Beveiliging persoonsgegevens bij gemeenten niet op orde

Van alle gemeenten heeft 83 procent de beveiliging van persoonsgegevens niet op orde. Dat blijkt uit onderzoek van de inspectie sociale zaken en werkgelegenheid (inspectie SZW). Het College Bescherming Persoonsgegevens kondigt een onderzoek aan. Door de decentralisatie krijgen gemeenten steeds meer en steeds gevoeligere gegevens van mensen in handen.

Het onderzoek door de inspectie is een logisch vervolg op de conclusies van het vorige onderzoek uit 2013. Toen bleek dat slechts 4 procent van de gemeenten aan de normen voor gegevensbeveiliging voldeed. Het onderzochte systeem Suwinet kent al sinds 2002 beveiligingsnormen. In 2015 blijkt dat 17 procent van de gemeenten daar nu aan voldoet. De Vereniging van Nederlandse Gemeenten (VNG) laat in een reactie weten "De uitkomsten zijn verbeterd ten opzichte van het onderzoek in 2013, maar de 17 procent van de gemeenten die nu voldoet leidt nog niet tot volle tevredenheid".

Naar aanleiding van het onderzoek in 2013 stuurde verantwoordelijk staatssecretaris Klijnsma (PvdA) in juli 2014 een 'dreigbrief' naar de gemeenten om de boel op orde te brengen. Als stok achter de deur dreigde ze gemeenten af te sluiten van het systeem. "Mocht blijken dat dat de beveiliging van Suwinet wederom niet op orde is, dan zal ik het afsluitprotocol moeten benutten".

Nu in 2015 stuurt de staatssecretaris een vergelijkbare brief. Ze zegt daarin aan een protocol te werken waarmee gemeenten die niet aan de normen voldoen, kunnen worden afgesloten. Of er gemeenten daadwerkelijk moeten worden afgesloten gaat ze later beoordelen. Klijnsma vindt daarnaast dat gemeenteraden hun controlerende rol moeten oppakken en de lokale bestuurders moeten aanspreken. De staatssecretaris zegt het onderzoek volgend jaar te herhalen.

Het College Bescherming Persoonsgegevens (CBP) heeft in reactie op de resultaten van het onderzoek aangekondigd zelf een onderzoek te starten. Het CBP kan dwangsommen opleggen om de gemeenten te dwingen de beveiliging op orde te brengen.

Meer gegevens bij gemeente

De gemeenten registreren voor het uitvoeren van de bijstand van oudsher veel persoonsgegevens, waaronder gegevens over inkomen en persoonlijke situatie. Maar met de decentralisatie krijgen gemeenten veel meer gegevens van burgers in hun systemen. Zo worden ook gegevens over mensen die maatschappelijke ondersteuning nodig hebben geregistreerd. Het gaat dan om (medische) gegevens over de persoonlijke situatie, het huishouden en gezinsleden. Ook voor de jeugdzorg worden onder andere medische gegevens bij de gemeente vastgelegd.

Suwinet is het systeem dat sinds 2002 bij met name de gemeentelijke sociale diensten in gebruik is om onder andere gegevens over mensen in de bijstand te registreren. Ook andere overheidsdiensten maken gebruik van dit systeem, waaronder het UWV en de SVB. Via Suwinet kunnen overheidsdiensten bij elkaar gegevens inzien die zij over mensen hebben vastgelegd.
 

Update: Klijnsma heeft op 1 oktober 2015 het "escalatieprotocol afsluiten SUWInet" gepubliceerd voor gemeenten die niet aan de gestelde eisen voldoen.