Hoofdstuk 9. Aansluiten nieuwe partijen

De Gezamenlijke elektronische Voorzieningen SUWI (GeVS) is een stelsel van voorzieningen dat gegevens transporteert en beschikbaar stelt. De GeVS is wettelijk aangewezen als hulpmiddel voor de uitwisseling van gegevens die de medewerkers van de SUWI-­‐ketenpartijen nodig hebben voor de uitvoering van de wettelijke taken (artikel 5.21 van het Besluit SUWI).

De GeVS ontsluit meer informatie dan alleen die van de SUWI-­ketenpartijen zelf. SUWI‐ketenpartijen krijgen ook gegevens vanuit aanvullende bronnen, zoals de basisregistratie Voertuigen, Verificatie Informatie Systeem (VIS), de basisregistratie persoonsgegevens (BRP), studiefinancieringen, opleidingen, gegevens over vastgoed (eigendom en waarde) en informatie over ondernemingen en diens rechtspersonen.

Ook publieke organisaties die niet tot de SUWI-­‐partijen behoren, kunnen aansluiten op de GeVS en daarmee rechtstreeks toegang krijgen tot de gegevens die via de GeVS worden uitgewisseld. Voorwaarde voor aansluiting is dat zij het aansluitprotocol doorlopen zoals beschreven in bijlage III, behorende bij artikel 6.5 van de Regeling SUWI.

9.1 Procedure

De voorwaarden die van toepassing zijn op de aansluiting van afnemende partijen en de ontsluiting door leverende partijen (basis-­‐ en ketenregistraties) staan beschreven in het Aansluitprotocol (bijlage III van de regeling SUWI:

  1. Waar moet een applicatie van een afnemende partij aan voldoen om aan te kunnen sluiten? Conform het Suwinet-­‐Normenkader moeten de inlezende applicaties voldoen aan de normen die ook aan Suwinet-­‐Inkijk worden gesteld. Bijvoorbeeld het inregelen van autorisaties voor toegang tot de applicatie en de gegevens door gebruikmaking van gebruikersprofielen, wachtwoorden, rollen en functies en Verder moeten de organisaties minimaal achteraf door logging kunnen toetsen wie op welk moment welke informatie over een bepaalde burger heeft geraadpleegd.
  2. Waar moet een afnemende organisatie aan voldoen om gebruik te mogen maken van de gegevens? We gaan in op de organisatorische en fysieke beveiligingsmogelijkheden om doelbinding en privacy te waarborgen. We beschrijven hoe de verantwoording dient plaats te vinden. Bijvoorbeeld met een extra paragraaf in het jaarverslag
  3. Het Aansluitprotocol. Dit protocol geeft aan welke stappen een potentiële afnemende publieke partij moet zetten om toegang te krijgen tot de gegevens

9.2 Aansluiten op de GeVS

Via de GeVS kunnen de bronhouders de (geautoriseerde) gegevens via de voorzieningen Suwinet-­‐Inkijk of Suwinet-­‐Inlezen aan de afnemers beschikbaar stellen. De bronhouder is de verantwoordelijke in de zin van de Wbp voor het bewaren en verstrekken van persoonsgegevens aan de afnemer. Bij een verzoek van een afnemer om gegevens te verstrekken, voert de bronhouder een toets uit conform de Wbp:

  • Wettelijke grondslag: bestaat er een wettelijke grondslag om de gevraagde gegevens te leveren?
  • Doelbinding, proportionaliteit en subsidiariteit: zijn de gegevens nodig voor de uitvoering van wettelijke taken (worden er niet te veel gegevens gevraagd)?
  • Wijze van gegevensverstrekking: de bronhouder bepaalt in overleg met de afnemer de wijze van

Na een positieve toets worden de afspraken (over welke gegevens voor welke reden, via welke voorziening worden uitgewisseld) door de bronhouder in een besluit of overeenkomst vastgelegd. Op basis van dat besluit of die overeenkomst kan de gegevensverstrekking worden ingericht.

Voor de onderlinge uitwisseling tussen de SUWI­‐ketenpartijen is een apart besluit niet nodig, voor zover deze gegevens zijn opgenomen in bijlage II behorende bij artikel 5.2a van het Besluit SUWI. De daaraan voorafgaande procedure (de toetsing op wettelijke grondslag, doelbinding en proportionaliteit) uiteraard wel.

In feite komt het erop neer dat per verzoek voor gegevensverstrekking de bronhouder een besluit neemt over de verstrekking van gegevens. Dat besluit vermeldt:

  • De wettelijke grondslag voor de verstrekking.
  • De set gegevens en/of informatie (als uitkomst van de toets op doelbinding, proportionaliteit en subsidiariteit).
  • De toepasselijkheid van de Gedragscode UWV/SVB/VNG.
  • De wijze van verstrekking.

De gegevenslevering verloopt via de bewerkers BKWI of het IB. Dat betekent:

  • De bewerker krijgt een opdracht om in overleg met de afnemers uitvoering te geven aan het besluit tot verstrekking.
  • De bewerker krijgt een mandaat om afspraken met de afnemers te maken over de aansluitvoorwaarden.
  • De bronhouder brengt het besluit ter kennis van de afnemer.
  • Na ontvangst van de bevestiging wordt het besluit uitgevoerd.

Voor de aansluiting op de door de bewerker beschikbaar gestelde voorzieningen moet de afnemende organisatie de afspraken in de aansluitvoorwaarden ondertekenen en nakomen.

9.2.1.        Levering via Suwinet‐Inkijk

Bronhouders en afnemers kunnen onderling overeenkomen dat de gegevenslevering via Suwinet-­‐Inkijk verloopt. Via deze centrale webapplicatie kunnen geautoriseerde gebruikers persoonsgegevens van burgers raadplegen die bij verschillende organisaties of basisregistraties zijn opgeslagen. In overleg met de bronhouder en de afnemer(s) zorgt het BKWI ervoor dat de afgesproken gegevensset via één of meerdere inkijkpagina’s kan worden getoond. Het verzorgen van de toegang (autorisatie) tot deze applicatie en de inkijkpagina’s voor de individuele medewerkers is een verantwoordelijkheid van de individuele afnemers.

9.2.2.        Levering via Suwinet­‐Inlezen

Bronhouders kunnen besluiten de gevraagde gegevens via de GeVS voorziening ‘Inlezen’ direct af te leveren bij de afnemer. De afnemer verwerkt deze gegevens in de eigen bedrijfsapplicatie die daarvoor geschikt is gemaakt. Inlezen via de GeVS wordt op twee manieren mogelijk gemaakt:

  • De gegevenslevering verloopt via het BKWI (dit noemen we Suwinet-­‐Inlezen).
  • De gegevenslevering verloopt via het IB (dit noemen we DKD-­‐Inlezen).

Voor de (op dit moment) 393 gemeenten is een  speciale voorziening ontwikkeld (DKD-­‐Inlezen) die een optimale uitwisseling tussen gemeenten en de GeVS faciliteert. Deze speciale voorziening (IBIS-­‐ Inlichtingenbureau Informatie Systeem) is in beheer bij het Inlichtingenbureau dat hiermee ook de levering van en naar gemeenten (voor het domein werk en inkomen) verzorgt. In alle andere situaties vindt de levering plaats via het BKWI.

De technische aansluiting voor gemeenten wordt door het IB verzorgd. Het BKWI verzorgt de technische aansluiting voor de SUWI-­‐ketenpartijen SVB en UWV, en voor alle niet SUWI-­‐ketenpartijen. Voor de technische aansluitprocedure kan men contact opnemen met het IB of het BKWI.

9.3.         Afspraken over gegevens

De SUWI-­‐ketenpartijen kennen aanvullend op het besluit SUWI ook een SLA (de GeVS-­‐SLA) waarin de voorwaarden voor het gezamenlijk gebruik en beheer van de GeVS en de gegevens zijn vastgelegd.

De afspraken die een SUWI-­‐ketenpartij maakt met een partij buiten de keten, worden door de verstrekker van de gegevens vastgelegd in een besluit of in een gezamenlijke overeenkomst.

Afspraak 43       De registratiehouder en de afnemer komen onderling overeen welke gegevens tot een bepaalde uitwisseling horen.

 Hierbij hoort ook de toets op proportionaliteit en de mate waarin deze gegevens beschikbaar moeten zijn. De registratiehouder is als verantwoordelijke voor de registratie aanspreekbaar op het verwerken en het gebruik van de vastgelegde persoonsgegevens (ex art. 1 Wbp).

Afspraak 44       De afspraken tussen ketenpartijen onderling zijn vastgelegd in een Service Level Agreement (de GeVS-­‐SLA).

 Afspraak 45       Informatie die wordt aangeboden aan een afnemer moet voldoen aan de wettelijke bepalingen zoals vastgesteld in de Wbp, de Wet SUWI en andere materiewetgevingen. 

  • De afnemer

Na de verstrekking eindigt de Wbp-­‐verantwoordelijkheid van de bronhouder voor de verstrekte gegevens. De zorgplicht voor de naleving van de Wbp-­‐verplichtingen (art. 15 Wbp) brengt daar geen verandering in. De zorgplicht richt zich op de Wbp-­‐verantwoordelijke. Dit betekent dat de bronhouder als verstrekker niet verantwoordelijk is voor (en aanspreekbaar is op) de verwerking van de persoonsgegevens door de afnemer.

Dit betekent ook dat de bronhouder geen controlerende of handhavende taak heeft in de wijze waarop de afnemer als Wbp verantwoordelijke de ontvangen persoonsgegevens verwerkt.

De afnemer van gegevens is (volledig) verantwoordelijke in de zin van de Wbp voor de eigen verwerking van persoonsgegevens. Dat betekent dat hij zorgvuldig met die persoonsgegevens omgaat, conform de bepalingen van de Wbp met inachtneming van eventuele andere wettelijke verplichtingen. Deze verplichtingen gelden vanaf het moment dat hij de feitelijke macht verkrijgt over deze persoonsgegevens. De afnemer is volledig verantwoordelijk voor en aanspreekbaar op een rechtmatige verwerking van persoonsgegevens conform de Wbp.

  • Verantwoording

Een SUWI-­‐ketenpartij is verantwoordelijk voor en aanspreekbaar op de naleving van de Wbp-­‐verplichtingen, zowel in de hoedanigheid van verstrekker als in de hoedanigheid van gebruiker. Op basis van de huidige SUWI-­‐wetgeving moeten UWV, SVB, BKWI en het IB zich jaarlijks met een onafhankelijke audit aan de minister van SZW verantwoorden over de gegevensverstrekking via de GeVS. Gemeenten verantwoorden in principe aan de gemeenteraad, alhoewel er geen wettelijke verantwoordingsplicht voor de gemeenten in de wet SUWI is opgenomen.

Het toezicht op de naleving van de Wbp ligt bij de Inspectie SZW en bij het CBP.