Tip voor Zembla: Bij slechts 4% van de gemeenten is de beveiliging van persoonsgegevens op orde, in 18% worden de gegevens van BN-ers zonder reden bekeken.
Ambtenaren van de gemeenten kunnen kennelijk hun ongezonde nieuwsgierigheid niet bedwingen en gebruiken de inkijkmogelijkheid in Suwinet om te kijken wat bekende Nederlanders aan inkomsten of aan uitkeringen ontvangen, zonder dat zij daarvoor een reden hebben opgegeven.
Suwinet is het netwerk waarop gemeenten, UWV, SVB en andere gebruikers gegevens uitwisselen. In één maand tijd – de meting was april 2013 – werd via Suwinet van 645.000 Nederlanders één of meer keer het digitaal klantdossier opgevraagd. Daarin bevinden zich onder meer de inkomsten, uitkeringsgegevens. arbeidsverleden en opleidingsgegevens.
De Inspectie SZW heeft haar bevindingen over Suwinet vastgelegd in het rapport De burger bediend in 2013. De conclusies liegen er niet om:
Beveiliging bij 96% niet op orde
“De beveiliging van persoonsgegevens bij gemeenten is niet op orde. Slechts 4% van de gemeenten voldoet aan de zeven belangrijkste door de inspectie getoetste normen -gericht op het voorkomen dat persoonsgegevens van burgers worden geraadpleegd zonder dat daarvoor een goede reden is- en voldoen daarmee op deze punten aan hun verplichtingen. Het gaat daarbij om normen ten aanzien van het beveiligingsbeleid, de organisatie van de beveiliging en het controleren van door medewerkers opgevraagde persoonsgegevens.”
Inkijken zonder goede reden
“Bovendien blijkt uit een controle van de inspectie, dat bij 13 van de 80 onderzochte gemeenten (18%) in 2012 gegevens van bekende Nederlanders met gebruikmaking van Suwinet-lnkijk zijn geraadpleegd, zonder dat hiervoor een goede reden is gegeven. De inspectie hanteerde voor deze controle een beperkte lijst met 100 willekeurig geselecteerde bekende Nederlanders. In werkelijkheid zijn er enkele duizenden bekende Nederlanders van wie gegevens via Suwinet kunnen worden geraadpleegd.”
Gevoelige informatie raadplegen zonder te loggen
“Gemeenten hebben inmiddels de mogelijkheid om naast het online opvragen van gegevens via Suwinet-lnkijk ook gegevens van burgers op te vragen en direct over te nemen in de eigen systemen, het zogenoemde’Suwinet-lnlezen’.
De opvragingen via Suwinet-lnlezen worden echter niet gelogd en zijn, nadat deze zijn overgenomen in het gemeentelijke systeem, ook vanuit deze omgeving te benaderen.”
Oncontroleerbare toegangsrechten
“Het is de inspectie niet duidelijk geworden op welke wijze gemeenten de toegangsrechten voor het gebruik van deze gegevens verlenen en hoe zij controleren op het gebruik.”
Recht op correctie moeilijk te effectueren
“De uitvoeringsorganisaties en gemeenten bieden de burger correctievoorzieningen, maar deze worden nauwelijks door de burger gebruikt. Het recht op correctie laat zich in de praktijk moeilijk effectueren.”
Wettelijke uitwerking transparantie ontbreekt
“Het bieden van transparantie over de verwerking van persoonsgegevens is een wettelijk uitgangspunt, dat onder meer tot uitdrukking komt in het inzage- en correctierecht. De inspectie verstaat onder transparantie ook dat UWV, SVB en gemeenten klanten informeren over hoe zij invulling kunnen geven aan dit recht. Het actief informeren van burgers, bijvoorbeeld door het geven van een directe link naar gewijzigde/geregistreerde gegevens voor een bepaalde overheidsdienst, over de mogelijkheden om hun gegevens in te zien is geen wettelijke verplichting en heeft in de praktijk geen prioriteit.”
