In tegenstelling tot veel andere onderzochte gemeenten, heeft Eindhoven laten zien te voldoen aan de eisen rondom de bescherming van digitaal opgeslagen persoonsgegevens op “Suwinet”. Dat concludeert de Autoriteit Persoonsgegevens na onderzoek bij 13 gemeenten. Naast Eindhoven heeft ook Delft zijn zaken op orde. Voor de rest geldt dat niet.
“Een aantal gemeenten voldoet nu aan de onderzochte normen. Maar we zien ook gemeenten waar het nog steeds niet goed gaat”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens op het eigen platform. “Hoe positief de ontwikkeling op sommige plaatsen ook is, het is onacceptabel dat elders het risico blijft bestaan dat gegevens in verkeerde handen komen. Als dit niet verandert, is het onvermijdelijk dat wij gaan handhaven”.
Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes.
Het is van belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen. In het verleden is verschillende keren misbruik van Suwinet gemaakt, schrijft de Autoriteit. “Zo bleken gemeenteambtenaren via Suwinet zonder noodzaak de gegevens van bekende Nederlanders te raadplegen en is de verblijfplaats van een (ex)partner in een blijf-van-mijn-lijf huis achterhaald.”
De Autoriteit Persoonsgegevens heeft onderzocht of de gemeenten voldoen aan de belangrijkste beveiligingsnormen. Zo moet er een door het management goedgekeurd beveiligingsplan zijn voor Suwinet, moeten de toegangsrechten goed zijn geregeld in een formele procedure en moet het gebruik van Suwinet worden gecontroleerd.
Delft en Eindhoven voldoen inmiddels aan de onderzochte wettelijke vereisten voor de beveiliging van Suwinet. Bij een aantal andere onderzochte gemeenten ontbrak het aan een formele autorisatieprocedure waarin is beschreven hoe toegangsrechten worden toegekend, gewijzigd en beëindigd. Tomesen: “Daarmee stel je vast wie wel en vooral ook wie niet bij deze gevoelige gegevens mogen”. Verder was er bij sommige gemeenten geen beveiligingsplan specifiek voor Suwinet. Andere gemeenten hebben wel een beveiligingsplan, maar droegen dit onvoldoende uit in de organisatie of evalueerden het plan niet.
De Autoriteit Persoonsgegevens deed het onderzoek bij de gemeenten Delft, Eindhoven, Enschede, Nunspeet, Zutphen, Baarle-Nassau, Brielle, Brummen, Heerenveen, Midden-Drenthe, Moerdijk, Werkendam en Woudenberg.
Volgens de Autoriteit heeft een aantal gemeenten na het onderzoek maatregelen aangekondigd om de resterende overtredingen te beëindigen. Er volgt nieuw onderzoek om te beoordelen of er “handhavende maatregelen” nodig zijn.