Privacy & Beveiliging

Beveiliging

Suwinet moet veilig zijn: er gaat dagelijks heel veel en heel gevoelige informatie over de lijnen.

Daarover zijn afspraken gemaakt tussen de SUWI-partijen. Dat zijn de gemeenten, de SVB en het UWV. De afspraken gaan over normenkaders en de verantwoording over de naleving daarvan.

Deze afspraken worden gemaakt in het Ketenoverleg van Suwinet, dat wordt geadviseerd door de Domeingroep Privacy en Beveiliging.

Ensia: Afspraken voor gemeenten

De ENSIA-verantwoordingssystematiek, die door gemeenten wordt gevolgd, sluit aan op de Verantwoordingsrichtlijn GeVS 2019. Gemeenten die de ENSIA-verantwoordingssystematiek volgen voldoen dus automatisch aan de Verantwoordingsrichtlijn GeVS 2019.

Afspraken voor andere afnemers en beheerders: alleen voor 2019

Voor andere afnemers en beheerders kunnen kiezen hoe ze zich over 2019 verantwoorden. Ze kunnen de Verantwoordingsrichtlijn GeVS 2019 volgen of de Verantwoordingsrichtlijn GeVS 2011.

Het belangrijkste verschil is dat de Verantwoordingsrichtlijn GeVS 2019 voorschrijft dat organisaties zich houden aan de BIR in combinatie met het Specifieke SUWI-Normenkader voor Afnemers of, in het geval van BKWI en Inlichtingenbureau, dat voor Beheerders.

De Verantwoordingsrichtlijn GeVS 2011 bevat een ander normenkader dat in 2011 – toen er nog geen BIR of BIG was – speciaal voor Suwinet is opgesteld.

Het Ketenoverleg (Opdrachtgeversberaad) heeft besloten de niet-gemeentelijke afnemers en de beheerders de keuze te laten tussen:

  • zich nog een jaar langer te verantwoorden over de oude Verantwoordingsrichtlijn, uit 2011
  • zich voor 2019 volgens de nieuwe Verantwoordingsrichtlijn te verantwoorden

In 2020 verandert de Verantwoordingsrichtlijn namelijk opnieuw, omdat dat dan de Baseline Informatiebeveiliging Overheid (BIO) wordt ingevoerd. De Specifieke SUWI-Normenkaders verdwijnen dan en het Ketenoverleg (Opdrachtgeversberaad) wil partijen niet dwingen die normenkaders voor één jaar in te voeren (besluit van 16 mei 2019).

Belangrijke documenten


Privacy

De privacybescherming is geregeld in de Algemene Verordening Gegevensbescherming. Er is dus geen apart normenkader voor. De normenkaders hierboven regelen ook de beveiliging van persoonsgegevens.

Er is ook geen aparte verantwoording voor privacybeveiliging geregeld. Voor intern toezicht hebben alle overheidsorganisaties een Functionaris Gegevensbescherming en het externe toezicht is in handen van de AP (Autoriteit Persoonsgegevens).