Beveiliging Suwinet verbeterd na onderzoek Autoriteit Persoonsgegevens
Persbericht: Gemeenten hebben na onderzoek van de Autoriteit Persoonsgegevens de beveiliging van persoonsgegevens die met Suwinet worden uitgewisseld verbeterd. Dat concludeert de Autoriteit Persoonsgegevens na onderzoek bij 13 gemeenten. “ Een aantal gemeenten voldoet nu aan de onderzochte normen. Maar we zien ook gemeenten waar het nog steeds niet goed gaat”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. “Hoe positief de ontwikkeling op sommige plaatsen ook is, het is onacceptabel dat elders het risico blijft bestaan dat gegevens in verkeerde handen komen. Als dit niet verandert, is het onvermijdelijk dat wij gaan handhaven”.
Beveiligingsplan en toegangsrechten
De Autoriteit Persoonsgegevens heeft onderzocht of de gemeenten voldoen aan de belangrijkste beveiligingsnormen. Zo moet er een door het management goedgekeurd beveiligingsplan zijn voor Suwinet, moeten de toegangsrechten goed zijn geregeld in een formele procedure en moet het gebruik van Suwinet worden gecontroleerd.
Twee van de onderzochte gemeenten, Delft en Eindhoven, voldoen inmiddels aan de onderzochte wettelijke vereisten voor de beveiliging van Suwinet. Andere gemeenten voldeden bij sluiting van het onderzoek niet aan alle onderzochte eisen. Zo ontbrak het bij een aantal onderzochte gemeenten aan een formele autorisatieprocedure waarin is beschreven hoe toegangsrechten worden toegekend, gewijzigd en beëindigd. Tomesen: “Daarmee stel je vast wie wel en vooral ook wie niet bij deze gevoelige gegevens mogen”. Verder was er bij sommige gemeenten geen beveiligingsplan specifiek voor Suwinet. Andere gemeenten hebben wel een beveiligingsplan, maar droegen dit onvoldoende uit in de organisatie of evalueerden het plan niet.
Onderzochte gemeenten
De Autoriteit Persoonsgegevens heeft onderzoek gedaan bij de gemeenten Delft, Eindhoven, Enschede, Nunspeet, Zutphen, Baarle-Nassau, Brielle, Brummen, Heerenveen, Midden-Drenthe, Moerdijk, Werkendam en Woudenberg.
Een aantal gemeenten heeft na het onderzoek maatregelen getroffen of aangekondigd maatregelen te nemen om de resterende overtredingen te beëindigen. De Autoriteit Persoonsgegevens zal de komende tijd beoordelen of de gemeenten de overtredingen hebben beëindigd en kan zonodig handhavende maatregelen inzetten.