Skip to main content

Suwinet: alertheid medewerkers is noodzaak!


‘Suwinet: verbetering zichtbaar, nog wel werk aan de winkel’, ‘Suwinet bij helft gemeenten nog onveilig’, ‘Suwinet bij 39 gemeenten nog onveilig’. De berichten in de media stapelen zich op. Aanleiding is dit keer het rapport ‘Veilig omgaan met elkaars gegevens’  dat staatsecretaris Jetta Klijnsma van Inspectie Sociale Zaken en Werkgelegenheid (SZW) onlangs aan de Tweede kamer heeft aangeboden. Hoeveel gemeenten is het dit jaar gelukt om er

er in te slagen Suwinet goed te beveiligen?

In de VNG-Resolutie ‘Randvoorwaarde voor de professionele gemeenten’ hebben gemeenten gezamenlijk afspraken gemaakt over informatiebeveiliging en het borgen van privacy. Zo moet elke gemeente de Baseline Informatiebeveiliging Gemeenten (BIG) als generiek normenkader implementeren. Onderdeel hiervan zijn ook de zeven Suwi-normen  waar elke gemeente aan moet voldoen. Suwinet, het systeem waarin de persoonlijke gegevens van burgers tussen gemeenten en uitvoeringsorganisatie worden gedeeld, bleek in het verleden al niet waterdicht. In 2013 is de Inspectie SZW daarom gestart om de informatieveiligheid van Suwinet bij de gemeenten te toetsen. Gelukkig worden er ieder jaar grote stappen gemaakt en wordt er steeds meer voldaan aan de gestelde eisen. Maar daarmee zijn we er nog niet…

Bergopwaarts

Het net gepresenteerde rapport 2015 is een vervolg op het rapport uit 2014, toen voldeed 17 procent van de gemeenten aan de eisen, en het rapport uit 2013 waarin slechts 4 procent van de gemeenten aan de eisen voldeed. Een opgaande lijn die ook in 2015 voortzet. Volgens het rapport, waar de bevindingen van september 2014 tot september 2015 in staan beschreven, voldoet 49 procent van de gemeenten aan de zeven essentiële beveiligingsnormen die voor Suwinet gelden. Meer dan een verdubbeling dus ten opzichte van het jaar ervoor. Maar hoe zit het met die andere 51 procent? De helft van de gemeenten heeft blijkbaar (nog steeds) moeite met het behalen van deze normen, en heeft dus een ‘onveilig Suwinet’ als je de krantenkoppen mag geloven. Uiteraard zijn deze resultaten anno juli 2016 niet meer representatief. Volgens de website van de Vereniging van Nederlandse Gemeenten (VNG) voldoet inmiddels 90 procent van de gemeenten aan deze normen. Wat wel betekent dat 36 gemeenten nog onvoldoende stappen heeft gezet.

Alertheid is noodzaak

Door de intensievere samenwerkingsvormen in het gemeentelijk domein verwerken we steeds meer informatie digitaal. Zo werken we steeds meer tijd-, plaats- en apparaat onafhankelijk. Bij deze vrijheden horen ook nieuwe verantwoordelijkheden. Burgers en bedrijven moeten er immers altijd op kunnen vertrouwen dat gemeenten zorgvuldig met (hun) informatie omgaan en deze goed beveiligen. Dit vergt een aanpak op zowel het vlak van techniek, maar wellicht nog veel belangrijker in het kader van Suwinet, van de mens. (Lees ook mijn eerdere blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’). Zo gebeuren veel ‘fouten’ door gemak, onoplettendheid of gebrek aan kennis en/of bewustzijn van medewerkers. Dit laatste lijkt nog onderbelicht bij veel gemeenten. De regels in een beveiligingsplan opnemen is één. Maar vervolgens moeten deze ook nageleefd worden en moeten medewerkers zich bewust zijn van de risico’s van het verkeerd omgaan met Suwinet. Daarvoor bestaan handige hulpmiddelen, bijvoorbeeld standaard of op maat gemaakte bewustwordingscampagnes met als doel het bewustzijn van collega’s te vergroten en het gedrag te veranderen.

Integrale borging

Ondanks de hogere scores blijkt echter uit het onderzoek dat er slechts bij enkele gemeenten sprake is van een gedragsverandering in het denken en omgaan met het gebruik van Suwinet en de beveiliging hiervan. Bij ruim een kwart van de gemeenten wordt er pas gestart met gerichte acties op het moment dat het onderzoek bekend wordt gemaakt. Waarbij er vaak alleen wordt gekeken naar de zeven normen waarop getoetst wordt. In dat geval komen de overige beveiligingsnormen niet of nauwelijks aan bod. Tevens scoren sommige gemeenten slechter dan het jaar daarvoor. Iets wat niet gebeurt als je hier binnen je gemeente continu aandacht aan besteedt. Als gemeente moet je informatieveiligheid integraal en gemeente-breed aanpakken. De ketting is immers zo sterk als de zwakste schakel… Het moet landen en structureel geborgd worden binnen de gemeente. Doe je dit niet? Dan wordt het een ‘moetje’. Er is dus werk aan de winkel!

ENSIA

Naast dat gemeenten zelf aan de slag moeten om de alertheid onder medewerkers te vergroten, worden gemeenten tegemoet gekomen door het terugdringen van de audit- en verantwoordingslast. Als gemeente ben je verplicht om jaarlijks audits uit te laten voeren. Deze verschillende audits benaderen het onderwerp informatieveiligheid steeds vanuit een net iets ander perspectief. Daarnaast zijn de audits gedeeltelijk vaak overlappend. De komst van ENSIA (Eenduidige Normatiek Single Information) moet hier verbetering in gaan brengen. Gemeenten zijn dan minder tijd kwijt aan audits. Ook hiervoor geldt dat je dit proces goed moet inrichten binnen je gemeente wil je hier ook daadwerkelijk efficiency uithalen. Bereid je dus tijdig voor.

100 procent veiligheid bestaat niet, maar continu aandacht hiervoor zou toch minimaal de basis moeten zijn binnen elke gemeente.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…