CBP-onderzoek 2015

Het College bescherming persoonsgegevens (CBP) heeft bij het Bureau Keteninformatisering Werk en Inkomen (BKWI) onderzoek gedaan naar de naleving van de eisen die de Wet bescherming persoonsgegevens (Wbp) en de regelgeving SUWI stellen aan de levering via Suwinet aan niet-SUWI-partijen. Onderzocht is of een aantal beveiligingsaspecten voldoet aan het Aansluitprotocol en overige kaders in de Regeling SUWI. Het gaat onder andere om de toekenning van autorisaties, en overeenkomsten van UWV als bronhouder met nationale niet-SUWI-partijen en met het Department of Social Protection in Ierland. Het niet (geheel) naleven betekent een overtreding van de Wbp.

De constateringen in het rapport hebben aanleiding gegeven tot het treffen van maatregelen. Een levering aan het Department of Social Protection in Ierland, die niet op afzienbare termijn binnen de norm te brengen is, is beëindigd. We zullen de overeenkomsten met afnemers in de loop van 2015 aanpassen. In de aangepaste overeenkomsten, die ook zullen worden ondertekend door BKWI als beheerder van Suwinet, wordt extra aandacht besteed aan afspraken over de informatieplicht, het autorisatiebeheer en de bewaartermijnen. In maart is een verbeterde incidentenprocedure vastgesteld en zijn strikte regels geformuleerd voor de procedure waaraan afnemers zich moeten houden als ze binnen hun eigen organisatie medewerkers toegang verlenen tot de van UWV ontvangen persoonsgegevens. De Raad van Bestuur heeft het geactualiseerde beveiligingsplan BKWI in juli 2015 vastgesteld.

Het CBP heeft UWV laten weten nader geïnformeerd te willen worden over de stand van zaken van de te treffen maatregelen, zodat het kan beoordelen of een last onder dwangsom moet worden opgelegd. Op 20 mei 2015 heeft daarover een hoorzitting plaatsgevonden bij het CBP. We hebben hierover recentelijk bericht ontvangen en zullen binnenkort weer met het CBP in overleg treden.