Privacy & beveiliging Interventieprotocol Suwinet-ENSIA

Dit protocol beschrijft de wijze waarop door de minister van SZW gehandeld zal worden bij het niet voldoen aan de verantwoordingsplicht of het niet naleven van het normenkader ten aanzien van Suwinet door gemeenten.

Interventieprotocol GeVS / Suwinet

Vastgesteld door de Minister van Sociale Zaken en Werkgelegenheid op 7 december 2023

1. SUWI-partijen

Reikwijdte

Dit protocol beschrijft de wijze waarop door de minister van SZW gehandeld zal worden bij het niet naleven van het normenkader t.a.v. Suwinet door gemeenten. Het protocol heeft tevens werking op UWV en SVB, waarvoor hetzelfde juridische kader geldt, inclusief aanwijzingsbevoegdheid. De verantwoording over de Suwi-normen door UWV en SVB valt echter samen met de reguliere P&C-cyclus, waardoor er geen aparte procedure hoeft te worden opgesteld. Eventuele interventies zullen dan ook via de instrumenten uit de P&C-cyclus vorm krijgen, zoals de dechargebrief n.a.v. het jaarverslag.

Interventieladder

  1. Attentiebrief
  2. Ambtelijk overleg
  3. Voornemen tot aanwijzing
  4. Aanwijzing
  5. Onderzoek inspectie
  6. Zelf in de zaak voorzien
  7. Afsluiten Suwinet

Toelichting

1. Attentiebrief

De verantwoording is in eerste instantie gericht aan de gemeenteraad, het horizontale c.q. primaire toezicht. Het ligt zodoende voor de hand om deze toezichthouder eerst zelf actie te laten ondernemen indien de verantwoording ontoereikend blijkt. Indien direct opgeschaald zou worden naar het niveau van de verticale toezichthouder, krijgt de horizontale toezichthouder immers niet de kans zijn rol en verantwoordelijkheid te nemen.

Het is daarnaast echter wel wenselijk om duidelijk te maken dat de verticale toezichthouder het niet voldoen aan alle normen heeft opgemerkt. Dit is om haar rol te kunnen pakken indien de horizontale toezichthouder, de gemeenteraad, niet in staat is de normnaleving te herstellen.

Hiertoe wordt een generieke brief verzonden met de strekking dat niet aan de normen voldaan wordt en verwacht wordt dat de gemeente in het daaropvolgende jaar voldoet aan de Suwinormen.

2. Ambtelijk overleg

Mocht in het verantwoordingsjaar volgend op de niet toereikende verantwoording blijken dat wederom de normen niet nageleefd worden, dan volgt ambtelijk overleg tussen de desbetreffende gemeente en SZW.

Hierin worden afspraken gemaakt over de wijze waarop normnaleving wordt hersteld en welke maatregelen zijn genomen om herhaling te voorkomen.

Indien nodig kan aan de gemeente een (door een auditor gecertificeerd) plan van aanpak gevraagd worden. Daarin wordt de maatregelen waarmee normnaleving hersteld wordt omschreven en van een oordeel door een auditor voorzien over de mate waarin de te treffen maatregelen effectief zijn om normnaleving te herstellen.

3. Vooraankondiging tot aanwijzing

Als eerdere interventies geen effect hebben gehad, ontvangt de desbetreffende gemeente een voornemen tot aanwijzing. Hierin krijgt de gemeente, afhankelijk van de normen die niet nageleefd worden, een hersteltermijn van 4 tot 12 weken.

Als normherstel heeft plaatsgevonden, bevestigt het college van burgermeester en wethouders dit middels een door het college ondertekende verklaring aan de Minister van SZW. Dit is dus een aanvullende c.q. alternatieve collegeverklaring.

Een audit hierop is niet vereist.(NB 1) Indien nodig kan aan de gemeente een (door een auditor gecertificeerd) plan van aanpak gevraagd worden. Daarin worden de maatregelen waarmee normnaleving hersteld wordt, omschreven en van een oordeel door een auditor voorzien over de mate waarin de te treffen maatregelen effectief zijn om normnaleving te herstellen.

4. Aanwijzing

Gemeenten die de normnaleving na het voornemen tot aanwijzing niet hersteld hebben, worden door de Minister aangewezen. Zij ontvangen een aanwijzing om tot normherstel te komen. Deze gemeenten krijgen, afhankelijk van de norm overtreding, 4 tot 12 weken de tijd normnaleving te herstellen.

Als normherstel heeft plaatsgevonden, bevestigt het college van burgemeester en wethouders dit middels een door het college ondertekende verklaring aan de Minister van SWZ. Deze verklaring is voorzien van een getrouw beeldverklaring door een EDP-auditor.

5. Zelf in de zaak voorzien

Indien een gemeente na de aanwijzing nog steeds niet aan de normen voldoet, volgt de stap waarin de Minister zelf in de zaak gaat voorzien. Dit omvat het aanstellen van een externe consultant die op kosten van de gemeente voor normherstel zal zorgen.

Hij onderneemt de benodigde acties om de gemeente aan alle Suwinormen te laten voldoen. Deze interventie eindigt pas als de gemeente heeft aangetoond middels een collegeverklaring met audit dat aan alle Suwinormen wordt voldaan.

6. Onderzoek Inspectie SZW

In alle gevallen en in elke fase kan de Minister besluiten een onderzoek door de inspectie SZW te starten bij een individuele gemeente, samenwerkingsverband of het stelsel.

7. Afsluiting Suwinet

Het afsluiten van Suwinet kan aan de orde zijn indien het vermoeden bestaat dat door ernstige miststanden en het niet voldoen aan de Suwi normen de privacy van een grote groep Nederlanders in gevaar is, bijvoorbeeld door een grote kans op datalekken.

Ook kan afsluiting noodzakelijk zijn indien een gemeente zich blijft verzetten en weigert aan de normen te voldoen. Afsluiting is echter een ‘ultimum remedium’ dat niet alleen bestraffende werkt voor de gemeente, maar ook burgers en andere overheidsorganisaties ernstig hindert.

Samenwerkingsverbanden

Voor de uitvoering van onder andere de Participatiewet kunnen gemeenten gebruik maken van samenwerkingsverbanden met andere gemeenten. Daarbij wordt ook gebruik gemaakt van de Suwinet toegang van de deelnemende gemeenten. Hierbij kan sprake zijn van verregaande verantwoordelijkheidsoverdracht van gemeenten aan het samenwerkingsverband.

Echter, Colleges van Burgemeester en wethouders blijven zelf individueel verantwoordelijk voor de verantwoording over de Suwinormen, deze verantwoordelijkheid wordt niet overgedragen als bepaalde medebewindstaken in gezamenlijkheid worden uitgevoerd. Conform de artikelen 5.22 en 6.4 van de regeling SUWI moet het college rapporteren over de beveiliging van de gegevensuitwisselingen die plaatsvinden in het kader van de gezamenlijke elektronische voorzieningen SUWI aan de gemeenteraad en daarnaast door tussenkomst van BKWI, aan het Ministerie van SZW.

De interventieladder richt zich daar waar mogelijk op de individuele gemeenten in het samenwerkingsverband. Echter, door de verwevenheid van gemeenten in een samenwerkingsverband, zullen de interventies die direct op de organisatie gericht zijn het gehele samenwerkingsverband raken. In de praktijk zal dit zelden op problemen stuiten aangezien uit inspectieonderzoek blijkt dat samenwerkingsverbanden in de zelfde mate aan de Suwi-normen voldoen.

Gemeentelijke herindelingen

Indien er sprake is van een gemeentelijke herindeling, worden de betrokken gemeenten vrijgesteld van de verantwoording over de Suwinormen over het jaar voorafgaand aan de herindeling. De nieuwe gemeente hoeft derhalve geen verantwoording af te leggen over de gemeenten waaruit zij is samengesteld. Bijvoorbeeld, gemeente X en gemeente Y gaan per 1-1-2018 op in gemeente Z. Gemeente Z wordt dan voor 2017 vrijgesteld van de verantwoordingsplicht over Suwinet.


Voor de nieuwe gemeente geldt vervolgens de normale verantwoordingsplicht vanaf het jaar van oprichting. Gemeente Z bijvoorbeeld dient derhalve over 2018 verantwoording af te leggen. Om daarbij te voorkomen dat eventuele nalevingstekorten door de vrijstelling van de
verantwoordingsplicht langer voortduren, wordt bij niet naleving van de nieuwe gemeente in het eerste verantwoordingsjaar de eerste stap in het interventieprotocol overgeslagen en volgt direct een ambtelijk gesprek.

 

2. Niet-SUWI-partijen

  1. Voor deze groep is een specifieke interventieladder opgesteld. De aanwijzingsbevoegdheid van de wet SUWI heeft namelijk betrekking op UWV, SVB en gemeenten en niet op de andere afnemers.
    Interventieladder:
    1. Attentiebrief
    2. Ambtelijk overleg
    3. Vooraankondiging van afsluiten
    4. Afsluiten Suwinet

Toelichting

1.Attentiebrief

Een brief naar het betreffende ministerie en de organisatie sturen met de strekking dat niet aan de normen voldaan wordt en verwacht wordt dat de organisatie in het daaropvolgende jaar voldoet aan de Suwi-normen.

2. Ambtelijk overleg

Mocht in het verantwoordingsjaar volgend op de niet toereikende verantwoording blijken dat wederom de normen niet nageleefd worden, dan volgt ambtelijk overleg tussen het desbetreffende ministerie, de organisatie en SZW. Hierin worden afspraken gemaakt over de wijze waarop normnaleving wordt hersteld en welke maatregelen worden genomen om herhaling te voorkomen.

3. Vooraankondiging van afsluiten

Als eerdere interventies geen effect hebben gehad, ontvangt de desbetreffende organisatie een vooraankondiging van afsluiten. Hierin krijgt de organisatie, afhankelijk van de normen die niet nageleefd worden, een hersteltermijn van 4 tot 12 weken. Als normherstel heeft plaatsgevonden, bevestigt de organisatie dit middels een verklaring aan de Minister van SZW.

4. Afsluiten Suwinet

Het afsluiten van Suwinet kan aan de orde zijn indien het vermoeden bestaat dat door ernstige miststanden en het niet voldoen aan de Suwi normen de privacy van een grote groep Nederlanders in gevaar is, bijvoorbeeld door een grote kans op datalekken. Afsluiting is echter een ‘ultimum remedium’ dat niet alleen bestraffend werkt voor de betreffende partij, maar ook burgers en andere overheidsorganisaties ernstig hindert

3. Toelichting Interventieprotocol

 In 2013 signaleerde de inspectie ernstige tekortkomingen in de beveiliging van Suwinet bij gemeenten. Aangespoord en ondersteund door de VNG hebben gemeenten de beveiliging van Suwinet verbeterd. Om alle gemeenten daar toe te zetten heeft de staatssecretaris van SZW in 2015 het ‘Escalatieprotocol afsluiten SSuwinet’ opgesteld. In 2016 heeft de staatssecretaris dit protocol toegepast en de gemeenten die nog niet aan de zeven belangrijkste normen voldeden een aankondiging tot een aanwijzing gestuurd. Betrokken gemeenten hebben vervolgens de beveiliging verder verbeterd (NB 2).

Van belang is dat gemeenten hun verantwoordelijkheid voor de beveiliging van Suwinet structureel invullen. Een belangrijke waarborg hierbij is de jaarlijkse verantwoording over de beveiliging van Suwinet zoals vastgelegd in de Regeling SUWI.

Hierbij is de gemeenteraad de eerst aangewezen partij om de informatiebeveiliging te controleren. Met ingang van het verantwoordingsjaar 2017 voorziet ENSIA (Eenduidige Normatiek Single Information Audit) hierbij in een werkwijze die de administratieve lasten voor gemeenten bij het afleggen van verantwoording over de informatiebeveiliging voor meerdere registraties en voorzieningen reduceert.

Onder de reikwijdte van ENSIA vallen de basisregistraties personen, gebouwen en adressen, het aanvraag- en uitgifte proces van reisdocumenten, het gebruik van DigiD voor identificatie en authenticatie van burgers en het gebruik van gegevens op het terrein werk en inkomen via Suwinet.

Wijzigingen t.o.v. de vorige versie van het protocol:

  • de interventieladder voor de niet-SUWIpartijen is toegevoegd;
  • de voetnoot op pagina 1 is toegevoegd

 

NB1: Indien in de opvolgende jaarlijkse verantwoording blijkt dat de verbetermaatregelen na controle door een IT-auditor als onvoldoende worden beoordeeld, volgt alsnog een aanwijzing.

NB2: Zie Kamerstuk 26448, nr 589, 11 april 2017