Gemeenten slordig met privégegevens

Sociale diensten zijn laks met de beveiliging van dossiers over uitkeringstrekkers. Ze krijgen een jaar de tijd orde op zaken te stellen, meldde staatssecretaris De Krom van Sociale Zaken deze week.

De gemeente Amsterdam geeft het ruiterlijk toe: steeds meer ambtenaren hebben toegang tot vertrouwelijke en privacygevoelige gegevens van inwoners die een uitkering aanvragen, maar de beveiliging van die gegevens schiet tekort.

Het stadsbestuur weet niet of al die ambtenaren die toegang hebben tot die databestanden, daartoe ook daadwerkelijk bevoegd zijn. En het weet dus ook niet of ambtenaren oneigenlijk gebruik van die informatie kunnen maken.

Amsterdam staat daarin niet alleen. In meer dan de helft van de gemeenten schort het aan de beveiliging van vertrouwelijke databestanden over uitkeringstrekkers en bestaat er het risico dat onbevoegde ambtenaren voor eigen gewin kunnen ‘inbreken’.

Daarbij gaat het om informatie van de fiscus, individuele bankafschriften, het Bureau Kredietregistratie, het UWV, de Arbeidsinspectie, maar ook de Sociale Inlichtingen-en Opsporingsdienst en de Fiod/-ECD. Al die gegevens zijn opgeslagen in het zogeheten Suwinet-databestand, dat beheerd wordt door het Bureau Keteninformatisering Werk en Inkomen (BKWI) van het ministerie van Sociale Zaken.

De informatie uit die bestanden van Suwinet geldt als privacygevoelig en vertrouwelijk. Ambtenaren, veelal van sociale diensten, die ermee werken, moeten bij hun aanstelling gescreend worden en een geheimhoudingsverklaring ondertekenen.

Het raadplegen van de bestanden is sinds 2007 enorm toegenomen. Afgelopen januari, bijvoorbeeld, werden bij het BKWI informatie over 644.921 Nederlanders opgevraagd. In het totaal waren daar 24.152 ambtenaren van onder meer sociale diensten, UWV en IND (Immigratie- en Naturalisatiedienst) en deurwaarders bij betrokken. Zij trokken meer dan een half miljoen gegevens van die 644.921 Nederlanders na – een record, aldus het BKWI.

Die grote vlucht ging niet gepaard met betere beveiliging, zo bleek eind vorig jaar uit evaluaties van het BKWI onder gemeenten. Meer dan 60 procent van de gemeenten heeft te weinig zicht op de handelingen van betrokken ambtenaren.

Daardoor wordt oneigenlijk gebruik, zoals het natrekken van persoonsgegevens van collega’s, buren of bekenden, niet opgemerkt, aldus BKWI. Bovendien is onduidelijk of eenmaal geautoriseerde ambtenaren die status inleveren bij functiewisseling of vanuit hun nieuwe baan onbevoegd kunnen blijven inloggen op het Suwinet.

In een deze week verstuurde brief dreigt staatssecretaris De Krom (Sociale Zaken, VVD) gemeenten met sancties als de beveiliging niet snel verbeterd wordt. Hij heeft het daarin over een top-100 van gemeenten die mogelijk tekortschieten. Die worden op korte termijn gescreend. Indien nodig, wil de staatssecretaris vervolgens de Inspectie SZW en het College Bescherming Persoonsgegevens inschakelen. Deze laatste instantie kan dwangsommen opleggen als gemeenten in gebreke blijven.

De Krom is vooralsnog niet van plan om die honderd gemeenten van het Suwinet af te sluiten, totdat de interne beveiliging op orde is. Want de databestanden zijn van belang voor de bestrijding van uitkeringsfraude. Het systeem maakt het bijvoorbeeld mogelijk om samenwoners op te sporen die een alleenstaandenuitkering claimen. Of om een uitkeringsgerechtigde te controleren die kapitaal op een bankrekening heeft staan, of eigen woningbezit heeft verzwegen. In totaal werd zo in 2010 voor 119 miljoen euro aan socialezekerheidsfraude geconstateerd.

De Tweede Kamer behandelt binnenkort het wetsvoorstel ‘Meldplicht datalekken’. Daarin worden beheerders van privacygevoelige databestanden verplicht om mogelijke lekken in de beveiliging te melden bij het CPB. Maar het ministerie van Sociale Zaken wil niet op die wet vooruit lopen. „Volgend jaar gaat de inspectie SZW er wel mee aan de slag”, aldus de woordvoerder.

Het CBP is nog niet op de hoogte van de datalekken in het Suwinet. „Maar elk signaal over mogelijke overtredingen van de privacywetgeving wordt door ons bekeken.”