Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 februari 2015

Met deze brief informeren wij u over de verbetermaatregelen die worden getroffen bij het beschermen van persoonsgegevens bij het uitwisselen van gegevens via het zogenoemde Suwinet. Ten behoeve van een klantgerichte en effectieve uitvoering van de sociale zekerheidswetten is het in 2002 in de wet SUWI mogelijk gemaakt dat UWV, SVB en de gemeentelijke sociale diensten via het Suwinet op digitale wijze gegevens uitwisselen.

In de periode 2008–2013 is het gegevensverkeer via het Suwinet met circa 50% toegenomen. Het invoeren van nieuw beleid dat leidt tot andere informatiebehoeften en nieuwe informatiestromen, heeft bijgedragen aan deze groei. De opgave is om voortdurend een balans te vinden tussen enerzijds het uitvoeren van nieuw beleid en anderzijds het beschermen van de persoonlijke levenssfeer van burgers en het op een veilige wijze uitwisselen en gebruiken van gegevens. De Wetenschappelijke Raad voor het Regeringsbeleid heeft dit spanningsveld tussen de zogenoemde stuwende en verankerende beginselen treffend beschreven in het rapport iOverheid van maart 2011.

De groei van het gegevensverkeer en signalen van de Inspectie SZW over tekortkomingen in de informatiebeveiliging bij gemeenten waren voor ons aanleiding om opdracht te geven voor nader onderzoek en het naar aanleiding daarvan nemen van verbetermaatregelen. Hieronder schetsen wij de actielijnen waarlangs de maatregelen worden genomen.

Actielijn 1. De aanpak informatieveiligheid overheden

Minister Plasterk heeft begin 2013 voor twee jaar de Taskforce Bestuur en Informatieveiligheid Dienstverlening ingesteld om het belang van informatieveiligheid bij bestuurders en managers bij de overheid te vergroten (Kamerstuk 26 643, nr. 337 en 344). Als onderdeel hiervan hebben gemeenten tijdens de Bijzondere Algemene Leden Vergadering van de VNG op 29 november 2013 de Resolutie «Informatieveiligheid, randvoorwaarde voor de professionele gemeente» aangenomen. Met deze Resolutie geven gemeenten aan dat zij verder werken aan informatieveiligheid, onder andere door de zogenoemde Baseline Informatiebeveiliging Nederlandse Gemeenten uit te voeren. Samen met de Minister van BZK en de VNG werken wij aan het inrichten van een verantwoording informatiebeveiliging voor gemeenten waar de verantwoording over het Suwinet onderdeel van is.

Actielijn 2. De aanpak verbetering gebruik Suwinet bij gemeenten

Met de brief van 8 november 2013 bood de Staatssecretaris het rapport «De burger bediend in 2013» van de Inspectie SZW aan uw Kamer aan (Kamerstuk 26 448, nr. 505). De inspectie constateerde ernstige tekortkomingen bij het gebruik van via Suwinet uitgewisselde gegevens bij gemeenten. De Staatssecretaris kondigde onder andere aan dat de VNG een verbeterplan in uitvoering heeft genomen en dat de Inspectie SZW in het vierde kwartaal van 2014 vervolgonderzoek doet naar de beveiliging van Suwinet bij gemeenten (Kamerstuk 32 761, nr. 55). In april 2015 zal de Staatssecretaris u informeren over de uitkomsten van dit onderzoek.

Actielijn 3. Programma «Borging veilige gegevensuitwisseling via Suwinet»

In de brief van 8 november 2013 kondigde de Staatssecretaris ook een privacy impact assessment naar het Suwinet aan. Gezien de toename van het aantal gegevensuitwisselingen via het Suwinet was het wenselijk om na te gaan of de getroffen wettelijke, organisatorische en technische maatregelen voldoende zijn. Het privacy impact assessment omvat het wettelijk kader voor de gegevensuitwisseling via Suwinet alsmede de keten die loopt van het aanleveren van gegevens door bronleveranciers, het transporteren van gegevens naar afnemers tot en met het gebruik van de gegevens door afnemers. De uitkomst is dat in de afgelopen jaren een aantal samenhangende kwetsbaarheden is ontstaan die elkaar op een negatieve manier beïnvloeden en daarmee tot privacyrisico’s leiden (zie bijlage1).

UWV, SVB en VNG hebben op ons verzoek aangegeven welke maatregelen zij gaan treffen. Het programmaplan met de maatregelen is inmiddels in uitvoering genomen (zie bijlage). Een aantal maatregelen richt zich op het limiteren van de toegang van medewerkers tot gegevens. Dit komt tot uitdrukking in het ontwikkelen en invoeren van een fijnmaziger autorisatiestructuur bij gemeenten waarbij medewerkers alleen toegang krijgen tot gegevens die strikt noodzakelijk zijn voor het uitvoeren van de aan medewerkers toebedeelde taken. Verder wordt nader onderzoek gedaan naar het beperken van de zoekmogelijkheden met als uitgangspunt dat niet onnodig op andere zoeksleutels dan het burgerservicenummer wordt gezocht. Andere maatregelen betreffen het verbeteren van het loggen van het gebruik van gegevens ten behoeve van een snellere en meer gerichte controle achteraf en het bevorderen van het privacybewustzijn bij medewerkers middels een ketenbrede bewustwordingscampagne. Daarnaast bevat het programmaplan maatregelen naar aanleiding van het onderzoek van het College Bescherming Persoonsgegevens naar de toegang van niet-Suwipartijen tot het Suwinet zoals het actualiseren van het beveiligingsplan en het continuïteitsplan van het Bureau Keteninformatisering Werk en Inkomen dat onderdeel is van UWV. In het bijgevoegde programmaplan zijn de maatregelen nader toegelicht. UWV, SVB en VNG gaan halfjaarlijks aan ons rapporteren over de voortgang van het programma.

Actielijn 4 Toekomstverkenning gegevensuitwisseling

Wij verwachten dat in de toekomst het aantal gegevensuitwisselingen verder zal toenemen en dat gegevens ook steeds vaker tussen beleidsterreinen worden uitgewisseld. Samen met UWV, SVB, VNG en het Inlichtingenbureau zijn we gestart met het verkennen van een toekomstbeeld voor gegevensuitwisseling. Het vertrekpunt hierbij is dat op een wendbare wijze en met inbegrip van het beschermen van persoonsgegevens en informatiebeveiliging, voorzien wordt in de benodigde gegevensuitwisselingen. Hierbij voorzien we dat de wet- en regelgeving SUWI betreffende gegevensverwerking en -uitwisseling herijkt wordt aan de toenemende gegevensuitwisseling tussen beleidsterreinen. Vertrekpunt hierbij is wetswijziging in 2016, na de evaluatie van de wet SUWI in 2015. Indien noodzakelijk zullen wij de wet- en regelgeving al eerder wijzigen als dit randvoorwaardelijk is voor de maatregelen van het programma «Borging veilige gegevensuitwisseling via Suwinet».

De Minister van Sociale Zaken en Werkgelegenheid, L.F. Asscher

De Staatssecretaris van Sociale Zaken en Werkgelegenheid, J. Klijnsma