Privacy-overtredingen bij Suwinet waarschuwing voor medisch pull-dataverkeer

shield-511714_640

Het afgelopen half jaar is het niet correcte gebruik van het Suwinet herhaaldelijk in het nieuws geweest. Het programma Argos berichtte er uitgebreid over, in veel kranten(o.a. NRC-Handelsblad) werd er aandacht aan besteed. Eerder had het College Bescherming Persoonsgegevens(CBP) eind 2014 gerapporteerd, dat de gemeente ’s-Hertogenbosch de zaken t.a.v. het Suwinet-gebruik totaal niet op orde had. In juni 2015 kondigde het CBP aan een lopend onderzoek naar het Suwinet-gebruik uit te breiden met acht gemeenten, nadat de Inspectie Sociale Zaken en Werkgelegenheid gemeld had dat het met het hanteren van de veiligheidsnormen slecht gesteld was. In de loop van anderhalf jaar was het aantal gemeenten dat aan de normen voldeed slechts gestegen van 4 naar 17%, een onbegrijpelijk laag percentage.

Suwinet

De grondvesten voor dit netwerk zijn gelegd in 2002 met als doel (persoons)gegevens van burgers tussen diverse overheidsorganisaties uit te wisselen in het domein Werk en Inkomen op basis van de Wet structuur uitvoeringsorganisatie werk en inkomen(SUWI). Het is een besloten netwerk dat ondersteund, beheerd en verder ontwikkeld wordt door een onderdeel van het UWV (Uitvoerings-instituut WerknemersVerzekeringen). Via diverse applicaties bestaat toegang tot (persoons)gegevens van burgers, waaronder financiële data. De bronhouders van de gegevens zijn onder andere de Gemeentelijke Sociale Diensten, het UWV en de Sociale VerzekeringsBank, maar ook de belastingdienst en de rijksdienst voor het wegverkeer. Naast deze partijen hebben ook de Immigratie- en NaturalisatieDienst, de Inspectie SZW, gemeentelijke belastingdeurwaarders, gemeenten in het kader van de meld- en coördinatiepunten voortijdig schoolverlaters en de Stichting Netwerk Gerechtsdeurwaarders toegang tot het netwerk. Er zijn veel protocollen en richtlijnen voor de toegang gemaakt, maar daar blijkt een meerderheid van de gemeenten zich niet aan te houden.

Inhoud

Welke soorten gegevens zijn zo al in te zien? Dat blijkt ontstellend veel te zijn: verblijfsplaats, gezagsverhouding op werk, arbeidsinformatie, inkomsten-verhoudingen, uitkeringsaanvragen, resultaat van opleidingen, loon, voertuigregistratie(bron: Rijksdienst voor het wegverkeer), gegevens belastingdienst, studiefinanciering, rechtstreeks betaalde alimentatie, onbelaste reiskosten, aanvragen re-integratie-trajecten, vorderingen, arbeidsgeschiktheid, medebewoners op het huidige adres, huwelijk/partnerschap en relaties.(bron: NRC dd 13-08-2015).

Kortom het hele sociale en financiële doopceel van iedere Nederlander. Het is als het ware de pendant van de medische domein met medische data van burgers die bij zorgaanbieders opgeslagen zijn. Men zou veronderstellen dat de partijen die toegang hebben tot Suwinet dan ook zorgvuldig omgaan met die data in het kader van de privacy, maar niets blijkt minder waar te zijn. Ondanks alle mooie woorden in protocollen en voorschriften wordt er in de praktijk de hand mee gelicht. Het is een netwerk geworden van brondossierhouders met zeer veel personen/instanties die toegang hebben tot die brondossiers, ook al zeggen de protocollen het tegenovergestelde.

Wat gaat er mis?

Gemeentelijke diensten blijken niet alleen gegevens op te kunnen vragen van onder hun aandachtsgebied vallende burgers, maar van alle burgers. Niet-gemeentelijke instanties die door de gemeente ingehuurd zijn, zoals private incassobureaus blijken niet correct geautoriseerd, toch toegang te hebben tot het netwerk. Inzage van gegevens beperkt zich niet tot debiteuren die aangemaand moeten worden, maar kan zonder beperking ook de data van alle burgers omvatten. De republiek Ierland bleek niet alleen toegang te hebben tot data van Ieren die woonachtig waren in ’s-Hertogenbosch, maar tot die van alle mensen die woonachtig zijn in Nederland. Bovendien bleek de aanvankelijke permissie niet op tijd verlengd te zijn. Het onderzoeksprogramma Argos, van Vara, VPRO en Human, stelt heel terecht dat uitbesteden en toegang tot Suwinet niet samengaan.

Tegenhanger

Bij vergelijking met het medisch dataverkeer, waarvoor het Landelijk SchakelPunt(LSP) als allesbeheersend systeem gepusht wordt, valt op dat er daar ook sprake is van een fors aantal brondossierhouders met een zeer groot aantal personen die deze gegevens kunnen opvragen. Het gaat net als bij het Suwinet om pull-dataverkeer. De toegang is wel beveiligd met de UZI-pas met pincode, maar dat is geen garantie voor inzage door onbevoegden/on-geautoriseerden op de werkplek. In 2011 werd een onderzoek gepubliceerd bij apothekers, waaruit bleek dat zeer slordig omgegaan werd met de UZI-pas(niet uitloggen bij verlaten werkplek, elkaars inlog-gebruiken etc.). Onbevoegd toegang krijgen tot het systeem is in het medische data-netwerk van het LSP evengoed mogelijk als bij het Suwinet. Doordat zowel het Suwinet als het LSP een bijzonder groot aantal personen met een toegangsautorisatie kennen, is misbruik bij beide netwerken zeer wel mogelijk. In ziekenhuizen wordt de beveiligde toegang tot computerwerkplekken vaak door werknemers als lastig ervaren. Inlog op elkaars toegangspas, noteren van wachtwoorden op of bij het beeldscherm komt helaas vaak voor. Onbevoegde toegang tot het LSP-systeem is daardoor mogelijk.

Misbruik

Bij Suwinet is meermalen gerapporteerd dat ambtenaren zich meermalen toegang verschaften tot gegevens van Bekende Nederlanders(BN-ers) zonder ambtelijke noodzaak. Hoewel duidelijke protocollen over bestaan over wat wel of niet mag, blijken ambtenaren ongewenste menselijke zwakheden te bezitten. Van een ambtenaar in Leiden werd dit via de logging van de inzagen opgespoord. Welke straf deze ambtenaar kreeg bleef geheim. Bij misbruik van de toegang tot het LSP zijn hoge geldboetes vastgelegd. Controle op onterechte inzage is evenals bij het LSP-gebruik pas achteraf mogelijk. Evenals bij het LSP-gebruik kan de burger bij het Suwinet opvragen of er gegevens over het netwerk zijn verzonden en wie met wie communiceerde.

Toegang

Hoewel er nog geen berichten zijn gepubliceerd over onterechte toegang tot patiëntgegeven via het LSP is het gewoon een kwestie van wachten tot zulks plaats vindt. In wezen vindt er op huisartsenposten al onterechte toegang plaats, omdat bij iedere patiënt die op de post komt en die in de LSP-index voorkomt de gegevens bij de brondossiers opgevraagd worden nog voor de huisarts de patiënt ziet. Louter het feit dat de post bezocht wordt is reden om de data op te vragen, niet de vraag van de dienstdoende huisarts om de gegevens te mogen inzien. Als reden wordt opgegeven dat zo het consult op de post niet vertraagd wordt door LSP-bevraging, maar het klopt niet dat in een aantal gevallen onnodig gegevens opgevraagd worden.

Het grote probleem met zowel Suwinet als LSP is de massale toegangsmogelijkheid van de brondossiers, waarbij gemakzucht en menselijke zwakheden maken dat gegevens onterecht kunnen worden ingezien. Hoewel er veel ruchtbaarheid gegeven is aan de Suwinet-problemen is het onbegrijpelijk dat er niet veel meer burgerprotest is tegen een overheid die de privacy van de eigen burgers ernstig schendt in weerwil van fraai papierwerk.

De hier gemaakte fouten moeten ons extra alert maken ten aanzien van problemen bij het medische pull-dataverkeer.

W.J. Jongejan

Voor reacties: zie sidebar op de volgende pagina