Overzicht veelgestelde vragen over Werk en inkomen

Hieronder treft u de categorieen aan met vragen en antwoorden binnen het betreffende dossier. U kunt deze openklappen en lezen door op een categorie/vraag te klikken.

BKWI kan per bron aangeven wat de actualiteit van de gegevens is. In algemene zin worden de gegevens realtime getoond zoals bij de bron bekend. Let op dat er een verschil kan zijn omdat bijvoorbeeld gegevens over dienstverbanden door werkgevers worden doorgegeven in het kader van de loonaangifte. Voor meer informatie: www.bkwi.nl.

De zeven normen zijn door de Inspectie SZW geselecteerd ten behoeve van de door hen uitgevoerde onderzoeken. Deze selectie was gebaseerd op het ‘oude’ normenkader Suwinet dat in totaal uit 115 normen bestond waar gemeenten en ketenpartners zich al aan dienden te houden. Het nieuwe normenkader bestaat nog uit 26 normen. Deze 26 normen gelden vanaf 1 januari 2017 voor gemeenten.

Hiervoor is een notitie opgesteld door de VNG, te vinden op www.vng.nl/veiliggebruiksuwinet. Een accountant mag voor de verantwoording geen zelfstandige toegang hebben tot Suwinet-Inkijk

Alleen van personen die onderdeel uitmaken van de bijstandsuitkering of van invloed zijn op de hoogte van de bijstandsuitkering mogen gegevens worden geraadpleegd (zie factsheet VNG). Voor personen die onderdeel uitmaken van de bijstandsuitkering mogen ‘alle’ relevante gegevens worden geraadpleegd. Voor personen die geen onderdeel uitmaken van de bijstandsuitkering maar wel op hetzelfde woonadres staan ingeschreven, mogen zeer beperkt gegevens geraadpleegd worden. Deze zijn opgenomen in de pagina kostendelerstoets in Suwinet-Inkijk.

Op dit moment is het niet toegestaan om Suwinet te gebruiken bij de uitvoering van de WMO en de Jeugdwet. Graag verwijzen wij naar de factsheet Suwinet op de site van VNG.

Op dit moment is dit op centraal niveau niet zichtbaar. Wel kun je via de specifieke rapportage zien wanneer iemand heeft ingelogd. Wanneer de persoon niet op de werkplek aanwezig was op het moment van inloggen dan is er vanaf een andere locatie ingelogd.

Nee, om in te loggen op Suwinet dient er eerst ingelogd te worden op een beveiligd netwerk (Gemnet, diginetwerk).

Suwinet is een elektronische infrastructuur. Er zijn verschillende voorzieningen om het netwerk te bereiken. Dit kan bijvoorbeeld via de applicatie Suwinet-Inkijk of via Suwinet-Inlezen. Bij Suwinet-Inlezen gebruik je een andere applicatie om gegevens op te vragen. Voor meer informatie hierover verwijzen wij graag naar www.bkwi.nl.

Hiervoor is een AMvB nodig, deze is er nog niet. Op dit moment vinden er oriënterende gesprekken plaats tussen de VNG en SZW om de mogelijkheden in dat kader te verkennen.

De gemeente is verantwoordelijk en is daarmee ook verantwoordelijk voor het afsluiten van een bewerkersovereenkomst met de externe organisatie. Een voorbeeld is te vinden op de site van het project implementatie 'Borging veilige gegevensuitwisseling via Suwinet'. Ook is deze informatie beschikbaar op de site van de IBD (www.ibdgemeenten.nl)

Op dit moment beschikken wij niet over de informatie over hoe het vervolg van de steekproef wordt vormgegeven. Voor meer informatie kunt u contact opnemen met de inspectie SZW.

De online tool biedt de mogelijkheid de specifieke rapportage digitaal via Suwinet op te vragen, zonder tussenkomst van BKWI. Het grote voordeel hiervan is dat deze dan sneller beschikbaar is. De verwachting is dat de tool eind dit jaar gerealiseerd is. Dan komt ook de handleiding beschikbaar.

Een bevraging binnen Suwinet-Inkijk is hetzelfde als een raadpleging. In de reguliere rapportage van de gemeente staat beschreven wat binnen Suwi verstaan wordt onder een ‘raadpleging’; Eén muisklik op de kolompagina of overzichtspagina in Suwinet-Inkijk wordt gezien als een raadpleging.

Medewerkers die voor de uitvoering van hun wettelijke taken van hun gemeente een autorisatie hebben verkregen mogen raadplegingen doen. Voor meer informatie verwijzen wij graag naar de factsheet Suwinet.

Hier is geen eenduidig antwoord op te geven. Het normenkader spreekt over maandelijkse rapportage over logging zonder te specificeren naar generieke of specifieke rapportages. In algemene zin lijkt redelijk om toch een vaste frequentie vast te leggen in beleid en bijvoorbeeld themagedreven onderzoek te doen.

Ook bij gebruik van de whitelist blijft het nodig om te controleren of medewerkers niet buiten de wettelijke/functionele taken inkijken. De whitelist maakt het op dit punt makkelijker. Daarnaast is het nodig om te controleren op het gebruik van de escape.

Nee vanuit het programma BVGS er is geen richtlijn voor de exacte strafoplegging per situatie.

Het gebruik van Suwinet is niet toegestaan voor interne controle tbv rechtmatigheid of controle bij misbruik. Zie factsheet. Controle in de betekenis van een kwaliteitstoets tijdens bijvoorbeeld een aanvraagproces is wel toegestaan.

Het informeren van de OR is aan de orde aangezien BKWI voor de gemeente gegevens bijhoudt (logging) over het gebruik van gegevens door medewerkers en daarover rapporteert aan de gemeente. Dit geldt ook voor de wijze voor sanctioneren in het kader van misbruik en oneigenlijk gebruik van Suwinet-Inkijk.

Een gemeente dient de burger wiens BSN is gebruikt alleen te informeren wanneer er een kans bestaat op nadelige gevolgen. Dit staat omschreven in artikel 34a van de WBP 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Het advies is om de zorgvuldigheidsverklaring op te slaan in het HRM-dossier.

Moet dit "onzorgvuldig gebruik" ook onderdeel zijn van het sanctiebeleid bijv. bij herhaling?

Wij adviseren dit type gebruik ook op te nemen in het beleid.

Hoofdpunt is dat het opstellen van beleid een gemeentelijke aangelegenheid is. Vanuit ons advies om maatwerk te organiseren voor eventuele oplegging van maatregelen zullen wij geen advies geven om een exacte duiding op te nemen van de strafmaat in samenhang met de ‘zwaarte’ van het incident. Het normenkader geeft geen expliciete invulling van beleid bij misbruik en oneigenlijk gebruik op dit punt.

In de factsheet komen de volgende vragen aan de orde: wie mag Suwinet gebruiken, wie mag Suwinet niet gebruiken, waar mag ik Suwinet voor gebruiken, waar mag ik Suwinet niet voor gebruiken?

Wanneer een nieuwe rol succesvol is aangemaakt, zie je bovenaan de pagina de volgende tekst: ‘wijziging is opgeslagen’.

Ja. U dient nog wel de rollen aan te maken behorend bij de functies. Het is vooral interessant wanneer er sprake is van veel medewerkers met dezelfde functie. Maakt u gebruik van submappen? Let dan wel op dat u de rollen in de hoofdmap aanmaakt! Zodat de rollen in alle submappen zichtbaar zijn.

Volledige vraag
Graag "Datum automatisch blokkeren op" bij de accounts ook vermelden op eerste overzicht Gebruikersadministratie; deze informatie is nu pas te zien als je het gebruikersaccount opvraagt.

Antwoord
De VNG neemt deze wens mee om als wijziging in te dienen.

Volledige vraag
Hoe controleer je of medewerkers Suwinet alleen gebruiken voor de toegestane taken, dus Participatiewet, IOAW of IOAZ? Medewerkers met een ruimer takenpakket (bv. ook schuldhulpverlening en Wmo) kunnen in theorie ook Suwinet gebruiken voor schuldhulpverlening en Wmo. Terwijl dat niet is toegestaan...

Antwoord
Controle van medewerkers met verschillende wettelijke taken (zoals bijvoorbeeld Participatiewet en WMO) is een bekend en lastig fenomeen. Van belang is hier veelvuldig over te communiceren en dit middels casussen aan de orde te brengen tijdens werkoverleggen. Niet de controle is belangrijk maar het bewustzijn bij medewerkers is belangrijk. Wanneer zij weten wat wel en niet mag en waarom, kunnen zij hier ook naar handelen. Het gebruik maken van Whitelisting voor de klanten van werk en inkomen kan hierbij ook helpen.

Op dit moment niet. De VNG is hierover in gesprek met SZW.

Dit kunt u het beste bespreken met uw leidinggevende en het management van de lijnorganisatie. Een gemeente is zelf verantwoordelijk voor een goede en up-to-date gebruikersadministratie, waarin alleen medewerkers staan die vanuit hun wettelijke taken toegang hebben tot een account met autorisaties, passend bij deze taken.

BKWI is voornemens een upgrade te doen voor de Gebruikersadministratie. Daarin wordt deze wens meegenomen.

In de nieuwe gebruikersadministratie komt een mogelijkheid voor export.

Zolang deze mogelijkheid er niet is, dient de VNG een verzoek in bij BKWI om dit op te nemen in het aanvraagformulier ‘specifieke rapportage’.

In de generieke gebruikersrapportage wordt niets over mappenstructuur gerapporteerd. Het aantal accounts per organisatie wordt weergegeven, ongeacht in welke submap deze  in de gebruikersadministratie zijn ondergebracht.

De rapportagetool ontvangt iedere nacht een kopie van de gebruikersadministratie waarmee een historie is opgebouwd. BKWI kan altijd terugkijken naar wanneer bepaalde accounts in bepaalde mappen zijn gezet alleen rapporteert BKWI daar niet over. VNG neemt deze wens mee om als wijziging in te dienen.

Dit is niet nodig. De gebruikersbeheerder dient eerst het account van de gebruiker te verwijderen. Daarna maakt de gebruikersbeheerder het account opnieuw aan in de nieuwe map.

Dit geldt enkel in het geval van rollen die op een hoger niveau zijn aangemaakt. Vraag jezelf vooral af wat voor jou organisatie het meest overzichtelijk is. Indien dat betekent dat je met submappen wilt werken, maak dan eerst een structuur op papier. Vervolgens maak je altijd alle rollen aan in de hoofdmap, zodat deze in alle submappen zijn te zien.

Volledige vraag
Graag de Gemeentenaam (of gemeentecode) op de homepagina Suwinet vermelden. Nu kun je wanneer je ingelogd bent nergens meer zien in welke gemeentelijke Suwinetomgeving je bent ingelogd. Vanuit onze organisatie hebben we namelijk drie gemeenten waarop ingelogd kan worden. Duidelijk vermelden van de gemeentenaam voorkomt onterechte bevragingen in de verkeerde gemeente.

Antwoord
De VNG neemt deze wens mee om als wijziging in te dienen.

Nee. Een map met accounts van gebruikers kan niet verder opgedeeld worden.

Volledige vraag
Je kunt volgens mij beter alleen in de hoofdmap rollen aanmaken gelijk aan de functies van de medewerkers. Ik heb eerst met submappen gewerkt maar die kun je helaas niet meer aanpassen. Misschien om als tip te benoemen?

Antwoord
Dit is inderdaad een ‘best practice’. Rollen kunnen het beste aangemaakt worden in de hoofdmap zodat deze ook beschikbaar zijn in de submappen. Een rol die aangemaakt is in een submap is enkel zichtbaar binnen deze submap.

Dit hangt van de situatie af. Als de afdeling van naam verandert, moet je opnieuw een submap maken onder de nieuwe naam en vervolgens de accounts in de oude map afsluiten en opnieuw aanmaken in de map met de nieuwe naam.

Als de afdeling niet van naam verandert maar alleen de mensen andere taken gaan uitvoeren, kun je de accounts de nieuwe rollen geven. Deze rollen moet je wel eerst in de hoofdmap aanmaken.

De huidige gebruikersadministratie is hier niet op ingericht. VNG neemt deze wens mee om als wijziging in te dienen.

Dat klopt maar ook voor kleinere gemeenten kan het handig zijn om hier gebruik van te maken. Door gebruik te maken van mappen kun je de gebruikersadministratie duidelijker een weerspiegeling laten zijn van je autorisatiematrix.

Als gemeenten graag willen werken met single sign on, kunnen ze dit doorgeven aan de VNG. De VNG heeft de mogelijkheid om dit te agenderen bij het ketenoverleg.

BKWI werkt hard aan twee upgrades. Een upgrade voor Suwinet en een upgrade voor de gebruikersadministratie. Deze staan los van elkaar. Gemeenten kunnen over naar een upgrade van de gebruikersadministratie zodra BKWI daar klaar voor is. Gemeenten kunnen vooralsnog niet over naar de Upgrade Suwinet omdat deze omgeving niet past op de gemeentelijke structuur.

BKWI is verantwoordelijk voor de uitrol en heeft dit voor het eerste kwartaal van 2018 gepland.

Zodra meer informatie beschikbaar is, laat BKWI dit weten via de website www.bkwi.nl en de nieuwsbrief Short Message Suwinet (SMS).

Wijzigingen worden doorgegeven in de releasebrief. De volgorde van wijzigingen wordt afgestemd in het ketenoverleg (UWV, SVB en VNG). Wanneer er wensen zijn van bestaande producten of nieuwe producten, kunnen gemeenten dit aangeven bij de VNG.

U bepaalt zelf waarover u een specifieke rapportage wilt ontvangen. Mogelijk doelt u op de ’26 weken rapportage’. Deze specifieke rapportage biedt inderdaad alleen inzicht in het gebruik van de escaperol en wordt de eerste 26 weken na implementatie van de whitelist beschikbaar gesteld.

Wilt u een specifieke rapportage opvragen dan gebruikt u het aanvraagformulier te vinden op: www.bkwi.nl - aanvraagformulier
In dit formulier kunt u aangeven over welke tabellen uit de generieke gebruikersrapportage u informatie op persoonsniveau wilt ontvangen.

Het BKWI werkt aan een verdere automatisering voor het aanvragen en verkrijgen van specifieke rapportages.

Volledige vraag
Waarom krijgen gebruikers geen email met herinnering als hun ww bijna verlopen is; het kan voorkomen dat de gebruiker een aantal dagen niet inlogt en dat toevallig op die dagen hun wachtwoord verloopt.

Antwoord
Goede suggestie, de VNG neemt deze wens mee om als wijziging in te dienen.

Volledige vraag
Misschien is het goed nogmaals te communiceren dat iemand een aparte autorisatie kan krijgen voor het wijzigen en resetten van wachtwoorden. Die taak hoeft dus niet bij de gebruikersbeheerder te liggen.

Antwoord
In de nieuwsflits wordt hier aandacht aan besteed.

De vraag is of dit valt onder de geüniformeerde arbeidsverplichtingen, opgenomen in artikel 18 PW. Dit artikel heeft als kop ‘afstemming’. De kop ‘verplichtingen’ staat boven artikel 9 PW. Dat heeft als consequentie dat artikel 18 geen zelfstandige verplichtingen in het leven kan roepen, maar alleen de grondslag biedt voor een afstemming als niet aan de verplichtingen is voldaan. Met andere woorden, alle arbeidsverplichtingen staan in artikel 9 PW, de afstemming in artikel 18 waarbij de arbeidsverplichtingen uit artikel 9 PW helemaal zijn uitgesplitst. Er worden dus geen nieuwe verplichtingen gecreëerd.

Artikel 9 PW geldt vanaf de datum van de melding bij het UWV als bedoeld in artikel 44, tweede lid PW. Ofwel, de geüniformeerde arbeidsverplichtingen waren nog niet van toepassing op de dag dat mevrouw X haar baan heeft opgezegd. Afstemming op grond van de geüniformeerde arbeidsverplichtingen is dus niet mogelijk. Wel is er sprake van tekortschietend besef van verantwoordelijkheid voor de voorziening in het bestaan. De afstemming zal dus daarop gebaseerd moeten zijn, als dat in de verordening is geregeld.

Volledige vraag
In de participatiewet staat dat er samen met de klant een plan van aanpak moet worden opgesteld. Hoe moet zo’n plan eruitzien? Mijn gemeente stelt, na een gesprek met de klant, het plan zelf op. Is dat een goede werkwijze?

Antwoord
Artikel 9, lid 1 onder b Participatiewet geeft aan dat een klant moet meewerken aan het opstellen, uitvoeren en evalueren van een plan van aanpak. In artikel 44a staat beschreven dat dit plan in ieder geval een uitwerking van de soort ondersteuning bevat en een passage over de verplichtingen van de klant om aan de arbeidsinschakeling mee te doen en wat de gevolgen kunnen zijn als deze zich niet aan de verplichtingen houdt. Als aan deze voorwaarden is voldaan, dan voldoet het plan aan de in de Participatiewet gestelde vereisten.

Bij een door de gemeente opgesteld plan van aanpak, loopt de gemeente het risico dat het plan te weinig een appèl doet aan de zelfredzaamheid van de klant.

Wanneer de klant zelf aangeeft wat en hoe die zijn zelfredzaamheid denkt te versterken en aangeeft welke ondersteuning van de gemeente die nog nodig heeft, wordt dat risico veel kleiner.

De kans dat het plan door de klant daadwerkelijk wordt uitgevoerd is dan groter. De naleving van de voorwaarden/verplichtingen worden versterkt en daarmee de handhavingsmogelijkheden van de gemeente groter.

Gebruikersrapportages en Specifieke rapportages worden gegenereerd bij de beheerder BKWI. Onder welke naam BKWI de rapportages oplevert, hangt af van de naam waaronder het samenwerkingsverband is aangemeld en of het is aangemeld.

Ja, dat is mogelijk. Artikel 9 lid 1 onder c Participatiewet geeft aan dat “nuttige werkzaamheden” naar vermogen moeten worden verricht. Het doel is het benutten van iemands mogelijkheden zolang een uitkeringsverstrekking aan de orde is. Gemeente kunnen zo voorkomen dat mensen zich neerleggen bij de situatie van een aanvullende uitkering op hun eigen inkomen. Het kan dus ook als iemand parttime inkomen heeft.

In artikel 9 lid 1 onder c staat dat de tegenprestatie uit onbetaalde en nuttige arbeid moet bestaan. Die arbeid mag niet leiden tot verdringing op de arbeidsmarkt. Dat geldt ook voor vrijwilligerswerk. Staatssecretaris Klijnsma heeft aangegeven dat  het verrichten van vrijwilligerswerk als tegenprestatie kan worden aangemerkt.

Mantelzorg wordt ook als tegenprestatie beschouwd. De gemeente kan bepalen wanneer van mantelzorg wordt gesproken.

Hiervoor mag de escapefunctie gebruikt worden met als escapereden “nieuwe aanvraag”. Deze escapereden betreft namelijk niet alleen de aanvraag bijstand maar ook bijvoorbeeld de bijzondere bijstand of de re-integratie van een niet-uitkeringsgerechtigde (nugger).

Op hoofdlijnen is het de beheerder van Suwinet, BKWI, die verantwoordelijk is voor de technische componenten van Suwinet. Ook gemeenten hebben in de eigen omgeving een aantal componenten die tot het Suwinet Deel Landschap kunnen worden gerekend. Je kunt hierbij denken aan toegang tot de gemeentelijke werkplek waarop Suwinet te benaderen is, de applicatieserver waarop de internetbrowser is geïnstalleerd voor gebruik door de gemeente, het gemeentelijke netwerk en de netwerkcomponenten die het verkeer met Suwinet regelen. Indien men gebruik maakt van DKD of Suwinet inlezen, is het Suwinet Deel Landschap nog weer wat uitgebreider omdat ook de inlezende applicatie hiertoe behoort.

De CAR-UWO behandelt het begrip ‘plichtsverzuim’ en verbindt daaraan een aantal mogelijke disciplinaire straffen. Daarbij wijzen wij erop dat plichtsverzuim zowel het uitvoeren als het nalaten van een actie kan zijn en dat hiertoe ook acties behoren waarvan de ambtenaar redelijkerwijs had kunnen weten wat toegestaan is. Het beleid rond oneigenlijk gebruik en misbruik van persoonsgegevens dat in het kader van het programma BVGS is opgesteld, heeft een bredere scope. De adviezen van het programma bevatten uitgangspunten voor de inrichting van het beleid bij het gebruik van persoonsgegevens en heeft ook een relatie met de CAR-UWO.
 
De uitgangspunten voor gebruik van persoonsgegevens hebben betrekking op de rol van de werkgever bij het vaststellen van het beleid waarvoor de betreffende persoonsgegevens mogen worden gebruikt en waarvoor niet. Bij onjuist gebruik geven de uitgangspunten aan welke consequenties dan gelden. Bijbehorende maatregelen zijn het beleid zelf, voorlichting en instructie aan medewerkers.
 
Van de zijde van de gemeente wordt beleid opgesteld. Voor de medewerker kan een verklaring worden ingesteld (bijv. integriteitsverklaring of geheimhoudingsverklaring).
 
Geadviseerd wordt om in het beleid nadrukkelijk aandacht te besteden aan het proces na het signaleren van potentieel oneigenlijk gebruik of misbruik. Daarbij zijn begrippen als ‘zorgvuldig’, ‘voortvarend’, ‘hoor- en wederhoor’ van groot belang. Verder is het relevant onderscheid te maken tussen incidenteel of stelselmatig misbruik van persoonsgegevens. Belangrijk is de vraag: worden gegevens voor eigen voordeel gebruikt, ter benadeling van de burger worden gebruikt en of gegevens gedeeld zijn (in- of extern).
 
Het advies richt zich voorts erop dat er maatwerk moet zijn bij het onderzoek en het al dan niet toepassen van maatregelen. Het is in de praktijk moeilijk om heel specifiek en direct maatregelen te verbinden aan bepaalde ‘soorten’ van oneigenlijk gebruik of misbruik van gegevens.
 
Nadere informatie kunt u vinden op www.vng.nl/veiliggebruiksuwinet

Veel gemeenten stellen aan het team implementatie BVGS de vraag of invoering van de Whitelist verplicht is. Deze vraag is niet met een eenvoudig ‘ja’ of ‘nee’ te beantwoorden. Vanuit de Wet SUWI of het normenkader Suwinet is er weliswaar geen directe verplichting tot het invoeren van de Whitelist. Echter, vanuit de Wet Bescherming Persoonsgegevens (WBP) is er ten eerste het proportionaliteitsbeginsel en ten tweede, artikel 13. In dit artikel staat verwoord dat organisaties passende technische en organisatorische maatregelen dienen te treffen.
 
Wettekst WBP, artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
 
Toelichting:
In het begrip 'passende' ligt besloten dat de beveiliging in overeenstemming is met de huidige stand van de techniek.
 
WBP
Vanuit de WBP mag op grond van bovenstaand artikel gesteld worden, dat wanneer bepaalde ‘oplossingen’ beschikbaar zijn om de beveiliging op een passend niveau te brengen, de verantwoordelijke organisatie ook geacht wordt deze oplossingen toe te passen. De Whitelist is een dergelijke technische oplossing. Het niet toepassen ervan leidt ertoe dat men niet voldoet aan de verplichting rekening te houden met de stand van de techniek.
 
AVG
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese verordening komt in de plaats van de WBP en is op onderdelen strikter dan de huidige WBP. In de AVG komen o.a. de begrippen ‘privacy by design’ en ‘privacy by default’ aan de orde. Beide begrippen en vooral ‘privacy by default’ zijn met het oog op de Whitelist relevant. Organisaties zijn op grond van de AVG verplicht organisatorische en technische maatregelen te treffen om het gebruik van persoonsgegevens tot een minimum te beperken. De Whitelist is een treffend voorbeeld van dergelijke maatregelen als verplichting, voortvloeiend uit de AVG. Ter voorbereiding op de inwerkingtreding van de AVG is invoering van de Whitelist een belangrijke eerste stap.
 
Privacy Impact Assessment Suwinet
In 2014 en 2016 zijn twee Privacy Impact Assessments uitgevoerd. In beide PIA’s wordt geconcludeerd dat het open karakter van Suwinet tot risico’s leidt en dat toegang tot gegevens van burgers die geen dienstverleningsrelatie hebben met de betreffende gemeente, beperkt moet worden. De PIA van 2016 gaat zelfs nog een stap verder en stelt dat toegang tot Suwinet beperkt moet worden tot alleen de persoonsgegevens van burgers die tot de ‘caseload’ van de individuele medewerker van de gemeente behoren. Dit is echter met de huidige techniek (nog) niet mogelijk en stuit op grote organisatorische bezwaren.
 
Voordelen Whitelist
Los van wet- en regelgeving zijn er ook voordelen te behalen met toepassing van de Whitelist. Gemeenten controleren nu ofwel steekproefsgewijs achteraf, of vergelijken bevragingen in Suwinet met de eigen bestanden. Met name deze controles worden veel eenvoudiger. Een belangrijk extra voordeel is dat medewerkers zich beter toegerust vinden voor hun taak en weten dat ze alleen tot die gegevens toegang hebben die ze nodig hebben. Medewerkers zijn daarmee meer ‘op hun gemak’ bij het werken met deze persoonsgegevens.
 
Beleid bronhouders
Tot slot: vanuit de verantwoordelijkheid die bronhouders hebben voor het verstrekken van gegevens, gaan stemmen op dat alleen gegevens worden verstrekt aan gemeenten die gebruik maken van de Whitelist. Zover is het nu nog niet. Wij houden u graag op de hoogte.
 
Nadere informatie kunt u vinden op www.vng.nl/veiliggebruiksuwinet

Dat klopt inderdaad. Dat komt omdat een pagina Rechtmatigheid + is opgenomen die qua inhoud gelijk is aan de pagina Rechtmatigheid. Het enige verschil is dat op de pagina Rechtmatigheid + ook gegevens van medebewoners zijn opgenomen.

In het verleden mochten gemeenten Suwinet-Inkijk raadplegen om vast te stellen of iemand in aanmerking kwam voor financiering vanuit het Europees Sociaal Fonds (ESF). Deze activiteit komt niet voort uit de Participatiewet. Toch heeft SZW dit toegestaan omdat er geen andere geschikte oplossing was. Tegelijkertijd heeft SZW aan Stichting Inlichtingenbureau (Gemeentelijk Gegevens Knooppunt voor Gemeenten) gevraagd een oplossing te bedenken.

Het Inlichtingenbureau heeft vervolgens de ESF subsidietoets ontwikkeld. Sinds afgelopen januari kunnen gemeenten hier gebruik van maken. Deze gegevensset wordt nog verder uitgebreid, zodat het alle gegevens bevat die nodig zijn voor de ESF subsidietoets. Totdat deze set compleet is mogen gemeenten nog Suwinet-Inkijk raadplegen.

Onderstaand de link die u rechtstreeks naar de relevante informatie bij het Inlichtingenbureau brengt.

https://www.inlichtingenbureau.nl/Pages/Product.aspx?pID=70

Een vraag die we als team implementatie “Borging veilige gegevensuitwisseling via Suwinet (BVGS)” hebben ontvangen, is of de bestanden die gemeenten aan het Inlichtingenbureau leveren, niet ook als Whitelist bestand kunnen dienen. Een begrijpelijke vraag aangezien hergebruik tot hogere efficiency zou kunnen leiden.

Het is echter helaas niet mogelijk de bestanden van de Verwijsindex te gebruiken voor de Whitelist vanwege verschillen tussen beide bestanden op de volgende punten.

  • Beleid en wettelijk regime
  • Scope/afbakening
  • Actualisatie bestanden

Beleid en wettelijk regime
Vanuit beleidsoogpunt is belangrijk dat de Whitelist is bedoeld als lokaal beleid en dat gemeenten hiermee zelf in staat zijn te bepalen voor welke doelgroepen het opvragen van gegevens via Suwinet mogelijk wordt gemaakt. De verwijsindex biedt gemeenten niet die lokale beleidsinvulling en flexibiliteit voor onder meer doelgroepen en actualiteit van gegevens. Het doel van de Verwijsindex is wezenlijk anders. De Verwijsindex DKD is ingesteld als wettelijke verplichting voor gemeenten om periodiek bestanden aan te leveren aan het Inlichtingenbureau (IB). Deze bestanden kennen een vaste definitie. Onderliggend hebben gemeenten met IB een bewerkersovereenkomst afgesloten voor deze gegevensuitwisseling. Zowel de huidige wettelijke verplichting als de bewerkersovereenkomst bieden op dit moment niet de mogelijkheid de Verwijsindex te hergebruiken als Whitelist. Daarmee is de doelbinding van de Verwijsindex beperkt tot alleen het gebruik in het kader van het DKD door het Inlichtingenbureau.

Scope
De scope van de Whitelist wijkt af van de scope van de Verwijsindex. Voor de Whitelist wordt als advies meegegeven een selectie te maken met: lopende uitkeringen, beëindigde uitkeringen, terugvordering & verhaal. Een gemeente kan vervolgens zelf bepalen of onderhoudsplichtigen, re-integratie van niet-uitkeringsgerechtigden op de Whitelist worden opgenomen en hoeveel tijd na het beëindigen van de uitkering wordt meegenomen.
In de Verwijsindex zijn deze parameters vastgelegd voor alle gemeenten op dezelfde manier.

Actualisatie bestanden
Zowel de Whitelist als de Verwijsindex DKD dient periodiek te worden geactualiseerd door gemeenten. Voor beide voorzieningen zijn een uploadvoorziening en een voorziening voor geautomatiseerde berichten beschikbaar. Voor de goede orde: Er zijn momenteel slechts twee leveranciers die het geautomatiseerd bijwerken van de Verwijsindex DKD ondersteunen (Centric, Wigo4it).

Veel gemeenten actualiseren de Verwijsindex DKD op maandelijkse basis. Deze frequentie maakt dat veel vaker gebruik zou moeten worden gemaakt van de Escape-mogelijkheid dan in de situatie waarin de gemeente periodiek (per dag of per week) de Whitelist actualiseert. Ook door een andere inhoudelijke afbakening zou de gemeente vaker gebruik moeten maken van de escape-rol. Door vaker de Whitelist te actualiseren zorgt de gemeente ervoor dat onder meer nieuwe aanvragen sneller vanuit een nieuwe dienstverleningsrelatie worden toegevoegd aan de Whitelist.

Huidige technologie
Wanneer de bovenstaande punten niet of beperkter zouden spelen, zou het voor hergebruik van de verwijsindex ook nodig zijn dat er een voorziening komt tussen Inlichtingenbureau en BKWI voor het doorleveren van het Verwijsindex-bestand. De flexibiliteit van een dergelijke voorziening (de ene gemeente wil een eigen definitie van de Whitelist maken, de andere neemt de Verwijsindex over) leidt tot grote complexiteit en bijbehorende risico’s in ontwikkeling en beheer.
 

Vervolg van de vraag:

En mag ik deze gegevens dan gebruiken voor de uitvoering van andere wettelijke taken?

In artikel 74, lid 1 en lid 2 van de wet SUWI wordt antwoord gegeven op deze vraag. Gegevens die via Suwinet verkregen zijn, mogen alleen voor de uitvoering van de Participatiewet worden gebruikt. Er zijn enkele uitzonderingen op deze regel, onder andere indien de persoon op wie de gegevens betrekking hebben, vooraf schriftelijk toestemming verleent voor verstrekking van deze gegevens.

Reactie van een gemeente
De gemeente Arnhem heeft gereageerd op de laatste regel. De ontwikkelingen staan niet stil en deze reactie willen wij graag delen.
 
"In het rapport 'De rol van toestemming in het sociaal domein' (april 2016) van de Autoriteit Persoonsgegevens (AP) staat op pagina 2 onder 'Toestemming' het volgende aangegeven.
 
“Gemeenten kunnen problemen bij het bepalen van de grondslagen voor de verwerking van persoonsgegevens in het sociaal domein niet vermijden door toestemming aan betrokkenen te vragen voor de verwerking van hun persoonsgegevens. Vooral niet als gemeenten die toestemming vragen in situaties waarin de betrokkenen afhankelijk zijn van de gemeente voor hulp, zoals de intake/toegangsverlening. Betrokkenen kunnen daarbij niet in vrijheid toestemming geven.
Een ‘onvrije’ toestemming vormt geen grondslag. Gemeenten mogen dan alléén persoonsgegevens verwerken als zij zich kunnen baseren op een van de andere grondslagen uit artikel 8 van de Wet bescherming persoonsgegevens (Wbp)."
 
Het gaat er hierbij om dat toestemming vrij gegeven moet kunnen worden. En de AP geeft aan dat afhankelijkheid maakt dat iemand niet in vrijheid toestemming kan geven. Dat geldt overigens niet alleen voor het sociaal domein, maar in alle gevallen waar een afhankelijkheid bestaat. De (schriftelijke) toestemming is dus geen basis voor het verwerken van persoonsgegevens in dit geval”.
 
Het antwoord zoals het in nieuwsflits 5 is aangegeven was niet helemaal volledig. Gebruik van de gegevens uit Suwinet is buiten het kader van de wet Suwi niet toegestaan, waarbij de opgegeven  uitzonderingsgrond in de praktijk op grond van de uitspraken van de Autoriteit Persoonsgegevens (AP) onvoldoende mogelijkheden lijkt te bieden.  
 
Met dank aan Hans Jansen van de gemeente Arnhem!

Uitgangspunten

  • Partijen moeten er op kunnen vertrouwen dat “hun” gegevens zorgvuldig en controleerbaar
    worden behandeld.
  • Bij interne controle mag Suwinet-Inkijk niet geraadpleegd worden (geen toegang tot Suwinet-
    Inkijk). Wel kan een print bekeken worden die ten tijde van de aanvraag is geprint en is
    opgeslagen in een dossier t.b.v. de interne controle.
  • Printen van pagina’s uit Suwinet-Inkijk mag en prints mogen opgeslagen worden. Maar alleen
    als dit op een veilige manier gebeurt en als we er voor zorgdragen dat de prints alleen worden
    gebruikt voor de uitvoering van de Participatiewet.

Voorwaarden waaronder het bewaren en opslaan van uitdraaien/prints van pagina’s uit Suwinet-Inkijk is toegestaan zijn:

  1. De prints worden alleen gebruikt voor de uitvoering van de Participatiewet.
  2. Er mogen niet meer gegevens worden vastgelegd of uitdraaien/prints worden gemaakt dan
    strikt noodzakelijk (toereikend, ter zake dienend, niet bovenmatig).
  3. De gegevens (prints) mogen niet langer worden bewaard dan noodzakelijk.
  4. Prints die voor een bezoek/intake voor een cliënt worden gemaakt en niet door de cliënt
    worden meegenomen, moeten worden vernietigd.
  5. Onrechtmatige toegang, onrechtmatige of doel overschrijdende verwerking moet worden
    tegengegaan.
  6. Alleen medewerkers die belast zijn met de uitvoering van de wettelijke taken die vallen onder
    de Participatiewet, IOAW en IOAZ en de kwaliteitsmedewerker (controle dat aanvragen op de
    juiste manier zijn behandeld en op de rechtmatigheid van de uitkering) mogen toegang
    hebben tot deze gegevens/prints.
  7. Anderen, bijvoorbeeld medewerkers die belast zijn met de uitvoering van de WMO etc.
    hebben geen toegang tot deze gegevens/prints.
  8. Gegevens/prints mogen niet onbeheerd op het bureau of beeldscherm achterblijven.
  9. Voor zover niet gedigitaliseerd worden de dossiers, waarin de uitdraai/print wordt opgeslagen,
    bewaard in een kast die na werktijd of bij het verlaten van de werkplek wordt afgesloten.
  10. Het raadplegen van een fysiek dossier moet controleerbaar worden vastgelegd. Vastgelegd
    wordt wie, wanneer, welke gegevens heeft geraadpleegd en met welk doel of doeleinden
    (compleet met handtekening).
  11. De verantwoordelijkheid voor een juiste naleving ligt te allen tijde bij het college van
    burgemeester en wethouders en namens deze bij het betreffende organisatieonderdeel.
  12. De medewerker Planning &Control en/of de Security Officer Suwinet zijn belast met de periodieke controle op de naleving van deze voorwaarden.

De auditor leest de conclusie en wil hierop een controle uitvoeren. Mogen hiervoor de generieke en specifieke rapportage overhandigd worden aan de auditor?

Indien dit tot de taak van de auditor behoort, dan mag dit. Zorg er wel voor dat u, als gemeente, heldere afspraken maakt rondom inzien, opslag, geheimhouding etc. De gemeente blijft verantwoordelijk voor de gegevens.

Het Specifiek Normenkader voor Afnemers geldt voor alle aansluitingen die een afnemende partij, zoals de gemeente, met Suwinet heeft. En daarmee geldt het ook voor RMC, GB en BZ.

NB in het Specifiek Normenkader voor Afnemers staat onder C.06 – Monitoring en Rapportage een voetnoot: “9 Uitgangspunt is dat de controle op de logging rapportages maandelijks plaatsvindt; in specifieke situaties kan hiervan worden afgeweken, hetgeen in dat geval in de verantwoordingsrapportage dient te worden toegelicht.”

Het wachtwoord wordt bijvoorbeeld niet automatisch toegestuurd aan een gebruiker en er is niet een automatische mogelijkheid een wachtwoord te wijzigen). Hier zit altijd een applicatiebeheerder tussen. Dit mag niet volgens de BIG. Wordt dit nog opgelost? Als deze norm sec gehanteerd wordt, is dit bij alle gemeenten een probleem.

BKWI voldoet op dit punt wel aan de BIG. Namelijk wanneer een medewerker een wachtwoord ontvangt via de gebruikersbeheerder, moet deze direct vervangen worden door een eigen verzonnen wachtwoord, anders kan de medewerker niet verder. Dit is conform de BIG (zie het tactisch document norm 11.2.3).

BKWI is de beheerder van het Suwinet en rapporteert over het gebruik, de inrichting van het gebruik van Suwinet en de duiding van deze rapportages zijn aan de gemeente(n) zelf. Veel gemeenten bieden hun medewerkers de mogelijkheid op een andere locatie te werken en dus kan dit buiten kantoortijden plaatsvinden. Het is aan gemeenten om deze mogelijkheid adequaat te beveiligen conform het Specifiek Normenkader voor afnemers en de BIG.

Als eerste kunt u een vergelijking maken tussen de BSN’s in de specifieke rapportage en uw eigen bestand. Het is aan de medewerker om in zo’n situatie aan te geven met welke reden het BSN is geraadpleegd. Zijn er BSN’s die niet in uw eigen bestand staan, dan is het aan de medewerker om aan te geven met welke reden het BSN is geraadpleegd. Het is dan van belang de tijd tussen raadpleging en controle zo kort mogelijk te houden.

De inspectie SZW gaf tijdens haar onderzoek aan dat het minimum twee specifieke rapportages per jaar is. En geldt dit ook voor de andere aansluitingen zoals RMC, Burgerzaken en Gemeentelijke Belastingdeurwaarders?

Het Specifieke Normenkader geeft niet een nadrukkelijk minimum aan, anders dan de verwijzing periodiek de logging te controleren. U bepaalt zelf wat minimaal nodig is. Het is raadzaam dit op te nemen in uw aansluitbeleid c.q. beveiligingsbeleid. Suggesties zijn terug te vinden in de presentatie van de webinar: www.vng.nl/veiliggebruiksuwinet

Nee, er wordt geen onderscheid gemaakt. Oneigenlijk gebruik voor bijvoorbeeld WMO of schuldhulpverlening is nog steeds oneigenlijk gebruik en is net zo goed niet toegestaan. Mogelijk maken gemeenten verschil in de strafmaat, gerelateerd aan de ernst van het oneigenlijk gebruik. Het is aan te raden het beleid bij oneigenlijk gebruik goed te communiceren zodat medewerkers weten welke risico’s zij lopen.

Nee dat is niet mogelijk. De gebruiker is door de gemeente te identificeren aan zijn accountnaam. Welke rol die gebruiker heeft, is bekend bij de gemeente.

Dank voor deze goede suggestie. Wij voeren binnenkort enkele verbeterslagen door in de rapportages en dan bekijken wij wat mogelijk is met betrekking tot het lettertype van de generieke rapportage. Wij hopen in Q1 2018 de verbeterde rapportage op te kunnen leveren.

Hierin is nu niet voorzien, aangezien BKWI dergelijke gegevens niet mag vasthouden en er bij de bouw derhalve geen rekening is gehouden. Aangezien deze vraag vaker aan de orde is gekomen, gaan wij met een expertgroep bespreken wat de mogelijkheden zijn. Dat impliceert namelijk dat het BKWI dan tekst opslaat. Het is de vraag of dit juridisch mogelijk is. En als dit mogelijk is, heeft het een grote technische impact hebben (o.a. bouw van een databestand). Dit levert vervolgens een financieringsvraag op. De besluitvorming hierover neemt enige tijd in beslag.

Dat hangt af van de afspraak met de deelnemende gemeenten. Beide opties zijn mogelijk en de keuze zal doorgaans afhangen van o.a. efficiency aan de zijde van het samenwerkingsverband of juist het kunnen combineren van meerdere audits door de gemeente zelf. Wel blijven de afzonderlijke gemeenten verantwoordelijk dus als een samenwerkingsverband zelf een IT auditor heeft dan zal de audit alsnog (zoveel keer gekopieerd) naar de afzonderlijke gemeente gestuurd moeten worden en zullen in de Ensia zelfevaluatie de vragen door de gemeenten moeten worden ingevuld.

BKWI verstrekt geen logging informatie van gemeenten aan derden. Dus ook niet aan externe auditoren. Indien u een auditor deze informatie wilt verstrekken, dient de gemeente daar zelf zorg voor te dragen.

De tool voor het opvragen van specifieke rapportages is nu nog voorzien van standaard rapportages. Wij hopen dat dit in de toekomst wel een mogelijkheid wordt.

Dit bepaalt de gemeente zelf. Dit kan apart, vanwege de kennis die je moet hebben van het specifieke domein, het kan ook overkoepelend. Dit betekent dat het gebruikersbeheer bij één persoon kan liggen en de controle bij één persoon kan liggen. Indien dit gewenst is, neem dan contact op met de SUWI-desk van BKWI (suwidesk@bkwi.nl of 0800-78943375)

Nee, dit is niet toegestaan. Iedere aansluiting is voor de uitvoering van een specifieke wettelijke taak. De GSD aansluiting is alleen voor de uitvoering van de Participatiewet, IOAW en IOAZ. De Burgerzaken aansluiting is alleen voor de uitvoering van wettelijke taken behorende bij burgerzaken (kwaliteit adresgegevens).

U stelt de whitelist samen, door de burgers die in uw systeem staan in verband met een bijzondere bijstand, op te nemen in de whitelist. Burgers die voor het eerst met de gemeente in contact treden in verband met een aanvraag voor bijzondere bijstand, komen na registratie in het gemeentelijk systeem. En daarna dan wel automatisch dan wel handmatig op de whitelist. Dit hangt af waar u als gemeente voor heeft gekozen. (zie ook https://vng.nl/files/vng/20160520-onderhouden_werkvoorraad_v1.0.pdf ). Eigenlijk werkt dit precies hetzelfde als bij de aanvraag bijstand.

Hoe lang de gemeente de klant op de whitelist houdt, is een keuze van de gemeente zelf. Klanten met periodieke bijzondere bijstand hebben een relatie met de gemeente zolang de bijzondere bijstand voortduurt. Wanneer er slechts sprake is van incidentele bijzondere bijstand dan is de duur van de relatie korter. De gemeente kan er ook voor kiezen de klant te blijven doorgeven voor de whitelist voor dezelfde termijn waarop die bijzondere bijstand ook aangeleverd moet worden in het DKD bericht en dat is 1 jaar.

Er zijn drie manieren om de Whitelist actueel te houden. Handmatig op- en afvoeren van personen in de whitelist, een volledig nieuw bestand uploaden dat het oude bestand vervangt en werken met geautomatiseerde berichten. Deze laatste vorm wordt momenteel (nog) niet ondersteund door gemeentelijke softwareleveranciers. Dit staat beschreven in de functionele handreiking en in de technische handreiking (Onderhoud werkvoorraad)

Er is één whitelist per organisatie, dat kan een gemeente en/of samenwerkingsverband zijn. Is er sprake van een samenwerkingsverband en voert de gemeente ook nog taken uit dan kan het zijn dat een klant zowel op de whitelist van het samenwerkingsverband, als op de whitelist van de gemeente staat.

Nee op dit moment is er geen tool beschikbaar. Gemeenten gebruiken verschillende voorzieningen en bovendien zijn die voorzieningen landelijk verschillend ingericht. Het is daarom in de huidige situatie niet mogelijk om een standaard selectietool beschikbaar te stellen.

De whitelist bevordert sterk de bescherming van privacy bij het gebruik van Suwinet-Inkijk. Hiermee kunnen gemeenten namelijk beter voldoen aan de eisen op het gebied van proportionaliteit en doelbinding vanuit de Wet Bescherming Persoonsgegevens. In de WBP is een artikel opgenomen (WBP Art. 13) waarin wordt gesteld dat voor bescherming van persoonsgegevens de verantwoordelijke passende organistorische en technische maatregelen treft, rekening houdend met de stand van de techniek. Er is geen specifieke wettelijke verplichting vanuit de Wet SUWI voor gebruik van de Whitelist.

Ja, dat is mogelijk. KING informeert de softwareleveranciers over de whitelist en gaat in gesprek over de vraag van de gemeenten. Omdat de lijsten niet altijd hetzelfde zijn (iedere gemeente heeft zijn eigen beleid), is het op dit moment niet mogelijk om de lijst standaard te leveren.

Ja, zolang er maar aangetoond kan worden dat er sprake is van een samenwerkingsverband.

Op dit moment is dat niet mogelijk. Suwinet is een elektronische infrastructuur en slaat geen gegevens op. Daarbij is het juridisch gezien niet mogelijk.

De whitelist kan geactiveerd worden in overleg met de accountmanager BVGS en wanneer aan enkele voorwaarden is voldaan. Meer informatie

Elke escape wordt met de reden die de gebruiker opgeeft geregistreerd. Het is aan de gemeente om medewerkers te informeren over het control-proces. Indien de medewerker regelmatig een interne opgave moet doen, dan is het aan de organisatie om vast te stellen op welke (aanvullende) wijze die medewerker elke escape moet registreren.

Wanneer een medewerker de escape gebruikt, wordt direct een reden gevraagd. Deze reden wordt geregistreerd en hierover wordt gerapporteerd in de Suwinet-rapportages.

De functionaliteit ‘whitelist’ is vanaf 1 oktober 2016 beschikbaar gesteld voor gemeenten.

Een gebruiker merkt normaal gesproken weinig van de whitelist. Indien een ‘escape’ moet worden gebruikt voor bijvoorbeeld een nieuwe aanvraag of bijzonder onderzoek, geeft de medewerker dat aan in Suwinet-Inkijk en kan vervolgens de betreffende gegevens, zoals hij/zij gewend is, inzien.

In de whitelist worden alleen BSN’s opgenomen.