Skip to main content

Suwinet: alertheid medewerkers is noodzaak!


‘Suwinet: verbetering zichtbaar, nog wel werk aan de winkel’, ‘Suwinet bij helft gemeenten nog onveilig’, ‘Suwinet bij 39 gemeenten nog onveilig’. De berichten in de media stapelen zich op. Aanleiding is dit keer het rapport ‘Veilig omgaan met elkaars gegevens’  dat staatsecretaris Jetta Klijnsma van Inspectie Sociale Zaken en Werkgelegenheid (SZW) onlangs aan de Tweede kamer heeft aangeboden. Hoeveel gemeenten is het dit jaar gelukt om er

er in te slagen Suwinet goed te beveiligen?

In de VNG-Resolutie ‘Randvoorwaarde voor de professionele gemeenten’ hebben gemeenten gezamenlijk afspraken gemaakt over informatiebeveiliging en het borgen van privacy. Zo moet elke gemeente de Baseline Informatiebeveiliging Gemeenten (BIG) als generiek normenkader implementeren. Onderdeel hiervan zijn ook de zeven Suwi-normen  waar elke gemeente aan moet voldoen. Suwinet, het systeem waarin de persoonlijke gegevens van burgers tussen gemeenten en uitvoeringsorganisatie worden gedeeld, bleek in het verleden al niet waterdicht. In 2013 is de Inspectie SZW daarom gestart om de informatieveiligheid van Suwinet bij de gemeenten te toetsen. Gelukkig worden er ieder jaar grote stappen gemaakt en wordt er steeds meer voldaan aan de gestelde eisen. Maar daarmee zijn we er nog niet…

Bergopwaarts

Het net gepresenteerde rapport 2015 is een vervolg op het rapport uit 2014, toen voldeed 17 procent van de gemeenten aan de eisen, en het rapport uit 2013 waarin slechts 4 procent van de gemeenten aan de eisen voldeed. Een opgaande lijn die ook in 2015 voortzet. Volgens het rapport, waar de bevindingen van september 2014 tot september 2015 in staan beschreven, voldoet 49 procent van de gemeenten aan de zeven essentiële beveiligingsnormen die voor Suwinet gelden. Meer dan een verdubbeling dus ten opzichte van het jaar ervoor. Maar hoe zit het met die andere 51 procent? De helft van de gemeenten heeft blijkbaar (nog steeds) moeite met het behalen van deze normen, en heeft dus een ‘onveilig Suwinet’ als je de krantenkoppen mag geloven. Uiteraard zijn deze resultaten anno juli 2016 niet meer representatief. Volgens de website van de Vereniging van Nederlandse Gemeenten (VNG) voldoet inmiddels 90 procent van de gemeenten aan deze normen. Wat wel betekent dat 36 gemeenten nog onvoldoende stappen heeft gezet.

Alertheid is noodzaak

Door de intensievere samenwerkingsvormen in het gemeentelijk domein verwerken we steeds meer informatie digitaal. Zo werken we steeds meer tijd-, plaats- en apparaat onafhankelijk. Bij deze vrijheden horen ook nieuwe verantwoordelijkheden. Burgers en bedrijven moeten er immers altijd op kunnen vertrouwen dat gemeenten zorgvuldig met (hun) informatie omgaan en deze goed beveiligen. Dit vergt een aanpak op zowel het vlak van techniek, maar wellicht nog veel belangrijker in het kader van Suwinet, van de mens. (Lees ook mijn eerdere blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’). Zo gebeuren veel ‘fouten’ door gemak, onoplettendheid of gebrek aan kennis en/of bewustzijn van medewerkers. Dit laatste lijkt nog onderbelicht bij veel gemeenten. De regels in een beveiligingsplan opnemen is één. Maar vervolgens moeten deze ook nageleefd worden en moeten medewerkers zich bewust zijn van de risico’s van het verkeerd omgaan met Suwinet. Daarvoor bestaan handige hulpmiddelen, bijvoorbeeld standaard of op maat gemaakte bewustwordingscampagnes met als doel het bewustzijn van collega’s te vergroten en het gedrag te veranderen.

Integrale borging

Ondanks de hogere scores blijkt echter uit het onderzoek dat er slechts bij enkele gemeenten sprake is van een gedragsverandering in het denken en omgaan met het gebruik van Suwinet en de beveiliging hiervan. Bij ruim een kwart van de gemeenten wordt er pas gestart met gerichte acties op het moment dat het onderzoek bekend wordt gemaakt. Waarbij er vaak alleen wordt gekeken naar de zeven normen waarop getoetst wordt. In dat geval komen de overige beveiligingsnormen niet of nauwelijks aan bod. Tevens scoren sommige gemeenten slechter dan het jaar daarvoor. Iets wat niet gebeurt als je hier binnen je gemeente continu aandacht aan besteedt. Als gemeente moet je informatieveiligheid integraal en gemeente-breed aanpakken. De ketting is immers zo sterk als de zwakste schakel… Het moet landen en structureel geborgd worden binnen de gemeente. Doe je dit niet? Dan wordt het een ‘moetje’. Er is dus werk aan de winkel!

ENSIA

Naast dat gemeenten zelf aan de slag moeten om de alertheid onder medewerkers te vergroten, worden gemeenten tegemoet gekomen door het terugdringen van de audit- en verantwoordingslast. Als gemeente ben je verplicht om jaarlijks audits uit te laten voeren. Deze verschillende audits benaderen het onderwerp informatieveiligheid steeds vanuit een net iets ander perspectief. Daarnaast zijn de audits gedeeltelijk vaak overlappend. De komst van ENSIA (Eenduidige Normatiek Single Information) moet hier verbetering in gaan brengen. Gemeenten zijn dan minder tijd kwijt aan audits. Ook hiervoor geldt dat je dit proces goed moet inrichten binnen je gemeente wil je hier ook daadwerkelijk efficiency uithalen. Bereid je dus tijdig voor.

100 procent veiligheid bestaat niet, maar continu aandacht hiervoor zou toch minimaal de basis moeten zijn binnen elke gemeente.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Informatiebeveiliging vraagt om gedragsverandering

Gedrag verandert niet door kennisoverdracht alleen. Het draait om de dagelijkse keuzes die medewerkers maken. Goede informatiebeveiliging vraagt daarom om gedragsverandering, en uiteindelijk om een cultuurverandering binnen de organisatie.

Waarom interne audits voor privacy leiden tot verbeteringen

Privacy staat hoog op de agenda bij gemeenten. In deze blog leggen we uit waarom interne audits zo belangrijk zijn en hoe je ze praktisch kunt inrichten.

Wat betekent de AI-verordening voor informatiebeveiliging bij gemeenten?

Het gebruik van AI neemt in rap tempo toe. Wat betekent dat voor je informatiebeveiliging als gemeente?

De 5 meest gemaakte fouten in verwerkersovereenkomsten

: Een van de belangrijkste eisen uit de AVG is het afsluiten van een verwerkersovereenkomst wanneer je persoonsgegevens door een externe partij laat verwerken. In de praktijk gaat dat echter nog vaak mis. Verwerkersovereenkomsten zijn te vaag, onv…

Veiligheid begint met inzicht: zo geef je kwetsbaarhedenbeheer vorm

Het is belangrijk om kwetsbaarheden niet ad hoc, maar structureel aan te pakken. Niet alleen binnen je eigen ICT-omgeving, maar ook daarbuiten. In deze blog leggen we uit wat kwetsbaarhedenbeheer is, waarom het zo belangrijk is en hoe je het goed …

Hoe interne audits leiden tot verbetering

Informatiebeveiliging en privacy zijn essentieel, vooral voor gemeenten die werken met gevoelige gegevens en kritieke processen. Risicobeheer, naleving van wetgeving en continue verbetering zijn hierbij onmisbaar. Naast IT- en security-experts spe…