Vragen van het lid Schut-Welkzijn (VVD) aan de Minister en de Staatssecretaris van Sociale Zaken en Werkgelegenheid over het privacy lek van het UWV (ingezonden 5 december 2014).

Antwoord van Minister Asscher (Sociale Zaken en Werkgelegenheid) en van Staatssecretaris Klijnsma (Sociale Zaken en Werkgelegenheid) (ontvangen 17 december 2014).

Vraag 1

Heeft u het bericht gelezen «UWV ontzettend laks met privacy»?1

Antwoord 1

Ja.

Vraag 2

Klopt het dat de beveiliging van gevoelige persoonlijke gegevens bij de gemeente 's-Hertogenbosch en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) «zo lek is als een mandje»?

Antwoord 2

Het onderzoek van het College Bescherming Persoonsgegevens (CBP) naar de toegang tot Suwinet van niet-Suwipartijen wijst uit dat de toegang tot Suwinet op een aantal punten verbeterd moet worden om aan de Wet Bescherming Persoonsgegevens (WBP) te voldoen. Wij hechten aan een goede bescherming van persoonsgegevens. De overheid dient daarbij het goede voorbeeld te geven. Snelle actie is nodig om de tekortkomingen weg te nemen, inmiddels gebeurt dat ook. Het UWV en de gemeente Den Bosch pakken de noodzakelijke verbeteringen op.

Vraag 3

Kunt u bevestigen dat er geen beveiligingsplan is, geen adequate analyse en afwikkeling van beveiligingsincidenten en een volledige logging ontbreekt en dat dit een onacceptabel risico vormt dat gegevens in verkeerde handen komen?

Antwoord 3

Wij stellen vast dat niet alle gestelde beveiligingseisen worden nageleefd en dat daarmee de risico’s te groot zijn. Het Bureau Keteninformatisering Werk en Inkomen (BKWI), dat onderdeel is van UWV, beschikt niet over een actueel vastgesteld beveiligingsplan, een adequate procedure voor beveiligingsincidenten en een formeel vastgestelde procedure voor het verlenen van autorisatie aan de gebruikersbeheerder van een gegevensafnemende organisatie. Verder wordt 70% van de gegevensuitwisselingen gelogd.

UWV heeft inmiddels het beveiligingsplan geactualiseerd en de genoemde procedures opgesteld. UWV stelt het plan en de procedures begin 2015 formeel vast. Aan het realiseren van logging voor de nog ontbrekende 30% wordt gewerkt. Dit betreft de logging van gegevens die via het zogenoemde Suwinet Inlezen in ICT-systemen van gegevensafnemende organisaties worden ingelezen. In Ierland hadden drie ambtenaren toegang tot Suwinet. De gegevens die ze opvroegen werden volledig gelogd. Omdat het CBP heeft opgemerkt dat ze meer toegang krijgen dan zou moeten, is op uitdrukkelijk verzoek van de Staatssecretaris deze toegang per 14 augustus 2014 afgesloten.

De gemeente ‘s-Hertogenbosch heeft aangegeven dat het College van B&W binnenkort het reeds aanwezige beveiligingsplan Suwinet formeel zal vaststellen. Ook de reeds aanwezige procedures voor het melden van beveiligingsincidenten, worden binnenkort formeel vastgesteld. Voor 2015 is het uitvoeren van de audit naar de beveiliging van Suwinet opgenomen in het bedrijfsplan.

Vraag 4

Deelt u de mening dat een dergelijke inbreuk op de privacy ontoelaatbaar is en zo snel mogelijk moet worden aangepakt?

Antwoord 4

Zie de antwoorden op de vragen 2 en 3.

Vraag 5

Wat is de stand van zaken van de samenwerking met de Vereniging van Nederlandse Gemeenten (VNG) om misbruik en oneigenlijk gebruik van Suwinet, het systeem van gegevensuitwisseling op het terrein van werk en inkomen, door ambtenaren te voorkomen?

Antwoord 5

Zoals de Staatssecretaris u eerder informeerde zijn gemeenten aan de slag gegaan om de beveiliging bij het gebruik van gegevens via Suwinet op orde te brengen (Kamerstuk 26 448, nr. 516). Op haar verzoek doet de Inspectie SZW momenteel vervolgonderzoek bij gemeenten. De Staatssecretaris zal de Tweede Kamer in april 2015 over de resultaten van dit onderzoek informeren.

Vraag 6

Wat gaat u op korte termijn doen om dit lek te dichten?

Antwoord 6

Zie het antwoord op vraag 3.

Vraag 7

Wilt u deze vragen uiterlijk een dag voor het Algemeen overleg Handhaving van 17 december aanstaande beantwoorden?

Antwoord 7

Ja.

X Noot
1

Telegraaf, 4 december 2014

Naar boven