Autoriteit Persoonsgegevens schetst te rooskleurig beeld veilig gebruik Suwinet
Op 21 januari 2016 publiceerde de Autoriteit Persoonsgegevens(AP), voorheen het College Bescherming Persoonsgegevens(CBP), een overzicht over hoe het gesteld is met de navolging door gemeenten van de richtlijnen voor het gebruik van Suwinet. De AP stelt bij monde van haar vice-voorzitter Wilbert Tomesen dat de situatie verbeterd is en dat een aantal gemeenten voldoet aan de norm, maar ook dat er nog steeds gemeenten zijn die dat niveau niet bereikt hebben. Hij wijst wel op de gevaren van het niet goed op orde hebben van de zaken vanwege de mogelijke inbreuken op de privacy. Toch blijft bij lezing van de stukken de indruk hangen dat alles nog veel te rooskleurig wordt voorgesteld..
Suwinet
Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. (Woorden AP). Door de koppeling van een aantal grote bron-gegevenshouders is het van eminent belang dat de toegang tot de gekoppelde systemen goed geregeld, uitgevoerd en gehandhaafd wordt. Op zich is Suwinet al door de schaalgrootte een discutabel systeem vanwege de implicaties voor de privacy. Als ook de toegang niet goed geregeld blijkt te zijn en de handhaving van de regels dan bestaat er een nog groter maatschappelijk probleem.
Omvang
Waar de AP spreekt over het onderzoek bij de gemeenten gaat het slechts om een steekproef van slechts 13, variërend van klein tot groot, van alle Nederlandse gemeenten. De AP, onderbemand als ze al tijden is, zou ook geen grotere steekproef aankunnen. Van deze 13 gemeenten waren er slechts twee die alle zaken administratief volledig op orde hadden. Het waren niet geheel toevallig beide grote gemeenten die ongetwijfeld een eigen IT-afdeling en eigen IT-management in huis hebben. Dat is iets wat bij de kleinere gemeenten vaak stiefmoederlijk bedeeld is.
Veel mis
In het overzicht van de conclusies van het onderzoek bij de dertiengemeenten blijkt vooral dat het gaat om het niet hebben van een goedgekeurd beveiligingsplan en het niet goed controleren van de toegangsrechten tot Suwinet, Daarbij is dan ook sprake van het ontbreken van een correcte autorisatie. Het zijn allemaal overtredingen van artikel 13 van de Wet bescherming persoonsgegevens(Wbp). In één gemeente, Nunspeet, was sprake van een medewerker die toegang had tot Suwinet ten behoeve van de naleving van de Algemenen Plaatselijke Verordening(APV), parkeerbeheer en het bevolkingsonderzoek. Er is volgens de AP totaal geen wettelijke grondslag voor raadpleging van persoonsgegevens voor het toezicht op die zaken. Daardoor is er sprake van het overtreden van artikel 8 van de Wbg. Wat hier duidelijk wordt hoe makkelijk er sprake is van illegale “function-creep”. Vanwege de beschikbaarheid van een zoeksysteem wordt er gewoon gebruik van gemaakt, ook al is het doel van dit systeem anders. Het is schokkend te constateren dat lagere overheden in deze steekproef vrij massaal de wet overtreden.
Tucht
Bij dit alles moet men bedenken dat zonder de controles van de AP de onderhavige gegevens niet boven water zouden zijn gekomen. Na bekendmaking van de resultaten van het onderzoek aan de gemeenten en voor algemene publicatie mochten de gemeenten nog een zienswijze inleveren om te beargumenteren dat de AP mogelijk stukken niet goed begrepen had en extra materiaal aan te dragen. Daarnaast maakten meerdere gemeenten in de zienswijze kenbaar dat ze de boodschap van de AP begrepen hadden en hun procedures inmiddels aangepast hadden. Het onderzoek had duidelijk een corrigerend effect.
Triest
Gezien de omvang van de steekproef en het totale aantal gemeenten in Nederland(390 per 01-01-2016) is het dus duidelijk slecht gesteld met de navolging van het beschikbare normenkader voor het gebruik van Suwinet door de gemeenten. Gemeenten blijken in groten getale regelgeving betreffende privacy-gevoelige informatie niet op te volgen of de gebruiksgrenzen op te rekken. In wezen is er bij het gebruik van Suwinet sprake van een privacy-gevoeligheid die in de buurt komt van de medische datacommunicatie. Daar is de autorisatie en authenticatie geregeld door UZI-passen, kaartlezers en pin-codes terwijl bij de gemeenten sprake is van een blijkbaar slecht gestructureerde toegang tot Suwinet.
Het verhaal dat de Autoriteit Persoonsgegevens thans brengt, laat de negatieve punten wel zien. Er is een duidelijke PR-saus over gegoten door de nadruk te leggen op het verbeteren van de situatie en het voldoen van enkele gemeenten aan de normen. Het wordt eigenlijk gebracht als een soort nul-meting die voor verbetering vatbaar is. Helaas gaat het dan wel om slechts twee van de onderzochte dertien gemeenten en is het Suwinet al enige tijd in gebruik.
Het vertrouwen in hen die over ons gesteld zijn neemt door dit alles niet toe, terwijl de lokale overheid wel het goede voorbeeld zou moeten geven bij het navolgen van de wetgeving van de centrale overheid.
W.J. Jongejan.
Recente reacties