Privacy & Beveiliging

Beveiliging

Suwinet moet veilig zijn: er gaat dagelijks heel veel en heel gevoelige informatie over de lijnen.

Daarover zijn afspraken gemaakt tussen de SUWI-partijen. Dat zijn de gemeenten, de SVB en het UWV. De afspraken gaan over normenkaders en de verantwoording over de naleving daarvan.

Deze afspraken worden gemaakt in het Ketenoverleg van Suwinet, dat wordt geadviseerd door de Domeingroep Privacy en Beveiliging.

Verantwoording over 2019

  • ENSIA: Afspraken voor gemeenten

De ENSIA-verantwoordingssystematiek, die door gemeenten wordt gevolgd, sluit aan op de Verantwoordingsrichtlijn GeVS 2019. Gemeenten die de ENSIA-verantwoordingssystematiek volgen voldoen dus automatisch aan de Verantwoordingsrichtlijn GeVS 2019.

  • Afspraken voor andere afnemers en beheerders: alleen voor 2019

Voor andere afnemers en beheerders kunnen kiezen hoe ze zich over 2019 verantwoorden. Ze kunnen de Verantwoordingsrichtlijn GeVS 2019 volgen of de Verantwoordingsrichtlijn GeVS 2011.

Het belangrijkste verschil is dat de Verantwoordingsrichtlijn GeVS 2019 voorschrijft dat organisaties zich houden aan de BIR in combinatie met het Specifieke SUWI-Normenkader voor Afnemers of, in het geval van BKWI en Inlichtingenbureau, dat voor Beheerders.

De Verantwoordingsrichtlijn GeVS 2011 bevat een ander normenkader dat in 2011 – toen er nog geen BIR of BIG was – speciaal voor Suwinet is opgesteld.

Het Ketenoverleg (Opdrachtgeversberaad) heeft besloten de niet-gemeentelijke afnemers en de beheerders de keuze te laten tussen:

  • zich nog een jaar langer te verantwoorden over de oude Verantwoordingsrichtlijn, uit 2011
  • zich voor 2019 volgens de nieuwe Verantwoordingsrichtlijn te verantwoorden

Verder heeft het Ketenoverleg op 30 september 2019 besloten dat partijen die ervoor kiezen de Verantwoordingsrichtlijn GeVS 2019 te volgen, zich kunnen beperken tot de volgende 11 normen:

B1, B4, B5, U2, U3, U11, C1, C4, C5, C6 en C7.

Verantwoording vanaf 2020

In 2020 verandert de Verantwoordingsrichtlijn opnieuw, omdat dan de Baseline Informatiebeveiliging Overheid (BIO) van kracht wordt. De Specifieke SUWI-Normenkaders zijn dan niet meer geldig.

Het Ketenoverleg heeft op 30 september 2019 de nieuwe Verantwoordingsrichtlijn Informatiebeveiliging GeVS 2020 vastgesteld. De ENSIA-verantwoordingssystematiek zal hierop worden aangepast.

Belangrijke documenten

Privacy

De privacybescherming is geregeld in de Algemene Verordening Gegevensbescherming. Er is dus geen apart normenkader voor. De normenkaders hierboven regelen ook de beveiliging van persoonsgegevens.

Er is ook geen aparte verantwoording voor privacybeveiliging geregeld. Voor intern toezicht hebben alle overheidsorganisaties een Functionaris Gegevensbescherming en het externe toezicht is in handen van de AP (Autoriteit Persoonsgegevens).