26 448 Structuur van de uitvoering werk en inkomen (SUWI)

32 761 Verwerking en bescherming persoonsgegevens

Nr. 540 BRIEF VAN DE STAATSSECRETARIS VAN SOCIALE ZAKEN EN WERKGELEGENHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 oktober 2015

Over de privacy van burgers moet goed worden gewaakt. Zeker door overheden die toegang hebben tot gevoelige informatie. Daarom vinden VNG, UWV, SVB en ik het van groot belang dat deze partijen zuiver omgaan met de informatie van burgers die zij tot hun beschikking hebben. Wat betreft het gebruik van gegevens via SUWInet moet dat verbeterd worden. Om partijen er toe te zetten hier goed mee om te gaan, is een escalatieprotocol opgesteld. In het algemeen overleg van 24 juni 2015 (Kamerstuk 30 545, nr. 187) en in mijn brief aan uw Kamer van 30 juni 2015 (Kamerstuk 26 448, nr. 537) heb ik toegezegd u dit protocol toe te zenden. Dat doe ik hierbij. Ook informeer ik u zoals afgesproken over de doorlooptijd van het onderzoek van de Inspectie SZW en de tijdpaden van de stappen in het protocol. De Inspectie toetst vooral op zeven normen die het meest prangend zijn, zoals een goede controle op en verantwoording van het gebruik van persoonsgegevens die via SUWInet worden ontsloten. Met deze brief geef ik tevens antwoord op de door D66 ingediende motie over SUWInet1. Het escalatieprotocol «afsluiten SUWInet» is als bijlage bij deze brief gevoegd2 en zal binnenkort aan alle gemeenten worden verzonden.

In het algemeen overleg met de Tweede Kamer op 24 juni jl. is veel aandacht besteed aan de beveiliging van SUWInet. Mede in reactie op het aanvalsplan beveiliging SUWInet van D66 heb ik het volgende aangegeven3:

  • Gemeenten afsluiten van SUWInet die hun zaken niet op orde hebben.

    Het onderzoek van de Inspectie SZW zal uitwijzen in hoeverre iedere gemeente aan 7 essentiële beveiligingsnormen voldoet. Een gemeenten die nalaat om de beveiliging op orde te brengen, zal na een aantal stappen, als ultimum remedium, worden afgesloten van het gebruik van SUWInet.

  • Aanpassen systeem SUWInet zodat medewerkers alleen toegang hebben tot gegevens van eigen cliënten en conform de motie Ulenbelt-Van Weyenberg niet breder dan op burgerservicenummer kunnen zoeken.

    In 2015 wordt de toegang van medewerkers tot de gegevens van personen die cliënt zijn van de betreffende organisatie beperkt. Om het aantal gegevens dat een medewerker van een persoon kan raadplegen te beperken, wordt in 2015 een aantal aanvullende inkijk-pagina’s ontwikkeld. In 2016 volgt het beperken van de toegang van medewerkers tot de gegevens van cliënten die medewerkers zelf behandelen.

  • Meer bekendheid geven aan de mogelijkheid in bepaalde gevallen gegevens binnen SUWInet af te schermen, in het bijzonder adressen van personen in een blijf-van-mijn-lijf huis.

    Ik vind het van groot belang dat de gegevens van personen die verblijven in een blijf-van-mijn-lijf-huis geheim blijven. Gemeenten moeten speciale aandacht besteden aan het beschermen van gegevens van kwetsbare groepen. In een recent overleg met de Federatie Opvang, de VNG en het UWV is afgesproken om uit te gaan van een briefadres voor vrouwen die bedreigd worden. UWV, VNG en de Federatie Opvang zijn momenteel bezig om deze afspraak uit te werken. Zodra deze gereed is zal ik uw Kamer informeren.

Op verzoek van de Tweede Kamer is de Inspectie SZW inmiddels bij alle gemeenten met een onderzoek naar de beveiliging van SUWInet gestart. De Inspectie SZW gaat in dit onderzoek uit van zeven essentiële normen voor het waarborgen van de vertrouwelijkheid, opgenomen in het Normenkader Gezamenlijke elektronische Voorzieningen SUWI (GeVS)4. Indien uit het onderzoek volgt dat de gemeente niet voldoet aan de 7 essentiële normen, dan kan de gemeente worden afgesloten van het gebruik van SUWInet. In het escalatieprotocol SUWInet, zie bijlage 1, zijn de stappen beschreven die uiteindelijk kunnen leiden tot het afsluiten van het gebruik van SUWInet. Om afsluiten te voorkomen zal een jaar nadat een gemeente een aankondiging van een aanwijzing heeft gehad, de beveiliging van SUWInet op orde moeten zijn.

De motie Nijkerken-De Haan5 vraagt om te onderzoeken of er een financiële sanctie kan worden ingevoerd om gemeenten te straffen die de beveiliging van SUWInet niet op orde hebben. De basis voor de aanwijzing om de beveiliging van SUWInet op orde te brengen ligt in artikel 9 wet SUWI. Indien een gemeente een aanwijzing ontvangt om een externe deskundige in te schakelen, zullen de kosten geheel voor rekening van de gemeente zijn. Deze extra kosten zullen gemeenten voelen als een sanctie. Artikel 9 SUWI geeft verder geen mogelijkheid tot het opschorten van betalingen of korten op het budget of het opleggen van een sanctie. De Wet revitalisering generiek toezicht gaat ervan uit dat de desbetreffende volksvertegenwoordiging de wettelijke medebewindstaken van haar eigen bestuur zoveel als mogelijk zelf controleert. In het geval van SUWInet dient de gemeenteraad het college van burgemeester en wethouders te controleren aan de hand van de jaarlijks verplichte verantwoording over het gebruik van SUWInet. Het College Bescherming Persoonsgegevens, zijnde de toezichthouder op het Wet Bescherming Persoonsgegevens (Wbp), kan wel een last onder dwangsom opleggen.

In de motie van Weyenberg / Voortman6 wordt gevraagd om te onderzoeken welke mogelijke andere bronnen er zijn waaruit iemands adres kan worden opgemaakt, in bijzonder de polisadministratie van UWV, en met een integrale oplossing te komen. In het najaar zal ik uw Kamer informeren over de voortgang van dit onderzoek.

Het escalatieprotocol is tot stand gekomen in samenwerking met VNG, SVB en UWV. Ik informeer de colleges van burgemeester en wethouders en de gemeenteraden over het escalatieprotocol «afsluiten SUWInet». De bescherming van de persoonsgegevens is een grondrecht en het is niet acceptabel dat de overheid hierin tekort schiet. Dit betekent dat gemeenten, ondersteund door de VNG, met hoge urgentie door moeten pakken en de beveiliging van SUWInet op orde moeten brengen.

De Staatssecretaris van Sociale Zaken en Werkgelegenheid, J. Klijnsma

X Noot
1

Kamerstuk 30 545, nr. 164 gewijzigde motie Van Weijenberg over

gemeenten die de informatiebeveiliging van SUWInet niet op orde hebben.

X Noot
2

Raadpleegbaar via www.tweedekamer.nl

X Noot
3

Kamerstuk 26 448, nr. 537.

X Noot
4

Het Normenkader GeVS maakt deel uit van de Verantwoordingsrichtlijn GeVS. Het normenkader bevat in totaal 115 normen.

X Noot
5

Kamerstuk 30 545, nr. 170.

X Noot
6

Kamerstuk 30 545, nr. 165 Motie van Weyenberg/Voortman

Naar boven