Standaarden Privacy & Beveiliging

Suwinet moet veilig zijn: er gaat dagelijks heel veel en heel gevoelige informatie over de lijnen. Daarover zijn afspraken gemaakt tussen de Suwi-partijen. Dat zijn de gemeenten, de SVB en het UWV. De afspraken gaan over normenkaders en de verantwoording over de naleving daarvan. Deze afspraken worden gemaakt in het Ketenoverleg van Suwinet, dat wordt geadviseerd door de Domeingroep Privacy en Beveiliging.

Beveiliging

Suwinet moet veilig zijn: er gaat dagelijks heel veel en heel gevoelige informatie over de lijnen.

Daarover zijn afspraken gemaakt tussen de SUWI-partijen. Dat zijn de gemeenten, de SVB en het UWV. De afspraken gaan over normenkaders en de verantwoording over de naleving daarvan.

Deze afspraken worden gemaakt in het Ketenoverleg van Suwinet, dat wordt geadviseerd door de Domeingroep Privacy en Beveiliging.

Verantwoording over informatiebeveiliging met ingang van 2022

Het Ketenoverleg heeft op 16 september 2021 de nieuwe Verantwoordingsrichtlijn Informatiebeveiliging GeVS 2022 vastgesteld. De Verantwoordingsrichtlijn geeft aan hoe afnemers van Suwinet-services zich moeten verantwoorden. De ENSIA-verantwoordingssystematiek sluit hierop aan. Gemeenten kunnen dus de ENSIA-systematiek volgen.

De verantwoordingsstukken moeten ieder jaar vóór 1 mei worden ingeleverd bij BKWI.

Guidance

Omdat er veel behoefte is aan uitleg over de BIO heeft de Domeingroep Privacy & Beveiliging guidance opgesteld voor de toepassing van de BIO bij het gebruik van Suwinet.

De guidance beperkt zich tot de normen waarover afnemers van Suwinet zich moeten verantwoorden en is vooral gericht op de afnemers die de ENSIA-systematiek NIET volgen, zoals UWV en SVB.

In 2022 hebben de VNG, NOREA en BKWI de verschillende guidances geharmoniseerd. Concreet betekent dit dat de guidances inhoudelijk overeenkomen en dat er enkele uitzonderingen voor gemeenten in de handreikingen zijn doorgevoerd.

Voor gemeenten, die de ENSIA-systematiek wel volgen is er guidance op maatregelniveau van de VNG.

Privacy

De privacybescherming is geregeld in de Algemene Verordening Gegevensbescherming. Er is dus geen apart normenkader voor. De normenkaders hierboven regelen ook de beveiliging van persoonsgegevens.

Er is ook geen aparte verantwoording voor privacybeveiliging geregeld. Voor intern toezicht hebben alle overheidsorganisaties een Functionaris Gegevensbescherming en het externe toezicht is in handen van de AP (Autoriteit Persoonsgegevens).