Het UWV en de gemeente ‘s-Hertogenbosch hebben onvoldoende maatregelen getroffen om te zorgen voor een adequate beveiliging van de persoonsgegevens die met Suwinet worden uitgewisseld, zo blijkt uit onderzoek van het College bescherming persoonsgegevens (CBP).
“Zonder een afdoende beveiligingsplan, zonder adequate analyse en afwikkeling van beveiligingsincidenten en zonder volledige logging is er een onacceptabel risico dat gegevens in verkeerde handen komen”, aldus Jacob Kohnstamm, voorzitter van het CBP.
Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Kohnstamm: “Adequate beveiliging van persoonsgegevens bij de overheid is des te belangrijker gezien de naderende verschuiving van taken van het Rijk naar gemeenten.”
Zowel bij het UWV als bij de gemeente ‘s-Hertogenbosch zijn de maatregelen niet toereikend om deze bescherming te kunnen bieden. Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt. Zowel het UWV, als beheerder van Suwinet, als ‘s-Hertogenbosch als afnemer van Suwinet hebben geen beveiligingsplan specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Zo kan geen lering worden getrokken en kunnen geen adequate maatregelen worden genomen.
Logging
Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen.
Autorisatie
Niet alle medewerkers binnen een gemeente mogen persoonsgegevens via Suwinet raadplegen. Een gemeente moet ervoor zorgen dat alleen bevoegde medewerkers bij deze gegevens kunnen. Bij de gemeente ‘s-Hertogenbosch bleken ook voor een andere functie toegangsrechten te kunnen worden gecreëerd. Hiermee heeft deze gemeente onvoldoende maatregelen getroffen om onbevoegde toegang tot Suwinet tegen te gaan.
Maatregelen
De gemeente Den Bosch en het UWV hebben naar aanleiding van het onderzoek laten weten maatregelen te gaan treffen om de persoonsgegevens beter te beschermen. Het CBP zal de komende tijd controleren of het UWV en Den Bosch de overtredingen hebben beëindigd en kan zo nodig handhavende maatregelen inzetten.
Geef een reactie