Er was eens, in een klein land heel ver weg een Staatssecretaris die te maken had met een jarenoud, pijnlijk dossier. In de honger naar controle hadden lagere overheden een systeem gebouwd waar de financiële data waar alle inwoners van het land in opgenomen waren.
Iedereen wilde erbij: de gemeenten, de uitkeringsinstanties, de incassobureau’s en zelfs buitenlandse overheden kregen toegang tot het systeem. En hoewel het systeem op dat moment al 5 jaar kritisch werd beschouwd, werd pas in het jaar ’13 het probleem geëscaleerd en ging de Staatssecretaris zich ermee bemoeien.
Na 3 jaar werken had ze het voor elkaar: bijna iedereen voldeed aan de normen, de laatste paar zouden dat binnenkort ook wel doen en ze leefden nog lang en gelukkig.
Tot zover het sprookje. De vaste lezers herinneren zich wellicht nog Suwinet. Nadat in 2013 nog steeds maar 3% van de gemeenten aan de beveiligingsnorm voldeed, werd er een escalatietraject ingezet. Om het sprookje niet meteen helemaal kapot te checken: er is inderdaad goed nieuws. De inspectie zegt dat bij de controle eind 2015 bijna de helft van de gemeenten aan de normen voldeed en inmiddels claimen van de 198 gemeenten die in maart een ‘vooraankondiging tot aanwijzing’ ontvingen 162 dat ze aan de normen voldoen. Goed nieuws? Mja. Reden om de vlag uit te hangen? Niet bepaald.
Allereerst natuurlijk de 162. Die beweren zelf aan de normen te voldoen. Hiervan gaat de SZW een ‘representatief aantal’ controleren. Op steekproefbasis dus: laten we zeggen dat dat een gok van 1 op 10 is. Afhankelijk van de inzet kan je zo’n gokje wagen. De inzet? Een aanwijzing. Dat betekent dat de staatssecretaris een gemeente op dat punt gaat dwingen een op eigen kosten een consultant in te huren om ze te helpen met de beveiliging.
De controle van de SZW zelf bestaat overigens uit een vragenlijst en het insturen van documenten, plus een check van het logboek bij het BKWI, mocht u veronderstellen dat het om een volledige security audit ging.
Goed, tot zover ging het nog over het sprookje van Klijnsma: de brief die het rapport begeleidt. Het rapport zelf is vele male kritischer: er lijkt in een flink deel van de gevallen alleen in formele zin voldaan te zijn aan de 7, relatief abstracte, normen en niet zozeer een cultuuromslag qua beveiliging te zijn, en die normen die het meest inhoudelijk op de beveiliging in gaan worden het minst aan voldaan.
Een belangrijk kritiekpunt op Suwinet is natuurlijk dat het niet de bedoeling is dat ambtenaren hun aanstaande schoonzus gaan zitten opvragen. Uit het rapport blijkt echter dat gemeenten het prima vinden om te analyseren op misbruik vanuit geanonimiseerde rapporten, in plaats van ook echt interne controles uit te voeren. Klijnsma zelf geeft daarover aan:
“Inmiddels heb ik opdracht gegeven tot een Privacy Impact Assessment (PIA)”.
U leest het goed: inmiddels. Al sinds 2009 concludeert de SZW dat de beveiliging van Suwinet ‘niet optimaal’ is. Gelukkig gaat er dan in 2016 al iemand in kaart brengen wat de impact op de privacy daarvan is. Intussen is er nog nergens een stekker uit het systeem getrokken omdat het wellicht wel eens belangrijk zou kunnen zijn om de beveiliging en privacy van burgers in zo’n massaal systeem op orde te hebben.
Eerder op deze site kon u overigens ook al lezen dat het de implementatie van het UWV geen registratie op account-niveau kent waardoor niemand weet wie wat heeft opgevraagd. Het is ons totaal niet bekend of het UWV inmiddels wel die registratie toepast. Niet alleen dat, er bestaat nu ook nog een toepassing die DKD-inlezen heet. DKD staat voor Digitaal Klant Dossier. De inspectie maakt zich daar zorgen over omdat, hoewel het dit jaar (om onduidelijke redenen) geen onderdeel uitmaakte van het onderzoek, er door het onderzoek van vorig jaar bekend is dat opvragingen niet op accountniveau geregistreerd worden omdat dat technisch niet mogelijk is. In totaal maken 82 gemeenten in de praktijk gebruik van dit systeem en hebben er 338 in principe toegang. (Het andere inleessysteem: SUWINET-inlezen is buiten beschouwing gelaten. “Slechts” 3 van de 4 grote gemeenten maken hiervan gebruik.)
Om een kort verhaal lang te maken: het sprookje van Klijnsma is een mooi verhaal om de burger mee in slaap te sussen, maar intussen rammelt de beveiliging van onze persoonsgegevens nog aan alle kanten en is het absoluut niet uitgesloten dat ambtenaren daarin zitten te grasduinen. Is het nou echt ZO! ONTZETTEND! MOEILIJK! om dit soort dingen te tacklen voordat iedereen, z’n moeder en een ierse leprechaun hebben kunnen zien dat de kinderbijslag voor je cavia toch zeker €14 per maand is?!
Een van de problemen met SUWI net is dat het eenvoudigweg niet is ontworpen om toegang en logging op autorisatieniveau en login te beheren. Bij de meeste gemeenten zal er wel een uitgebreide werkinstructie zijn voor de diverse SUWI net functies en dat is het dan wel. Vergeet ook niet dat SUWI net al zo’n 14(!!) jaar bestaat. Als de SUWI net koppeling nu omgebouwd zou moeten worden naar de laatste stand wat betreft beveiliging en privacy en het verwerken van gegevens van burgers dan zie je het nachtmerrie scenario al voor je, ‘marktpartijen’ als Ordina gaan dan voor 114 miljoen euries de SUWI net koppeling aanpassen. Misschien is het dan beter om maar verder te modderen met de genoemde beveiliging van de werkinstructie en basale logging, toch?