Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT en informatiebeveiliging en privacy

We gaan de komende jaren versneld onze dienstverlening vernieuwen. Digitalisering is daar een integraal onderdeel van. Goed werkende, moderne ICT is cruciaal voor de uitvoering van sociale zekerheid en randvoorwaardelijk voor goede dienstverlening aan burgers en werkgevers en de daarvoor benodigde ondersteuning van onze medewerkers.

Onze digitaliseringsopgave is groot. We willen merkbare verbeteringen doorvoeren voor cliënten, werkgevers en onze werknemers. Ook is het nodig om te anticiperen op nieuwe en veranderende wet- en regelgeving en richtlijnen en om bestaande wet- en regelgeving verder te implementeren, onder andere op het gebied van informatiebeveiliging en privacy. De vervanging van een aantal verouderde ICT‑systemen is urgent vanwege het grote beslag dat zij leggen op ons budget en onze capaciteit en hun impact op bedrijfsprocessen. Technologische ontwikkelingen als generatieve artificiële intelligentie (AI) bieden kansen voor verbeterde dienstverlening, maar vragen ook om kaders en richtlijnen voor verantwoord gebruik.

Om deze uitdagingen het hoofd te bieden is een versnelling van onze ICT‑voortbrenging noodzakelijk. Niet alle veranderingen kunnen (tegelijkertijd) worden uitgevoerd. Enerzijds omdat in een bepaald aandachtsgebied veranderingen slechts beperkt gelijktijdig uitgevoerd kunnen worden, anderzijds vanwege de beperkte capaciteit van (ICT‑)personeel. Heldere keuzes en prioriteiten zijn dan ook nodig. In 2023 hebben we de eerste stappen gezet in de verbetering van ons portfolioproces om te komen tot een meer wendbare manier van besturen. In 2024 richten we de vernieuwde kwartaalsturing en ‑prioritering op het projectenportfolio verder in; we zullen die in de loop van 2024 steeds meer integreren met de kwartaalsturing van de integrale klantreizen en dienstverlening.

Onze digitaliseringsopgaven zijn uitgewerkt in het programma Samen op koers en in het UWV Informatieplan (UIP) 2024. We hebben continu aandacht voor wettelijke vereisten op het gebied van informatiebeveiliging en privacy; over de voortgang op de implementatie van op dat gebied geldende wet- en regelgeving verantwoorden we ons in deel 2, paragraaf ICT, informatiebeveiliging en privacy, en gegevensverwerking van dit viermaandenverslag.

Samen op koers

Met het programma Samen op koers versnellen we de effectieve en wendbare realisatie van onze IV‑koers. Daarmee draagt onze ICT bij aan een drempelloze dienstverlening aan cliënten. Dit doen we onder andere door versnelling van de systematische ontwikkeling van de zogenoemde ICT‑voortbrengingsprocessen, een organisatieonderdeeloverstijgende samenwerking, een verbeterd portfoliomanagementproces, automatisering en een heldere doelarchitectuur met oog voor cultuur en integraliteit. In de eerste vier maanden van 2024 hebben we daarbij het volgende bereikt:

  • We streven naar beter bestuurbare projecten en snellere oplevering van concreet toepasbare digitale producten en diensten voor onze cliënten en medewerkers: We doen dit onder andere door ons portfoliomanagementproces vorm te geven volgens de principes en werkwijzen van lean portfoliomanagement. In de eerste vier maanden van 2024 hebben we de eerste stap gezet: het evalueren, aanscherpen en vaststellen van het ICT‑portfolio binnen het gestelde portfoliobudget. Daarnaast hebben we de kwartaalsturing van de dienstverlening en de kwartaalsturing van het ICT‑portfoliomanagement geïntegreerd in één werkwijze en ritme. Daarbij bespreken we gezamenlijk per kwartaal de voortgang op onze projecten- en veranderportfolio, sturen we waar nodig bij en spreken we af welke waarde we het komend kwartaal gaan leveren in het licht van de UWV‑visie en ‑strategie. Zo krijgen we meer grip op de voortgang van projecten en nemen we op het juiste niveau beslissingen en sturen we zo nodig bij. We borgen hiermee ook dat we altijd werken aan zaken die de meeste waarde opleveren voor onze cliënten en medewerkers en dat we niet meer werk onderhanden hebben dan we aankunnen. Vanaf het tweede kwartaal starten we in de praktijk met deze nieuwe manier van werken.

  • We werken verder aan een betrouwbare en wendbare doelarchitectuur: Aan de hand van vijf thema’s werken we aan een toekomstbestendige richting (doelarchitectuur) voor ICT die drempelloze digitale dienstverlening ondersteunt. De focus ligt hierbij op het ICT‑fundament, flexibiliteit en het verminderen van complexiteit in het ICT‑landschap. Het streven is medio 2024 de eerste versie van de doelarchitectuur op te leveren, inclusief een roadmap binnen het portfolio voor de realisatie.

  • We automatiseren de ICT‑voortbrenging verder: We automatiseren en versnellen de bouw en oplevering van software door de automatisering van kwaliteitscontroles in het ontwikkelproces. Dit leidt tot stabielere en kwalitatief betere software. In 2024 hebben we als doel om 60 softwareprogramma’s automatisch te laten werken met ons ontwikkelings- en leveringsproces (de zogenoemde CI/CD‑pipeline) en om 50 programma’s gereed te maken om automatisch getest te worden. In de eerste vier maanden van 2024 zijn er 13 softwareprogramma’s aangesloten op de CI/CD‑pipeline en 10 programma’s klaargemaakt voor automatisch testen. Daarnaast is een integraal dashboard opgeleverd waarmee de impact op snelheid en kwaliteit gemonitord kan worden.

  • We besteden extra aandacht aan cultuur, gedrag en integrale aansturing: Houding en gedrag zijn belangrijke (cultuur)onderwerpen om een transformatie succesvol te laten verlopen en daarmee een essentieel onderdeel van Samen op koers. Wat is nodig om medewerkers effectief samen te laten werken aan strategische veranderopgaven voor de organisatie, welk gedrag van medewerkers is gewenst voor een succesvolle implementatie van Samen op koers en wat vraagt dit van leiderschap? In de eerste vier maanden van 2024 hebben we vanuit het bredere UWV‑programma Cultuur DNA onderwerpen en uitdagingen geïnventariseerd via gesprekken met sleutelfiguren en analyses van onderzoeken en enquêtes. De komende maanden geven we daar verder invulling aan tijdens leiderschapsdagen, congressen en teamsessies. Ook vergroten we de samenhang en samenwerking door communicatie te verbeteren, transparant te sturen en medewerkers te betrekken.

Voortgang van het UIP

In het UWV Informatieplan (UIP) 2024 hebben we op hoofdlijnen onze ICT‑ambities geschetst waarmee we onze digitale dienstverlening verbeteren en verbreden, en ons ICT‑fundament versterken. Ook richten we ons in het UIP op veranderingen die nodig zijn om aan externe verplichtingen en wet- en regelgeving te voldoen, en op de benodigde veranderingen in onze besturing en bedrijfsvoering. De omslag die we in 2024 maken naar een lean portfoliomanagementproces is van invloed op de besturing, prioritering en eventuele herijking van het UIP‑projectenportfolio. In de eerste vier maanden van 2024 hebben we daarbij op hoofdlijnen de volgende voortgang geboekt:

  • Verbeteren en verbreden dienstverlening: Met de realisatie van Herontwerp WW‑3 (HOWW‑3) hebben we WW‑processen voor de medewerker geüniformeerd en geoptimaliseerd. Het merendeel van de relevante informatie wordt nu in één systeem aan de medewerker aangeboden. Hierdoor is de gemiddelde doorlooptijd van WW‑aanvragen teruggebracht, wat een verbetering betekent in de dienstverlening aan cliënten.

  • Verdere vernieuwing en modernisering van ons applicatielandschap: Om de komende jaren onze dienstverlening op orde te houden, voeren we een aantal grote vervangings- en moderniseringstrajecten uit. Een belangrijk traject is de vervanging van ons OpenVMS‑platform. Onze belangrijkste uitkeringssystemen draaien op dit platform. De ondersteuning van het platform loopt eind 2027 af. Daarom zoeken we een oplossing voor twee belangrijke ICT‑systemen voor de verstrekking van arbeidsongeschiktheids- en WW‑uitkeringen die op dit platform draaien. Begin 2024 heeft het Adviescollege ICT‑toetsing (AcICT) een advies uitgebracht. Dit advies steunt ons in ons besluit om de fabrieksmatige overgang naar een modernere softwarecode vanuit het programma OpenVMS te stoppen. Ook geeft het aanbevelingen om de slagingskans van de nieuw ontwikkelde scenario’s te vergroten. Deze aanbevelingen worden verwerkt in de plannen voor twee projecten die werken aan specifieke oplossingen voor de arbeidsongeschiktheids- en WW‑uitkeringssystemen. Aan het begin van de zomer nemen we een besluit over het vervolg van deze projecten. We zullen het AcICT verzoeken om ook voor deze projecten een advies uit te brengen.

  • Modernisering van ons datawarehouse: Met ons verandertraject DataFabriek willen we drie oude datawarehouses vervangen door één modern en toekomstbestendig platform: het Data Integratie Magazijn (DIM). Inmiddels is de migratie van een van deze drie datawarehouses afgerond. We hebben aan de hand van verschillende scenario’s bekeken of en hoe we moeten doorgaan met het migreren en uitfaseren van de twee overgebleven datawarehouses. Daarbij hebben we extern advies ingewonnen over de plannen voor het vervolg. Dit heeft onder andere geleid tot verbeteringen in de besturing en controle. In het eerste kwartaal van 2024 hebben we besloten om het traject voort te zetten met het oog op de continuïteits- en stabiliteitsrisico’s van de resterende twee datawarehouses. Gebleken is dat systematische herbouw van alle historisch ontwikkelde informatieproducten leidt tot hogere kosten dan voorzien door een grote complexiteit per product, tekortschietende documentatie en lange inwerktijden van in te zetten personeel. Om de kosten en omvang van het project beheersbaar te houden, worden wel alle bronnen, maar niet alle informatieproducten van de twee overgebleven datawarehouses overgebracht naar het DIM. Alleen wat onmisbaar is, wordt overgezet. We streven naar volledige afronding van het programma in december 2025.

  • Verbeteren van onze informatieveiligheid en privacybescherming: Met het programma Next Level Security (NLS) richten we ons op het verbeteren van specifieke cybersecuritymaatregelen met als doel om de digitale weerbaarheid van UWV aantoonbaar te verhogen. In de eerste vier maanden van 2024 hebben we het project NLS‑1 afgerond, net als drie deelprojecten binnen NLS‑2. Deze projecten hebben geleid tot verbetering van monitoring en afhandeling van kwetsbaarheden en cybersecurityincidenten. Ook is (veilig) gedrag in de organisatie verankerd. Daarmee voorkomen we dat medewerkers misleid worden (door bijvoorbeeld phishing) en zorgen we ervoor dat ze verdachte of risicovolle situaties opmerken en rapporteren. Hiervoor is in de digitale leeromgeving van UWV een e‑learning opgenomen die medewerkers moeten volgen. Ook is een roadmap opgesteld voor vervolgactiviteiten om de weerbaarheid te vergroten. De overige twee deelprojecten van NLS‑2 worden in de tweede helft van 2024 afgerond (zie ook deel 2 van dit viermaandenverslag, paragraaf ICT, informatiebeveiliging en privacy, en gegevensverwerking, onder kopje Informatiebeveiliging naar een hoger niveau).

  • Modernisering van onze ICT‑infrastructuur: Met verschillende projecten hebben we in de eerste vier maanden van 2024 onze ICT‑infrastructuur verder gemoderniseerd. Met het programma Samen naar de moderne werkplek zijn we in 2023 begonnen met de uitrol van een nieuwe werkplek voor onze medewerkers. Dit is inmiddels afgerond. Verder hebben we de migratie van onze Sharepoint‑omgeving gerealiseerd. In februari 2024 is het project Transitie en transformatie werkplekdiensten gestart om gecontracteerde werkplekdiensten over te zetten naar een nieuwe externe leverancier. Dit project loopt tot 1 februari 2025.

Bewust datagedreven werken

UWV beschikt over veel data. We willen deze data gebruiken om onze dienstverlening te verbeteren. In ons Kompas Data Ethiek zijn de uitgangspunten vastgelegd die UWV toepast bij de ontwikkeling en het gebruik van data en algoritmes. Het kompas wordt regelmatig gebruikt bij ethische impactassessments van diverse datatoepassingen. Deze beoordelingen helpen ontwikkelaars, eigenaren en gebruikers van datatoepassingen om ethische effecten in kaart te brengen en (waar nodig) de datatoepassing daarop aan te passen. De onafhankelijke Commissie Data Ethiek toetst, zoals beschreven in paragraaf Publieke waarden, ethisch verantwoord en evidencebased, onder het kopje Ethische beraadslaging, gegevenstoepassingen aan het Kompas Data Ethiek, het Expertteam Data Ethiek ondersteunt de commissie bij het voeren van de dialoog over data‑ethiek binnen UWV. Daarbij wordt het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) als hulpmiddel gebruikt. Voor hoogrisicomodellen is het IAMA verplicht. Voor medewerkers die zich met algoritmes bezighouden verzorgen we trainingen. We publiceren onze algoritmemodellen in ons algoritmeregister en in het algoritmeregister van de overheid.

Artificiële intelligentie

Artificiële intelligentie (AI) kan een belangrijke impact hebben op UWV. Om duidelijkheid te krijgen over de mogelijkheden hebben we in het najaar van 2023 een proeftuin ingericht waarin organisatieonderdelen verantwoord kunnen experimenteren met generatieve AI (GenAI, zoals ChatGPT). Voor individuele medewerkers is die mogelijkheid afgesloten. In aanvulling op het ethisch kader dat de Commissie Data Ethiek gebruikt, ontwikkelen we nu ook een normenkader GenAI dat de risico’s van bijvoorbeeld vooringenomenheid en desinformatie verder adresseert. Er is inmiddels een eerste versie beschikbaar die de komende periode in een aantal experimenten wordt getest.

Informatiebeveiliging en privacy

UWV hecht veel waarde aan de zorgvuldige omgang met persoonsgegevens en aan informatiebeveiliging op het juiste niveau. Verdergaande digitalisering en veranderende wet- en regelgeving, ook in EU‑verband, stellen steeds hogere eisen aan informatiebeveiliging en privacybescherming. Persoonlijke en passende dienstverlening op maat vraagt dat burgers, werkgevers, partners, medewerkers en instanties over juiste en actuele gegevens beschikken. Hierbij moeten we rekening houden met diverse wet- en regelgeving en standaarden, naast de Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). Met het oog op de informatiebeveiliging moeten we continu adequate maatregelen treffen, onderhouden en controleren, zowel voor ICT‑middelen als voor houding en gedrag. Aantoonbaar ‘in control zijn’ is een belangrijke doelstelling. Daarvoor werken we aan passende maatregelen en verdere aansluiting op rijksbrede informatiebeveiliging- en privacystandaarden.

Voortgang implementatie BIO

Door te voldoen aan de BIO vervullen we niet alleen onze wettelijke plicht, maar ook onze maatschappelijke verantwoordelijkheid om op een veilige manier persoonsgegevens te verwerken. Het is onze ambitie om de komende jaren stapsgewijs de informatiebeveiliging verder op orde te krijgen en ervoor te zorgen dat onze processen en systemen per 1 januari 2026 geheel aan de BIO voldoen. Hiervoor hebben we roadmaps opgesteld. Begin 2024 hebben we een nieuw jaarplan opgeleverd waarin we de stappen uiteenzetten om te voldoen aan de BIO. De jaarlijkse activiteiten voor het uitvoeren van gapanalyses en het doorvoeren van verbetermaatregelen zijn inmiddels gestart. De organisatieonderdelen die vorig jaar achterliepen, hebben een herzien plan van aanpak opgeleverd. Voor meer informatie over de voortgang om aan de BIO‑vereisten te voldoen zie deel 2 van dit viermaandenverslag, paragraaf ICT, informatiebeveiliging en privacy, en gegevensverwerking, onder het kopje Verantwoording over informatiebeveiliging.

Ga direct naar

Bekijk ook

Toevoegen aan verslag