Wetsvoorstel melding datalekken aangenomen door Eerste Kamer

Den Haag, 10 februari 2015 – het op 17 juni 2013 ingediende wetsvoorstel ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’ is vandaag door de Eerste Kamer met algemene stemmen aangenomen.

Het wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.

Deze samenvatting is gebaseerd op het wetsvoorstel en de memorie van toelichting zoals ingediend bij de Tweede Kamer.

Gemeenten zijn geen goede databeveiligers

Den Haag – 18-08-’14; NRC heeft bij 50 gemeenten onderzocht in hoeverre zij klaar zijn voor de decentralisatie van zorgtaken.

Gemeenten worden vanaf 1 januari 2015 verantwoordelijk voor de zorg aan burgers. Denk aan ouders met een probleemkind, een chronisch gehandicapte die een aangepast bed nodig heeft of een bejaarde die thuiszorg wil. Ze doen dit in wijkteams, die ‘dichtbij de burger’ zorg leveren of doorverwijzen naar specialisten. Deze teams krijgen onder meer persoonsgegevens, medische dossiers, details over schulden, relatieproblemen en huiselijk geweld. Gemeenten moeten deze informatie opslaan en verwerken.

Risico is dat gevoelige informatie over ziekte, schulden of psychiatrische achtergrond te makkelijk wordt gedeeld in vergaderingen van de wijkteams. Maar het kan ook anders misgaan: een ambtenaar die als enige in de gemeente toestemming heeft om in computersystemen naar privacygevoelige informatie van burgers te zoeken, maar die zijn uitgeprinte dossiers vervolgens bij de printer laat rondslingeren. Ambtenaren die passwords op een post-it schrijven en die naast hun scherm plakken. Hoe dan ook komen stads- of dorpsgenoten meer over elkaar te weten dan voorheen. Uit onderzoek van de NRC bleek dat veel gemeenten nog onvoldoende zijn voorbereid op dat gevaar.

Bron: NRC Handelsblad,16 en 18 augustus 2014
Lees de complete artikelen hier: artikel NRC 16 augustus 2014 en artikel NRC 18 augustus 2014

Gemeenten laks met beveiliging Suwinet

Den Haag, 11 november 2013: Inspectie SZW stelt vast dat de beveiliging van Suwinet door gemeenten niet op orde is

Bij het onderzoek van de inspectie SZW is vastgesteld dat mMaar 4 procent van de gemeenten voor het opvragen van persoonsgegevens via Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen enkele van de onderzochte normen voor informatiebeveiliging. Dit concludeert de Inspectie SZW in haar rapport ‘De burger bediend in 2013/Veilig gebruik Suwinet’ over informatiebeveiliging bij gemeenten. Staatssecretaris Klijnsma van Sociale Zaken en Werkgelegenheid zegt geschokt te zijn en heeft een aantal maatregelen aangekondigd.

Gemeenten, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Het gaat daarbij onder meer om inkomsten, uitkeringsgegevens, autobezit en diplomagegevens en examenresultaten. In het rapport oordeelt de Inspectie SZW van het ministerie van Sociale Zaken en Werkgelegenheid dat de beveiliging van Suwinet door gemeenten ondanks diverse inspanningen nog steeds onder de maat is; het gebrek aan beveiliging van persoonsgegevens bij het gebruik van Suwinet-Inkijk acht de Inspectie bovendien zorgwekkend. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld. Ongeveer 80 procent van de gegevens wordt bekeken in Suwinet-Inkijk.

Geen goede reden
De Inspectie heeft de zeven belangrijkste door gemeenten te treffen maatregelen onderzocht, die moeten voorkomen dat persoonsgegevens van burgers worden geraadpleegd zonder dat daarvoor een goede reden is. Deze maatregelen gaan over het beveiligingsbeleid, de organisatie van de beveiliging en het controleren van door medewerkers opgevraagde persoonsgegevens. Maar 4 procent van de gemeenten voldoet aan alle zeven normen en 13 procent van de gemeenten voldoet aan geen enkele norm. In totaal voldoet 76 procent van de gemeenten aan drie of minder normen.

Een duidelijk signaal is dat de Inspectie tijdens het onderzoek geconstateerd heeft dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. De inspectie hanteerde voor deze controle een beperkte lijst met honderd willekeurig geselecteerde bekende Nederlanders. In werkelijkheid zijn er enkele duizenden bekende Nederlanders van wie gegevens via Suwinet kunnen worden geraadpleegd.

Maatregelen
Staatssecretaris Klijnsma van SZW noemt de conclusies van de Inspectie zeer ernstig. ‘Het is onacceptabel dat de informatiebeveiliging rond de gegevensuitwisseling via Suwinet zo slecht op orde is. Ik vind dat gemeenten dit met de hoogste prioriteit moeten aanpakken. Net zoals bankmedewerkers niet zomaar rekeninggegevens van klanten mogen bekijken moet voor gemeenteambtenaren hetzelfde gelden. Het is onacceptabel dat er zonder noodzakelijke reden persoonlijke gegevens van mensen worden bekeken.’

De bewindsvrouw heeft inmiddels met de Vereniging Nederlandse Gemeenten (VNG) afgesproken dat snel wordt toegewerkt naar een zorgvuldig gebruik van via Suwinet uitgewisselde gegevens. Daarnaast heeft zij de volgende maatregelen genomen:

1. het College Bescherming Persoonsgegevens (CBP) is geïnformeerd over de resultaten van het inspectie-onderzoek. Het CBP heeft de mogelijkheid om gemeenten die niet voldoen aan de eisen van de WBP (Wet bescherming persoonsgegevens) een dwangsom op te leggen.

2. het laten uitzoeken of een tijdelijke sluiting van het leveren van gegevens aan gemeenten via Suwinet mogelijk is. Dit als passende maatregel om een zorgvuldig gegevensgebruik af te dwingen.

3. het maken van verdere afspraken met de VNG om een verantwoording over de informatiebeveiliging bij gemeenten wettelijk te verankeren. Inwoners moeten er op kunnen vertrouwen dat gemeenten de aan hen toevertrouwde gegevens zorgvuldig verwerken, aldus Klijnsma. Zij roept daarnaast gemeenteraden op hun colleges te controleren of de informatiebeveiliging ook daadwerkelijk op orde is.

4. het aan gemeenten vragen om heel snel alle benodigde stappen te zetten. Om gemeenten onder druk te zetten zal de Inspectie SZW in de eerste helft van 2015 onderzoeken of de informatiebeveiliging daadwerkelijk structureel is verbeterd.

Bron: http://www.computable.nl/artikel/nieuws/overheid/4923564/1277202/gemeenten-zijn-laks-met-beveiliging-suwinet.html#ixzz2kP7lUNgu

Lees hier meer over de diensten van Duijnborgh Audit m.b.t. Suwinet.

Gemeente Vlaardingen rondt als eerste DigiD assessment af

Vlaardingen, 18 juli 2013 – Duijnborgh Audit heeft het ICT-beveiligingsassessment bij de gemeente Vlaardingen afgerond. Op 18 juli werd de TPM door Jeroen Meulendijks van Duijnborgh Audit overhandigd aan Jeroen van der Vlies, CSO van de gemeente Vlaardingen. CISO van Vlaardingen.

Jeroen van der Vlies: “Dankzij het stappenplan van King en de optimale inzet van alle collega’s, onze leverancier en onze bekwame auditpartij zijn we in staat geweest om dit traject succesvol te doorlopen. Vlaardingen is één van de gemeenten die haar applicatie zelf in beheer heeft. Dat houdt in dat gemeente Vlaardingen ook een geslaagde penetratietest heeft laten uitvoeren. Middels de geslaagde penetratietest konden we besparen op de externe TPM-kosten van de leverancier.

Vlaardingen heeft de TPM inmiddels opgestuurd naar Logius.

Lees ook het nieuwsbericht op de website van KING: https://new.kinggemeenten.nl/informatiebeveiligingibd/nieuws/digid-gemeente-vlaardingen-rondt-als-eerste-ict

Tog Nederland geslaagd voor DigiD assessment

Veenendaal, 15 mei 2013 – Tog Nederland heeft als eerste leverancier met positief resultaat het ICT-beveiligingsassessment DigiD afgerond.

Duijnborgh Audit heeft op 15 mei aan de directie van Tog Nederland de Third Party Mededeling (TPM) overhandigd van de audit die is uitgevoerd in het kader van het DigiD beveiligingsassessment.

Tog Nederland toont hiermee als eerste leverancier aan dat haar webapplicatie, het WOZ-portaal, voldoet aan de eisen die Logius namens het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft opgesteld voor webapplicaties die een koppeling hebben met DigiD.

Het WOZ-Portaal is een webapplicatie die wordt gebruikt bij ruim 90 gemeenten in Nederland. Het WOZ-Portaal stelt de burger in staat zijn WOZ-gegevens te raadplegen. Vanwege de privacygevoelige informatie uitwisseling wordt vanzelfsprekend gebruik gemaakt van DigiD-authenticatie.

Lees ook het nieuwsbericht op de site van KING: https://new.kinggemeenten.nl/informatiebeveiligingibd/nieuws/digid-eerste-tpm-voor-ict-beveiligingsassessment-digid-gereed

 

Over Tog Nederland: Tog Nederland is een landelijk taxatie-detachering- en adviesbureau opererend vanuit vier regionale vestigingen (Meppel, Rotterdam, Sint-Oedenrode en Veenendaal). Lees meer over Tog Nederland op:http://www.tognederland.nl