CBP: ‘UWV en de gemeente ’s-Hertogenbosch beveiligen persoonsgegevens onvoldoende’

Het College bescherming persoonsgegevens (CBP) trekt aan de bel over de slechte ICT-beveiliging van het UWV en de gemeente ’s-Hertogenbosch. Persoonsgegevens die door de partijen met Suwinet worden uitgewisseld worden onvoldoende beschermd, waardoor de veiligheid van persoonsgegevens tekort schiet.

Suwinet is een besloten systeem waarmee overheidsorganisaties maatschappelijk gevoelige persoonsgegevens kunnen uitwisselen. Allerlei informatie is via Suwinet beschikbaar, waaronder gegevens over het arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Deze gegevens moeten dan ook goed worden beveiligd. Het UWV en de gemeente ’s-Hertogenbosch hebben hiervoor volgens het CBP onvoldoende maatregelen genomen.

‘Onacceptabel risico’
“Zonder een afdoende beveiligingsplan, zonder adequate analyse en afwikkeling van beveiligingsincidenten en zonder volledige logging is er een onacceptabel risico dat gegevens in verkeerde handen komen”, zegt Jacob Kohnstamm, voorzitter van het CBP. ”Adequate beveiliging van persoonsgegevens bij de overheid is des te belangrijker gezien de naderende verschuiving van taken van het Rijk naar gemeenten.”

Veel vereiste plannen en procedures zijn bij het UWV en de gemeente ’s-Hertogenbosch niet up-to-date, niet afgemaakt of incompleet zijn. Daarnaast blijken het UWV en de gemeente ’s-Hertogenbosch beide geen beveiligingsplan te hebben opgesteld dat specifiek is gericht op Suwinet. Dit plan helpt te adequaat te reageren op beveiligingsincidenten. Beveiligingsincidenten worden door de partijen tot slot niet centraal geanalyseerd en afgewikkeld, waardoor geen lering kan worden getrokken uit incidenten.

Wie kijkt gegevens in?
Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen.

Niet alle medewerkers binnen een gemeente mogen persoonsgegevens via Suwinet raadplegen. Een gemeente moet er dan ook voor zorgen dat alleen bevoegde medewerkers toegang hebben tot deze gegevens. Bij de gemeente ‘s-Hertogenbosch bleken echter ook voor onbevoegden toegangsrechten te kunnen worden gecreëerd. Het CBP stelt dat de gemeente hiermee onvoldoende maatregelen getroffen om onbevoegde toegang tot Suwinet tegen te gaan.

Iers ministerie van Sociale Zaken
Tot slot blijkt ook het Ierse ministerie van Sociale Zaken toegang te hebben tot alle gegevens in Suwinet. Het Ierse ministerie had toestemming bijvoorbeeld gegevens in te zien van Ieren die in Nederland hebben gewerkt of hier een uitkering hebben ontvangen om te beoordelen of zij recht hebben op een uitkering in Ierland. Het Ierse ministerie bleek echter ook ten onrechte toegang te hebben tot persoonsgegevens van álle personen in Suwinet, inclusief Nederlandse burgers. Het UWV heeft naar aanleiding van het onderzoek de gegevensverstrekking aan Ierland via Suwinet stopgezet.

Het UWV en ’s-Hertogenbosch hebben naar aanleiding van het onderzoek laten weten maatregelen te gaan treffen om de persoonsgegevens beter te beschermen. Het CBP zal de komende tijd controleren of het UWV en ’s-Hertogenbosch de overtredingen hebben beëindigd en kan zo nodig handhavende maatregelen inzetten.