Gemeenteraad aan zet bij beveiliging persoonsgegevens

Staatssecretaris Klijnsma (PvdA) grijpt wederom niet in bij gemeenten die de beveiliging van persoonsgegevens niet op orde hebben. Dat blijkt uit de beantwoording van Kamervragen. Nu de landelijke overheid het laat afweten, zijn gemeenteraden de enige overgebleven partijen waar de burger zijn hoop op kan vestigen. Om hen op weg te helpen, vinden raadsleden onderaan dit artikel suggesties voor raadsvragen.

In mei 2015 bleek uit onderzoek in opdracht van Klijnsma dat de beveiliging van Suwinet bij 83% van de gemeenten niet op orde was. Suwinet is het gemeentelijke systeem voor persoonsgegevens die nodig zijn voor onder andere uitkering, re-integratie, maatschappelijke ondersteuning en jeugdzorg. Vorige week schreef het kabinet aan de Tweede Kamer: "Op dit moment verstuurt de staatssecretaris de eerste brieven met een aankondiging tot een aanwijzing aan gemeenten die niet voldoen." Dus negen maanden na het verschijnen van de resultaten van het onderzoek krijgen de eerste gemeenten die onvoldoende scoorden een brief.

In deze brief geeft de staatssecretaris de gemeenten nogmaals "een beperkte tijd om de beveiliging op orde te brengen". Hoe lang een beperkte tijd duurt, maakt zij niet duidelijk. Als de gemeente er in die tijd niet in slaagt, "kan" Klijnsma de gemeente verplichten om een externe deskundige aan te stellen die de beveiliging van Suwinet op orde moet brengen. Maar dat kon de staatssecretaris in oktober 2015 direct al doen, toen ze met een officieel escalatieprotocol kwam. In plaats van aanpakken, schuift Klijnsma de zaak dus weer voor zich uit.

Al veertien jaar onvoldoende

De beveiliging is al veertien jaar niet op orde. Al sinds 2002 zijn de beveiligingsnormen voor Suwinet van kracht en voldoet het overgrote deel van de gemeenten daar niet aan. In 2013 constateerde de inspectie van het ministerie van Sociale Zaken en Werkgelegenheid dat 96% van de gemeenten niet aan de zeven belangrijkste normen voldeed. In 2015 werd dit onderzoek herhaald en voldeed nog steeds 83% niet (overzicht, pdf). In januari 2016 onderzocht de Autoriteit Persoonsgegevens (AP) de beveiliging bij enkele gemeenten die ook in mei 2015 waren onderzocht. Er was wel enige verbetering zichtbaar, maar nog steeds scoorden elf van de dertien gemeenten onvoldoende (overzicht, pdf). Al met al is het beeld ontmoedigend.

De norm waarop in het onderzoek van de AP (pdf) de meeste gemeenten onvoldoende scoorden, is de controle op toegangsrechten. Zo heeft bijvoorbeeld in Nunspeet ook het parkeerbeheer toegang tot uw persoonsgegevens. Een ander veelgenoemde fout is dat de "Security Officer", die voor de beveiliging verantwoordelijk is, niet rapporteert aan het hoogste management. Met andere woorden, de beveiliging van het Suwinet wordt niet voldoende serieus genomen en wordt te laag in de organisatie gelegd. Ondanks dat er al jaren herhaaldelijk op wordt gewezen en onderzocht, lukt het de gemeenten dus niet iemand in het hoger management aan te wijzen die verantwoordelijk is voor de beveiliging van onze persoonlijke (medische) gegevens.

Gemeenteraad aan zet

De landelijke overheid en de Vereniging van Nederlandse Gemeenten (VNG) doen er te weinig aan om deze misstand aan te pakken. Alleen de gemeenteraden zijn in staat het college te dwingen de beveiliging op orde te brengen. Daarom vinden raadsleden hieronder suggesties om raadsvragen te stellen.

Vragen aan het College van Burgemeester en Wethouders,

  1. Is het college bekend met het Normenkader Gezamenlijke elektronische Voorzieningen SUWI (GeVS) en de zelftest van de Vereniging van Nederlandse Gemeenten (VNG)?
  2. Heeft het college de zelftest voor onze gemeente uitgevoerd? Zo ja, is het college bereid de resultaten daarvan aan de gemeenteraad te verstrekken? Zo nee, wanneer gaat het college de zelftest uitvoeren?
  3. Voldoet onze gemeente aan de zeven essentiële normen voor beveiliging van het Suwinet? Zo nee, waardoor komt dat? Wanneer verwacht het college dat de gemeente aan deze normen zal voldoen?
  4. Indien de gemeente de beveiliging onvoldoende op orde heeft, zou een verbeterplan op zijn plaats zijn. Heeft het college een verbeterplan opgesteld? Zo nee, waarom niet? Zo ja, is het college bereid het verbeterplan naar de gemeenteraad te sturen? Is het college bereid elk kwartaal over de voortgang van het verbeterplan aan de gemeenteraad te rapporteren?
  5. Overwegende dat de gemeente steeds meer gevoelige persoonsgegevens van burgers in handen krijgt en het uitvoeren van een zelftest volgens de VNG maar vijf minuten duurt, vragen wij of het college bereid is de zelftest elk halfjaar uit te voeren en de resultaten daarvan aan de gemeenteraad te verstrekken?

 

Gemeenten hebben beveiliging persoonsgegevens niet op orde

Van alle gemeenten heeft 83 procent de beveiliging van persoonsgegevens niet op orde. Dat blijkt uit onderzoek van de inspectie sociale zaken en werkgelegenheid (inspectie SZW).
Lees verder >>>

Privacybescherming jeugdzorg in handen van raadsleden

Deze zomer zijn de eerste gegevens van mensen die jeugdzorg of maatschappelijke ondersteuning ontvangen, naar de gemeenten gestuurd. Toch zijn gemeenten er nauwelijks klaar voor.
Lees verder >>>

reacties

1
DeWitte
zondag, 13 maart 2016   10:49

Op 09-03-2016 een brief gehad van de gemeente Rotterdam. Een gemeente medewerker had 'per abuis' onze persoonsgegevens online gezet. Inclusief BSN. Ook burgers in Oegstgeest zijn het haasje.

https://www.security.nl/posting/463854/Privégegevens inwoners Oegstgeest en Rotterdam online

In Oegstgeest had iemand de gemeente gegevens even opgeslagen op zijn laptopje.

In de brief hebben we ook een dikke middelvinger gekregen. 'We hebben het gemeld' En burgers zoek de rest maar zelf uit.

HELP; heeft iemand raad, het hele systeem is zo lek als een mandje!

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 
verzend reactie

 

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Laatste reacties:

Slimme meter weigeren

Martee: Vattenval zit nu erg te pushen voor de installatie van een slimme meter (WarmteLink)....
tegenstander straling: Ik vind mijn privacy zeer belangrijk en op al die extra straling zit ik ook niet echt te wachten....
Anoniem: Installateurs en vastnetbeheerders liegen, misleiden en bedreigen er op los, maar laat je niet intimideren....

Privacy Stemwijzer Eerste Kamer gelanceerd

A. Noniem: De Privacy stemwijzer geeft op mijn Brave browser het volgende terug: Your connection is not private Attackers might be trying to steal your information from www....
Joop: Jaaaa, ik ging het ook meteen doen en vond het zeker geweldig!
kees: onmiddellijk doen!!! u zult verstelt staan, ik tenminste wel....

UWV geeft anderhalf miljoen werkgevers onnodig toegang tot register arbeidsbeperkten

anoniem: Ik zit in het doelgroepregister en baal daar ontzettend van! heb altijd goed gewerkt voor ik er in kwam tot ik ziek werd en een paar jaar in therapie moest....

Privacy-aanbevelingen voor verkiezingsprogrammas Tweede Kamerverkiezingen 2017

Guido: Leuke tekst, maar in praktijk werkt dit niet. Autoriteit persoonsgegevens moet vanwege geld, mankracht en middelen te kort kiezen welke zaak ze wel of niet nemen, dus die doen niets, en negeren ruim 15 jaar schendingen....

Vragen over kentenscannen door belastingdienst

annoniempje: Idd Caroline het gaat alle perken te buiten! Een stelletje bloedhonden zijn het! Nog meer mensen in de problemen en schuldenproblematiek in ons (A) Sociale Nederland!

Honderd gegevens per leerling voor de overheid

Anoniem: Ik mis praktische informatie over wat we kunnen doen....

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.119 seconden