Vragen en antwoorden whitelist en escapefunctie voor GSD's

  • Vraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd?

 Antwoord: Het gebruik van een filtermechanisme (in dit geval een whitelist) is een manier om het raadplegen van gegevens van burgers via Suwinet-Inkijk te beperken tot de burgers waarmee de organisatie (i.c. de gemeente) een dienstverleningsrelatie heeft of heeft gehad. De BSN’s van deze burgers staan op die whitelist. Iedere bevraging wordt ‘langs’ deze lijst gehaald.

  • Vraag: Is de implementatie van de whitelist verplicht?

 Antwoord: Wij kunnen het werken met een whitelist bij gemeenten niet verplichten. Het is u echter wel aan te raden. De inzet van de whitelist bevordert een veilig en proportioneel gegevensgebruik door medewerkers en draagt bij aan het beschermen van de privacy van burgers.

Bovendien vragen leveranciers van gegevens steeds vaker om extra aansluitvoorwaarden om doelbinding en proportionaliteit te garanderen.

  • Vraag: Kost het werken met Suwinet-Inkijk met een filter de gemeente extra tijd?

 Antwoord: Naar aanleiding van de bevindingen uit de pilot hebben we geconstateerd dat die extra tijd vooral in de voorbereidingen zit. Wanneer het filter eenmaal is geïnstalleerd en in werking is, is er geen sprake meer van extra tijd, ook niet voor de gebruikers.

  • Vraag: Waaruit bestaan die voorbereidingen?

 Antwoord: In het kort zijn de volgende aspecten van belang in de voorbereidingen:

  • Vaststellen welke BSN’s wel of niet op de whitelist komen te staan, dit documenteren en vast laten stellen;
  • Vaststellen welke medewerkers of functies de autorisatie voor de escapefunctie moeten krijgen en deze toekennen;
  • Het aanpassen van de autorisatiematrix;
  • Het voorlichten en instrueren van medewerkers;
  • Het aanmaken en uploaden van de whitelist bij BKWI
  • Vraag: wat is een 'escapefunctie'?

Antwoord: De escapefunctie is feitelijk de bevoegdheid om het filter te passeren. Medewerkers die bijvoorbeeld een nieuwe aanvraag van een nieuwe klant behandelen, moeten gegevens in Suwinet-Inkijk van die klant kunnen raadplegen.

Omdat het een nieuwe klant is, is het BSN nog niet toegevoegd aan de whitelist. Als dat niet zou kunnen, zou dat de taakuitoefening ernstig belemmeren. Voor deze bevoegdheid moeten ze specifiek worden geautoriseerd.

  • Vraag: Als privacy dan zo belangrijk is, waarom wordt er dan een escape mogelijkheid geboden, waarmee de medewerker toch door kan gaan met opvragen van gegevens van burgers waar geen relatie mee is?

Antwoord: Zie ook de vorige vraag. Niet iedere burger die zich meldt bij de gemeente is opgenomen in het bestand van Werk & Inkomen. Soms is er wel een relatie met de (taken van) gemeente maar is er nog geen registratie aanwezig waardoor die relatie niet tot uitdrukking komt op de whitelist. Er moet worden aangegeven waarom er gebruik wordt gemaakt van de escape.

Redenen voor een escape kunnen zijn:

  • Nieuwe klant of aanvraag
  • Vaststellen  onderhoudsbijdrage
  • Inkomsten van 16 en 17 jarigen
  • Bijzonder onderzoek
  • Anders

De escapefunctie is bedoeld om de ‘werkbaarheid’ te garanderen, maar is geen ‘ongeclausuleerd’ vrijkaartje om gegevens (toch) in te zien. Bovendien worden alle bevragingen gelogd en gerapporteerd. Er zal dus desgevraagd verantwoording over moeten worden afgelegd.

  • Vraag: Hoe is de rol ‘escape’ te herkennen?

 Antwoord: De rol escape is een Eigen rol 'WE_GSD'. Deze afkorting staat voor WhitelistEscape_GSD. Deze rol is ook terug te vinden bij de zogenaamde resources in de gebruikersadministratie.

  • Vraag: Worden alle pagina’s getoetst aan de whitelist, dus ook de zoekpagina’s zoals RDW+, GBA+ etc?

 Antwoord: Omdat de zoekpagina’s andere zoeksleutels hebben dan BSN, kan er niet worden getoetst aan de whitelist. Zodra echter op een ‘treffer’ i.c. het BSN wordt geklikt vindt wel toetsing aan de whitelist plaats en is ook een escapefunctie nodig (als deze BSN niet op de lijst staat).

Zie voor meer informatie over het gebruik van andere zoeksleutels dan het BSN, de handreiking over dit onderwerp. Het opvragen van persoonsgegevens via een andere zoeksleutel dan het BSN, wordt apart gelogd. De security officer kan daarover een aparte rapportage aanvragen.

  • Vraag: Welke burgers moeten op de whitelist komen te staan en wie bepaalt dat?

 Antwoord: Het is aan de gemeente zelf om te bepalen welke BSN’s wel en welke niet aan de whitelist worden toegevoegd. Uiteraard is het de bedoeling dat er sprake is van doelbinding1, dat wil zeggen dat er met de burgers die op de lijst staan een (dienstverlenings)relatie i.h.k.v. Suwi (P-Wet, IOAW/Z) is of is geweest (denk aan terugvorderingen en verhaal).

In de ene gemeente zal een BSN drie maanden na afloop van die relatie van de lijst worden gehaald, terwijl dat in een andere gemeente na een periode van zes maanden zal worden gedaan. Het wordt ook aan de gemeente overgelaten of onderhoudsplichtigen aan de whitelist worden toegevoegd. Zij zijn belanghebbenden bij de bijstandsverlening aan de (ex)partner, maar geen klant.

  • Vraag: Hoe vaak moeten we de whitelist ‘verversen’, m.a.w. hoe vaak moeten we een CSV of TXT bestand uploaden?

Antwoord: Dit is een keuze van de gemeente zelf. Hoe groter de instroom van nieuwe klanten, hoe vaker de whitelist daarop moet worden aangepast. Het is mede afhankelijk van de gemeentelijke applicatie of dit zo wordt ingericht of dat er bijvoorbeeld wekelijks een selectiebestand wordt aangemaakt.

Maar in principe kan de whitelist op ieder moment worden ververst. Hoe vaker de whitelist wordt vervangen of bijgehouden, des te minder gebruik van de escape nodig is.

  • Vraag: Wordt direct na de upload aan de nieuwe whitelist getoetst (realtime) of wordt de nieuwe whitelist op een ander moment verwerkt? M.a.w. wordt de oude lijst direct overschreven of op een ander moment?

 Antwoord: Als gedurende de uploadprocedure een medewerker via een BSN persoonsgegevens opvraagt, dan wordt getoetst aan de actieve whitelist. Als de whitelist is geupload – de uploadprocedure is dan afgerond - dan is deze direct actief en daarmee is de voorgaande whitelist overschreven.

  • Vraag: Is het mogelijk dat de upload van de lijst plaats vindt tijdens kantooruren? En kan er dan gewoon worden doorgewerkt in de productieomgeving?

 Antwoord: Ja, dat is mogelijk. In verband met de werking van de cache is het aan te bevelen om zoveel als mogelijk de whitelist aan het eind van de dag te uploaden. De volgende dag is nieuwe whitelist de nieuwe werkvoorraad. Als je het tijdens werkuren doet, heb je altijd met de cache van 4 uur te maken. Bij het ‘verversen’ van de whitelist zullen in de regel BSN’s zijn toegevoegd en verwijderd.

  • Vraag: Wat gebeurt er wanneer een BSN op een whitelist wordt opgevoerd voor een gebruiker die informatie voor deze BSN heeft opgevraagd, maar geen toegang kreeg?

 Antwoord: De gebruiker kreeg vóór de wijziging van de whitelist een melding dat hij geen toegang had. Deze situatie blijft voor deze gebruiker 4 uur lang gehandhaafd. Hij blijft dus 4 uur lang de melding krijgen dat hij geen toegang heeft tot de gegevens van de BSN ondanks dat de BSN nu wel op de whitelist staat.

  • Vraag: Wat gebeurt er wanneer een BSN van een whitelist wordt afgevoerd voor een gebruiker die informatie voor deze BSN heeft opgevraagd?

 Antwoord: De gebruiker kreeg vóór de wijziging van de whitelist de informatie. Na de wijziging heeft hij hier geen recht meer op. Hier spelen 2 caches.

  • Het eerste half uur na laatste opvraging krijgt de gebruiker de laatst opgevraagde pagina ongewijzigd in
  • In de periode tussen 30 minuten en 4 uur, wil Inkijk de gegevens ophalen maar wordt De gebruiker krijgt een rode balk met melding dat hij geen toegang heeft tot gegevens van de BSN. De gebruiker krijgt niet de vraag voorgelegd een escape toe te passen, ook niet wanneer hij deze rol heeft.

Na 4 uur krijgt de gebruiker, indien hij de rol escape heeft, de vraag voorgelegd of hij escape wil toepassen.

  • Vraag: Moet bij iedere schermwisseling bij opvragingen voor hetzelfde BSN steeds de escapefunctie worden gebruikt en moet dan opnieuw een reden worden opgegeven?

 Antwoord: Vanaf het moment dat een medewerker de escape toepast voor een BSN kunnen de gegevens van dat BSN gedurende vier uur worden geraadpleegd, zonder dat opnieuw gebruik moet worden gemaakt van de escapefunctie.

  • Vraag: Wordt de escapefunctie toegekend aan een rol of aan een account van een medewerker? En wie doet dat? De gemeente of het BKWI?

Antwoord: De escapefunctie kan worden toegekend als separate rol die aan het account van een medewerker moet worden gekoppeld. Daarnaast is de escapefunctie ook beschikbaar als resource, zodat deze aan rollen kan worden gekoppeld, die zijn toegekend aan groepen medewerkers. Het koppelen van de escapefunctie wordt uitgevoerd door de gebruikersbeheerder van de gemeente.

  • Vraag: Op welke gronden maakt de gebruiker een keuze uit het rolmenu met de vijf opties wanneer gebruik gemaakt moet worden van de escapefunctie?

 Antwoord: De eerste drie opties spreken naar onze mening voor zichzelf. Een nieuwe aanvraag, het vaststellen van onderhoudsplicht, inkomen van 16 en 17 jarige inwonende kinderen. De optie bijzonder onderzoek zal in de praktijk vooral door sociaal rechercheurs worden gebruikt. Indien geen van de opties van toepassing is kan gekozen worden voor de optie ‘anders’.

  1. Er is geen optie om de escape te gebruiken voor het raadplegen van medebewoners. Aanwezige en noodzakelijke gegevens over medebewoners zijn via het BSN van de klant zelf in te zien. Daarom hoeft het BSN van medebewoners niet meer apart te worden geraadpleegd.

Het raadplegen van gegevens van medebewoners is vanuit privacy-oogpunt zeer onwenselijk.

  • Vraag: Heeft het gebruik van het filtermechanisme (whitelist) invloed op de werking en het gebruik van andere applicaties die door de gemeente worden gebruikt, zoals EROW en het inburgeringsportal?

Antwoord: Nee. Het filtermechanisme wordt alleen toegepast op Suwinet-Inkijk voor de pagina’s die voor (het gemeentelijk domein) Werk en Inkomen zijn samengesteld en heeft derhalve geen invloed op andere applicaties. De processen waarin die andere applicaties worden gebruikt worden dus niet verstoord.

  • Vraag: Is aan te geven hoeveel extra handelingen de whitelist en de escapefunctie voor gebruikers gaat betekenen. Moet er bijvoorbeeld vaak worden doorgeklikt bij het opvragen van gegevens?

 Antwoord: Van de toetsing aan de whitelist merkt de gebruiker in feite niets zolang er gegevens worden opgevraagd van een BSN dat aan de whitelist is toegevoegd. Is dit niet het geval dan zal de medewerker een melding op het scherm krijgen dat het BSN niet op de whitelist staat is en de vraag of hij de escape wil gebruiken (voor zover de medewerker hiervoor is geautoriseerd).

Als daar voor gekozen wordt moet één van de vijf redenen worden aangegeven, waarna de raadpleging kan worden voortgezet. Naar onze inschatting zal dit betekenen dat er nauwelijks extra tijd nodig is voor een raadpleging.

  • Vraag: Hoeveel tijd is de gebruikersbeheerder kwijt aan de whitelist en de escape?

 Antwoord: Zoals gezegd zal de gebruikersbeheerder de rol escapefunctie moeten toekennen aan de medewerker en bij wijzigingen in de personele sfeer of taken, aanpassingen moeten doorvoeren. Dat is niet anders dan nu het geval is.

Daarnaast zal de gebruikersbeheerder geregeld een selectie van het klantenbestand moeten trekken, dit omzetten naar een CSV of TXT bestand en dat bestand uploaden om de whitelist te verversen. Dat is wel nieuw. Maar uit de pilot is gebleken dat dit met een script een zeer beperkte handeling is.

  • Vraag: Welke gegevens over de whitelist en de escape zien we in de generieke rapportage?

Antwoord: In de generieke rapportage zien we het aantal gebruikte escapes, gesorteerd naar de opgegeven reden en het aantal bezochte pagina’s met die escapes.

  • Vraag: Hoe vaak wordt de generieke rapportage over het gebruik van de escapefunctie beschikbaar gesteld en over welke periode gaat die rapportage?

 Antwoord: Voor de generieke maandrapportage zal de maandelijkse frequentie van de 21ste van de ene maand tot de 21ste van de volgende maand worden gebruikt. De gebruikte escapes in die periode zullen worden vergeleken met de whitelist die actief is op de 28ste van die laatste maand, zodat ‘onnodige’ meldingen (BSN’s) niet worden opgenomen maar er worden uitgefilterd.

  • Vraag: Hoe werkt het uitfilteren van BSN’s ten opzichte van de rapportage door het BKWI over het gebruik van de escapefunctie precies?

 Antwoord: Van elke bevraging wordt een logregel aangemaakt. In de logregel staat onder meer welke medewerker op welk moment van welke burger welke gegevens heeft opgevraagd. Hieraan wordt – indien de escapefunctie wordt gebruikt – de reden van de escape aan toegevoegd. Daarmee zijn de opvragingen met en zonder escape in de logbestanden onderscheidenlijk.

In de specifieke rapportage over het gebruik van de escape worden op rapportagedatum alle bevragingen via escape met een logdatum die een week of een maand (in de 1e periode is sprake van wekelijkse rapportage, daarna maandelijks) voor de rapportagedatum liggen, geselecteerd.

De geselecteerde BSN’s worden nogmaals vergeleken met de actuele whitelist van die organisatie. Staat het BSN daar inmiddels op dan wordt de melding niet in de rapportage opgenomen en daarmee dus niet zichtbaar voor de security officer.

  • Vraag: Hoe vaak wordt de specifieke rapportage over het gebruik van de escapefunctie beschikbaar gesteld?

 Antwoord: Net als nu moet de gemeente een specifieke rapportage zelf opvragen en daarbij aangeven welke periode zij in die specifieke rapportage opgenomen wil zien.

Bij de start van het werken met de whitelist en de escapefunctie zal aan gemeenten voor een ruime periode wekelijkse rapportage beschikbaar worden gesteld. Dit is vooral bedoeld om het werken met de whitelist en de escape en het daarbij in control zijn ‘in de vingers te krijgen’.

  • Vraag: Is het de bedoeling dat de Security Officer alle gerapporteerde meldingen van gebruik van de escapefunctie controleert?

 Antwoord: De keuze is aan de gemeente. Het is aan de gemeente om te bepalen of er thematisch, steekproefsgewijs of per functiegroep o.i.d. wordt gecontroleerd. Het controleren van alle meldingen is een mogelijkheid maar geen verplichting. Het gaat er om dat de gemeente kan aantonen dat zij ‘in control’ is. Het is daarom aan te raden om vast te leggen op welke wijze de gemeente deze controle in de praktijk uit gaat voeren.