De beveiliging van de gegevens van miljoenen Nederlanders rammelt aan alle kanten

Anne Schepers
Journalist

Medewerkers van het Ierse departement van Sociale Zaken hebben via Suwinet al bijna twee jaar lang inzicht in de persoonsgegevens van miljoenen Nederlanders. Recente rapporten van het College bescherming persoonsgegevens brengen opnieuw alarmerende feiten over de beveiliging van het gegevensuitwisselingssysteem aan het licht. Ik zet de feiten op een rij.

Sinds 20 maart 2013 heeft het Ierse departement van Sociale Zaken via Suwinet toegang tot de persoonsgegevens van miljoenen Nederlanders. Dat blijkt uit een onlangs verschenen van het College bescherming persoonsgegevens (CBP). Suwinet is het netwerk waarbinnen de gemeenten, het UWV en de Sociale Verzekeringsbank (SVB) – de – persoonsgegevens uitwisselen met niet-Suwipartijen, zoals de IND en het Centraal Administratiekantoor (CAK). Er staan onder andere gegevens over inkomen, beroepen en opleidingen in.

Doel hiervan is om het aanvragen en toekennen van uitkeringen voor zowel de gemeenten als hun inwoners gemakkelijker te maken. De Ieren kregen toegang tot Suwinet om na te kunnen gaan of burgers arbeids- of uitkeringsrelaties hebben of hebben gehad met Nederland. Maar in plaats van enkel inzicht te krijgen in de gegevens van Ierse Nederlanders, kreeg het departement toegang tot de gegevens van álle Nederlanders die bij het UWV geregistreerd staan.

Dit is slechts een van de vele voorbeelden van de problemen die bestaan met de beveiliging van Suwinet. Dit jaar bleek uit een van de Inspectie SZW (Sociale Zaken en Werkgelegenheid) dat slechts 4 procent van de Nederlandse gemeenten in 2013 beschikte over een beveiligingsplan voor dat aan de normen voldoet. Autorisaties voor het inzien van persoonsgegevens worden vaak te breed gegeven, waardoor ambtenaren toegang hebben tot gegevens die ze niet nodig hebben voor hun werk. En ook de mogelijkheid om te snuffelen in de gegevens in Suwinet blijkt verleidelijk: zo bleek dat van meer dan twintig betrokkenen bij het Nederlands voetbalelftal de persoonsgegevens werden opgezocht tijdens het WK van 2010. Er bestaat zelfs een voorbeeld van een ambtenaar die de inkomensgegevens van een van zijn cliënten doorverkocht aan een drugsdealer.

Met de decentralisaties in het vooruitzicht krijgen de gemeenten meer taken op het gebied van werk en inkomen. Het gebruik van Suwinet zal dus alleen maar toenemen. Staatssecretaris Jetta Klijnsma (PvdA, Sociale Zaken en Werkgelegenheid) gaf na de uitkomst van het Inspectierapport in 2013 dat er verschillende maatregelen genomen zouden worden om de beveiliging van Suwinet in het komende jaar te verbeteren. Dat jaar is nu bijna om. Onlangs bleek uit twee rapporten van het College bescherming persoonsgegevens (CBP), waaronder bovenstaande, dat de beveiliging van Suwinet nog altijd veel te wensen overlaat.

Probleem 1: geen specifiek beveiligingsplan

Het CBP deed dit jaar twee onderzoeken: een bij het BKWI, de beheerder van Suwinet die onder de verantwoordelijkheid van het UWV valt, en een bij de gemeente gekozen via een steekproef. De rapportages brengen een aantal alarmerende feiten aan het licht. Zo blijkt dat zowel het als de gemeente Den Bosch geen beveiligingsplan heeft dat specifiek op Suwinet is gericht, terwijl dit een vereiste is in het voor veilig gebruik van Suwinet.

Wanneer bij het BKWI een beveiligingsincident wordt geconstateerd, wordt dit alleen gedeeld wanneer het voor alle partijen die op Suwinet zijn aangesloten van belang is. De incidenten worden individueel afgehandeld, waardoor het niet duidelijk is wat de meest voorkomende en belangrijkste beveilingingsincidenten zijn. Bij de gemeente Den Bosch worden beveiligingsincidenten met Suwinet niet gedeeld met het BKWI en de domeingroep Privacy & Beveiliging van de Suwiketen. Sterker nog: van die laatste groep wist de gemeente Den Bosch niet eens van het bestaan af.

Probleem 2: Suwinet-Inlezen is een grijs gebied

En dan is er het probleem van Suwinet-Inlezen: de applicatie waarvan het gebruik niet gelogd kan worden door het BKWI. Waarom dat problematisch is? Er bestaan twee applicaties waarmee bij gemeenten de gegevens van hun burgers kunnen worden opgezocht: Suwinet-Inkijk en Suwinet-Inlezen. Wanneer een ambtenaar bijvoorbeeld wil weten hoeveel je verdiende bij je vorige werkgever, zoekt hij via Suwinet-Inkijk je gegevens op. Het BKWI kan dan zien waar en wanneer de gegevens zijn opgevraagd. Hier worden gebruikersrapportages van gemaakt, zodat eventueel misbruik van Suwinet kan worden opgespoord. Zo kan bijvoorbeeld gezien worden of een bepaalde ambtenaar opmerkelijk vaak in de gegevens van zijn nieuwe buurman snuffelt.

Maar bij Suwinet-Inlezen gaat dit anders: daar worden de persoonsgegevens die via de applicatie gevonden worden, direct overgezet (‘ingelezen’) in het systeem van de gemeente. Daar blijven ze beschikbaar voor later gebruik. Maar het is voor het BKWI niet zichtbaar wat er vervolgens met die gegevens gebeurt. Omdat de gegevens dan niet meer in Suwinet maar in het systeem van de gemeente staan, kan het BKWI niet loggen wanneer en waar de gegevens worden gebruikt. Dat blijft een grijs gebied. En dan valt het opeens niemand meer op dat die ambtenaar net iets te vaak naar de inkomensgegevens van zijn buurman kijkt.

Probleem 3: toegang terwijl dat niet mag

Uit het onderzoek van het CBP bij de gemeente Den Bosch bleek tevens dat er problemen bestaan met het verdelen van rollen en autorisaties binnen Suwinet. Wanneer een gemeente aangesloten wordt op Suwinet, krijgt ze van het BKWI een autorisatie om gebruik te maken van het netwerk. Vervolgens verdeelt de gemeente zelf de rollen onder ambtenaren die gebruikmaken van Suwinet: iemand die beslist over het toekennen van uitkeringen aan inwoners krijgt meer intieme gegevens te zien dan de stagiair die bijhoudt hoevéél mensen een uitkering krijgen van de gemeente. Het BKWI kan hierbij advies geven, maar is daartoe niet

In Den Bosch hebben toegang tot Suwinet. Dat is niet de bedoeling: officieel is Suwinet bedoeld om uitkeringsaanvragen te beoordelen en die vallen niet onder de Wet maatschappelijke ondersteuning. Daarmee overtreedt de gemeente Den Bosch de Wet bescherming persoonsgegevens, zo constateerde het CBP.

Het bevreemdt ons dat het Rijk de gemeenten dergelijke opdrachten geeft, maar het vervolgens onmogelijk maakt om die in de praktijk uit te voeren

Ingewijden vertellen De Correspondent dat Den Bosch niet de enige gemeente is waar Wmo-consulenten toegang hebben tot Suwinet. Het is begrijpelijk, zeggen ze, want hoewel het niet mag, maakt het inzien van persoonsgegevens via Suwinet het werk van deze consulenten een stuk gemakkelijker. Bij de gemeente Den Bosch zijn de Wmo-consulenten verantwoordelijk voor de aanvraag van bijzondere bijstand en hebben ze in die hoedanigheid toegang tot Suwinet. Dat betekent dat de consulenten Suwinet slechts voor een deel van hun werkzaamheden mogen gebruiken. Voor het andere deel – het beoordelen van Wmo-aanvragen – zouden de ambtenaren de persoonsgegevens van burgers direct bij die inwoners zelf moeten opvragen.

Een woordvoerder van de gemeente Den Bosch stelt dat de gemeente in het kader van de decentralisaties werkt met een ‘integrale aanpak.’ Dat is gemeentetaal voor het tegelijk aanpakken van meerdere problemen, zoals het toekennen van thuishulp (via de Wmo) en het toekennen van bijstand (per 2015 via de aangepaste Bijstandswet). Het valt te betwisten of dit een goede reden is om de persoonsgegevens in Suwinet breder te gebruiken dan officieel is toegestaan.

Maar, zo geeft de woordvoerder aan, de opdracht van het Rijk was om bij de decentralisaties de aanpak van ‘één gezin, één plan, één regisseur’ te gebruiken. ‘De werkwijze die door onze Wmo-medewerkers wordt gehanteerd is geheel volgens opdracht. Het bevreemdt ons dat het Rijk de gemeenten dergelijke opdrachten geeft, maar het vervolgens onmogelijk maakt om die in de praktijk uit te voeren.’

Het splitsen van de werkzaamheden van de Wmo-consulenten zou in een grote gemeente misschien mogelijk zijn, maar is in een kleinere gemeente als Den Bosch onwerkbaar als er ‘integraal’ gewerkt moet worden, zo stelt ze.

De Suwinet-cyclus

En zo zullen ook deze rapporten over de rammelende beveiliging van Suwinet geen verandering brengen in de praktijk. Eerder vertelden ingewijden aan De Correspondent dat ieder nieuw rapport over Suwinet vol schokkende feiten staat. Maar die rapporten verdwijnen vaak weer in een la. Het opstellen van betere beveiligingsplannen, het formuleren van een procedure om autorisaties voor het gebruik van Suwinet beter te regelen, of zelfs het afschaffen van Suwinet-Inlezen: dit alles betekent meer werk voor de gemeenten, terwijl ze hun werkzaamheden zélf daarna minder efficiënt kunnen uitvoeren. Het lijkt onmogelijk om de beveiliging van Suwinet te verbeteren, wanneer een deel van de redenen om die beveiliging met voeten te treden gevonden worden bij de opdrachten van het Rijk zelf.