Gemeente hebben beveiliging persoonsgegevens niet op orde

Uit een rapport van de Inspectie Werk en Inkomen blijkt dat gemeenten de beveiliging van persoonsgegevens vrijwel nooit op orde hebben.

Eerder deze week publiceerde de Inspectie Werk en Inkomen het rapport Beveiliging en privacy in de SUWI-keten. Over het beveiligingsplan dat de gemeentes moeten hebben:

Per 1 januari 2009 beschikt 78 procent van alle Nederlandse gemeenten over een beveiligingsplan. Dit omvat zowel individuele gemeenten als gemeenten die samenwerken in een intergemeentelijke sociale dienst (ISD). Het aantal beveiligingsplannen is in 2008 fors gestegen. […] In concreto heeft IWI op de peildatum van 9 gemeenten géén beveiligingsplan ontvangen. […]

Er is vrijwel geen enkel beveiligingsplan van gemeenten dat voldoet aan de normen.

Over de toegang tot de persoonsgegevens schrijft het rapport:

Meer dan helft van de gemeenten kent geen spreiding in de verdeling van de autorisaties. Bevoegdheden voor toegang tot Suwinet worden breed toegekend en er is nauwelijks onderscheid in de bevoegdheden van de verschillende functies. Een periodieke beoordeling van de autorisaties door een security officer vindt vrijwel niet plaats. Gemeenten zijn weinig actief in het opschonen van gebruikersaccounts. De accounts van uit dienst getreden medewerkers worden niet tijdig verwijderd.

En ook het opmerken van problemen is ondermaats:

De gemeenten beschikken wel over een 'technische' incidentenprocedure, maar IWI is van mening dat hiermee niet alle beveiligingsincidenten in kaart worden gebracht. Er vindt bij gemeenten in de regel geen monitoring plaats van het gebruik van Suwinet-Inkijk en ongeautoriseerde toegangspogingen worden vrijwel niet gedetecteerd. Een analyse van eventuele beveiligingsincidenten ontbreekt bij bijna alle onderzochte gemeenten.

In haar oordeel is de inspectie dan ook zeer duidelijk:

De inspectie is van oordeel dat de informatiebeveiliging in de SUWI-keten niet op orde is. De gemeenten vormen hierbij de zwakste schakel, omdat waarborgen voor informatiebeveiliging van persoonsgegevens via Suwinet-Inkijk met name bij deze partij ontbreken.