De afgelopen weken was er veel aandacht voor Suwinet. Aanleiding was het door de Inspectie SWZ (Ministerie van Sociale Zaken en Werkgelegenheid) gepubliceerde rapport over de informatie-uitwisseling binnen de Suwinet keten. Dat rapport, genaamd ‘Suwinet – veilig omgaan met elkaar gegevens’ werd op 4 juni openbaar gemaakt. De presentatie van de Inspectie SWZ vind je hier. Vandaag een poging deze voor gemeente steeds donker wordende wolk

genaamd Suwinet te verklaren. Is het terecht dat de wolken zich samenpakken?

Kamerbrief Klijnsma

De bijbehorende kamerbrief schetst alvast wat context. Allereerst is het vermeldenswaardig dat gemeenten die hun informatiebeveiligingsbeleid conform de Baseline Informatiebeveiliging Gemeenten (BIG) opgesteld hebben, niet per sé voldoen aan de Suwinet norm 1.3 (zie verderop). De wet SUWI houdt namelijk geen rekening met een overkoepelende norm als de BIG. Je dient dus óf een apart SUWI-beleid te hebben, wat het tegenovergestelde is van het doel van ENSIA, óf expliciet te benoemen dat het informatiebeveiligingsbeleid ook van toepassing is op SUWI. Dat laatste kan in één zin en lijkt me makkelijker. Maar zeker niet iedere gemeenten heeft dit gedaan.

Belangrijk te weten verder is dat het onderzoek een herhaling van het onderzoek uit 2013 is. Destijds uitgevoerd door de Inspectie Werk & Inkomen. In 2013 werden er 80 gemeenten getoetst en in 2014 waren dat er 78. Van dit totaal zaten 43 gemeenten in beide steekproeven.

Het tweede deel van de brief is erg duidelijk over de teleurstellende verbetering. De Inspectie SZW adviseert een nieuw onderzoek in 2016 en bereidt een escalatieprotocol voor (lees: afsluiten Suwinet). Suwinet is 15 jaar oud en haar belang is alleen maar toegenomen door de verdergaande digitalisering en ketensamenwerking.

7 Suwinet normen

Allicht goed om eerst eens stil te staan bij deze Suwinet normen. Het zijn er zeven en je vindt ze hieronder (en ook hier). De IBD heeft de 7 normen ook ‘gemapped’ met de corresponderende BIG-maatregelen. Daar kan je meer over lezen in dit artikel over de Eenduidige Normatiek Single Information Audit (ENSIA).

1.3 Beveiligingsbeleid en -plan

De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan is het actieprogramma dat het beveiligingsbeleid moet omzetten in daden, door de inzet van mensen en middelen. (lees meer / bron)

1.4 Uitdragen beleid en plan

De gemeente draagt op reguliere basis het beveiligingsbeleid en -plan uit. (lees meer / bron)

1.5 Actualiseren van beleid en plan (PDCA)

De gemeente evalueert op reguliere basis beveiligingsbeleid en -plan. (lees meer / bron)

2.2 Functiescheiding

De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinetgegevens, -applicaties,
-processen en -infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. (lees meer / bron)

2.3 Aanstellen Security Officer

De Security Officer beheert en beheerst beveiligingsprocedures en -maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. (lees meer / bron)

13.1 Autorisatiestructuur

De organisatie autoriseert en registreert de toegang die gebruikers hebben tot de Suwinet applicaties op basis van een formele procedure. (lees meer / bron)

13.5 Controle

De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. (lees meer / bron)

Het gevoel dat mij bekruipt is dat met bovenstaande geen onrealistische dingen worden verwacht van gemeenten. De eerste drie tik je al binnen met het hebben, uitdragen en actualiseren van een informatiebeveiligingsbeleid en -plan. Stel vervolgens een verantwoordelijke hierover aan in de vorm van een Security Officer en je hebt de vierde norm ook binnen. Stel vervolgens een procedure op voor gebruikers die toegang tot Suwinet applicaties nodig hebben en beleg de taken, verantwoordelijkheden en bevoegdheden zo dat functiescheiding geborgd is. Daarmee voldoe je ook aan norm 2.2 en 13.1. Loop tot slot eens per kwartaal de toegangsrechten na en je hebt 13.5 ook.

Met de zelftest van de VNG krijg je snel inzicht in de stand van zaken. In de bijlage zijn de 7 normen gekoppeld aan hun BIG equivalent.

Verantwoordingsrichtlijn GeVS

De 7 normen uit het onderzoek hebben geen oplopende nummering omdat ze een subset vormt uit de Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS). Het gehele normenkader vind je hier (p.40 en verder) en bestaat uit 22 hoofdstukken en 115 normen. De GeVS stamt uit 2002, maar de laatste versie van de norm is van 2011.

Het toetsingskader van het onderzoek door de Inspectie SWZ is erg smal wanneer vergeleken met het totaal. De 7 normen maken onderdeel uit van het totale normenkader GeVS wat op zichzelf onderdeel uitmaakt van de Verantwoordingsrichtlijn GeVS. Die valt onder de regeling SUWI, welke valt onder het besluit SUWI welke tot slot dan weer valt onder de wet SUWI. Daarnaast heeft het onderzoek alleen betrekking op het centrale deel van de GeVS (interne systeembeheer), niet op het decentrale deel (ketenpartners).

Resultaten en beloftes

In 2013 voldeed 4% van de gemeenten aan alle zeven Suwinet-normen en in 2015 was dat 17%. Het gemiddelde aantal normen waaraan een gemeende voldeed steeg van 2,4 in 2013 naar 3,9 in 2014. De 43 gemeenten die in beide steekproeven zaten toonden een vooruitgang van 2,4 naar 4,7 normen gemiddeld. Gemeenten die aan geen van de 7 normen voldoen zijn direct door de Inpectie gemeld aan het CBP. Voor verdere details verwijs ik graag door naar het rapport zelf. Na het bekend worden van de resultaten in zowel 2013 als 2015 wordt veel moois beloofd:

• Naar aanleiding van het onderzoek in 2013 publiceerde de VNG ‘Naar veiliger gebruik van Suwinet‘
• Het begin februari 2014 opgerichte Opdrachtgeversberaad kwam in oktober 2014 met het Programmaplan ‘Borging veilig gegevensuitwisseling via Suwinet’
• In april 2014 is een Privacy Impact Assessment uitgevoerd op Suwinet als onderdeel van dit programmaplan
• De VNG heeft het onderwerp informatieveiligheid toegevoegd aan het dashboard op www.waarstaatjegemeenten.nl

In het algemeen heb ik het gevoel dat de inzette lijn vanuit het programmaplan wordt gevolgd, ondanks de slecht ontvangen uitkomsten van het onderzoek uit 2014.

Tweede Kamer

Begin juni stuurde de Inspectie SWZ haar rapportage naar de Tweede Kamer. De VNG voorziet de reactie en verwoordt hier politiek:

Het ministerie beoordeelt de verbetering als positief, maar onvoldoende. De VNG deelt deze opvatting.

Uit de ledenpeiling ’14 en ’15 blijkt zelfs dat bij een aantal normen het percentage gemeenten dat voldoet is afgenomen. De Tweede Kamer reageert inderdaad zeer kritisch en neemt drie moties aan. Je kan er meer over lezen op deze pagina van de VNG. In het kort hebben deze moties de volgende implicaties:

• Er komt een nieuw inspectieonderzoek onder alle gemeenten. Het onderzoek start op 1 september, de opzet is gelijk aan het vorige onderzoek.
• Bij een onvoldoende score kan het ministerie van SZW een escalatieprotocol in werking laten treden (lees: afsluiting Suwinet).
• De Inspectie SZW kan een lage scoren melden aan het College Bescherming Persoonsgegevens (net zoals ze dat al deed).

Het lijkt menens te worden, nu echt. De VNG adviseert gemeenten zich goed voor te bereiden op het komende onderzoek van de Inspectie SWZ. Dit enerzijds door de informatieverstrekking vanuit de VNG, IBD en het BKWI nauwgezet te volgen, anderzijds door alvast een aantal concrete maatregelen te nemen. Het stappenplan uit 2014 is ook nog onverkort actueel. Soort van een gewaarschuwd mens telt voor twee. Ondanks de eerdere inzet van de VNG op verbetering (de ledenbrief nav onderzoek 2013) is een noemenswaardige verbetering in 2014 uitgebleven.

Conclusie

Dat de onheilspellende wolk boven de gemeenten steeds donkerder wordt mag duidelijk zijn na het lezen van dit artikel. Persoonlijk denk ik dat dit ook volkomen terecht is. Suwinet bestaat al jaren en gemeenten hebben al jaren de tijd gehad de organisatie en het gebruik goed in te richten, maar hebben dat op grote schaal verzuimd. Het onderzoek uit 2013 bracht nogal wat teweeg en de verbetering in 2014 is marginaal gebleken. Het komende onderzoek, driemaal is immers scheepsrecht, moet de definitieve stand van zaken opmaken.

Daarnaast kan je de Inspectie SWZ volgens mij niet verwijten dat ze een onredelijk toetsingskader hanteren. Zowel niet in kwantitatieve zin, het gaat immers om slechts 7 normen uit een totale set van 26 als ‘essentieel’ aangemerkte normen in de GeVS, als in kwalitatieve zin omdat het diepgang en de scope van het onderzoek zeer operationeel van aard is. Het toetsingskader, ofwel: de 7 normen, zijn eenduidig en hangen sterk met elkaar samen.

De bal ligt (nog steeds) bij de gemeenten. De VNG roept gemeenten daarom op goed mee te werken aan het onderzoek. In deze brief kan je lezen hoe je dat kunt doen. En anders geldt (denk ik): wie niet luisteren wil, moet maar voelen.