inkomen (IWI) heeft geconstateerd dat de beveiliging van persoonsgegevens die gebruikt worden bij de uitvoering van sociale zekerheid bij de meeste gemeenten onder de maat is. Er zijn in de afgelopen jaren weliswaar maatregelen getroffen maar bij de grote meerderheid van gemeenten is nog steeds verbetering nodig. Met name continue controle op en de organisatie van het beheer van informatiebeveiliging is niet goed geregeld. Het gebruik van Suwinet, het centrale register voor informatie over persoonsgegevens en sociale gegevens, wordt onvoldoende gemonitord en de beveiligingsplannen voldoen niet aan de normen.
In een, begin juni verstuurde brandbrief aan alle gemeenten heeft het ministerie van Sociale Zekerheid en Werkgelegenheid aangedrongen op verbetering. In eerste instantie zullen zij, als blijkt dat niet wordt voldaan aan de beveiligingseisen vanuit het BKWI, de Wet Bescherming Persoonsgegevens (WBP), de Wet Eenmalige Gegevensuitvraag werk en inkomen (WEU) en de Wet SUWI, worden aangesproken op verbeteringen. Daarna volgt een vervolg onderzoek van de inspectie en bij het in gebreke blijven van voldoende beveiliging volgt een mogelijke dwangsom vanuit het College Bescherming Persoonsgegevens. Via Suwinet heeft men inzage in persoonsgegevens, inkomens, met wie iemand samenwoont, welke auto hij rijdt, enzovoort. De burger heeft recht op goede bescherming en continue monitoring op het gebruik van zijn gegevens.
Suwinet is niet het enige zorgenkindje van de gemeenten. De wet BIBOB bijvoorbeeld, die overheidsapparaten voorschrijft de integriteit van vergunning houders en aanvragers te toetsen, bepaald eveneens dat iedere gemeente een beveiligingsproces en functionaris moet hebben. Ook hierop vinden momenteel audits plaats en komen gebreken aan het licht.
Een integrale aanpak van informatiebeveiliging lijkt het vanzelfsprekende antwoord op deze problematiek. Maar waarom wordt het dan niet grootschalig toegepast? Omdat voldoende eigen kennis hierover ontbreekt is de gemeente genoodzaakt hulp te zoeken bij een externe specialist. Veelal lijken de kosten hiervoor het grootste struikelblok omdat men de, onterechte, mening is toegedaan dat beveiliging niet bijdraagt maar alleen geld kost. Als informatiebeveiliging als proces, gemeente breed, wordt opgepakt en geïmplementeerd dan is de gemeente beter ‘in control’ over alle processen en registers. Noodverbanden en cyclische verbeter projecten met de focus op slechts één werkproces of register en die, bij elkaar opgeteld, een zeer grote aanspraak maken op resources zijn dan vrijwel overbodig. De investering in een grondig opgepakt beveiligingsproject en de invoering van security management is daardoor snel terug verdient.
Je vraagt je af waarom informatie beveiliging van landelijk toegankelijke diensten op decentraal niveau geregeld moet worden. Dat kan toch veel beter centraal worden opgepakt, dat is niet alleen veiliger, goedkoper maar ook veel beter te auditen.
Dit is dweilen met de kraan open.
Informatiebeveiliging als proces inregelen is geen garantie voor het naleven van het proces. Wel het verkorten en efficient maken van dit proces in de keten kan de kans op naleving verhogen. Met de nieuwe oplossingen en ontwikkelingen kunnen we dit realiseren. Hier heb je zeker de ervaring en kennis van externe mensen nodig, maar zoals Peter zei, dit verdien je snel terug.