Digitalisering

Digitalisering is essentieel voor UWV, zowel voor de dienstverlening aan cliënten, werkgevers en partners als voor de ondersteuning van medewerkers. Op basis van inzicht in waaraan cliënten, werkgevers en partners behoefte hebben en met de focus op klantwaarde breiden we de mogelijkheden op onze portalen en in de UWV‑app uit. Daarnaast verbeteren we onze communicatie op de mobiel toegankelijke website uwv.nl en met eenvoudige, beeldrijkere brieven, en zetten we stappen richting proactieve dienstverlening.

We vinden het belangrijk dat onze medewerkers zich óók gezien, gehoord en gewaardeerd voelen. Daarom werken we aan een moderne, stabiele werkplek met gebruikersvriendelijke en toegankelijke applicaties en geïntegreerde systemen, die samenwerking bevorderen en het werk efficiënter en effectiever maken. Betrouwbare data helpen onze medewerkers om onze cliënten, werkgevers en partners beter van dienst te zijn.

UWV werkt langs vier actielijnen aan het versterken van de informatiehuishouding, om informatie volledig, betrouwbaar en duurzaam toegankelijk te maken: professionals, volume en aard van informatie, IT‑systemen, en besturing en naleving. Die actielijnen sluiten aan op de rijksbrede doelen van het generieke actieplan Open op Orde. Om ons volwassenheidsniveau te verhogen ontwikkelen we in 2025 de werkomgeving van onze medewerkers, de moderne werkplek, verder door. Als belangrijkste stap hiervoor is in het eerste kwartaal van 2025 de overstap naar een nieuwe leverancier succesvol afgerond.

Architectuur

We organiseren ons ICT-landschap met onze eigen UWV‑doelarchitectuur. We richten ons daarbij op ons dienstverleningsplatform en op het beheersbaar overgaan naar (hybride) cloudoplossingen. Zo zorgen we dat we gebruik kunnen blijven maken van de moderne technieken. We volgen hierbij het rijksbrede cloudbeleid, dat we intern hebben uitgebreid tot een cloudstrategie. We hebben in de eerste vier maanden van 2025 bijgedragen aan het herzien van het rijksbrede cloudbeleid. In de tweede vier maanden van 2025 verwachten we de vernieuwde versie van die rijksbrede cloudbeleid en zullen we die indien nodig verwerken in ons eigen cloudbeleid.

Uitbesteding

We zetten gepaste outsourcing in voor applicatieontwikkeling en ‑beheer en volledige outsourcing voor exploitatie van infrastructurele voorzieningen. Leveranciers leggen, behalve via de rapportages die zijn afgesproken in dienstenniveauovereenkomsten, jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memoranda (TPM’s). We passen het sourcingbeleid aan op het uitgangspunt om meer IT‑werkzaamheden zelf uit te gaan voeren. Het nieuwe sourcingbeleid zal bijdragen aan een beter inzicht in de kwaliteit en kwantiteit van de uitbestede IT‑dienstverlening. We hebben bij het opstellen van het beleid de door onze Auditdienst gemaakte opmerkingen meegenomen. In de eerste vier maanden van 2025 hebben we het beleid opgesteld. We verwachten dat dit wordt goedgekeurd in de tweede vier maanden van 2025, waarna we het beleid kunnen implementeren.

We hebben de datacenterdienstverlening bij één leverancier ondergebracht. De leverancier van de netwerkdienstverlening verantwoordt zich met een generiekere TPM. De in deze TPM geconstateerde tekortkomingen en de eventuele impact ervan voor UWV worden op kwartaalbasis met ons besproken. De TPM’s over 2024 van onze grote leveranciers zijn conform afspraak opgeleverd in de eerste vier maanden van 2025. Er zijn geen grote tekortkomingen geconstateerd in de TPM’s en de bijbehorende dienstverlening door de leveranciers.

Daarnaast hebben we de voorlopige gunning van de Multifunctionele Afdrukapparaten (MFA)‑(print)dienstverlening waarvoor we een Europese aanbesteding hadden uitgeschreven. Daarbij hebben we de (aan)sturing op tactisch en operationeel niveau en de overlegstructuur beter ingeregeld.

Zorgvuldige omgang met persoonsgegevens en informatiebeveiliging

Mensen vertrouwen hun medische, werk- en/of persoonsgegevens aan ons toe. De samenleving mag ervan uitgaan dat UWV gegevens in overeenstemming met geldende wet- en regelgeving op een transparante wijze gebruikt, beheert en beschermt, conform de eisen van beschikbaarheid, integriteit en vertrouwelijkheid. Om dit te waarborgen, maken wij gebruik van gerenommeerde raamwerken, zoals het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) en de Baseline Informatiebeveiliging Overheid (BIO) voor informatiebeveiliging en het normenkader van het Centrum Informatiebeveiliging en Privacybescherming (CIP) voor privacy. Daarnaast hanteren we de Business Continuity Institute (BCI‑)richtlijn voor businesscontinuitymanagement.

We zetten ons in om data en informatie in processen en informatiesystemen adequaat te beveiligen in lijn met geldende wet- en regelgeving en verplichte kaders, zoals de AVG en de BIO. Begin 2025 zijn de laatste organisatieonderdelen aangesloten op de UWV‑brede softwareoplossing voor het vastleggen van (BIO‑)compliance. Hierdoor is een eenduidig en meetbaar beeld ontstaan, waardoor beter kan worden geprioriteerd waar nodig. De Europese AI-verordening is in augustus 2024 in werking getreden. De verordening wordt gefaseerd in de EU‑lidstaten van kracht. Belangrijke mijlpalen zijn de regels voor taalmodellen en hoog risico‑AI‑systemen die in augustus van respectievelijk 2025 en 2026 van kracht worden.

We werken aan onze doelstelling om in 2026 te voldoen aan de eisen die de BIO stelt. In juni 2022 is in de Stand van de Uitvoering de ambitie gecommuniceerd om in 2026 volledig aan de BIO te voldoen. Omdat voldoen aan informatiebeveiligingsstandaarden een voortdurend proces is, heeft UWV de doelstelling herijkt naar eind 2025 in control te zijn op de BIO. Dit houdt onder andere in dat alle systemen en processen zijn getoetst op basis van een selfassessment, verbeteracties zijn gedefinieerd en dat deze adequaat worden opgevolgd.

Resultaten verbeteracties informatiebeveiliging en privacy eerste vier maanden 2025

• Sinds eind 2024 is het totaal aantal openstaande verbeteracties met een derde afgenomen. Het aantal kritieke en hoge verbeteracties is bijna gelijk gebleven. De organisatieonderdelen is gevraagd deze met prioriteit op te pakken om de onderliggende risico’s te verminderen en de compliance te verhogen. In totaal staan er op dit moment 729 verbeteracties open, waarvan 208 met risicoclassificatie ‘hoog’ en 10 met ‘kritiek’.

• Diverse organisatieonderdelen hebben in de eerste vier maanden van 2025 medewerkers geworven voor informatiebeveiliging en privacy. Op onderdelen bestaat echter nog een sterke afhankelijkheid van externen, wat mogelijk een risico vormt voor de continuïteit van de werkzaamheden.

• In de in-controlverklaring BIO 2024 rapporteerden we dat 66% van de BIO‑beheersmaatregelen was opgenomen in actueel en geldig beleid of richtlijnen. De afgelopen periode hebben verschillende organisatieonderdelen beleidstukken aangevuld en afgerond, waardoor de compliance op beleid begin april 2025 74% is. Aan de resterende afwijkingen wordt op dit moment actief gewerkt.

• In april zijn we gestart met het uitvoeren van de steekproefsgewijze tweedelijnscontrole op de BIO‑selfassessments van de organisatieonderdelen. Eventuele bevindingen worden maandelijks teruggekoppeld, zodat die tijdig kunnen worden opgepakt.

• Het BIV-classificatiebeleid (classificatie van gegevens binnen UWV met het oog op het waarborgen van hun beschikbaarheid, integriteit en vertrouwelijkheid) wordt momenteel vernieuwd en in het tweede kwartaal afgerond. Aan de organisatieonderdelen wordt vervolgens gevraagd om in het derde kwartaal de ontbrekende BIV‑classificaties aan te vullen.

• Sinds 1 januari 2025 zijn, in lijn met het zogenoemde three‑linesmodel, het eigenaarschap van het datalekkenproces en het gegevensbeschermingseffectbeoordelings‑(GEB‑)proces opnieuw georganiseerd.

In de eerste vier maanden van 2025 hebben we de uitrol van het privacynormenkader van het Centrum Informatiebeveiliging en Privacybescherming (CIP) voortgezet. Hiervoor is een zogenoemde gapanalyse uitgevoerd van het informatiebeveiliging en privacy (IB&P‑)beleid en van de uniforme maatregelset vanuit de BIO. Voor de geïdentificeerde tekortkomingen hebben we acties uitgewerkt zodat de privacynormen vanaf 2026 onderdeel worden van de BIO‑verantwoording.

In de eerste vier maanden van 2025 zijn 23 nieuwe of herijkte GEB‑rapporten en 40 GEB‑checks ontvangen. Geen enkele van deze GEB‑rapporten is negatief beoordeeld.

Op grond van de AVG moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt. Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan moet UWV ook de betrokken personen inlichten.

Tabel Datalekken

In 70% van de gemelde datalekken is de termijn van 72 uur voor het melden bij de Autoriteit Persoonsgegevens gehaald. Een evaluatie van het datalekkenproces is afgerond in het eerste kwartaal van 2025. De conclusie is dat het proces duidelijk is en goed loopt. Wel zijn er meerdere acties vastgesteld om medewerkers te helpen bij een betere afhandeling van datalekken. De verbeteracties worden in de eerste week van mei geprioriteerd en ingepland. Een belangrijk punt daarin is de bewustwording rond het herkennen van datalekken. Daarnaast is het belangrijk dat medewerkers herkennen wanneer een lek mogelijk een impactvol datalek is.

Een impactvol incident dat zich begin mei 2024 heeft voorgedaan was het inzien van 150.000 cv’s via één werkgeversaccount op onze website werk.nl. Alle betrokken personen van wie het cv is ingezien en mogelijk gedownload hebben we daarover geïnformeerd. In reactie op dit incident hebben we alle persoonsgegevens in de cv’s op werk.nl volledig afgeschermd. In de tweede helft van 2025 tonen we alleen nog persoonlijke gegevens die werkgevers noodzakelijk achten om potentiële kandidaten te kunnen identificeren en matchen (naam, woonplaats, telefoonnummer en e‑mailadres). Werkzoekenden krijgen meer mogelijkheden om zelf te kiezen welke (contact)gegevens zij laten zien in hun cv op werk.nl. Daarnaast zijn technische maatregelen getroffen die het onmogelijk maken om geautomatiseerd cv’s in te zien of te downloaden en is de logging en monitoring geoptimaliseerd.

Wanneer we iemands persoonsgegevens gebruiken, dan mag die ons vragen welke gegevens dat zijn en wat we ermee doen (inzagerecht). Als de persoonsgegevens niet blijken te kloppen, dan kan iemand ons vragen om de bewuste gegevens te corrigeren. In een aantal situaties zijn we verplicht om, als iemand daarom vraagt, diens persoonsgegevens te verwijderen.

Tabel AVG‑verzoeken

We zijn verplicht om binnen een maand per brief of e‑mail te reageren op dit soort verzoeken. Als het verzoek ingewikkeld is of als het om meerdere verzoeken gaat, dan mogen we er twee maanden langer over doen. We handelden in de eerste vier maanden van 2025 416 verzoeken af: 83% binnen een maand, 15% binnen twee maanden en 2% binnen drie maanden.

Autorisatiebeheer

Ons uitgangspunt is dat het gebruik van systemen en de toegang tot data uitsluitend zijn voorbehouden aan geautoriseerde medewerkers en leveranciers. Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV en het vertrouwen dat we zorgvuldig omgaan met de aan ons toevertrouwde gegevens.

Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2027 stapsgewijs verouderde IAM‑systemen door een nieuwe uniforme, effectieve werkwijze voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. In 2024 hebben we een centrale, eenmalige inlogfaciliteit gerealiseerd waarop in 2024 vijftig van de ruim driehonderd applicaties zijn aangesloten. Voor deze applicaties bestaat een hoge kwaliteit van toegangsbeveiliging. De overige applicatieomgevingen worden waar nodig vanuit de beheerorganisatie in 2025 en in 2026 aangesloten. In het vierde kwartaal van 2024 zijn een vernieuwd autorisatiebeheersysteem, een vernieuwd autorisatiebeleid, ‑governance en ‑processen in gebruik genomen. Begin 2025 is gestart met de realisatie van twee centrale IAM‑voorzieningen: één toegangspunt tot de digitale dienstverlening van UWV via één integratiepunt voor cliënten, werkgevers en ketenpartners én een moderne voorziening voor het autorisatiebeheer van geprivilegieerde accounts (speciale toegangsrechten).

In november 2024 is de nieuwe applicatie voor het toekennen van autorisaties binnen UWV in productie gegaan (ABS IIQ). Een aantal technische problemen in combinatie met een nieuwe manier van werken heeft in de eerste maanden na livegang tot verstoringen geleid. We hebben extra capaciteit ingezet om die op te lossen; dit is inmiddels deels gebeurd. We werken nog aan het volledig herinrichten van de plan‑do‑check‑actcyclus en de benodigde rapportages die ook van belang zijn met het oog op de BIO. We hebben enkele eerste rapportages ingericht. Die breiden we nog uit en optimaliseren we om de autorisatiecontroles structureel te ondersteunen. We hebben ervoor gekozen om alle rollen en autorisaties een‑op‑een over te zetten, een zogenoemde technische migratie. In de eerste vier maanden van 2025 hebben we een begin gemaakt met het effectief inrichten van de controles en de naleving van de juiste autorisaties. Daarnaast zijn we gestart met het inrichten en bemensen van het Autorisatie Beheer Centrum. Ook hebben we de IAM‑governance beschreven.

Om de kans op verstoringen in de dienstverlening zo klein mogelijk te houden, is het belangrijk dat wijzigingen in de systemen op beheerste wijze worden doorgevoerd en alleen door medewerkers die speciaal daarvoor geautoriseerd zijn. In de eerste maanden van 2025 hebben we nieuwe beheersmaatregelen genomen. Zo hebben we monitoring van een aantal grote uitkeringssystemen ingericht. Ook in het wijzigingsbeheer van financiële systemen hebben we stappen gezet om tekortkomingen op te lossen:

• Onterechte wijzigingsrechten van applicatiespecialisten zijn verwijderd en aanvullende procedures zijn opgesteld.

• Er is een wachtwoordkluis ingericht voor een veiliger wachtwoordbeheer.

• Voor speciale toegangsrechten zijn aanvullende controles ingericht.

• Logging en monitoring is ingericht voor ons nieuwe betalingssysteem.

We monitoren de voortgang periodiek en koersen op het adequaat wegwerken van de geconstateerde tekortkomingen uiterlijk in augustus 2025.

Cybersecurity

Wat het dreigingsbeeld aangaat, sluit UWV zich aan bij het Rijksbrede beeld. Hierin is de dreiging van statelijke actoren (landen en organisaties die worden aangestuurd door die landen die inlichtingenactiviteiten en (heimelijke) beïnvloedingsactiviteiten ontplooien, gericht tegen Nederland en zijn bondgenoten) hoog en blijft de digitale dreiging onverminderd groot. Niet alleen probeert UWV hierop voorbereid te zijn door met ook een Cyber Defense Center (CDC) te zorgen dat er voldoende veiligheidsmiddelen zijn ingericht, maar ook via businesscontinuitymanagement wordt er actief gewerkt aan het opstellen van crisiskaarten per scenario om zo de digitale weerbaarheid te vergroten.

We investeren in personeel, nieuwe processen en nieuwe digitale middelen om de inzet op privacy- en security by design te vergroten en het proactief scannen op potentiële bedreigingen uit te breiden. Met deze beweging zijn we in staat om steeds beter preventief én proactief de cyberveiligheid van onze IT‑omgevingen te garanderen. Een overkoepelend speerpunt van het CDC is om de strijd tegen cyberdreigingen en cybercriminaliteit niet alleen te voeren. Het CDC participeert daarom in verschillende initiatieven en samenwerkingsverbanden binnen de Rijksoverheid.

Verantwoording over de beveiliging van Suwinet

UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet (GeVS). De scope van deze verantwoording is een set van veertien normen uit de BIO en richt zich op het afnemen van Suwinet‑services. De bevindingen moeten jaarlijks gerapporteerd worden aan Bureau Keteninformatisering Werk en Inkomen (BKWI), het UWV‑organisatieonderdeel dat verantwoordelijk is voor de beheertaken op het gebied van de elektronische gegevensuitwisseling binnen de keten.

Bij de verantwoording over 2023 is gebleken dat we nog niet voldoen aan de normen. Op alle veertien normen zijn bevindingen gedaan. Omdat de verantwoordingsnormen voor beveiliging van Suwinet overeenkomen met die voor de BIO, hebben we bij de verantwoording over 2024 aangesloten bij het BIO‑verantwoordingstraject. Dit betekent dat we bij de verantwoording over de beveiliging van Suwinet uitgaan van resultaten vanuit de BIO‑verantwoording en aansluiten bij de door organisatieonderdelen in gang gezette verbeteracties voor de BIO. Bevindingen waarvoor vanuit de BIO nog geen verbeteracties zijn gestart, worden die in 2025 geformuleerd.

De concepttransparantierapportage Suwinet over 2024 is in maart opgeleverd. De volgende stap is dat onze Auditdienst de rapportage controleert en een verklaring van getrouwheid afgeeft. De rapportage wordt beoordeeld door een onafhankelijke EDP‑auditor, gevolgd door een beoordeling door een compliance officer. Vanwege zorgvuldigheidsredenen zal de oplevering aan BKWI na 1 mei zijn. We hebben BKWI hiervan op de hoogte gesteld en nemen BKWI mee in de voortgang.

Beveiliging webapplicaties

Vanaf 2024 gelden voor de toetsing van de beveiliging van webapplicaties aanvullende eisen van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Er moet sindsdien ook worden getoetst op de werking van vijf beveiligingsmaatregelen. We hebben deze toetsing dit verslagjaar voor de eerste keer uitgevoerd. Deze toetsing houdt in dat gedurende minimaal een halfjaar moet worden aangetoond dat de genomen maatregelen werken. De interne rapportage is gebruikt om een aantal belangrijke verbeteracties te realiseren. De verantwoording over 2024 is conform afspraak vóór 1 mei 2025 opgeleverd aan Logius. Deze heeft betrekking op onze DigiD‑aansluitingen. Inmiddels zijn onder andere de diverse zogenoemde pentesten, een belangrijk onderdeel van het DigiD‑assessment, waarmee een cyberaanval op het systeem wordt gesimuleerd, uitgevoerd. Ondanks de verzwaring van de toetsing is het aantal bevindingen verminderd. Op twee normen konden we niet voldoen en daarover zijn bevindingen gerapporteerd. Naar verwachting zullen deze twee bevindingen de komende periode worden opgelost.

Bedrijfscontinuïteit

Met bedrijfscontinuïteitsmanagement (BCM) borgen we dat de uitvoering van de belangrijkste organisatiedoelstellingen kan doorgaan of zo snel mogelijk kan worden hersteld bij een calamiteit of crisis. Met dit programma werken we in 2025 en 2026 aan het verbeteren van continuïteitsmaatregelen, plannen en een parate crisisorganisatie. Daarvoor wordt een gestructureerd BCM‑systeem ingericht samen met een vernieuwde governancestructuur om de organisatieonderdelen te steunen bij het verbeteren hun weerbaarheid en herstelbaarheid.

In de eerste vier maanden van 2025 hebben we de BCM‑analyses afgerond en hebben we kritieke diensten, middelen en vereisten vastgesteld. De resultaten worden in de komende vier maanden vertaald naar herstelscenario's, strategieën en te nemen maatregelen. Daarbij wordt niet alleen gekeken naar continuering van kritieke kerntaken van UWV maar ook naar de bijdrage die UWV kan leveren aan een weerbare maatschappij.

Gegevensverwerking van UWV

UWV treft maatregelen en procedures die gericht zijn op het waarborgen van gegevensverwerking die voldoet aan de kwaliteitsaspecten exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. Exclusiviteit is de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en met beperkte bevoegdheden gebruikmaken van gegevens. Integriteit is de mate waarin gegevens in overeenstemming zijn met de beoogde werkelijkheid. Beschikbaarheid is de mate waarin gegevens continu beschikbaar zijn en de gegevensverwerking ongestoord voortgang kan vinden. Controleerbaarheid ten slotte is de mate waarin het mogelijk is kennis te verkrijgen over de structurering en verwerking van gegevens. Daarbij gaat het ook over de mate waarin het mogelijk is om vast te stellen dat de gegevensverwerking in overeenstemming is met de eisen voor de andere drie kwaliteitsaspecten. UWV geeft volgens algemene, internationaal aanvaarde standaarden invulling aan de gegevensverwerking. Voor de waarborging van exclusieve, integere, beschikbare en controleerbare gegevensverwerking kennen we procedures en maatregelen op vier gebieden: gegevensmanagement, ‑verwerking, datakwaliteit en data‑ethiek.

Gegevensverwerking

We werken ook aan het oplossen van tekortkomingen op het gebied van gegevensverwerking. Zo voldoen we nog niet aan de eisen die gelden vanuit de Wet politiegegevens (Wpg). Dat is nodig omdat we bij onze handhavingswerkzaamheden soms gebruikmaken van politiegegevens. Uit de hercontrole in 2024 bleek dat UWV nog niet volledig voldeed aan de wettelijke eisen. In de eerste maanden van 2025 hebben we diverse documenten herijkt die bijdragen aan de security- en privacy‑by‑design- en ‑defaultprincipes.

In het tweede kwartaal van 2025 is het testen van de Wpg‑controls vanuit de eerste lijn gepland. Daarbij was de doelstelling opzet, bestaan en werking van alle controls aan te tonen. Voor een aantal NOREA‑normen zijn we (deels) afhankelijk van een TPM van de leverancier van Summit (een dossierregistratieapplicatie voor het registreren van onderzoeksdata). Bij de Wpg‑controls en bijbehorende controltrackingscripts waarbij we afhankelijk zijn van de TPM, kan in ieder geval de werking niet worden aangetoond voor het einde van het tweede kwartaal van 2025. We voeren gesprekken met de leverancier en andere overheidspartijen die afnemer zijn van Summit, om zo snel mogelijk adequate zekerheid te krijgen.

Vernieuwing werkgeversadministratie afgerond

De Werkgeversadministratie van de Belastingdienst was verouderd en dringend toe aan vervanging. UWV ontvangt voor de eigen processen informatie uit die administratie en beheert daarnaast een eigen werkgeversadministratie. Samen ontwikkelden UWV en de Belastingdienst een vernieuwde werkgeversadministratie die in april 2025 gereed was. De nieuwe werkgeversadministratie levert continuïteiten de administraties zijn nu realtime (direct) gekoppeld, waardoor synchronisatieproblemen tussen de werkgeversadministratie van de Belastingdienst en die van UWV zijn verholpen en de gegevens actueler zijn.

Doorontwikkeling analyseomgeving Dmap

Een van de belangrijkste analyseomgevingen van UWV, Dmap (datamining en analyseplatform), is volop in ontwikkeling. Begin 2024 is een bijeenkomst georganiseerd met gebruikers en beheerders van het platform. Hierin is gezamenlijk een maatregelenset gedefinieerd die op de korte en middellange termijn de omgeving meer laat aansluiten op informatiebeveiligings- en privacynormen. Inmiddels hebben we hierop flinke vooruitgang geboekt:

• We hebben de zogenoemde veiligheidsklasse 3‑gegevens zoals de medische gegevens (diagnosecode) en strafrechtelijke gegevens binnen een aparte laag op Dmap geplaatst. Hierdoor hebben gebruikers standaard geen toegang meer tot deze gegevens.

• We hebben het autorisatie-eigenaarschap op orde gebracht, waardoor het management meer control heeft over het toedelen van rollen voor Dmap.

• Data worden minder lang op de servers bewaard in overeenstemming met de afnemers.

• We hebben groot onderhoud afgerond. Dit is belangrijk voor het inrichten van de (de)maskeerrechten en de fijnmazige autorisatie.

• Eind februari heeft een zogenoemde deepdivesessie plaatsgevonden over het belang van een toekomstvastere analyseomgeving. In vervolg hierop vindt een minicompetitie plaats om een cloudpartner te selecteren.

Maximaal datakracht benutten

We hebben een UWV‑brede routekaart opgesteld die ons leidt naar een toekomst waarin data ons werk verrijken en onze dienstverlening verbeteren. Om hieraan sturing te geven hebben we een nieuw overlegplatform opgericht, de Databoard. Met dit platform kunnen we eenvoudiger beslissingen nemen, gemakkelijker UWV‑breed zaken implementeren en werken aan een gezamenlijk databewustzijn. In de routekaart geven we namelijk niet alleen vorm aan het op orde brengen van het datafundament, maar ook aan vakmanschap om uiteindelijk meer waarde uit data te halen. We willen de data- en AI‑geletterdheid binnen UWV verhogen door het aanbieden van verschillende leermodules, bijvoorbeeld met kennissessies over AI en de kansen en risico’s daarvan. We stellen parallel hieraan een programma op om het data- en AI‑kennisniveau van leidinggevenden te verhogen. In maart hebben we een kick‑off georganiseerd voor het Netwerk van Data Academies binnen de overheid, omdat meerdere academies met dezelfde thema’s bezig zijn en een sterke behoefte hebben aan kennisdeling en sparringpartners. Het was een succesvolle eerste bijeenkomst, die heeft geleid tot een online community en de afspraak om driemaal per jaar een themamiddag te organiseren.

Eén UWV-kwartaalsturing voor focus en rust

Om de digitalisering optimaal te realiseren, is een nieuwe manier van samenwerken noodzakelijk. We omarmen agile werken UWV‑breed, waarbij flexibiliteit en multidisciplinaire samenwerking centraal staan. Dit gaan we in 2025 nader uitwerken. We werken met UWV‑brede centrale kwartaalsturing, waarbij we per kwartaal onze doelen bekijken in hoeverre de activiteiten bijdragen aan de UWV‑strategie. We werken met resultaatindicatoren om de gerealiseerde impact te monitoren. Dit helpt onze organisatie om sneller en effectiever veranderingen te realiseren: teams worden succesvoller, we werken sneller en effectiever en we creëren focus en rust met één UWV‑ritmiek. Daarnaast zijn we in de eerste vier maanden van 2025 gestart met een portfoliosync (portfoliosynchronisatie; dit biedt inzicht in hoe goed de portfolio vordert bij het behalen van de doelstellingen). Hiermee bewaken we de voortgang van de portfolio. Hiermee hebben we lean portfoliomanagement verder uitgerold binnen UWV.