Privacy & Beveiliging

Beveiliging

Suwinet moet veilig zijn: er gaat dagelijks heel veel en heel gevoelige informatie over de lijnen.

Daarvoor zijn afspraken gemaakt tussen de Suwinetpartijen. Afspraken:

  1. voor gemeenten en
  2. voor andere partijen die op Suwinet zijn aangesloten.

Deze afspraken zijn gemaakt in het Ketenoverleg van Suwinet, dat wordt geadviseerd door de Domeingroep Privacy en Beveiliging.

Afspraken voor gemeenten

De Verantwoordingsrichtlijn GeVS beschrijft:

  • aan welke eisen op het gebied van informatiebeveiliging partijen die op de GeVS (onder andere Suwinet) zijn aangesloten moeten voldoen en
  • hoe ze zich daarover moeten verantwoorden

De ENSIA-verantwoordingssystematiek, die door gemeenten wordt gevolgd, liep hier al voorop vooruit. Voor gemeenten heeft de nieuwe Verantwoordingsrichtlijn GeVS dus geen consequenties.

Voor andere afnemers en beheerders is de nieuwe Verantwoordingsrichtlijn wel van belang. Zij moeten vóór 1 mei 2020 een zogenaamde transparantierapportage indienen volgens de nieuwe Verantwoordingsrichtlijn.

Die bestaat uit een incontrolverklaring over opzet, bestaan en werking van de interne beheersmaatregelen die genomen zijn om aan het Specifieke SUWI-normenkader voor Afnemers resp. Beheerders te voldoen, met daarbij een getrouwheidsverklaring van een IT-auditor.

Hiervoor zijn formats opgenomen in de Verantwoordingsrichtlijn.

Belangrijke documenten:

Privacy

De privacybescherming is geregeld in de Algemene Verordening Gegevensbescherming. Er is dus geen apart normenkader voor. De normenkaders hierboven regelen ook de beveiliging van persoonsgegevens.

Er is ook geen aparte verantwoording voor privacybeveiliging geregeld. Voor intern toezicht hebben alle overheidsorganisaties een FG (Functionaris Gegevensbescherming) en het externe toezicht is in handen van de AP (Autoriteit Persoonsgegevens).