Misbruik van Suwinet wordt aangepakt

Mr. E.A.M. (Esther) van Gaal

 

Met de inwerkingtreding van de Wet Structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI) in 2002 is het mogelijk gemaakt dat UWV, de SVB en Gemeentelijke Sociale Diensten digitaal gegevens met elkaar uitwisselen. Deze gegevensuitwisseling is vormgegeven via het Suwinet-systeem.

Ongeoorloofd Suwinet raadplegen

Daar waar het Suwinet hoogst privacygevoelige gegevens bevat is het uiteraard van belang dat met dit systeem zorgvuldig wordt omgegaan. Helaas blijkt dit in de praktijk niet altijd het geval. In de jurisprudentie zijn namelijk diverse zaken bekend waarin een ambtenaar het GBA-systeem en/of Suwinet-systeem voor niet-zakelijke doeleinden, en derhalve ongeoorloofd, heeft geraadpleegd. Zo was in de uitspraak d.d. 2 mei 2013 van  de Centrale Raad van Beroep (TAR 2013, 166) sprake van een ambtenaar die (maar liefst) 33 niet-functionele raadplegingen in persoonsvertrouwelijke gegevensbestanden had verricht. Ook in de uitspraak van de Raad van 20 mei 2009 (TAR 2009, 156) was sprake van een ambtenaar die meerdere keren, louter uit nieuwsgierigheid, het GBA-systeem en het Suwinet had geraadpleegd voor niet-zakelijke doeleinden. Hetzelfde deed de ambtenaar in de uitspraak van 24 januari 2013 (CRvB 24 januari 2013, 11-3659 AW). Gedragscode Dat een ambtenaar zich hierbij verschuilt achter een cultuur binnen de organisatie, hieruit bestaande dat wel vaker ook door anderen niet-zakelijke raadplegingen worden gedaan, kan hem hierbij niet baten. Volgens de Raad bezit een ambtenaar te allen tijde een eigen verantwoordelijkheid met betrekking tot het omgaan met vertrouwelijke gegevens. In voornoemde uitspraak van 2 mei 2013 betoogde de betrokken ambtenaar dat hij van de geldende gedragsregels door zijn werkgever niet of niet in toereikende mate op de hoogte was gesteld. Dit betoog kon volgens de Raad echter niet slagen waarbij werd gewezen op de door de werkgever ingevoerde gedragscode, waarin was vastgelegd dat de ambtenaar functioneel diende om te gaan met gevoelige informatie en de privacy van cliënten diende te respecteren. Deze gedragscode was bekend gemaakt op het intranet van de ambtelijke organisatie. Ook waren in deze zaak door de werkgever flyers over het integriteitsbeleid aan de ambtenaren uitgedeeld.   Vertrouwen werkgever geschaad De Raad overwoog hierbij dat de betrokken ambtenaar ook los van enige voorlichting door de werkgever had moeten begrijpen dat bij niet-functionele raadplegingen in persoonsvertrouwelijke gegevensbestanden, de grenzen van het toelaatbare worden overschreden. Voorts, zo vervolgde de Raad, was de betrokken ambtenaar (onder meer in een functioneringsgesprek) voldoende gewaarschuwd en diende hij aan deze waarschuwing consequenties te verbinden voor zijn eigen gedrag. Een onvoorwaardelijk strafontslag is in zo’n geval in het licht van de door de werkgever terecht gestelde eisen van betrouwbaarheid en integriteit,  niet onevenredig, aldus de Raad. Door deze handelwijze is het vertrouwen dat de werkgever in de ambtenaar moet kunnen stellen, immers ernstig geschaad.   Onderzoek naar gebruik Suwinet Hoe gemeenten met het Suwinet-systeem omgaan is in 2011 onderzocht door de SZW-Inspectie. Uit dit onderzoek (getiteld ‘Gegevensuitwisseling WWB/WIJ’, Inspectie Werk en Inkomen, december 2011) is gebleken dat de beveiliging van persoonsgegevens die worden gebruikt voor de uitvoering van de sociale zekerheid bij een aantal gemeenten, onvoldoende is. Recent heeft de SZW-Inspectie een vervolgonderzoek (getiteld ‘De Burger Bediend 2013’) uitgevoerd. Hieruit volgt dat de meeste gemeenten onzorgvuldig omgaan met het gebruik van Suwinet. In het onderzoek zijn 80 gemeenten bevraagd op 7 normen waaraan zij al langere tijd moeten voldoen. Gebleken is dat meer dan de helft van de ondervraagde gemeenten slechts aan enkele normen voldoet. Daarnaast is onderzocht of gegevens van een lijst van 100 bekende Nederlanders zijn opgevraagd. Dat bleek bij 14 van de 80 steekproefgemeenten het geval. Op vragen van de Inspectie waarom dit is gebeurd, hebben deze gemeenten geen plausibele verklaring kunnen geven.

Uiteraard zijn dit geen goede uitkomsten. Immers, het onzorgvuldig omgaan met persoonsgegevens van burgers, daar waar de Wet SUWI het oogmerk heeft een doeltreffende en klantgerichte gegevensuitwisseling mogelijk te maken, zet een rem op de doorontwikkeling van gegevensuitwisseling die nodig is voor de decentralisaties. Het is derhalve van belang dat gemeenten hun prestaties verbeteren.   Verbetertraject door VNG Naar aanleiding van het SZW-inspectierapport heeft de VNG de publicatie ‘Naar veiliger gebruik van Suwi-net: De bal ligt bij gemeenten’ tot stand gebracht. Hieruit volgt dat de VNG is geschokt door de conclusies uit het rapport ‘De Burger Bediend 2013’ en verbetering noodzakelijk vindt.  Te meer omdat gemeenten steeds meer taken oppakken waarbij directe dienstverlening aan de burger centraal staat. Veilige uitwisseling en gebruik van gegevens is daarvoor essentieel. Bovendien wordt gegevensuitwisseling bij dienstverlening volgens de VNG een steeds belangrijker fenomeen: ketens worden steeds complexer en hangen steeds meer met elkaar samen. Tenslotte is verbetering nodig, omdat gegevensuitwisseling de meest efficiënte wijze is om een burger integraal te kunnen ondersteunen.

De VNG heeft daarom een tweeledig verbetertraject ingezet. Enerzijds een aanpak die voorziet in een generiek normenkader voor informatieveiligheid in het algemeen. Anderzijds een specifiek traject gericht op kortetermijnverbetering binnen het terrein werk en inkomen.  Ook biedt de VNG verbeterinstrumenten aan, waaronder een zelftest voor gemeenten. Met deze zelftest kan elke gemeente op elk moment in kaart brengen of zij inzage in Suwinet op de juiste manier aan haar medewerkers aanbiedt, of er op goed gebruik wordt toegezien en hoe de waarborgen daarvoor zijn ingebed. Op 27 januari 2014 heeft de VNG gemeenten opgeroepen om de zelftest veilig gebruik van Suwi-net in te vullen.   Maatregelen staatssecretaris Daarnaast heeft Staatssecretaris Klijnsma (SZW) de Tweede Kamer een aantal maatregelen toegezegd. Deze maatregelen licht ze toe in brieven, die onlangs naar alle colleges en gemeenteraden zijn verzonden, waarin zij aandacht vraagt voor een veilig gebruik van Suwinet door gemeenten. Zo roept zij de colleges op tot het werk maken van een zorgvuldig gebruik van Suwinet, vraagt zij aan de gemeenteraden om de colleges hierin kritisch te volgen, en benadrukt zij het belang van het verbeterplan van de VNG. In februari 2014 zal over dit onderwerp in de Tweede Kamer een debat worden gevoerd.

Het onzorgvuldig omgaan met persoonsgegevens van burgers lijkt door het onderzoek van de SZW-Inspectie een nieuw fenomeen, maar is, gelet op de hiervoor besproken jurisprudentie, niets nieuws. De ‘schok’ van de VNG wekt daarom enige verwondering. Desalniettemin is het een goede zaak dat thans zowel de VNG als de Staatssecretaris dit probleem erkennen en middelen inzetten om het veilig gebruik van Suwinet door gemeenten te verbeteren. Gelet op de jurisprudentie en de onderzoeksresultaten van de SZW-Inspectie is dit nodig. Een goede informatiebeveiliging en een zorgvuldige behandeling van de gegevens van alle inwoners, zijn immers van groot belang.

Indien u meer wilt weten over dit onderwerp, kunt u uiteraard altijd met mij contact opnemen of één van de andere advocaten van Capra.