Ministerie van Sociale Zaken en Werkgelegenheid

Ministerie van Sociale Zaken en Werkgelegenheid

Aan de Voorzitter van de Tweede Kamer Postbus 90801 2509 LV Den Haag der Staten-Generaal Anna van Hannoverstraat 4 Binnenhof 1a Telefoon (070) 333 44 44 Telefax (070) 333 40 33 2513 AA `s-GRAVENHAGE

Uw brief Ons kenmerk UB/S/2005/72143

Onderwerp Datum Privacy en gegevensuitwisseling gemeenten 14 september 2005

Aanleiding
Op 6 juni jl. heb ik u een brief toegezonden over privacyaspecten van gegevensuitwisseling door gemeenten en de beveiliging van Suwinet1. Tijdens het Algemeen Overleg met de vaste commissie voor Sociale Zaken en Werkgelegenheid over de WWB op 15 juni jl. (ochtend) is deze brief aan de orde gekomen2. Zoals toegezegd informeer ik u hierbij over de stand van zaken met betrekking tot de verschillende punten.

Gegevensuitwisseling en privacy
In de genoemde brief heb ik aangegeven dat gemeenten dikwijls niet goed op de hoogte zijn over mogelijkheden voor gegevensuitwisseling die binnen het huidige wettelijk kader reeds mogelijk zijn. Dit betreft nadrukkelijk ook mogelijkheden die op lokaal niveau door individuele gemeenten kunnen worden benut. Zoals aan u toegezegd heb ik mijn verzamelbrief aan gemeenten van juli/augustus benut om gemeenten nader te informeren. Deze brief heb ik u op 30 augustus jl. in afschrift doen toekomen3.

Wat betreft de uitwisseling van gegevens door gemeenten met derden in het kader van de WWB, heeft het Coördinatiepunt ICT gemeenten van Divosa onderzoek gedaan naar de wensen die bij gemeenten leven. In het rapport dat Divosa in juni heeft opgeleverd, wordt als uitkomst van het landelijke onderzoek aangegeven dat gemeenten een `top 6' hebben van nieuwe gegevensbronnen, die met prioriteit zouden moeten worden ontsloten. Dit betreft (in willekeurige volgorde) Interpay (voor bankrekeningnummers), de RDW, de Belastingdienst (voor vermogenscomponenten uit box 3), de Belastingdienst (voor heffingskortingen), de Polisadministratie (UWV) en de UWV-database (voor gescande documenten). Als minder prioritaire bronnen noemt het onderzoek verder het Kadaster, zorgverzekeraars en de SVB.

Op 5 september jl. heb ik overleg gevoerd met de voorzitter van het College Bescherming Persoonsgegevens (CBP), dhr. mr. J. Kohnstamm. De voorzitter heeft aangegeven dat er op het vlak van gegevensuitwisseling veel mogelijk is, maar dat de toepassing hiervan steeds beredeneerd en fatsoenlijk zal moeten plaatsvinden. Ik heb met voorzitter afgesproken om


1 TK 2004-2005, 17 050, nr. 298

2 TK 2004-2005, 28 870 en 29 674, nr. 141

3 Brief met kenmerk SZW/Intercom/2005/64668


---

het CBP nader te betrekken bij de definitieve besluitvorming over landelijke ontsluiting van gegevensbronnen, en eventuele aanpassing van de WWB daartoe. Het onderzoek van Divosa vormt daarvoor de basis. Bij de besluitvorming is het zaak de juiste balans te hanteren tussen noodzaak van handhaving van rechtmatige uitkeringsverstrekking, de technische mogelijkheden voor gegevensuitwisseling die in toenemende mate ter beschikking staan en de vereiste zorgvuldigheid richting burgers/cliënten en privacy- waarborgen. Ik zal u voor het einde van dit jaar nader informeren over mijn afweging en de daarop te treffen voorbereidingen in 2006 (door Inlichtingenbureau en BKWI). Daarbij zal ik u ook de resultaten melden van het toegezegde overleg met het Kadaster en de Kamers van Koophandel over de kosten van gegevensuitwisseling.

Beveiliging Suwinet
In het algemeen overleg van 15 juni jl. heb ik toegezegd om te bezien of er momenteel opschoning nodig is van Suwinet-protocollen rond beveiliging.

De Regeling SUWI bevat voorschiften voor de beveiliging van de gegevensuitwisseling zoals die met behulp van Suwinet en het Inlichtingenbureau plaatsvindt. Deze normen zijn gebaseerd op de Code voor informatiebeveiliging 2000, aangevuld met maatregelen genoemd in de studie `Beveiliging van persoonsgegevens' van het CBP (A&V-studie nr.23). Een adequate beveiliging van persoonsgegevens door overheidsorganisaties acht ik van belang. De voor Suwinet gestelde eisen maken dat expliciet. Naar aanleiding van het IWI- rapport `Beveiliging Suwinet bij gemeenten'4, heb ik geconstateerd dat de beveiliging bij gemeenten nog de nodige aandacht verdient. Het is naar mijn oordeel daarom nu niet zozeer zaak om te snijden in de geldende protocollen, eerder om deze op een praktische wijze toe te passen binnen de betrokken organisaties, en wel zodanig dat zowel recht gedaan wordt aan aard en schaal van de organisatie, als aan het belang van privacy van burgers. Overigens zijn de geldende voorschriften niet als knelpunt naar voren gekomen bij het project Vereenvoudiging en deregulering SUWI, waarover ik u als onderdeel van de Tussenevaluatie van de Wet SUWI 2005 heb geïnformeerd5. In 2004 hebben het Bureau Keteninformatisering Werk en Inkomen (BKWI), het Inlichtingenbureau en Divosa (Coördinatiepunt ICT) gezamenlijk een handreiking informatiebeveiliging voor gemeentelijke sociale diensten opgesteld. Ik heb dat project financieel ondersteund. De handreiking bevat verschillende praktische instrumenten om zowel op management als op uitvoerend niveau de bewustwording en het treffen van fysieke maatregelen voor gegevensbeveiliging (in overeenstemming met de gestelde eisen) te ondersteunen.

De Staatssecretaris van Sociale Zaken
en Werkgelegenheid,

(H.A.L. van Hoof)


4 Toegezonden bij brief van 14 februari jl, TK 2004-2005, 26 448 en 28 870, nr. 191
5 Brief en bijlage d.d. 17 juni 2005, TK 2004-2005, 26 448, nr. 207