Gemeenten worden vanaf 1 september allemaal getoetst op minimaal 7 normen waaraan ze moeten voldoen om veilig met Suwinet te werken. De gevolgen kunnen groot zijn.
Uit een reeks van onderzoeken van de Inspectie SZW blijkt dat gemeenten hun beveiliging van de persoonsgegevens uit Suwinet niet op orde hebben. De Inspectie deed hiernaar uitvoerig onderzoek en toetste de uitvoeringspraktijk op 7 normen uit het Normenkader Suwinet dat in totaal 115 normen telt. Uit het onderzoek 2013 bleek dat slechts 4% van de gemeenten aan alle 7 normen voldeed. Naar aanleiding daarvan heeft de VNG een verbeterjaar bedongen. In dat jaar werd het programma Veilig Suwinet uitgevoerd. Uit het herhalingsonderzoek van oktober 2014 was het aantal gemeenten met 7 normen uit 7 ook nog maar 17%.
Onacceptabel
De onderzoeken van de Inspectie en de slechte scores op naleving van de veiligheidsnormen door gemeenten, hebben erin geresulteerd dat de staatssecretaris het Inspectieonderzoek vanaf september 2015 laat herhalen onder alle gemeenten. Indien een gemeente niet aan de 7 normen voldoet kan zij overgaan tot afsluiten van Suwinet.
En alsof dat nog niet voldoende is zijn de onderzoeken van de Inspectie ook voor het Cbp aanleiding om speciaal onderzoek te gaan verrichten onder gemeenten. Het Cbp heeft direct de bevoegdheid tot het opleggen van boetes (tot een max van 810.000 euro). Gemeenten moeten rekening houden met een intensieve controle door het Cbp die verder gaat dan de 7 normen waarop de Inspectie heeft getoetst.
De 7 uit het Normenkader Suwinet
Hoog tijd dus dat gemeenten hun zaakjes op orde hebben. Minimaal is dan om te voldoen aan de 7 normen waarop nu gecontroleerd wordt. Dat zijn:
- Beveiligingsplan - norm 1.3
er is een actueel informatiebeveiligingsbeleid of - plan voor Suwinet of een onderdeel gericht op Suwinet uit een actueel algemeen plan; dit heeft betrekking op de gemeente (de individuele gemeente van een samenwerkingsverband) en dit beleid of plan is goedgekeurd door het College B&W; - Uitdragen beleid - norm 1.4
dit beleid of plan wordt (bewijsbaar) uitgedragen in de organisatie. - Actualisatie beleid - norm 1.5
dit beleid of plan wordt jaarlijks (of zo vaak als nodig) geevalueerd (bewijsbaar) en zo nodig geactualiseerd; - Functiescheiding - norm 2.2
functiescheiding bij taken ten aanzien van gebruik, inrichting, beheer en beveiliging Suwinet: taken, verantwoordelijkheden en bevoegdheden moeten zijn beschreven. - Security officer - norm 2.3
o er is een functionaris security-officer die een onafhankelijke positie bekleedt en rechtsreeks rapporteert aan het hoogste management en die o.a.: de beveiliginsprocedures en maatregelen in het kader van Suwinet beheert en implementeert, die bevordert en adviseert over de beveiliging Suwinet, de naleving controleert. - Autorisatieprocedure - norm 13.1
o er is een formeel vastgestelde autorisatieprocedure waarin functies aan autorisaties en rollen worden gekoppeld. De actualiteit van de autorisaties wordt periodiek gecontroleerd. - Controle - norm 13.5
er wordt volgens een controleplan gecontroleerd op de toegang en het feitelijke gebruik van Suwinet. Dat gebeurt minimaal op basis van de aangeleverde lograpporten van het BKWI. De beoordeling is centraal belegd (hoofd afdeling) en zijn bevindingen schriftelijk vastlegt en indien nodig vervolgacties onderneemt. Dat kan zijn een nadere rapportage opvragen bij het BKWI (op persoonsniveau), het bevragen van medewerkers en evt. sanctioneren.
Dit zijn allemaal 'papieren' normen waar gemeenten aan moeten voldoen, maar daarnaast is het minstens zo belangrijk dat de hele organisatie bewust omgaat met gevoelige gegevens en een organisatiecultuur waarin wordt gehandeld met respect voor de elementaire rechten van burgers.