De beveiliging van databank Suwinet is bij veel gemeentes niet op orde, blijkt uit onderzoek van het Autoriteit Persoonsgegevens (AP). Bij elf van de dertien onderzochte gemeentes is de Wet Bescherming Persoonsgegevens overtreden. Wat betekent dit voor jouw persoonlijke gegevens?

Dat dit onderzoek aantoont dat Suwinet een database is die niet deugt, verrast Vincent Böhre, Director of Operations bij Privacy First, zeker niet. “Voor zover wij weten, is Suwinet zo lek als een mandje. Dit is al jaren zo en het is verrassend dat de slechte beveiliging van Suwinet nu pas onder de aandacht komt. Suwinet is voor hackers en criminelen een erg aantrekkelijke databank om gegevens tegen iemand te kunnen gebruiken. De encrypties en beveiliging zijn niet op orde”, aldus Böhre.

Het onderzoek dat AP publiceerde, toont daarnaast aan dat er geen duidelijke regels zijn welke ambtenaren wel en niet toegang mogen hebben tot Suwinet. “Eigenlijk moeten gemeentes hun personeel screenen voordat ze met de databank aan de slag mogen”, stelt Böhre voor. Of dit al gedaan wordt, weet hij niet.

Gevaarlijke toestand?

Iedereen die overweg kan met het internet, weet ondertussen wel dat er met grondige research veel achterhaald kan worden over een persoon. Als alles al online te vinden is, is dit dan zo zorgwekkend te noemen? “We moeten ons zeker zorgen maken,” vertelt Böhre zonder enige aarzeling. “Je verwacht dat de overheid jouw gegevens uitermate goed beveiligd. Want als de overheid het al niet goed doet, wie gaat het dan wel doen?”, aldus Böhre.

Inger Sanders, woordvoerder van het AP, vertelt dat er al een situatie zich heeft voorgedaan. “In het verleden is het daadwerkelijk fout gegaan. Zo heeft bijvoorbeeld een ex-partner via Suwinet de verblijfplaats van zijn ex-vrouw kunnen achterhalen. Om dergelijke onacceptabele praktijken te voorkomen, is het van groot belang dat de beveiliging van persoonsgegevens binnen gemeenten op het hoogste niveau serieus wordt genomen”, aldus Sanders.

“Bescherming van persoonsgegevens is overigens een grondrecht”, voegt Sanders toe. “Dat mensen veel gegevens over zichzelf online zetten, betekent niet dat de overheid dit niet hoeft te beschermen. De overheid is wettelijk verplicht om zorgvuldig met persoonsgegevens om te gaan en deze goed te beveiligen.”

Consequenties

Elf van de dertien onderzochte gemeentes hebben de Wet Bescherming Persoonsgegevens overtreden. Dit is geen lichte overtreding en het AP gaat daarom kijken hoe dit bestraft kan worden. Het AP heeft sinds 1 januari de bevoegdheid om boetes of dwangsommen op te leggen. In het geval van boetes kan het oplopen tot een bedrag van €820,000 euro. Afhankelijk van verschillende factoren wordt de hoogte van de boete bepaald.

In overleg met Inspectie Sociale Zaken en Werkgelegenheid zal er binnenkort actie ondernomen worden tegen de gemeentes die hun beveiliging niet op orde hebben. Daarnaast is er een vervolgonderzoek bezig over de beveiliging van Suwinet bij alle gemeentes in Nederland dat geleid wordt door het ISZ.