Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 juni 2016

Met deze brief bied ik u het rapport «SUWInet 2015 Vervolgonderzoek «veilig omgaan met elkaars gegevens» van de Inspectie SZW aan1. In het rapport gaat de Inspectie SZW in op de uitkomsten van het vervolgonderzoek naar de beveiliging van SUWInet bij alle gemeenten in de periode van 1 september 2014 tot en met 1 september 2015. In het AO SUWI van 16 maart 2016 (Kamerstuk 26 448, nr. 565) en in mijn brief van 11 maart 20162 heb ik uw Kamer geïnformeerd over de eerste resultaten van het onderzoek van de Inspectie SZW.

De 198 gemeenten die niet aan de 7 essentiële normen voldoen, hebben in maart 2016 een vooraankondiging tot een aanwijzing van mij ontvangen. Binnen een daartoe gestelde termijn, die tussen de 6 en 12 weken ligt, dienen deze gemeenten de beveiliging van SUWInet op orde te brengen. Het college van burgemeester en wethouders maakt dit kenbaar door mij een brief te sturen waarin zij verklaart te voldoen aan de 7 essentiële normen. Inmiddels heb ik van 162 gemeenten (zie bijlage 1)3 een verklaring ontvangen, waarin staat dat wordt voldaan aan alle 7 essentiële normen. Dit aantal loopt nog steeds op.

In september 2016 zal de Inspectie SZW bij een representatief aantal gemeenten controleren of zij inderdaad voldoen aan de 7 essentiële normen. De gemeente die niet voldoet aan de 7 essentiële normen zal in de volgende fase van het escalatieprotocol terecht komen: de aanwijzing tot het op orde brengen van de beveiliging van SUWInet. In deze fase kan ik, afhankelijk van de individuele omstandigheden, gemeenten bijvoorbeeld verplichten om een externe deskundige aan te stellen om, op kosten van de gemeente, de beveiliging op orde te brengen

In het AO SUWI van 16 maart 2016 heeft uw Kamer aandacht gevraagd voor de gevolgen die een afsluiting van SUWInet kan hebben voor burgers. Gezien het aantal verklaringen dat ik heb ontvangen, verwacht ik dat geen enkel college van burgemeester en wethouders het zover zal laten komen.

Programma «Borging veilige gegevensuitwisseling via SUWInet»

In mijn brief van 23 december 2015 heb ik u geïnformeerd over de voortgang van het programma. De maatregelen van het programma zijn ondersteunend en aanvullend aan de maatregelen die gemeenten nemen om aan de hiervoor genoemde 7 beveiligingsnormen te voldoen. Een aantal maatregelen richt zich op het limiteren van de toegang van medewerkers tot gegevens die strikt noodzakelijk zijn voor het uitvoeren van de aan medewerkers toebedeelde taken. Inmiddels heb ik opdracht gegeven voor de uitvoering van een Privacy Impact Assesment (PIA) naar de zoekmogelijkheden en de toegang tot andere personen dan de personen die medewerkers zelf behandelen. Betreffende de beperking van de zoeksleutels geldt het uitgangspunt dat het burgerservicenummer wordt gehanteerd. Betreffende de toegang tot personen geldt het uitgangspunt dat medewerkers alleen toegang krijgen tot de gegevens van personen die door hen zelf worden behandeld. Op basis van wettelijke bepalingen zijn er uitzonderingen die noodzaken dat medewerkers toegang dienen te krijgen tot de gegevens van bijvoorbeeld huisgenoten en (ex)partners. In de PIA wordt onderzocht op welke wijze UWV, SVB en gemeenten het toegang geven tot persoonsgegevens kunnen vormgeven zodat voldaan wordt aan de eisen die de Wet bescherming persoonsgegevens en de sociale zekerheidswetten hieraan stellen. Over de uitkomsten zal ik u dit najaar informeren. Een aantal gemeenten heeft inmiddels een pilot uitgevoerd met het beperken van de toegang tot de gegevens van personen die door de gemeente worden behandeld. Het inregelen en gebruiken van dit filtermechanisme voor gemeenten zal geïmplementeerd worden in 2016 en 2017.

Dit jaar starten SVB, UWV en VNG een bewustwordingscampagne «veilig SUWInet». In deze campagne zal specifiek aandacht worden besteed aan het omgaan met gevoelige gegevens bij het personeel van UWV, SVB en gemeenten.

De Staatssecretaris van Sociale Zaken en Werkgelegenheid, J. Klijnsma