Uit een op 28 juni jl. door het ministerie van sociale zaken verspreid nieuwsbericht blijkt dat de Suwinet problemen nog steeds niet zijn opgelost:

Bij 51% van de gemeenten zijn voor het opvragen van persoonsgegevens via Suwinet nog steeds niet voldoende beveiligingsmaatregelen getroffen.

Dat het niet goed zit met de cybersecurity bij de overheid blijkt ook uit vele andere berichten, zoals het standje dat de Autoriteit Persoonsgegevens (AP) aan gemeenten (waaronder Rotterdam) gaf wegens het toestaan van wifi-tracking door het bedrijf CityTraffic. De belastingdienst kreeg een opdracht van de AP omdat het onrechtmatig inkomensgegevens aan verhuurders had verstrekt. Blijkens een bericht van de AP ging de Nederlandse Zorgautoriteit NZa over de schreef met de verstrekking van medische gegevens.

En dan hebben we het maar niet over alle riskante praktijken rondom het burgerservicenummer BSN. Het BSN staat vermeld in ongeveer iedere brief die de burger van de overheid krijgt en wordt in vele onveilige administraties in de zorg opgeslagen. Om nog maar te zwijgen over de risico’s die zzp’ers lopen omdat hun BSN op hun zakelijke facturen moet worden vermeld. Dat veilig inloggen met het DigiD nog steeds niet mogelijk is, is een ernstige zaak, ook ernstig is dat de rijksoverheid de suggestie bij de burger blijft wekken dat het DigiD systeem veilig zou zijn.

Nieuwe gegevensuitwisseling

Onze rijksoverheid heeft nieuwe plannen om met jan-en-alleman vertrouwelijke persoonsgegevens te ‘delen’, met de bijbehorende automatisering, zoals de gegevensuitwisseling met buitenlandse belastingdiensten, het overheidsregister van aandeelhouders, het op Europese regelgeving gebaseerde ubo-register en de plannen met ‘predictive policing’.

Dit zijn uitdagende IT-projecten waar van alles mee mis kan gaan.

Risicoanalyse nodig

Waar in de gewone wereld sommige fouten nog hersteld kunnen worden, is dat in een digitale omgeving vaak niet meer mogelijk. Mensen die te maken hebben gehad met identiteitsfraude worden daar soms nog jaren mee achtervolgd. Op dit moment zien we waarschijnlijk nog maar de eerste schade die kan ontstaan door onzorgvuldige automatisering.

Het is tijd voor een overheidsbrede cybersecurity en privacy risicoanalyse met betrekking tot alle activiteiten waarbij persoonsgegevens en andere vertrouwelijke gegevens in het geding zijn. Ook moet geanalyseerd worden welke gegevens al digitaal gestolen of weggelekt kunnen zijn. Misschien moet het hele systeem rondom het BSN wel op de schop omdat het BSN door de te brede verspreiding volledig gecorrumpeerd is en te veel risico’s oplevert. En misschien moeten een aantal te optimistische IT-projecten wel worden stop gezet omdat het digitale overheidslandschap eerst op orde moet worden gebracht.

Kortom, net als in de financiële sector – waar van de vergunninghouders wordt gevraagd om de risico’s te analyseren en mitigerende maatregelen te nemen – dient de overheid dat als de grootste Nederlandse gegevensverzamelaar (data broker) zelf ook te doen als het gaat om IT, persoonsgegevens en nadere vertrouwelijke gegevens.

Zo lang de Nederlandse overheid zijn IT-zaken niet op orde brengt is het de grootste cybersecurity bedreiging voor de burger.

Meer informatie

Nieuwsbericht over Suwinet, te vinden op deze locatie

Inspectie SZW – Helft gemeenten bewaakt opvragen persoonsgegevens nog onvoldoende

Nieuwsbericht | 28-06-2016

Bij 51% van de gemeenten zijn voor het opvragen van persoonsgegevens via Suwinet nog steeds niet voldoende beveiligingsmaatregelen getroffen. Dit is wel een aanzienlijke verbetering sinds 2014 toen dit nog 83% was. Het percentage gemeenten dat aan geen of één norm voldoet van de zeven, is gedaald van 21 naar 2. Dit blijkt uit een onderzoek van de Inspectie SZW dat eind september 2015 werd afgerond.

Een deel van de gemeenten (162) dat niet aan alle normen voldeed, heeft na het onderzoek van de Inspectie gemeld dat er nu aan de normen wordt voldaan. Dit betekent dat bijna 91% van de gemeenten dan aan alle normen zou voldoen. Dit najaar gaat de Inspectie in het kader van het escalatieprotocol een aantal gemeenten opnieuw beoordelen.

Via Suwinet wisselen gemeenten, UWV en SVB persoonsgegevens uit voor het verstrekken van uitkeringen, voor de ondersteuning bij het vinden van werk en voor handhaving. Het gaat daarbij onder meer om inkomsten, uitkeringsgegevens, autobezit en opleidingsgegevens. De bescherming van de privacy van personen van wie de gegevens worden gebruikt, vereist dat de vertrouwelijkheid voldoende gewaarborgd is. Vertrouwelijk wil zeggen dat gegevens alleen te benaderen zijn door iemand die daarvoor gemachtigd is en er niet meer gegevens worden geraadpleegd dan noodzakelijk is voor de taakuitoefening. Maandelijks worden circa tien miljoen gegevens geraadpleegd.

Naar aanleiding van de resultaten van eerdere onderzoeken van de Inspectie, zijn nu alle 393 gemeenten onderzocht. De onderzoeksperiode betrof 1 september 2014 tot 1 september 2015. Er zijn opnieuw zeven belangrijke normen onderzocht die moeten voorkomen dat persoonsgegevens van burgers worden geraadpleegd zonder dat daarvoor een goede reden is. Deze maatregelen gaan onder andere over het beveiligingsbeleid, de organisatie van de beveiliging en het controleren van door medewerkers opgevraagde persoonsgegevens.

Overige informatie

• Autoriteit Persoonsgegevens over wifitracking, 16 juni 2016
• Autoriteit Persoonsgegevens over onrechtmatige verschaffing inkomensgegevens door de fiscus aan verhuurders, 13 juni 2016
• Autoriteit Persoonsgegevens: NZa over de schreef met verstrekking medische gegevens, 31 mei 2016
• Autoriteit Persoonsgegevens treedt op tegen verboden gebruik BSN, 24 mei 2016
• Lees over predictive policing ‘Big Data in een vrije en veilige samenleving’, rapport van de WRR, 28 april 2016 en  ‘Exploring the Boundaries of Big Data’, WRR, 2016.

Berichten op dit weblog

• Hoe de gemeente Rotterdam tobt met security en het BSN ten onrechte gebruikt > berichten over Rotterdam
• Berichten over de digitale overheid

Aanvulling 29 augustus 2016 | Big Data heeft een tegenmacht nodig

Zie over dit onderwerp ook Maurits Martijn en Dimitri Tokmetzis in hun artikel van 19 juli jl., “Deze wetenschappers luiden de noodklok: Big Data heeft een tegenmacht nodig“. Intro:

De overheid gaat erbarmelijk om met de privégegevens van Nederlanders, concludeerde de Wetenschappelijke Raad voor het Regeringsbeleid al in 2011 in een schokkend rapport. Twee auteurs van dat rapport stellen nu vast: niet alleen begrijpen politici de privacygevaren niet, ze maken ze alleen maar groter.