Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 november 2013

Vrijdag 8 november jl. heb ik u geïnformeerd over het onderzoek dat de Inspectie SZW heeft uitgevoerd naar de beveiliging van Suwinet door gemeenten (Kamerstuk 26 448/32 761, nr. 505). Ik heb op 12 november jl. met u gedebatteerd over dit onderwerp waarin u mij om een brief met een nadere toelichting heeft gevraagd. Zoals ik in mijn brief van 8 november jl. reeds heb vermeld vind ik de uitkomsten van het onderzoek ernstig.

De Inspectie SZW heeft geconstateerd dat slechts 4% van de gemeenten bij het gebruik van Suwinet voldoende maatregelen heeft getroffen om de vertrouwelijkheid van uitgewisselde gegevens te waarborgen. 13% van de gemeenten voldoet aan geen van de onderzochte normen. Een duidelijk signaal is dat de Inspectie tijdens het onderzoek geconstateerd heeft dat 16% van de onderzochte gemeenten gegevens van bekende Nederlanders hebben geraadpleegd. Op vragen van de Inspectie waarom dit is gebeurd, hebben deze gemeenten geen plausibele verklaring kunnen geven.

In mijn brief van 8 november jl. heb ik de volgende maatregelen aangekondigd:

• – Gezien de ernst van de conclusies van de inspectie zal ik het College Bescherming Persoonsgegevens (CBP) informeren over de resultaten. Het CBP heeft de mogelijkheid handhavend op te treden indien gemeenten niet voldoen aan de vereisten van de Wbp.

• – Ik laat onderzoeken of een escalatieprotocol naar een tijdelijke opschorting van het leveren van gegevens aan gemeenten via Suwinet een passende maatregel kan zijn om een zorgvuldig gegevensgebruik af te dwingen. De uitkomsten van dit onderzoek zullen in het eerste kwartaal van 2014 beschikbaar zijn.

• – Met de VNG zal ik afspraken maken over de eisen die worden gesteld aan de beveiliging en bescherming van persoonsgegevens die via Suwinet worden verstrekt. Ook zal ik afspraken maken over de wijze waarop gemeenten daarover middels een jaarlijkse verantwoording transparantie gaan bieden.

• – Ik heb opdracht gegeven om dit jaar een Privacy Impact Assessment naar het Suwinet uit te voeren.

• – Ik heb opdracht gegeven om nog dit jaar een onderzoek te starten naar nieuwe technologische toepassingen voor de gegevensuitwisseling in het Suwidomein.

• – Aan de Inspectie SZW zal ik vragen om in de eerste helft van 2015 te onderzoeken of de informatiebeveiliging Suwinet bij gemeenten van voldoende niveau is.

U heeft mij in het debat gevraagd om de resultaten van het onderzoek van de inspectie openbaar te maken. De gemeenten die de inspectie heeft onderzocht en de individuele scores kunt u vinden in de Nota van Bevindingen die naar aanleiding van het onderzoek is opgesteld door de inspectie (www.inspectieszw.nl ).

Tevens heeft u gevraagd om het onderzoek van de inspectie te versnellen. Ik ben het met u eens dat gemeenten ervoor moeten zorgen dat de informatiebeveiliging Suwinet zo snel mogelijk op orde is. Ik wil gemeenten echter wel de mogelijkheid bieden om de juiste stappen te nemen en maatregelen te treffen en dit vraagt tijd. Ik verwacht echter snel vooruitgang. Eind 2014 moeten de verbeteringen zijn gerealiseerd, anders zal het escalatieprotocol in werking treden. De Informatiebeveiliging Suwinet dient mijns inziens structureel op orde te worden gebracht. De VNG heeft inmiddels diverse maatregelen in gang gezet om de gemeenten hierin te ondersteunen. Een van de maatregelen is het ontwikkelen van een zelfanalyse instrument voor gemeenten. Dit instrument is begin 2014 beschikbaar. Zoals ik in het debat heb aangegeven ga ik een tijdpad afspreken met de VNG om inzichtelijk te maken welke acties precies noodzakelijk zijn. Ik zal u hier het eerste kwartaal van 2014 over informeren.

De Taskforce Bestuur en Informatieveiligheid Dienstverlening die sinds begin 2013 operationeel is, heeft als doel bestuurders en topmanagement bij de overheid bewust te maken van het belang van informatieveiligheid.1 De Taskforce ondersteunt, stimuleert en mobiliseert de gemeenten en de VNG om informatieveiligheid in te bedden door deze op de bestuurlijke agenda van de gemeente te zetten. De Taskforce zal de bewustwording en gerichtheid van bestuurders en topmanagement van de overheid, waaronder gemeenten, op het thema informatieveiligheid tot en met 2014 versterken. De informatieveiligheid Suwinet zal hier specifiek onder de aandacht worden gebracht.

Ik zal in de verzamelbrief gemeenten aanspreken op hun verantwoordelijkheid voor informatiebeveiliging. Ook zal ik een brief aan het College van B&W sturen. Ik verwacht dat de 77 gemeenten die niet voldoen aan de 7 onderzochte normen direct maatregelen treffen. Omdat de door de inspectie aselect getrokken steekproef uit het totaal van gemeenten representatief is voor het geheel, mag dit cijfer worden doorvertaald naar het geheel van alle gemeenten.

Van de overige 328 gemeenten verwacht ik dat zij direct nagaan of voldaan wordt aan de normen en direct maatregelen treffen indien dat niet het geval is. Ik roep de gemeenteraden op het college van B&W te vragen om inzicht te bieden in de stappen die het college zet om de informatiebeveiliging op orde te brengen.

De Staatssecretaris van Sociale Zaken en Werkgelegenheid, J. Klijnsma