Gemeenteraad aan zet bij beveiliging persoonsgegevens
Staatssecretaris Klijnsma (PvdA) grijpt wederom niet in bij gemeenten die de beveiliging van persoonsgegevens niet op orde hebben. Dat blijkt uit de beantwoording van Kamervragen. Nu de landelijke overheid het laat afweten, zijn gemeenteraden de enige overgebleven partijen waar de burger zijn hoop op kan vestigen. Om hen op weg te helpen, vinden raadsleden onderaan dit artikel suggesties voor raadsvragen.
In mei 2015 bleek uit onderzoek in opdracht van Klijnsma dat de beveiliging van Suwinet bij 83% van de gemeenten niet op orde was. Suwinet is het gemeentelijke systeem voor persoonsgegevens die nodig zijn voor onder andere uitkering, re-integratie, maatschappelijke ondersteuning en jeugdzorg. Vorige week schreef het kabinet aan de Tweede Kamer: "Op dit moment verstuurt de staatssecretaris de eerste brieven met een aankondiging tot een aanwijzing aan gemeenten die niet voldoen." Dus negen maanden na het verschijnen van de resultaten van het onderzoek krijgen de eerste gemeenten die onvoldoende scoorden een brief.
In deze brief geeft de staatssecretaris de gemeenten nogmaals "een beperkte tijd om de beveiliging op orde te brengen". Hoe lang een beperkte tijd duurt, maakt zij niet duidelijk. Als de gemeente er in die tijd niet in slaagt, "kan" Klijnsma de gemeente verplichten om een externe deskundige aan te stellen die de beveiliging van Suwinet op orde moet brengen. Maar dat kon de staatssecretaris in oktober 2015 direct al doen, toen ze met een officieel escalatieprotocol kwam. In plaats van aanpakken, schuift Klijnsma de zaak dus weer voor zich uit.
Al veertien jaar onvoldoende
De beveiliging is al veertien jaar niet op orde. Al sinds 2002 zijn de beveiligingsnormen voor Suwinet van kracht en voldoet het overgrote deel van de gemeenten daar niet aan. In 2013 constateerde de inspectie van het ministerie van Sociale Zaken en Werkgelegenheid dat 96% van de gemeenten niet aan de zeven belangrijkste normen voldeed. In 2015 werd dit onderzoek herhaald en voldeed nog steeds 83% niet (overzicht, pdf). In januari 2016 onderzocht de Autoriteit Persoonsgegevens (AP) de beveiliging bij enkele gemeenten die ook in mei 2015 waren onderzocht. Er was wel enige verbetering zichtbaar, maar nog steeds scoorden elf van de dertien gemeenten onvoldoende (overzicht, pdf). Al met al is het beeld ontmoedigend.
De norm waarop in het onderzoek van de AP (pdf) de meeste gemeenten onvoldoende scoorden, is de controle op toegangsrechten. Zo heeft bijvoorbeeld in Nunspeet ook het parkeerbeheer toegang tot uw persoonsgegevens. Een ander veelgenoemde fout is dat de "Security Officer", die voor de beveiliging verantwoordelijk is, niet rapporteert aan het hoogste management. Met andere woorden, de beveiliging van het Suwinet wordt niet voldoende serieus genomen en wordt te laag in de organisatie gelegd. Ondanks dat er al jaren herhaaldelijk op wordt gewezen en onderzocht, lukt het de gemeenten dus niet iemand in het hoger management aan te wijzen die verantwoordelijk is voor de beveiliging van onze persoonlijke (medische) gegevens.
Gemeenteraad aan zet
De landelijke overheid en de Vereniging van Nederlandse Gemeenten (VNG) doen er te weinig aan om deze misstand aan te pakken. Alleen de gemeenteraden zijn in staat het college te dwingen de beveiliging op orde te brengen. Daarom vinden raadsleden hieronder suggesties om raadsvragen te stellen.
Vragen aan het College van Burgemeester en Wethouders,
- Is het college bekend met het Normenkader Gezamenlijke elektronische Voorzieningen SUWI (GeVS) en de zelftest van de Vereniging van Nederlandse Gemeenten (VNG)?
- Heeft het college de zelftest voor onze gemeente uitgevoerd? Zo ja, is het college bereid de resultaten daarvan aan de gemeenteraad te verstrekken? Zo nee, wanneer gaat het college de zelftest uitvoeren?
- Voldoet onze gemeente aan de zeven essentiële normen voor beveiliging van het Suwinet? Zo nee, waardoor komt dat? Wanneer verwacht het college dat de gemeente aan deze normen zal voldoen?
- Indien de gemeente de beveiliging onvoldoende op orde heeft, zou een verbeterplan op zijn plaats zijn. Heeft het college een verbeterplan opgesteld? Zo nee, waarom niet? Zo ja, is het college bereid het verbeterplan naar de gemeenteraad te sturen? Is het college bereid elk kwartaal over de voortgang van het verbeterplan aan de gemeenteraad te rapporteren?
- Overwegende dat de gemeente steeds meer gevoelige persoonsgegevens van burgers in handen krijgt en het uitvoeren van een zelftest volgens de VNG maar vijf minuten duurt, vragen wij of het college bereid is de zelftest elk halfjaar uit te voeren en de resultaten daarvan aan de gemeenteraad te verstrekken?