Inspectie SZW onderzoekt naleving Suwinet-normenkader door gemeenten
De Inspectie SZW gaat naar verwachting september a.s. starten met een onderzoek naar de naleving door gemeenten van het Suwinet-normenkader. Dit naar aanleiding van de behandeling van het inspectierapport “Suwinet, veilig omgaan met elkaars gegevens” in de Tweede Kamer. Uit het onderzoek bleek dat slechts 17% van de gemeenten voldoet aan de gestelde normen. VNG meldt dat daarbij de volgende drie moties zijn aangenomen:
- Alle gemeenten moeten op de zeven normen worden onderzocht. Een gemeente moet aan alle normen voldoen, anders treedt een escalatieprotocol in werking. De motie vraagt ook om het snel vaststellen van het protocol waarin een strakke termijn moet worden opgenomen.
- Onderzoek of SZW in de toekomst ook financiële sancties kan gaan opleggen.
- Zoek naar integrale oplossing voor het niet meer tonen van geheime adressen van vrouwen in de noodopvang.
Het rapport en de presentatie van de Inspectie SZW van de onderzoeksresultaten is onder andere te vinden via de website van de Inspectie en VNG.
Overigens is in een eerder onderzoek ook al vastgesteld dat veel gemeenten niet (volledig) voldeden aan de normen, zoals uit een verslag van de onderzoeksresult aten uit 2014 van de VNG bleek. Klik hier voor het volledige verslag.
De Inspectie SZW gaat dus onderzoeken en beoordelen of gemeenten voldoen aan de zeven (van in totaal 115) normen uit het Suwi-normenkader. De normen hebben betrekking op het beveiligingsplan, het inrichten van de organisatie en het inrichten van de werkprocessen op het veilig gebruik van Suwinet:
- Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet zijn goedgekeurd door het management van de Suwi-partij (norm 1.3).
- Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden uitgedragen in de organisatie (norm 1.4).
- Het informatiebeveiligingsbeleid en/of het beveiligingsplan wordt jaarlijks geëvalueerd en indien nodig geactualiseerd (norm 1.5).
- De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd (norm 2.2).
- De security officer:
● beheert en beheerst beveiligingsprocedures en -maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet in overeenstemming met wettelijke eisen is geïmplementeerd.
● bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat met betrekking tot de beveiliging van Suwinet de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet.
●rapporteert rechtstreeks aan het hoogste management (norm 2.3). - De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen:
● het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functies/taken.
● het uniek identificeren van elke gebruiker tot een persoon
● het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde.
●het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek.
● het benaderen van de Suwi-databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten) (norm 13.1). - De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats:
● interne controle op rechten en gebruik van Suwinet.
● analyseren van de van het BKWI verkregen informatie over het gebruik van Suwi-gegevens (norm 13.5).
Bij een onvoldoende beoordeling kan dat gevolgen hebben voor een gemeente. Het ministerie van SZW kan bij een onvoldoende score een escalatieprotocol in werking laten treden waarbij in het ernstige geval de gemeente van Suwinet wordt afgesloten. Het ministerie van SZW kan een lage scoren ook melden aan het College bescherming persoonsgegevens (Cbp). Dat kan zelfstandig onderzoek doen waarbij het toetst op bepalingen uit de Wet bescherming persoonsgegevens. De boete die door het Cpb opgelegd kan worden, bedraagt maximaal € 810.000.
Het is daarom aan te bevelen om zelf te toetsen of voldaan wordt aan het Suwi-normenkader. De Vereniging van Nederlandse Gemeenten (VNG) heeft reeds eerder een zelftest voor gemeenten ontwikkeld waarmee getoetst kan worden of de informatiebeveiliging voor Suwinet binnen de gemeente op orde is. De zelftest in onder andere te vinden via de website van BKWI (onderdeel van het UWV) en de VNG.