Skip to main content

De donker wordende wolk Suwinet


De afgelopen weken was er veel aandacht voor Suwinet. Aanleiding was het door de Inspectie SWZ (Ministerie van Sociale Zaken en Werkgelegenheid) gepubliceerde rapport over de informatie-uitwisseling binnen de Suwinet keten. Dat rapport, genaamd ‘Suwinet – veilig omgaan met elkaar gegevens’ werd op 4 juni openbaar gemaakt. De presentatie van de Inspectie SWZ vind je hier. Vandaag een poging deze voor gemeente steeds donker wordende wolk

genaamd Suwinet te verklaren. Is het terecht dat de wolken zich samenpakken?

Kamerbrief Klijnsma

De bijbehorende kamerbrief schetst alvast wat context. Allereerst is het vermeldenswaardig dat gemeenten die hun informatiebeveiligingsbeleid conform de Baseline Informatiebeveiliging Gemeenten (BIG) opgesteld hebben, niet per sé voldoen aan de Suwinet norm 1.3 (zie verderop). De wet SUWI houdt namelijk geen rekening met een overkoepelende norm als de BIG. Je dient dus óf een apart SUWI-beleid te hebben, wat het tegenovergestelde is van het doel van ENSIA, óf expliciet te benoemen dat het informatiebeveiligingsbeleid ook van toepassing is op SUWI. Dat laatste kan in één zin en lijkt me makkelijker. Maar zeker niet iedere gemeenten heeft dit gedaan.

Belangrijk te weten verder is dat het onderzoek een herhaling van het onderzoek uit 2013 is. Destijds uitgevoerd door de Inspectie Werk & Inkomen. In 2013 werden er 80 gemeenten getoetst en in 2014 waren dat er 78. Van dit totaal zaten 43 gemeenten in beide steekproeven.

Het tweede deel van de brief is erg duidelijk over de teleurstellende verbetering. De Inspectie SZW adviseert een nieuw onderzoek in 2016 en bereidt een escalatieprotocol voor (lees: afsluiten Suwinet). Suwinet is 15 jaar oud en haar belang is alleen maar toegenomen door de verdergaande digitalisering en ketensamenwerking.

7 Suwinet normen

Allicht goed om eerst eens stil te staan bij deze Suwinet normen. Het zijn er zeven en je vindt ze hieronder (en ook hier). De IBD heeft de 7 normen ook ‘gemapped’ met de corresponderende BIG-maatregelen. Daar kan je meer over lezen in dit artikel over de Eenduidige Normatiek Single Information Audit (ENSIA).

1.3 Beveiligingsbeleid en -plan

De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan is het actieprogramma dat het beveiligingsbeleid moet omzetten in daden, door de inzet van mensen en middelen. (lees meer / bron)

1.4 Uitdragen beleid en plan

De gemeente draagt op reguliere basis het beveiligingsbeleid en -plan uit. (lees meer / bron)

1.5 Actualiseren van beleid en plan (PDCA)

De gemeente evalueert op reguliere basis beveiligingsbeleid en -plan. (lees meer / bron)

2.2 Functiescheiding

De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinetgegevens, -applicaties,
-processen en -infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. (lees meer / bron)

2.3 Aanstellen Security Officer

De Security Officer beheert en beheerst beveiligingsprocedures en -maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. (lees meer / bron)

13.1 Autorisatiestructuur

De organisatie autoriseert en registreert de toegang die gebruikers hebben tot de Suwinet applicaties op basis van een formele procedure. (lees meer / bron)

13.5 Controle

De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. (lees meer / bron)

Het gevoel dat mij bekruipt is dat met bovenstaande geen onrealistische dingen worden verwacht van gemeenten. De eerste drie tik je al binnen met het hebben, uitdragen en actualiseren van een informatiebeveiligingsbeleid en -plan. Stel vervolgens een verantwoordelijke hierover aan in de vorm van een Security Officer en je hebt de vierde norm ook binnen. Stel vervolgens een procedure op voor gebruikers die toegang tot Suwinet applicaties nodig hebben en beleg de taken, verantwoordelijkheden en bevoegdheden zo dat functiescheiding geborgd is. Daarmee voldoe je ook aan norm 2.2 en 13.1. Loop tot slot eens per kwartaal de toegangsrechten na en je hebt 13.5 ook.

Met de zelftest van de VNG krijg je snel inzicht in de stand van zaken. In de bijlage zijn de 7 normen gekoppeld aan hun BIG equivalent.

Verantwoordingsrichtlijn GeVS

De 7 normen uit het onderzoek hebben geen oplopende nummering omdat ze een subset vormt uit de Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS). Het gehele normenkader vind je hier (p.40 en verder) en bestaat uit 22 hoofdstukken en 115 normen. De GeVS stamt uit 2002, maar de laatste versie van de norm is van 2011.

Het toetsingskader van het onderzoek door de Inspectie SWZ is erg smal wanneer vergeleken met het totaal. De 7 normen maken onderdeel uit van het totale normenkader GeVS wat op zichzelf onderdeel uitmaakt van de Verantwoordingsrichtlijn GeVS. Die valt onder de regeling SUWI, welke valt onder het besluit SUWI welke tot slot dan weer valt onder de wet SUWI. Daarnaast heeft het onderzoek alleen betrekking op het centrale deel van de GeVS (interne systeembeheer), niet op het decentrale deel (ketenpartners).

Resultaten en beloftes

In 2013 voldeed 4% van de gemeenten aan alle zeven Suwinet-normen en in 2015 was dat 17%. Het gemiddelde aantal normen waaraan een gemeende voldeed steeg van 2,4 in 2013 naar 3,9 in 2014. De 43 gemeenten die in beide steekproeven zaten toonden een vooruitgang van 2,4 naar 4,7 normen gemiddeld. Gemeenten die aan geen van de 7 normen voldoen zijn direct door de Inpectie gemeld aan het CBP. Voor verdere details verwijs ik graag door naar het rapport zelf. Na het bekend worden van de resultaten in zowel 2013 als 2015 wordt veel moois beloofd:

  • Naar aanleiding van het onderzoek in 2013 publiceerde de VNG ‘Naar veiliger gebruik van Suwinet
  • Het begin februari 2014 opgerichte Opdrachtgeversberaad kwam in oktober 2014 met het Programmaplan ‘Borging veilig gegevensuitwisseling via Suwinet’
  • In april 2014 is een Privacy Impact Assessment uitgevoerd op Suwinet als onderdeel van dit programmaplan
  • De VNG heeft het onderwerp informatieveiligheid toegevoegd aan het dashboard op www.waarstaatjegemeenten.nl

In het algemeen heb ik het gevoel dat de inzette lijn vanuit het programmaplan wordt gevolgd, ondanks de slecht ontvangen uitkomsten van het onderzoek uit 2014.

Tweede Kamer

Begin juni stuurde de Inspectie SWZ haar rapportage naar de Tweede Kamer. De VNG voorziet de reactie en verwoordt hier politiek:

Het ministerie beoordeelt de verbetering als positief, maar onvoldoende. De VNG deelt deze opvatting.

Uit de ledenpeiling ’14 en ’15 blijkt zelfs dat bij een aantal normen het percentage gemeenten dat voldoet is afgenomen. De Tweede Kamer reageert inderdaad zeer kritisch en neemt drie moties aan. Je kan er meer over lezen op deze pagina van de VNG. In het kort hebben deze moties de volgende implicaties:

  • Er komt een nieuw inspectieonderzoek onder alle gemeenten. Het onderzoek start op 1 september, de opzet is gelijk aan het vorige onderzoek.
  • Bij een onvoldoende score kan het ministerie van SZW een escalatieprotocol in werking laten treden (lees: afsluiting Suwinet).
  • De Inspectie SZW kan een lage scoren melden aan het College Bescherming Persoonsgegevens (net zoals ze dat al deed).

Het lijkt menens te worden, nu echt. De VNG adviseert gemeenten zich goed voor te bereiden op het komende onderzoek van de Inspectie SWZ. Dit enerzijds door de informatieverstrekking vanuit de VNG, IBD en het BKWI nauwgezet te volgen, anderzijds door alvast een aantal concrete maatregelen te nemen. Het stappenplan uit 2014 is ook nog onverkort actueel. Soort van een gewaarschuwd mens telt voor twee. Ondanks de eerdere inzet van de VNG op verbetering (de ledenbrief nav onderzoek 2013) is een noemenswaardige verbetering in 2014 uitgebleven.

Conclusie

Dat de onheilspellende wolk boven de gemeenten steeds donkerder wordt mag duidelijk zijn na het lezen van dit artikel. Persoonlijk denk ik dat dit ook volkomen terecht is. Suwinet bestaat al jaren en gemeenten hebben al jaren de tijd gehad de organisatie en het gebruik goed in te richten, maar hebben dat op grote schaal verzuimd. Het onderzoek uit 2013 bracht nogal wat teweeg en de verbetering in 2014 is marginaal gebleken. Het komende onderzoek, driemaal is immers scheepsrecht, moet de definitieve stand van zaken opmaken.

Daarnaast kan je de Inspectie SWZ volgens mij niet verwijten dat ze een onredelijk toetsingskader hanteren. Zowel niet in kwantitatieve zin, het gaat immers om slechts 7 normen uit een totale set van 26 als ‘essentieel’ aangemerkte normen in de GeVS, als in kwalitatieve zin omdat het diepgang en de scope van het onderzoek zeer operationeel van aard is. Het toetsingskader, ofwel: de 7 normen, zijn eenduidig en hangen sterk met elkaar samen.

De bal ligt (nog steeds) bij de gemeenten. De VNG roept gemeenten daarom op goed mee te werken aan het onderzoek. In deze brief kan je lezen hoe je dat kunt doen. En anders geldt (denk ik): wie niet luisteren wil, moet maar voelen.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…