Veilig gebruik Suwinet AVG en het gebruik van Suwinet
Een goede bescherming van persoonsgegevens is erg belangrijk, niet alleen landelijk maar ook Europees. De Europese regels rondom de bescherming van persoonsgegevens staan in de AVG, de Algemene Verordening Gegevensbescherming.
De AVG zorgt ervoor dat de privacy van burgers gewaarborgd is, want alle overheidsorganisaties dienen zich te houden aan de AVG. In de AVG wordt onder andere aangegeven:
- Hoe er moet worden vastgesteld wie er verantwoordelijk is voor het verwerken van gegevens.
- Dat er alleen gegevens mogen worden geleverd waarvoor een grondslag (wettelijke reden) is
- Dat er niet teveel gegevens worden geleverd.
De afnemers hebben een (wettelijke) reden om de gegevens van de betreffende bron te mogen ontvangen, en de bronhouder (organisatie die beschikt over gegevens) is bevoegd om de gegevens te leveren aan de afnemer.
BKWI
Doordat deze gegevenslevering tussen bronhouder en afnemer via Suwinet gaat is dit geregeld. Suwinet wordt beheerd door BKWI. BKWI levert de gegevens direct van de bron door aan de afnemer via Suwinet-Inkijk en/of Suwinet-Inlezen. BKWI heeft zelf geen data en is dus geen bronhouder.
Verantwoordelijkheden
- De afnemer is verantwoordelijk voor de vraag die aan de bronhouder wordt gesteld en voor het juiste gebruik van de gegevens die via Suwinet worden ontvangen.
- De bronhouder is verantwoordelijk voor het beantwoorden van de vraag en dus het leveren van de gegevens.
BKWI zorgt in opdracht van de ketenpartijen voor het loggen en monitoren van de gegevensbevragingen.
Doorlevering van gegevens
Als een afnemer gegevens doorlevert aan een andere organisatie, bijvoorbeeld omdat gemeentelijke taken van gemeente A uitgevoerd worden door gemeente B, is het afhankelijk van de constructie welke gemeente verantwoordelijk is voor de verwerking van de gegevens.
- Bij een delegatie van de taken is de partij aan wie de taak gedelegeerd is, juridisch verantwoordelijk voor de gedelegeerde taken.
- Bij een mandaatconstructie blijft de gemeente die een andere gemeente heeft gemandateerd zelf verantwoordelijk.
Doelbinding & proportionaliteit
De gegevens die BKWI beschikbaar stelt, zijn tussen de bronhouders en afnemers afgestemd op doelbinding en proportionaliteit; er worden dus nooit te veel gegevens geleverd.
Via Suwinet-Inlezen wordt de maximaal afgesproken gegevensset geleverd die voor de wettelijke taak noodzakelijk is.
De afnemer kan zelf bepalen welke gegevens uit deze maximale gegevensset gebruikt gaan worden voor de uitvoering van zijn wettelijke taak.
Via Suwinet-Inkijk kan de afnemer zelf de gegevensset nog verder op maat maken door taken te definiëren voor specifieke functionarissen.
Als er geen wettelijke grondslag is voor een gegevensuitwisseling dan wordt deze niet ondersteund door een service of product van BKWI. Gemeenten mogen Suwinet raadplegen voor de volgende taken:
- Participatiewet
- Actualiseren Gemeentelijke basisadministratie persoonsgegevens (GBA)
- Doorstroompunt
- Wet gemeentelijke schuldhulpverlening (WGS)
- Leggen van derdenbeslag
Verantwoording
Overheidsorganisaties moeten zich over de beveiligingsmaatregelen binnen hun eigen organisatie verantwoorden conform de Baseline Informatiebeveiliging Overheid (BIO) richting de eigen toezichthouder. Andere bedrijven hebben vaak een vergelijkbaar kader zoals de ISO 27001/27002 normen waarlangs de verantwoording wordt uitgevoerd.
- Verantwoording door afnemers
Ook voor Suwinet geldt dat iedere afnemer verantwoording moet afleggen over het gebruik van Suwinet. Dat geldt voor zowel Suwinet-Inkijk als Suwinet-Inlezen. Gemeenten doen dit via ENSIA en de andere overheidsorganisaties (zoals UWV en de SVB) via de Verantwoordingsrichtlijn GeVS (Generieke elektronische Voorzieningen Suwinet).
In de Verantwoordingsrichtlijn wordt verwezen naar een aantal specifieke BIO-normen waarover bij het gebruik van de GeVS gerapporteerd moet worden. Een organisatie hoeft dus geen aparte audit uit te voeren voor het gebruik van Suwinet, maar kan volstaan met het ‘transparant maken’ van de auditresultaten op specifieke normen die binnen de Suwi-keten (extra) van belang worden geacht.
Voor het gebruik van de GeVS is met het ministerie van SZW afgesproken dat BKWI aan alle afnemers een ‘transparantierapportage’ vraagt. Deze rapportage wordt gemaakt op basis van de Verantwoordingsrichtlijn GeVS. BKWI stelt op basis van de individuele rapportages een ‘totaalrapportage’ op die wordt geleverd aan het ministerie. Hiermee kan het ministerie, als Suwi stelselverantwoordelijke, beoordelen of de gegevensuitwisseling en het gebruik ervan voldoende veilig geschiedt.
- Verantwoording door BKWI
Ook de verantwoordingsplicht voor BKWI als beheerder van Suwinet is geregeld in de Suwi-regeling. BKWI moet voor 15 maart van het kalenderjaar volgend op het verantwoordingsjaar de resultaten van een EDP-audit verstrekken aan de minister van SZW. Deze resultaten maken geen onderdeel uit van de totaalrapportage. BKWI wordt in de EDP-audit getoetst op het volledige BIO-normenkader.