De beveiliging van gevoelige persoonlijke gegevens bij het UWV en de gemeente ’s-Hertogenbosch is zo lek als een mandje. Daardoor kan informatie over arbeidsverleden, opleiding, alimentatie, uitkering of boetes van iedereen die met de uitkeringsinstantie en de Brabantse gemeente in contact komt, op straat komen te liggen.
Dat blijkt uit een onderzoek van het College bescherming persoonsgegevens (CBP), dat vandaag openbaar is gemaakt. „Zowel ’s-Hertogenbosch als het UWV heeft onvoldoende maatregelen getroffen om te zorgen voor een adequate beveiliging van de persoonsgegevens die ze via Suwinet met elkaar uitwisselen.
Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Het is van groot belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen.
Zowel bij het UWV als bij de gemeente ’s-Hertogenbosch zijn de maatregelen niet toereikend om deze bescherming te kunnen bieden. Veel van de vereiste plannen of procedures zijn niet up to date, niet compleet of niet afgemaakt. Zowel het UWV, als beheerder van Suwinet, als ’s-Hertogenbosch als afnemer van Suwinet hebben geen beveiligingsplan specifiek gericht op Suwinet. Ook worden beveiligingsincidenten niet centraal geanalyseerd en afgewikkeld. Bij het UWV wordt niet goed gelogd wie welke gegevens raadpleegt. Het is juist van belang en wettelijk verplicht om alle raadplegingen bij te houden, omdat daarmee onbevoegde toegang kan worden opgespoord en daartegen stappen kunnen worden ondernomen.
Niet alle medewerkers binnen een gemeente mogen persoonsgegevens via Suwinet raadplegen. Een gemeente moet ervoor zorgen dat alleen bevoegde medewerkers bij de persoonsgegevens van Suwinet kunnen. Bij de gemeente ‘s-Hertogenbosch bleken ook voor een andere functie toegangsrechten te kunnen worden gecreëerd. Hiermee heeft deze gemeente onvoldoende maatregelen getroffen om onbevoegde toegang tot Suwinet tegen te gaan.
„Wij zijn geschrokken dat ’s-Hertogenbosch een hele trits vereiste maatregelen en procedures niet goed geregeld bleek te hebben. Ik vrees dat er ook bij andere gemeenten tekortkomingen in de beveiliging van Suwinet zijn”, zegt CBP-voorzitter Jacob Kohnstamm.
Alles bij de bron; Telegraaf & CBP