CBP: ‘ICT-beveiliging UWV en gemeente ’s-Hertogenbosch slecht op orde’

Het UWV en de gemeente ’s-Hertogenbosch hebben hun ICT-beveiliging slecht op orde. De partijen hebben onvoldoende maatregelen getroffen om te zorgen voor een adequate beveiliging van de persoonsgegevens die met Suwinet worden uitgewisseld.

Dit blijkt uit onderzoek van het College bescherming persoonsgegevens (CBP). “Zonder een afdoende beveiligingsplan, zonder adequate analyse en afwikkeling van beveiligingsincidenten en zonder volledige logging is er een onacceptabel risico dat gegevens in verkeerde handen komen”, aldus Jacob Kohnstamm, voorzitter van het CBP. Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Kohnstamm: ”Adequate beveiliging van persoonsgegevens bij de overheid is des te belangrijker gezien de naderende verschuiving van taken van het Rijk naar gemeenten”.

Informatie over burgers

Via Suwinet kan veel informatie over burgers worden verkregen. Denk hierbij aan gegevens over het arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Het is van dan ook groot belang dat deze gegevens goed zijn beschermd en alleen de daartoe bevoegde medewerkers toegang hebben tot de gevoelige gegevens. Zowel bij het UWV als bij de gemeente ’s-Hertogenbosch blijken de maatregelen echter niet toereikend om deze garantie te kunnen bieden.

Het CBP constateert onder andere dat veel van de vereiste plannen of procedures niet up to date, niet compleet of niet afgemaakt zijn. Zowel het UWV, als beheerder van Suwinet, als ’s-Hertogenbosch als afnemer van Suwinet blijken geen beveiligingsplan te hebben opgesteld specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Het CBP stelt dat zo geen lering kan worden getrokken uit incidenten en geen adequate maatregelen kunnen worden genomen.

Toegang tot gegevens loggen

Daarnaast blijkt bij het UWV niet goed te worden vastgelegd wie welke gegevens raadpleegt. Dit terwijl het wettelijk verplicht is alle raadplegingen te loggen, aangezien hiermee onbevoegde toegang tot gegevens kan worden opgespoord. De gemeente ‘s-Hertogenbosch bleek ook de toegangsrechten niet orde te hebben, waardoor onbevoegden toegang konden krijgen tot gegevens.

Het Ierse ministerie van Sociale Zaken had ook toegang tot Suwinet. Het Ierse ministerie mocht weliswaar bijvoorbeeld gegevens inzien van Ieren die in Nederland hebben gewerkt of hier een uitkering hebben ontvangen om te beoordelen of zij recht hebben op een uitkering in Ierland, maar het Ierse ministerie bleek ten onrechte toegang te hebben tot persoonsgegevens van álle personen in Suwinet. Het UWV heeft naar aanleiding van het onderzoek de gegevensverstrekking aan Ierland via Suwinet stopgezet.

Maatregelen

Het UWV en ’s-Hertogenbosch laten weten naar aanleiding van het onderzoek maatregelen te gaan treffen om de persoonsgegevens beter te beschermen. Het CBP gaat de komende tijd controleren of het UWV en ’s-Hertogenbosch de overtredingen hebben beëindigd en stelt zo nodig handhavende maatregelen in te zullen zetten.