Onderzoek Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (voorheen het College bescherming persoonsgegevens CBP) en de Inspectie SZW hebben in 2014 en 2015 onderzoek gedaan naar de naleving van de eisen die de Wet bescherming persoonsgegevens (Wbp) en de regelgeving SUWI stellen aan de levering van gegevens aan SUWI- en niet-SUWI-partijen. Onderzocht is of een aantal beveiligingsaspecten voldoet aan het Aansluitprotocol en overige kaders in de Regeling SUWI. Het gaat onder andere om de toekenning van autorisaties, en overeenkomsten van UWV als bronhouder met nationale niet-SUWI-partijen en met het Department of Social Protection in Ierland. Naar aanleiding van de bevindingen is een aantal overeenkomsten aangepast, met extra aandacht voor afspraken over de informatieplicht, het autorisatiebeheer en de bewaartermijnen. Er is een verbeterde incidentenprocedure vastgesteld en er zijn strikte regels geformuleerd voor de procedures waaraan afnemers zich moeten houden als ze binnen hun eigen organisatie medewerkers toegang verlenen tot van UWV ontvangen persoonsgegevens. Verder hebben de Suwinet-partijen het programmaplan Borging veilige gegevensuitwisseling via Suwinet opgesteld en de eerste voorbereidingen voor uitvoering daarvan getroffen.

De Autoriteit Persoonsgegevens is, op basis van de door UWV genomen acties, van oordeel dat er inmiddels voor de meeste van de genoemde punten geen aanleiding meer is om een zogeheten last onder dwangsom op te leggen. Wel vraagt de autoriteit nog om aanvullende acties voor Suwinet-Inlezen. Het gaat dan met name om logging, rapportage, controle en verantwoording hierover door de afnemers van Suwinet-Inlezen. We houden de autoriteit op de hoogte over de verdere voortgang op dit punt.