Als stagiair opzoeken wat de baas verdient: bij de gemeente kan het
Als stagiair even opzoeken wat de baas verdient of hoeveel het huis van Gordon kostte: dat kan gewoon bij de gemeente. Het gegevensnetwerk Suwinet heeft grote beveiligingslekken, die niemand lijkt te kunnen dichten. Wij onderzochten de beerputten en belangen die ervoor zorgen dat de privacy van burgers bij de gemeenten niet gewaarborgd is.
Stel, je werkt als ambtenaar bij een gemeente. Je hebt wat tijd te doden én beschikking over Suwinet - een systeem waar je een enorme hoeveelheid intieme gegevens over burgers kunt inzien. Ga je daar in snuffelen?
Het gebeurde tijdens het WK Voetbal in 2010, toen van meer dan twintig betrokkenen bij het Nederlands elftal de gegevens werden opgevraagd door medewerkers van verschillende gemeenten en het UWV. Dat blijkt uit een aantal interne rapporten dat door De Correspondent is ingezien.
Of het ook daadwerkelijk om misbruik ging, is niet duidelijk. Het is in ieder geval niet waarschijnlijk dat voetballers of trainers van Oranje een uitkering hebben aangevraagd, waar de gegevens in Suwinet oorspronkelijk voor bedoeld zijn. Laat staan in die periode.
Ook kort na de aanslag tijdens Koninginnedag in 2009 in Apeldoorn werd veelvuldig en vanuit verschillende gemeenten gezocht, en wel op het kenteken van de Suzuki van dader Karst Tates. Opnieuw: daar kán een doel mee gediend zijn, maar erg waarschijnlijk is het niet.
Hoe gaan gemeenten om met gegevens? Dramatisch
Suwinet is het systeem dat iedere gemeente gebruikt om uitkeringsaanvragen van Nederlandse burgers te beoordelen. Het bevat gegevens over onder andere inkomsten, autobezit, examenresultaten en diploma’s. Rapport na rapport laat zien dat ambtenaren wel heel gemakkelijk en meestal zonder gevolgen via Suwinet in de gegevens van burgers kunnen rondneuzen.
Vorig jaar november stuurde staatssecretaris Jetta Klijnsma (PvdA, Sociale Zaken en Werkgelegenheid) al het derde alarmerende rapport naar de Tweede Kamer. Het rapport ‘De burger bediend in 2013’ was een evaluatie van de informatiebeveiliging van Suwinet: hoe gaan de gemeenten om met de intieme gegevens van iedere volwassen Nederlander? Het korte antwoord: dramatisch.
Slechts vier procent van de onderzochte gemeenten voldeed aan de zeven veiligheidsnormen
De staatssecretaris zei ‘geschokt’ te zijn over de resultaten van de aselecte, representatieve steekproef bij tachtig gemeenten. Ze kon ook niet anders: slechts vier procent van de onderzochte gemeenten voldeed aan de zeven veiligheidsnormen die moeten voorkomen dat persoonsgegevens van burgers zonder reden worden geraadpleegd. Dertien procent voldeed aan geen van die zeven normen, drieëndertig procent aan slechts één.
Bij de meeste gemeenten was niet duidelijk wie verantwoordelijk was voor het gebruik van Suwinet. Bij meer dan de helft was de autorisatieprocedure - welke gemeentemedewerker mag welke informatie inzien - niet goed geregeld: medewerkers kregen vaak te veel toegang tot gegevens die ze niet nodig hadden voor hun functie.
En misschien wel het zorgwekkendst: het rapport constateerde dat er regelmatig misbruik werd gemaakt van Suwinet. De onderzoekers controleerden of de gegevens van honderd willekeurig gekozen bekende Nederlanders in 2012 waren opgevraagd. Dat was het geval: vanuit veertien gemeenten waren data over deze BN’ers bekeken. Slechts één gemeente kon dat verantwoorden.
‘Onvoldoende resultaat’
In 2009, toen Suwinet al zeven jaar in gebruik was, werd voor het eerst een indicatie gemaakt van de staat van beveiliging van Suwinet bij de gemeenten. Sindsdien is de conclusie steeds hetzelfde: de beveiliging is gebrekkig en er is sprake van misbruik.
De reacties op deze en andere waarschuwingen over de slechte beveiliging van Suwinet verlopen via een patroon. Zo stuurde toenmalig staatssecretaris Paul de Krom (VVD, Sociale Zaken en Werkgelegenheid) in 2012 een brief aan alle Nederlandse gemeenten waarin hij waarschuwde voor de matige beveiliging van gegevens en hen wees op hun verantwoordelijkheid. Het explosieve vervolgonderzoek ‘De burger bediend in 2013’ duidde wederom op grote machteloosheid bij de verbetering van de beveiliging van Suwinet. En ook toen deed Klijnsma naar aanleiding van dit Inspectierapport een verzoek tot vervolgonderzoek, dat medio 2015 uitkomt. Gaat er nu wel iets verbeteren?
De voortekenen zijn ongunstig. Sterker nog, het ‘gegevensverkeer’ is in Suwinet tussen 2008 en 2013 al met vijftig procent gegroeid en zal nog sterker toenemen: met de aanstaande decentralisaties krijgen de gemeenten er nog meer taken bij in het domein ‘Werk en Inkomen,’ waardoor de hoeveelheid gegevens in Suwinet zal groeien.
Bovendien is privacy bij veel gemeenten een ondergeschoven kindje. Uit recent onderzoek van NRC Handelsblad blijkt dat veel gemeenten te weinig maatregelen nemen om - met het oog op de decentralisaties - de persoonsgegevens van burgers voldoende te beschermen. Het College Bescherming Persoonsgegevens (CBP) heeft al meerdere waarschuwingen de deur uitgedaan over de aanstaande veranderingen.
Ondanks de waarschuwingen van Klijnsma en het CBP zijn uiteindelijk de gemeenten zelf verantwoordelijk voor de decentralisatie en de beveiliging van de gegevens. ‘Ik wens u veel succes bij uw controlerende taak met betrekking tot de informatiebeveiliging,’ schreef Klijnsma op 19 december 2013 aan alle burgemeesters en wethouders van Nederland. ‘Het gaat tenslotte om de zorgvuldige bejegening van de gegevens van inwoners van uw gemeente.’
Die succeswens kunnen de gemeenten goed gebruiken. Over ruim drie maanden, op 1 januari 2015, gaan de decentralisaties van start en krijgt het nu al rammelende gebruik van Suwinet een nog prominentere rol in de taak van de gemeenten.
Maar wat is dat Suwinet eigenlijk? En wat gaat er steeds zo mis, ondanks alle rapporten?
Wat is Suwinet?
Suwinet is eigenlijk een technische infrastructuur: een verzamelnaam voor verschillende applicaties waarmee de SUWI-partijen gegevens uitwisselen. In 2002 werd het opgezet om uitkeringsaanvragen bij de gemeentelijke sociale diensten gemakkelijker en sneller te kunnen beoordelen. Zo kon een enorme papierhandel worden voorkomen: de talloze formulieren en schoenendozen met bonnetjes waren niet meer nodig.
Drie jaar later werd besloten Suwinet ook in te zetten bij het opstellen van Digitale Klantdossiers (DKD). Er werden meer gegevensbronnen aangesloten op het netwerk en partijen die gegevens van Suwinet konden gebruiken om hun werk sneller uit te voeren kregen toegang. Zo ontstond het onderscheid tussen de bronnen van Suwinet, die persoonsgegevens aanleveren, en de gebruikers: de niet-Suwipartijen , die hun werk efficiënter kunnen doen door gebruik te maken van de gegevens die ze via Suwinet kunnen inzien.
Er zijn verschillende applicaties verbonden aan Suwinet, waarvan Suwinet-Inkijk en Suwinet-Inlezen de belangrijkste zijn. Via Suwinet-Inkijk kun je gegevens inzien waar een andere partij over beschikt, zoals - bij het UVW - de hoogte van iemands uitkering. Via Suwinet-Inlezen zet je die gegevens vervolgens over in het systeem van je eigen gemeente. Daar kun je ze opslaan en bewaren voor later gebruik.
Omdat de Wet Eenmalige Opvraging inhoudt dat je burgers slechts eenmaal om hun gegevens mag vragen, konden gemeenten door Suwinet hun werk sneller en beter doen. Gegevens konden via het netwerk worden opgevraagd en vervolgens worden bewaard in het eigen systeem, zodat ze beschikbaar bleven voor later gebruik.
En wat is er dan allemaal mis met Suwinet?
Met een paar klikken heb je via Suwinet dus alle gegevens over je cliënt die je nodig hebt. En misschien nog wel meer. Juist daarin schuilt al een eerste gevaar: iemand die, met de beste bedoelingen, uit nieuwsgierigheid nog even doorklikt om ook de inkomensgegevens van zijn baas te kunnen zien, overtreedt de Wet bescherming persoonsgegevens.
Het veilig gebruiken van Suwinet levert al langer grote problemen op. In de wettelijke regeling SUWI is opgenomen dat iedere partij die Suwinet gebruikt, zelf verantwoordelijk is voor de beveiliging. De ketenpartijen die aan Suwinet verbonden zitten, zoals DUO en de Kamer van Koophandel, beschikken sinds 2002 al over een beveiligingsplan omdat het deel uitmaakt van hun jaarlijkse verantwoordingscyclus. Ook de ketenpartijen UWV, UWV Werkbedrijf en de SVB zijn aan een verantwoordingsrichtlijn verbonden, die hen verplicht een beveiligingsplan te hebben.
Maar de gemeenten besloten pas in 2004 om een gemeenschappelijk beveiligingsplan op te stellen. Ondanks de verantwoordelijkheid die bij het gebruik van Suwinet hoorde, bleek toen dat een klein deel van de gemeenten een beveiligingsplan had opgesteld.
Iemand die uit nieuwsgierigheid nog even doorklikt om ook de inkomensgegevens van zijn baas te kunnen zien, overtreedt de Wet bescherming persoonsgegevens
Vijf jaar later vroeg staatssecretaris Klijnsma de Inspectie Werk en Inkomen (IWI) naar de status van de beveiligingsplannen voor Suwinet bij de gemeenten. Het bleek dat 96 van de ongeveer 400 gemeenten geen beveiligingsplan hadden, en dat van alle gemeenten die wel een plan hadden, er geen voldeed aan de normen.
Uit een rapport van IWI uit 2011 bleek dat de gemeenten inmiddels allemaal een beveiligingsplan hadden. Over de kwaliteit van die plannen kon echter alsnog geen uitspraak worden gedaan. Ten eerste omdat de gemeenten geen verantwoording aflegden - en nog steeds niet afleggen - over hun gebruik van Suwinet. Ten tweede omdat een wettelijk normenkader nog steeds ontbrak voor Suwinet. Klijnsma’s opvolger De Krom stuurde een waarschuwing naar de gemeenten en spoorde hen aan maatregelen te nemen. Ook kondigde hij een vervolgonderzoek aan.
Dat was het Inspectie-rapport in 2013. Het normenkader was inmiddels opgesteld en gemeenten werden getoetst aan de hand van zeven van deze normen. Ter vergelijking: er bestaan in totaal zo’n 115 normen voor veilig gebruik van Suwinet. De uitkomsten waren schokkend: slechts vier procent van de gemeenten voldeed aan de zeven normen waarop ze getoetst werden. Zo werden gebruikersprofielen in Suwinet bij veel gemeenten niet op tijd ingetrokken: wanneer iemand bijvoorbeeld stopte met werken, werd zijn autorisatie om gegevens via Suwinet in te zien niet stopgezet.
Uit onderzoek van het Algemeen Dagblad bleek bovendien dat bij bureau Drechtsteden, waar gemeenten als Dordrecht, Zwijndrecht en Alblasserdam onder vallen, 51 keer onrechtmatig in de gegevens van BN’ers werd geneusd. De belangrijkste schuldige was een stagiair, die via Suwinet meer gegevens kon inzien dan voor zijn werkzaamheden nodig was.
De problemen die zich voordoen zijn ondertussen talrijk. Ondanks het beveiligingsplan waar de gemeenten aan moeten voldoen, vertellen ingewijden ons dat er in de praktijk alsnog veel mis kan gaan. Zo zijn er binnen Suwinet verschillende profielen, die per functie aan medewerkers van de gemeenten kunnen worden toegewezen. Iemand die bij de Sociale Dienst werkt, kan bijvoorbeeld op burgerservicenummer zoeken, terwijl een belastingdeurwaarder slechts aan de hand van inkomensgegevens iemands naam of adres kan zien .
In de praktijk worden deze autorisaties echter te breed gegeven, zoals blijkt uit het voorbeeld van de stagiair. En misbruik van gegevens vindt ook plaats: zo bleek in 2011 dat een ambtenaar gegevens over de inkomens- en vermogenspositie van een cliënt had doorgegeven aan een drugsdealer.
En ook de applicatie Suwinet-Inlezen leidt tot problemen: gemeenten kunnen hiermee de gegevens die ze opvragen bij de ketenpartijen, opslaan in hun eigen systeem. Met deze gegevens blijven ze vervolgens werken, terwijl Suwinet er wettelijk op is ingericht dat je eenmalig gegevens opzoekt en gebruikt. Bovendien wordt dit gebruik niet gelogd, waardoor gemeenten zich niet kunnen en hóeven te verantwoorden over wat er met de gegevens wordt gedaan.
Wat wordt er gedaan om het veiliger te maken?
Na de uitkomst van het Inspectierapport ‘De burger bediend in 2013,’ schreef staatssecretaris Klijnsma een brief aan de Tweede Kamer. Hierin gaf ze aan dat er verschillende maatregelen worden genomen om de beveiliging van Suwinet te verbeteren.
Zo riep ze op tot het uitvoeren van het verbeteringsbeleid dat de Vereniging Nederlandse Gemeenten (VNG) al eind 2011 opstelde, waarbij de Taskforce Beveiliging Informatiedienst en de Informatiebeveiligingsdienst Gemeenten (IBD) taken kunnen uitvoeren om de beveiliging van Suwinet te verbeteren. Gemeenten hebben daar heel 2014 de tijd voor.
Begin 2015 zal opnieuw worden gekeken hoe veilig het gebruik van Suwinet bij de gemeenten is. Mochten zich nog steeds grote problemen voordoen, dan heeft Klijnsma het recht zo’n gemeente af te sluiten van Suwinet via het zogenoemde afsluitprotocol.
Het BKWI, de ontwikkelaar van Suwinet, kan de loggegevens van Suwinet zien. Zij kunnen dus bijhouden wanneer bijvoorbeeld een ambtenaar bij gemeente X net iets te vaak naar de inkomensgegevens van zijn ex zit te kijken, en de betreffende gemeente hierover waarschuwen. Vervolgens kan de gemeente actie ondernemen. Zo werd in Rotterdam geconstateerd dat het oneigenlijk gebruik van Suwinet terugliep, nadat twee ambtenaren waren ontslagen.
Maar hier zit ook het grootste probleem: wanneer het aankomt op bescherming van de privacy van burgers bij Suwinet, is er eigenlijk niemand verantwoordelijk. In de Regeling SUWI staat beschreven dat iedere gebruiker zelf verantwoordelijk is voor veilig gebruik ervan. Dus de ontwikkelaar en beheerder van Suwinet, het BKWI, kan zien waar het misgaat en waarschuwingen geven, maar verdere actie ondernemen valt niet onder de verantwoordelijkheid van de organisatie.
Wanneer het aankomt op bescherming van de privacy van burgers bij Suwinet, is er eigenlijk niemand verantwoordelijk
Het College Bescherming Persoonsgegevens, dat verschillende waarschuwende rapporten en brieven heeft uitgegeven over oneigenlijk gebruik van Suwinet, kan boetes uitdelen. Maar probeer als kleine organisatie maar eens vierhonderd beveiligingsplannen te controleren.
Het ministerie van Sociale Zaken en Werkgelegenheid en de Vereniging Nederlandse Gemeenten werken hard aan verschillende verbeteringen in het veilig gebruik van Suwinet, maar uiteindelijk zijn gemeenten slechts verantwoording verschuldigd aan hun eigen gemeenteraad. En de gemeenten zijn op dit moment druk bezig met de decentralisaties. Meer beperkingen aan het systeem opleggen betekent meer werk voor de toch al overbezette gemeenteambtenaren.
Ook de laatste strohalm van Klijnsma - het afsluiten van gemeenten van Suwinet - zal volgens ingewijden niet veel effect sorteren. Want stel je voor dat de gemeente Amsterdam wordt afgesloten van Suwinet: hoe voer je dat dan uit? Sluit je Amsterdam af, dan kunnen ze geen gegevens meer opvragen, maar ook de gegevens meer delen met het UWV. Dan zou iedere uitkeringsgerechtigde in Amsterdam weer moeten gaan werken met talloze formulieren en schoenendozen met bonnetjes.
Probeer dat als gemeente maar eens uit te leggen aan je burgers.
Correctie: eerder stond in het artikel dat het BKWI en het NCSC de loggegevens van Suwinet kunnen zien. Dit klopt niet: alleen het BKWI kan de loggegevens van Suwinet inzien.