Author: fkossen

Wetsvoorstel melding datalekken aangenomen door Eerste Kamer

Den Haag, 10 februari 2015 – het op 17 juni 2013 ingediende wetsvoorstel ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’ is vandaag door de Eerste Kamer met algemene stemmen aangenomen.

Het wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.

Deze samenvatting is gebaseerd op het wetsvoorstel en de memorie van toelichting zoals ingediend bij de Tweede Kamer.

Gemeente Edam-Volendam over het DigiD assessment

“Na een eerste, negatieve, ervaring met een auditkantoor in 2013, is de gemeente Edam-Volendam op zoek gegaan naar een ander bureau. We zijn toen via een andere gemeente in contact gekomen met Duijnborgh Audit. Na een eerste gesprek hebben we de opdracht aan Duijnborgh gegund. We hebben daar geen spijt van. Duijnborgh denkt prima met ons mee. We worden streng maar rechtvaardig beoordeeld en de auditor weet waar hij het over heeft. Dat vertaalt zich in waardevolle adviezen ter verbetering, waarmee we echt iets kunnen. Op deze manier ziet onze gemeente ook echt het nut in van dit assessment. Elke keer de lat iets hoger, want het kan vanzelfsprekend altijd nog beter.”

Remco Rekoert, informatiebeveiligingsfunctionaris gemeente Edam-Volendam

Gemeenten zijn geen goede databeveiligers

Den Haag – 18-08-’14; NRC heeft bij 50 gemeenten onderzocht in hoeverre zij klaar zijn voor de decentralisatie van zorgtaken.

Gemeenten worden vanaf 1 januari 2015 verantwoordelijk voor de zorg aan burgers. Denk aan ouders met een probleemkind, een chronisch gehandicapte die een aangepast bed nodig heeft of een bejaarde die thuiszorg wil. Ze doen dit in wijkteams, die ‘dichtbij de burger’ zorg leveren of doorverwijzen naar specialisten. Deze teams krijgen onder meer persoonsgegevens, medische dossiers, details over schulden, relatieproblemen en huiselijk geweld. Gemeenten moeten deze informatie opslaan en verwerken.

Risico is dat gevoelige informatie over ziekte, schulden of psychiatrische achtergrond te makkelijk wordt gedeeld in vergaderingen van de wijkteams. Maar het kan ook anders misgaan: een ambtenaar die als enige in de gemeente toestemming heeft om in computersystemen naar privacygevoelige informatie van burgers te zoeken, maar die zijn uitgeprinte dossiers vervolgens bij de printer laat rondslingeren. Ambtenaren die passwords op een post-it schrijven en die naast hun scherm plakken. Hoe dan ook komen stads- of dorpsgenoten meer over elkaar te weten dan voorheen. Uit onderzoek van de NRC bleek dat veel gemeenten nog onvoldoende zijn voorbereid op dat gevaar.

Bron: NRC Handelsblad,16 en 18 augustus 2014
Lees de complete artikelen hier: artikel NRC 16 augustus 2014 en artikel NRC 18 augustus 2014

Gemeenten laks met beveiliging Suwinet

Den Haag, 11 november 2013: Inspectie SZW stelt vast dat de beveiliging van Suwinet door gemeenten niet op orde is

Bij het onderzoek van de inspectie SZW is vastgesteld dat mMaar 4 procent van de gemeenten voor het opvragen van persoonsgegevens via Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen enkele van de onderzochte normen voor informatiebeveiliging. Dit concludeert de Inspectie SZW in haar rapport ‘De burger bediend in 2013/Veilig gebruik Suwinet’ over informatiebeveiliging bij gemeenten. Staatssecretaris Klijnsma van Sociale Zaken en Werkgelegenheid zegt geschokt te zijn en heeft een aantal maatregelen aangekondigd.

Gemeenten, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Het gaat daarbij onder meer om inkomsten, uitkeringsgegevens, autobezit en diplomagegevens en examenresultaten. In het rapport oordeelt de Inspectie SZW van het ministerie van Sociale Zaken en Werkgelegenheid dat de beveiliging van Suwinet door gemeenten ondanks diverse inspanningen nog steeds onder de maat is; het gebrek aan beveiliging van persoonsgegevens bij het gebruik van Suwinet-Inkijk acht de Inspectie bovendien zorgwekkend. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld. Ongeveer 80 procent van de gegevens wordt bekeken in Suwinet-Inkijk.

Geen goede reden
De Inspectie heeft de zeven belangrijkste door gemeenten te treffen maatregelen onderzocht, die moeten voorkomen dat persoonsgegevens van burgers worden geraadpleegd zonder dat daarvoor een goede reden is. Deze maatregelen gaan over het beveiligingsbeleid, de organisatie van de beveiliging en het controleren van door medewerkers opgevraagde persoonsgegevens. Maar 4 procent van de gemeenten voldoet aan alle zeven normen en 13 procent van de gemeenten voldoet aan geen enkele norm. In totaal voldoet 76 procent van de gemeenten aan drie of minder normen.

Een duidelijk signaal is dat de Inspectie tijdens het onderzoek geconstateerd heeft dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. De inspectie hanteerde voor deze controle een beperkte lijst met honderd willekeurig geselecteerde bekende Nederlanders. In werkelijkheid zijn er enkele duizenden bekende Nederlanders van wie gegevens via Suwinet kunnen worden geraadpleegd.

Maatregelen
Staatssecretaris Klijnsma van SZW noemt de conclusies van de Inspectie zeer ernstig. ‘Het is onacceptabel dat de informatiebeveiliging rond de gegevensuitwisseling via Suwinet zo slecht op orde is. Ik vind dat gemeenten dit met de hoogste prioriteit moeten aanpakken. Net zoals bankmedewerkers niet zomaar rekeninggegevens van klanten mogen bekijken moet voor gemeenteambtenaren hetzelfde gelden. Het is onacceptabel dat er zonder noodzakelijke reden persoonlijke gegevens van mensen worden bekeken.’

De bewindsvrouw heeft inmiddels met de Vereniging Nederlandse Gemeenten (VNG) afgesproken dat snel wordt toegewerkt naar een zorgvuldig gebruik van via Suwinet uitgewisselde gegevens. Daarnaast heeft zij de volgende maatregelen genomen:

1. het College Bescherming Persoonsgegevens (CBP) is geïnformeerd over de resultaten van het inspectie-onderzoek. Het CBP heeft de mogelijkheid om gemeenten die niet voldoen aan de eisen van de WBP (Wet bescherming persoonsgegevens) een dwangsom op te leggen.

2. het laten uitzoeken of een tijdelijke sluiting van het leveren van gegevens aan gemeenten via Suwinet mogelijk is. Dit als passende maatregel om een zorgvuldig gegevensgebruik af te dwingen.

3. het maken van verdere afspraken met de VNG om een verantwoording over de informatiebeveiliging bij gemeenten wettelijk te verankeren. Inwoners moeten er op kunnen vertrouwen dat gemeenten de aan hen toevertrouwde gegevens zorgvuldig verwerken, aldus Klijnsma. Zij roept daarnaast gemeenteraden op hun colleges te controleren of de informatiebeveiliging ook daadwerkelijk op orde is.

4. het aan gemeenten vragen om heel snel alle benodigde stappen te zetten. Om gemeenten onder druk te zetten zal de Inspectie SZW in de eerste helft van 2015 onderzoeken of de informatiebeveiliging daadwerkelijk structureel is verbeterd.

Bron: https://www.computable.nl/artikel/nieuws/overheid/4923564/1277202/gemeenten-zijn-laks-met-beveiliging-suwinet.html#ixzz2kP7lUNgu

Lees hier meer over de diensten van Duijnborgh Audit m.b.t. Suwinet.