Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT, informatiebeveiliging en privacy, en gegevensverwerking

ICT is essentieel voor onze dienstverlening en voor het realiseren van de UWV‑brede missie en strategische ambities. We werken toe naar een situatie met toegankelijke, goed werkende systemen voor medewerkers, ketenpartijen en cliënten die stabiel en up‑to‑date zijn, rekening houden met het individu en maatwerk ondersteunen. Een situatie ook waarin we onze gegevenshuishouding en de beveiliging van onze systemen op orde hebben. Bij dit alles is een goede digitale infrastructuur onontbeerlijk, zodat we wendbaar zijn en er ruimte is voor innovatie.

We werken daarvoor samen met andere overheidsorganisaties en maken afspraken over (de ontwikkeling van) standaarden, digitale producten en voorzieningen met als doel dat mensen de digitale dienstverlening bij alle overheidsorganisaties op dezelfde manier ervaren. Daarnaast moeten we rekening houden met de omvangrijke opgave van wet- en regelgeving, zowel van het ministerie van Sociale Zaken en Werkgelegenheid (SZW) als van andere ministeries en de Europese Unie (EU). Onze gegevensverwerking tot slot moet voldoen aan exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. De capaciteit die we hebben voor het realiseren van alle veranderingen is schaars en innovatie zal eraan moeten bijdragen dat we met dezelfde middelen meer kunnen realiseren en in een hoger tempo. We staan al met al voor een enorme opgave, waarbij we streven naar een evenwichtige prioritering voor korte- en langetermijndoelstellingen. Onze Auditdienst controleert jaarlijks de werking van de stelsels van maatregelen en procedures voor ICT‑governance, ICT‑risicomanagement en gegevensverwerking. Naar aanleiding van de uitkomsten van deze controles nemen we vervolgens maatregelen om deze stelsels te verbeteren. Het kan soms enige tijd duren voordat (de effecten van) de maatregelen zichtbaar zijn, soms gaat het om meerjarige projecten.

ICT‑organisatie en governance

Ons ICT‑landschap is continu in beweging en vereist een ICT‑organisatie die effectief, efficiënt en wendbaar is en een governance die erop gericht is om ontwikkelingen en innovaties te faciliteren, de continuïteit en stabiliteit te waarborgen en risico’s tijdig te onderkennen en te mitigeren. In het UWV Informatieplan (UIP) hebben we onze strategische ICT‑doelstellingen voor de komende jaren vastgelegd. Het programma Samen op koers zorgt voor samenhang bij het moderniseren van legacysystemen, een eenduidig prioriteringsproces voor het portfolio en optimalisatie van de Informatievoorziening (IV). De chief information officer (CIO) stelt UWV‑breed het beleid en de kaders vast en is verantwoordelijk voor infrastructurele en gemeenschappelijke voorzieningen en digitale weerbaarheid. Dit doet hij in afstemming met de IV‑board. De algemeen directeuren zijn verantwoordelijk voor de ICT binnen hun eigen organisatieonderdeel. De CIO legt per tertaal verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de ICT‑beheersing. De governance van de ICT‑organisatie is versterkt doordat de raad van bestuur in oktober 2023 is uitgebreid met een lid dat zich specifiek richt op de UWV‑brede opgaven voor ICT, datagedreven werken en informatiebeveiliging en privacy.

ICT‑risicomanagement en compliance

Informatiebeveiliging en privacy (IB&P) en afdoende maatregelen op het gebied van bedrijfscontinuïteitsmanagement (BCM) zijn randvoorwaardelijk voor de dienstverlening van UWV. De samenleving mag ervan uitgaan dat UWV gegevens in overeenstemming met geldende wet- en regelgeving op een transparante wijze gebruikt, beheert en beschermt, conform de eisen van beschikbaarheid, integriteit en vertrouwelijkheid. We werken continu aan verbeteringen om te voldoen aan (nieuwe) richtlijnen en wet- en regelgeving.

UWV beschikt over een besturingsmodel voor informatiebeveiliging en privacy en voor bedrijfscontinuïteitsmanagement met aansturing op drie verschillende niveaus: strategisch, tactisch en operationeel. De verantwoordelijkheid voor de UWV‑brede informatiebeveiliging en privacy en het bedrijfscontinuïteitsmanagement is, zoals hierboven beschreven, belegd bij de CIO. De chief information security officer (CISO) is gedelegeerd eigenaar van de UWV‑brede regie op de verantwoording op dit gebied en wordt op strategisch, tactisch en operationeel niveau ondersteund door diverse gremia. Functioneel stuurt de CISO aan op generieke, UWV‑brede beveiligings- en continuïteitsafspraken. Op strategisch‑bestuurlijk niveau is de strategische informatiebeveiliging en privacyagenda leidend. Daaraan op tactisch niveau gerelateerde taken en doelen zijn opgenomen in de jaarplannen van de organisatieonderdelen. De voortgang van de informatiebeveiligingsjaarplanactiviteiten en toepassing en naleving van informatiebeveiliging en privacybeleid wordt periodiek gecontroleerd door de CISO in samenwerking met de UWV‑afdelingen Business Control en Kwaliteit.

Het tijdig herkennen van ICT‑informatiebeveiligings- en privacyrisico’s is essentieel, voor zowel de bestaande ICT als de benodigde veranderingen. We doen dat niet alleen op centraal niveau. We vragen ook medewerkers alert te zijn op risico’s en die te melden, zodat er op het juiste niveau adequate beheersmaatregelen kunnen worden genomen. Dat doen we onder andere met een jaarlijkse bewustwordingscampagne en e‑learning. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Op basis van gesignaleerde risico’s, het nationale dreigingsbeeld van het Nationaal Cyber Security Centrum en wet- en regelgeving verbeteren we continu de digitale weerbaarheid van UWV.

Verantwoording over informatiebeveiliging

Het uitgangspunt is om op basis van risicomanagement de informatie en informatiesystemen te beveiligen en op basis van het wettelijke BIO‑normenkader de effectiviteit daarvan te beoordelen. We werken op gecontroleerde wijze stapsgewijs aan onze doelstelling om in 2026 geheel te voldoen aan de eisen die deze Baseline Informatiebeveiliging Overheid (BIO) stelt. De voortgang hierop monitoren we en leggen we vast met in‑controlverklaringen die alle organisatieonderdelen jaarlijks moeten afgeven.

Een extern bureau heeft in 2023 geconstateerd dat onze drie huidige datawarehouses en ook het nieuwe Data Integratie Magazijn (DIM) tekortkomingen vertonen wat betreft privacy. Ook onze eigen functionaris gegevensbescherming constateerde dat het nieuwe platform nog niet voldoet aan de Algemene verordening gegevensbescherming (AVG). Er zijn inmiddels verbeteracties in gang gezet. Zo wordt er gewerkt aan een aangepaste gegevensbeschermingseffectbeoordeling (GEB) en zijn er business rules opgesteld voor het nieuwe DIM en voor het uitfaseren van historische data.

In maart 2024 hebben we de privacy onder de loep genomen in ons Data Mining Analyse Platform, een analyseomgeving voor customer-intelligenceanalisten. We doen nu analyses naar mogelijke nieuwe verbetermaatregelen.

Verantwoording over de beveiliging van Suwinet

UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet (GeVS). De scope van deze verantwoording is een set van veertien normen uit de BIO en richt zich op het afnemen van Suwinet‑services. De verantwoording voor 2023 bevindt zich momenteel in de afrondende fase en bevindingen en eventuele afwijkingen ten opzichte van het afgesproken beveiligingsniveau rapporteren we met een transparantierapportage vóór 1 juni 2024 aan Bureau Keteninformatisering Werk en Inkomen (BKWI). We zijn intern in gesprek om te komen tot verbetermaatregelen.

Beveiliging webapplicaties

Overheidsorganisaties zoals UWV hebben de verplichting jaarlijks de ICT‑beveiliging van hun op DigiD aangesloten webapplicaties te laten toetsen in een DigiD‑beveiligingsassessment. Hierbij onderzoekt onze Auditdienst de ICT‑beveiliging van de op DigiD aangesloten webapplicaties aan de hand van de door Logius (een agentschap van het ministerie van het Binnenlandse Zaken en Koninkrijksrelaties (BZK) en de dienstenleverancier van DigiD) voorgeschreven beveiligingsrichtlijnen (normen). Volgens deze richtlijnen was het tot en met verslagjaar 2022 nodig de normen voor DigiD‑aansluitingen alleen te toetsen op vereisten voor de opzet en het bestaan van beveiligingsmaatregelen. Sinds het verslagjaar 2023 gelden echter nieuwe eisen van het ministerie van BZK en moet ook worden getoetst op de werking van de maatregelen. 2023 gold daarbij als overgangsjaar. In dat jaar mochten we vijf normen laten toetsen op werking, sinds 2024 zijn alle vijf de normen verplicht. De toets op de werking van de normen is gestart op 1 mei en loopt nog.

We hebben in 2023 ook twee serviceorganisaties verzocht om de normen te laten toetsen op werking. Hieruit bleek dat een van de twee aan alle normen voldeed, de andere voldeed niet aan een norm over autorisatiebeheer. Laatstbedoelde organisatie maakt geen deel meer uit van het nu lopende DigiD‑assessment, omdat de netwerkdiensten van deze organisatie zijn vervangen door nieuwe oplossingen van de andere organisatie. De verplichte toets van de normen op de opzet en het bestaan is op 1 mei 2024 met succes afgerond.

eHerkenning

Werkgevers kunnen al hun belangrijke zaken rondom werknemersverzekeringen met ons regelen via het werkgeversportaal op onze website uwv.nl. De toegang tot dit portaal is sinds 2019 beveiligd met de overheidsvoorziening eHerkenning. Eind september 2023 hebben we ook voor het werkgeversportaal op onze website werk.nl eHerkenning in gebruik genomen als veiligere inlogmethode. In het eerste kwartaal van 2024 hebben we een aantal belangrijke aanpassingen in de beveiliging van het werkgeversportaal doorgevoerd.

In 2023 hebben we het eDienstenregister opgeleverd. Dit maakt inzichtelijk wat de digitale diensten zijn die op de portalen worden aangeboden en welk betrouwbaarheidsniveau hiervoor verplicht is. Verder hebben we toen voorbereidingen getroffen voor pre‑assessments voor audits van eHerkenning in 2024 voor ons jobcoachportaal en tolkenportaal. Onder andere vanwege bezuinigingen hebben we deze pre‑assessments nog niet uitgevoerd. Daarnaast speelt een rol dat er als onderdeel van de Wet digitale overheid (Wdo) wordt gewerkt aan een algemeen normenkader voor alle erkende inlogmiddelen.

Wijzigingsbeheer

Om de kans op verstoringen in de dienstverlening zo klein mogelijk te houden, is het belangrijk dat wijzigingen in de systemen op beheerste wijze worden doorgevoerd en alleen door medewerkers die speciaal daarvoor geautoriseerd zijn. In de eerste vier maanden van 2024 hebben we nieuwe beheersmaatregelen genomen. De procedure voor UWV‑medewerkers om speciale bevoegdheden voor de uitkeringssystemen te krijgen, is aangescherpt. De autorisaties van beheerders van de leverancier worden maandelijks gecontroleerd. Om minder afhankelijk te zijn van medewerkers van externe leveranciers, werken we aan uitbreiding van de kennis van onze eigen functioneel beheerders. Verder hebben we een plan opgesteld om medewerkers van de leverancier voortaan te laten inloggen via een zogenoemde preferred user procedure. Daarbij krijgt de medewerker voor werkzaamheden een eenmalig geldige inlogcode. We verwachten de ingebruikneming van deze nieuwe procedure in het tweede kwartaal te kunnen afronden. Tot die tijd beoordelen we periodiek of er extra controle op de logging noodzakelijk is. In het autorisatiebeheer voor de financiële systemen hebben we voor alle eerder geconstateerde tekortkomingen verbeteracties ondernomen. Om het wijzigingsbeheer op orde te krijgen, hebben we in de eerste vier maanden van 2024 verdere stappen gezet om logging en monitoring door te voeren voor elf cruciale processen.

Innovatie en projecten

Om beter te kunnen sturen op strategische doelstellingen zijn we in 2023 gestart met het doorvoeren van verbeteringen in het portfoliomanagement. Daarbij zijn de kwaliteitscontroles van en de advisering over de kleinere projecten verder gedecentraliseerd. Grotere UWV‑brede verbeteringen worden via projecten in het projectportfolio doorgevoerd. Verder hebben we in 2023 de bestaande portfoliokwartaalgesprekken met de organisatieonderdelen verbeterd door daarbij expliciet aandacht te besteden aan de voortgang op de grote projecten. In de eerste vier maanden van 2024 hebben we verdere stappen gezet om ons portfoliomanagementproces te verbeteren. Om meer kortcyclisch te kunnen sturen en verantwoording te organiseren, hebben we kwartaalsturing ingevoerd met als doel om te komen tot een maakbaar portfolio, passend binnen het financieel kader (zie deel 1 van dit viermaandenverslag, paragraaf ICT en informatiebeveiliging en privacy onder het kopje Samen op koers).

De vervanging van onze verouderde legacysystemen verloopt tot nu toe trager dan gepland. Dit komt onder andere doordat deze vervanging complexer is dan we hadden verwacht. Een verbeterd portfoliomanagementproces draagt bij aan een betere besturing en prioritering van dergelijke omvangrijke projecten. Scherpe keuzes zullen de komende jaren noodzakelijk blijven om het ICT‑landschap niet alleen stabiel te houden, maar ook verregaand te moderniseren. Tegelijkertijd verkennen we hoe een verantwoorde inzet van moderne technologieën zoals artificiële intelligentie (AI) ons hierbij kan helpen. Bijvoorbeeld om intern handboeken beter te ontsluiten voor medewerkers of in onze nieuwe bemiddelingsservice, waarmee we werkgevers en werkzoekenden bij elkaar brengen. We gaan zorgvuldig om met de persoonsgegevens van onze cliënten en hanteren security- en privacy‑by‑design en responsible design als uitgangspunten. Organisatieonderdelen kunnen in een afgeschermde proeftuin verantwoord experimenteren met generatieve AI. Centraal bij innovatie en projecten staat de architectuur van de ICT, die in 2024 verder vorm krijgt. Zoals we in deel 1 van dit viermaandenverslag hebben aangegeven, streven we ernaar om medio 2024 de eerste versie van de doelarchitectuur op te leveren met een roadmap binnen het portfolio voor de realisatie. De UWV‑brede architectuurboard beoordeelt deze architectuur en past die toe bij de organisatieonderdelen. Afwijkingen van de architectuur worden geregistreerd en gemonitord. Bij de invulling van de architectuur baseren we ons op overheidsbrede standaarden en kijken we naar in de markt verkrijgbare oplossingen.

Uitbesteding

We zetten gepaste outsourcing in voor applicatieontwikkeling en ‑beheer en volledige outsourcing voor exploitatie van infrastructurele voorzieningen. Alleen de centrale afdelingen Inkoop, Juridische Zaken en ICT Leveranciersmanagement zijn bevoegd om uit naam van UWV ICT‑verplichtingen met leveranciers (of derden) aan te gaan. Leveranciers leggen, behalve via de rapportages die zijn afgesproken in dienstenniveauovereenkomsten, jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memorandums (TPM’s). Alle contractgegevens zijn vastgelegd in een centraal contractenregister. Het beleid en de processen, richtlijnen en werkinstructies zijn beschreven, er is een stappenplan met actuele risico’s en knelpunten en er zijn bijbehorende maatregelen ingericht. In de eerste vier maanden van 2024 zijn er verdere verbeteringen doorgevoerd in het contractbeheer. Zo werken onze centrale afdelingen Inkoop, Juridische Zaken en ICT Leveranciersmanagement inmiddels multifunctioneel samen om ervoor te zorgen dat de brondata in systemen correct is en dat er zo veel mogelijk dezelfde dashboards worden gebruikt voor sturing, controle en rapportage.

De sourcingstrategie voor de datacenterdienstverlening heeft ertoe geleid dat deze sinds 2023 bij één leverancier is belegd. Eind 2023 is de transitie naar het nieuwe datacenter volledig afgerond met de migratie van de laatste koppelingen en is UWV ontkoppeld van het oude datacenter. Met de migratie is de onderliggende ICT‑infrastructuur volledig vernieuwd en zijn de exploitatiekosten omlaag gebracht. We bespreken de beveiliging en de risico’s maandelijks met de nieuwe leverancier. We hebben ook een dashboard dat op dagelijkse basis weergeeft in hoeverre de datacenterdienstverlening aan de gestelde eisen voldoet. De in de TPM geconstateerde tekortkomingen aan de zijde van deze leverancier zijn allemaal opgevolgd. Geconstateerd is dat er geen negatieve gevolgen voor UWV zijn geweest.

De leverancier van de netwerkdienstverlening verantwoordt zich daarover met een generiekere TPM. De in deze TPM geconstateerde tekortkomingen en de eventuele impact ervan voor UWV worden op kwartaalbasis met ons besproken. We hebben deze TPM in de eerste maanden van 2024 met de leverancier geëvalueerd. De in 2023 opgeleverde TPM’s voor hosting, netwerken, security en workplaceservices zijn met een beperking gerapporteerd. De bevindingen die hiertoe hebben geleid, zijn met de leverancier besproken. Hierop zijn acties geformuleerd en het merendeel van de bevindingen is inmiddels opgevolgd. Monitoring hierop gebeurt in nauw contact met deze leverancier. In 2024 zullen we ons sourcingbeleid herzien. In de Third Party Authorizations (TPA’s) en TPM’s geconstateerde verbeterpunten worden door de contract- en diensteigenaar én binnen UWV meegenomen in de plan‑do‑check‑actcyclus. Ook zullen we in 2024 bepalen in hoeverre de in 2020 vastgestelde verdeling tussen rollen en verantwoordelijkheden aangescherpt moet worden voor het vaststellen van enerzijds de toetsings- en referentiekaders en anderzijds de bij het TPM‑proces betrokken partijen.

Informatiebeveiliging en privacy

UWV verwerkt en gebruikt op grote schaal (persoons)gegevens. We vinden het uitermate belangrijk dat burgers en bedrijven erop kunnen vertrouwen dat hun gegevens bij ons in veilige handen zijn. Daarom besteden we veel aandacht aan informatiebeveiliging en privacy. UWV transformeert steeds meer naar een digitaal gedreven organisatie. Tegelijkertijd neemt het aantal aan UWV gerichte cyberdreigingen en de potentiële schade toe. Cyberincidenten zijn niet altijd te voorkomen. Wel kunnen we de gevolgen verkleinen en de schade beperken, zodat de beschikbaarheid, integriteit en vertrouwelijkheid van onze systemen gewaarborgd blijven. Vanwege de toenemende digitalisering van data en diensten, de steeds veeleisender wetgeving op het gebied van informatiebeveiliging en privacy en de toenemende externe dreiging op het gebied van cybercriminaliteit, hebben we in 2023 de sturing rond informatiebeveiliging en privacy herijkt. Dit heeft geleid tot verbetering van de verbetercyclus op het gebied van informatiebeveiliging en privacybeheersing, waardoor we nu de voortgang monitoren van de implementatie van de verbeteracties. Daardoor kunnen we tijdig bijsturen om de gestelde ambitie te halen. Dat steeds meer organisatieonderdelen gebruikmaken van een Information Security Management System (ISMS) dat ervoor zorgt dat op uniforme wijze wordt gerapporteerd over de status van de BIO‑maatregelen, draagt daar in hoge mate aan bij. In 2024 wordt het controlemechanisme op informatiebeveiliging naar een hoger niveau getild. Zo hebben we een procedure opgesteld voor de partijen die verantwoordelijk zijn voor de controleactiviteiten ten aanzien van informatiebeveiliging en privacy. Verder is een inhaalslag op gang gebracht om het informatiebeveiligings- en privacybeleid steeds verder te actualiseren en te herzien. Op het gebied van bewustwording zijn meerdere initiatieven gestart, zoals een digitale leeromgeving met een e‑learning voor alle medewerkers en de Week van de digitale veiligheid, waarmee we (veilig) gedrag verankeren in de organisatie, voorkomen dat medewerkers misleid worden (door bijvoorbeeld phishing) en ervoor zorgen dat ze verdachte of risicovolle situaties opmerken en rapporteren.

Informatiebeveiliging naar een hoger niveau

UWV staat continu in verbinding met de digitale buitenwereld, waarin traditionele vormen van toegangsbescherming niet meer volstaan omdat hackers tegenwoordig slimmer opereren. We bewegen hierin mee en werken aan een verdere verhoging van onze digitale weerbaarheid. We nemen maatregelen die zowel op korte termijn effect sorteren als bijdragen aan de digitale weerbaarheid van UWV op de langere termijn. Met het programma Next Level Security (NLS) vergroten we onze digitale weerbaarheid en verankeren we cybersecurity binnen onze organisatie. In 2023 hebben we met de NLS‑1‑projecten onder andere het digitale fundament van UWV verbeterd op het gebied van monitoring en het afhandelen van kwetsbaarheden en cybersecurityincidenten. Verder is een verbeterde back‑upstrategie tot stand gekomen en is een securityawarenessprogramma gestart dat elke UWV‑medewerker moet volgen. Mede op basis van een cybersecurityroadmap is een programmaplan voor NLS‑2 opgesteld, dat in 2024 loopt. Binnen NLS‑2 zijn vijf projecten uitgevoerd die de digitale weerbaarheid van UWV verder vergroten en informatiebeveiliging in de organisatie verankeren, waaronder de verdere vergroting van de bewustwording van UWV‑medewerkers over veilig digitaal gedrag. Hierbij wordt intensief samengewerkt met andere projecten en programma’s, en benutten we ook activiteiten op het gebied van businesscontinuïteitsmanagement. Er zijn onderzoeken gedaan om securitymaatregelen te toetsen. We werken aan een bredere inrichting van kwetsbaarhedenbeheer en monitoring van cloudomgevingen.

Autorisatiebeheer

Ons uitgangspunt is dat gebruik van systemen en toegang tot data uitsluitend zijn voorbehouden aan geautoriseerde medewerkers en leveranciers. Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV en het vertrouwen dat we zorgvuldig omgaan met de aan ons toevertrouwde gegevens.

Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2026 stapsgewijs verouderde Identity and Access Management‑(IAM‑)systemen door een nieuwe uniforme, effectieve werkwijze voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. In 2023 hebben we IAM‑beleid opgesteld. Een eenmalige inlogfaciliteit is gerealiseerd voor een omgeving waarop inmiddels 32 applicaties zijn aangesloten. De komende vier maanden worden nog eens 19 applicaties aangesloten; de overige applicatieomgevingen volgen zo veel mogelijk later in 2024 en in 2025. Vooronderzoeken om extra verhoogde rechten effectiever te faciliteren en fijnmaziger toegang te realiseren, zijn afgerond. We maken nu een plan om de extra verhoogde rechten in 2024 te realiseren, als eerste basis om na 2024 aan BIO‑vereisten te voldoen. Naar aanleiding van de impactanalyse van de Wdo hebben we een vooronderzoek uitgevoerd om een verbeterde koppeling van digitale toegangsdiensten met de buitenwereld tot stand te brengen. Het programma wordt in 2024 in een lager tempo voortgezet om ook andere projecten te kunnen uitvoeren.

Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV. De vernieuwing van autorisatiebeheer omvat de realisatie en implementatie van een nieuw autorisatiebeheersysteem, een uniform autorisatiebeleid en vernieuwde processen die voldoen aan de Europese wet- en regelgeving op gebied van informatiebeveiliging (Network and Information Security directive, kortweg NIS‑2) en privacy (AVG). De vernieuwing van het autorisatiebeheersysteem wordt vormgegeven binnen het programma Helios. In 2023 hebben we vanuit dit programma een autorisatiebeleid en bijbehorende governance en ook generieke autorisatieprocessen opgesteld. Het huidige autorisatiebeheersysteem is vernieuwd. De livegang staat gepland voor de tweede helft van 2024. Taken en verantwoordelijkheden zijn in overeenstemming met de BIO vastgelegd in het autorisatiebeleid en er zijn functieprofielen voor verschillende niveaus van autorisatiebeheermedewerkers opgesteld. Het huidige autorisatiebeheersysteem is opgeschoond; de organisatieonderdelen houden de huidige rollen op orde totdat het nieuwe autorisatiebeheersysteem in productie gaat. Als hulpmiddel zorgen we maandelijks voor een controlelijst aan de hand waarvan de organisatieonderdelen de data kunnen bijwerken. Inhoudelijk specialisten zoals functioneel beheerders en rolbeheerders trainen we in het gebruik en beheer van het nieuwe autorisatiebeheersysteem. Tot slot is in 2023 een aanzet tot een inrichtingsplan opgesteld voor het Autorisatie Beheer Centrum (ABC). Dit gaat centraal alle beheer en monitortaken voor autorisatiebeheer bij UWV uitvoeren. Hierover zijn we in gesprek met onze ondernemingsraad.

Bedrijfscontinuïteit

Met bedrijfscontinuïteitsmanagement borgen we dat de belangrijkste bedrijfsdoelstellingen kunnen doorgaan of zo snel mogelijk worden hersteld bij een calamiteit of crisis. In 2023 is een adviestraject voor het verbeteren van bedrijfscontinuïteitsmanagement afgerond, waarna er beleid is opgesteld dat momenteel intern nog verder wordt afgestemd. Er is een programma ingericht dat werkt aan een centraal bedrijfscontinuïteitsmanagementsysteem en een voorstel om in 2024 de inrichting van taken, verantwoordelijkheden en de governance te verbeteren. Bedrijfscontinuïteitsmanagers bij de organisatieonderdelen zijn bezig met voorbereidingen om uitvoering te geven aan best practices die in de periode 2024–2025 zullen leiden tot geactualiseerde bedrijfscontinuïteitsplannen voor vitale dienstverlening. Deze best practices worden gefaseerd en volgens de methode van cyclisch verbeteren uitgevoerd. Omdat er nu geen UWV‑breed overkoepelend businesscontinuïteitsplan is, kunnen onder andere continuïteitsafspraken met ICT‑leveranciers niet worden gevalideerd. Het programma werkt toe naar een overkoepelend bedrijfscontinuïteitsplan door onder andere een UWV‑brede bedrijfscontinuïteitsmanagementstrategie te ontwikkelen, door risico’s te identificeren en af te wegen op basis van generieke dreigingsscenario’s en door (keten)herstelplannen in te richten.

In 2023 hebben we te maken gehad met verstoringen die vooral in het najaar een grote weerslag hadden op de beschikbaarheid van de digitale werkplek van UWV‑medewerkers. Dit heeft vooral intern, maar soms ook extern, tot een lager dienstenniveau geleid. Half december 2023 zijn we gestart met een versnelde upgrade van alle digitale werkplekken van Windows 2016 naar Windows 2019. Dankzij de inzet van een speciaal daarvoor ingesteld crisisteam waren alle werkplekken eind februari 2024 overgezet. In maart zijn de laatste werkzaamheden afgerond. In de eerste twee maanden van 2024 zijn in een pilot met succes de eerste applicaties ontsloten op de nieuwe Microsoft 365‑werkplek. Inmiddels is een planning opgesteld om in 2024 alle applicaties over te zetten en zijn 25 applicaties technisch gereed, waarvan er al 20 beschikbaar zijn op de nieuwe werkplek.

Gegevensverwerking van UWV

UWV beschikt over een stelsel van maatregelen en procedures dat gericht is op het waarborgen van een gegevensverwerking die voldoet aan de kwaliteitsaspecten exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. Exclusiviteit is de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en met beperkte bevoegdheden gebruikmaken van gegevens. Integriteit is de mate waarin gegevens in overeenstemming zijn met de beoogde werkelijkheid. Beschikbaarheid is de mate waarin gegevens continu beschikbaar zijn en de gegevensverwerking ongestoord voortgang kan vinden. Controleerbaarheid ten slotte is de mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van gegevens. Daarbij gaat het ook over de mate waarin het mogelijk is vast te stellen dat de gegevensverwerking in overeenstemming is met de eisen ten aanzien van de andere drie kwaliteitsaspecten. Onze Auditdienst controleert jaarlijks de werking van het stelsel van deze procedures en maatregelen voor gegevensverwerking. UWV geeft volgens algemene, internationaal aanvaarde standaarden invulling aan de gegevensverwerking. Voor de waarborging van exclusieve, integere, beschikbare en controleerbare gegevensverwerking kent UWV procedures en maatregelen op vier gebieden: de drie gebieden waarop hierna wordt ingegaan en data‑ethiek (zie deel 1 van dit viermaandenverslag, paragraaf ICT en informatiebeveiliging en privacy onder het kopje Bewust datagedreven werken).

Gegevensmanagement

De verantwoordelijkheid voor het UWV‑brede gegevensmanagement en de daarbij behorende datagovernance is belegd bij de chief data officer (CDO). Datagovernance van de gegevenshuishouding zorgt voor een gemeenschappelijke en gedragen besluitvorming (organisatie) over de wijze waarop UWV gegevens verwerft, gebruikt en uitwisselt (gegevensprocessen). Het regisseert (de totstandkoming van) de benodigde randvoorwaarden zoals beleid en procedures waarbinnen dit gebeurt en regelt ‘wie waarvan is’ (bevoegdheden en verantwoordelijkheden). De CDO legt verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de UWV‑gegevenshuishouding. De CDO wordt op strategisch, tactisch en operationeel niveau ondersteund door de Coalitie Gegevensmanagement en het Gegevensmanagementoverleg. In opdracht van de CDO is een waardegedreven data- en analyticsstrategie opgesteld die aansluit op de UWV‑brede strategische doelstellingen. De uitvoering van de speerpunten is in handen van de betrokken organisatieonderdelen. De gegevensmanagers van deze organisatieonderdelen stemmen met de CDO af over de voortgang, oorzaken van gesignaleerde problemen en oplossingsrichtingen.

Gegevensverwerking

Om aan de eisen voor gegevensverwerking te kunnen voldoen, hebben we een register met alle gegevensverwerkingen van UWV. Dit register is ingericht zoals voorgeschreven in de AVG. Wanneer een (voorgenomen) verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de privacy van betrokkenen, dan wordt voorafgaand een GEB uitgevoerd. Het is mogelijk dat de gegevens van dermate vertrouwelijke aard zijn dat alleen bevoegde personen toegang krijgen tot de betreffende gegevensverwerking. In de eerste vier maanden van 2024 zijn veertien nieuwe GEB’s afgerond, waarvan tien met een positief advies. De risico’s die in deze GEB’s werden geconstateerd, worden in het reguliere risicomanagement ondergebracht. Vier GEB’s resulteerden in een negatief advies vanwege hoge risico’s of een onrechtmatige verwerking. De betrokken organisatieonderdelen ondernemen hierop actie.

We werken ook aan het oplossen van tekortkomingen op het gebied van gegevensverwerking. Zo voldoen we nog niet aan de eisen die gelden vanuit de Wet politiegegevens (Wpg). Dat is nodig omdat we bij onze handhavingswerkzaamheden soms gebruikmaken van politiegegevens. In 2023 hebben we een plan van aanpak opgesteld om fasegewijs toe te werken naar de situatie waarin we volledig voldoen aan de Wpg. Inmiddels hebben we de eerste mijlpaal behaald: we zijn compliant in opzet. We werken nu aan de aantoonbaarheid en effectiviteit van de relevante beheersmaatregelen. Zo is begin januari 2024 de GEB Politiegegevens formeel vastgesteld. Verder hebben we in de eerste maanden van 2024 gewerkt aan het aanscherpen van bestaande en het implementeren van nieuwe maatregelen. We verwachten de verbeteringen medio 2024 aantoonbaar te kunnen maken. In verband met de geplande doorlooptijd van de opvolging van de maatregelen is de verplichte interne hercontrole uitgesteld tot het derde kwartaal van 2024. De Autoriteit Persoonsgegevens (AP) is hierover geïnformeerd.

Datakwaliteit

In juli 2023 zijn de zeven organisatieonderdelen die betrokken zijn bij de integrale klantreis Ik ben ziek/(deels) arbeidsongeschikt gestart met de uitvoering van een verbeterplan voor de datakwaliteit. Het doel is te komen tot een gereedschapskist waarmee de datakwaliteit binnen alle integrale klantreizen beter beheerd en geborgd kan worden. Verder is de datageschiedenis (de data-lineage) in kaart gebracht. Daarmee kunnen we ervoor zorgen dat we data op een transparante en verantwoorde manier gebruiken, en de oorsprong, de transformatie en het gebruik van data gemakkelijker traceren. In 2024 bepalen de betrokken organisatieonderdelen voor de geselecteerde kritieke gegevens de data-lineage, de dataflow (de datastroom) en de datakwaliteitscriteria. In de eerste vier maanden van 2024 hebben de organisatieonderdelen een beter beeld gekregen hoe kritieke gegevens worden benut in de integrale klantreis; ze formuleren nu verbeterpunten voor de datakwaliteit. Vier van de zeven organisatieonderdelen hebben de dataflow afgerond; de andere drie zijn gestart met de analyse en afronding ervan. De komende maanden zullen alle zeven de meet- en monitoringsmethoden van de datakwaliteitscriteria en de inrichting van de juiste beheer- en borgingsprocessen bepalen.

Ga direct naar

Extra informatie

Toevoegen aan verslag