ICT, informatiebeveiliging en privacy, en gegevensverwerking

We gaan de komende jaren versneld onze dienstverlening vernieuwen. Digitalisering is daar een integraal onderdeel van. Goed werkende, moderne ICT is cruciaal voor de uitvoering van sociale zekerheid en randvoorwaardelijk voor goede dienstverlening aan burgers en werkgevers en de daarvoor benodigde ondersteuning van onze medewerkers.

Onze digitaliseringsopgave is groot. We willen merkbare verbeteringen doorvoeren voor cliënten, werkgevers en onze eigen medewerkers. Ook is het nodig om te anticiperen op nieuwe en veranderende wet- en regelgeving en richtlijnen en om bestaande wet- en regelgeving verder te implementeren, onder andere op het gebied van informatiebeveiliging en privacy. De vervanging van een aantal verouderde ICT‑systemen is urgent vanwege het grote beslag dat zij leggen op ons budget en onze capaciteit, en hun impact op bedrijfsprocessen. Technologische ontwikkelingen als generatieve artificiële intelligentie (GenAI) bieden kansen voor verbeterde dienstverlening, maar vragen ook om kaders en richtlijnen voor verantwoord gebruik. Onze digitaliseringsopgaven zijn uitgewerkt in het programma Samen op koers en in het UWV Informatieplan 2024.

Om deze uitdagingen het hoofd te bieden is een versnelling van onze ICT‑voortbrenging noodzakelijk. Niet alle veranderingen kunnen (tegelijkertijd) worden uitgevoerd. Enerzijds omdat in een bepaald aandachtsgebied veranderingen slechts beperkt gelijktijdig uitgevoerd kunnen worden, anderzijds vanwege de beperkte capaciteit van (ICT‑)personeel. Heldere keuzes en prioriteiten zijn dan ook nodig. Om te komen tot een wendbaardere manier van besturen zijn we in 2023 begonnen met verbetering van ons portfolioproces. In de eerste acht maanden van 2024 hebben we de vernieuwde kwartaalsturing en ‑prioritering op het projectenportfolio ingericht.

Persoonlijke en passende dienstverlening op maat vraagt dat burgers, werkgevers, partners, medewerkers en instanties over juiste en actuele gegevens beschikken. We hechten veel waarde aan de zorgvuldige omgang met persoonsgegevens en aan informatiebeveiliging op het juiste niveau. Naast de Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO) stellen verdergaande digitalisering en veranderende wet- en regelgeving steeds hogere eisen aan informatiebeveiliging en privacybescherming. Door te voldoen aan de BIO vervullen we niet alleen onze wettelijke plicht, maar ook onze maatschappelijke verantwoordelijkheid om op een veilige manier persoonsgegevens te verwerken. Het is onze ambitie om de komende jaren stapsgewijs de informatiebeveiliging verder op orde te krijgen en ervoor te zorgen dat onze processen en systemen per 1 januari 2026 geheel aan de BIO voldoen. In deel 2, paragraaf ICT, informatiebeveiliging en privacy, bedrijfscontinuïteitsmanagement en gegevensverwerking van dit achtmaandenverslag verantwoorden we ons over de voortgang op de implementatie van wet- en regelgeving op het gebied van informatiebeveiliging en privacy.

Samen op koers

Met het programma Samen op koers versnellen we de effectieve en wendbare realisatie van onze ICT‑koers. Daarmee draagt onze ICT bij aan een drempelloze dienstverlening aan cliënten. Dit doen we onder andere door versnelling van de systematische ontwikkeling van de zogenoemde ICT‑voortbrengingsprocessen, een organisatieonderdeeloverstijgende samenwerking, een verbeterd portfoliomanagementproces, automatisering en een heldere doelarchitectuur met oog voor cultuur en integraliteit. In de eerste acht maanden van 2024 hebben we daarbij het volgende bereikt:

• Beter bestuurbare projecten en snellere oplevering van concreet toepasbare digitale producten en diensten voor onze cliënten en medewerkers: We doen dit onder andere door ons portfoliomanagementproces vorm te geven volgens de principes en werkwijzen van lean portfoliomanagement. Verder hebben we de kwartaalsturing van de dienstverlening en de kwartaalsturing van het ICT‑portfoliomanagement geïntegreerd in één werkwijze en ritme. Daarbij bespreken we gezamenlijk per kwartaal de voortgang op onze projecten- en veranderportfolio, sturen we waar nodig bij en spreken we af welke waarde we het komend kwartaal gaan leveren in het licht van de UWV‑visie en ‑strategie. Zo krijgen we meer grip op de voortgang van projecten en nemen we op het juiste niveau beslissingen en sturen we zo nodig bij.

• Een betrouwbare en wendbare doelarchitectuur: Aan de hand van vijf thema’s werken we aan een toekomstbestendige richting (doelarchitectuur) voor ICT die drempelloze digitale dienstverlening ondersteunt. De focus ligt hierbij op het ICT‑fundament, flexibiliteit en het verminderen van complexiteit in het ICT‑landschap. We leveren in het vierde kwartaal van 2024 de eerste versie van de doelarchitectuur op met een roadmap voor de realisatie.

• Verdere automatisering van de ICT‑voortbrenging: We automatiseren en versnellen de bouw, het testen en de oplevering van software. Dit leidt tot stabielere en kwalitatief betere software. In 2024 hebben we als doel om zestig softwareprogramma’s automatisch te laten werken met ons ontwikkelings- en leveringsproces (de zogenoemde CI/CD‑pipeline) en om vijftig programma’s gereed te maken om automatisch getest te worden. In de eerste acht maanden van 2024 zijn er dertig softwareprogramma’s aangesloten op de CI/CD‑pipeline en twintig programma’s klaargemaakt voor automatisch testen. Daarnaast is een integraal dashboard opgeleverd waarmee de impact op snelheid en kwaliteit gemonitord kan worden.

• Extra aandacht voor cultuur, gedrag en integrale aansturing: Houding en gedrag zijn belangrijke (cultuur)onderwerpen om een transformatie succesvol te laten verlopen en daarmee een essentieel onderdeel van Samen op koers. Wat is nodig om medewerkers effectief samen te laten werken aan strategische veranderopgaven voor de organisatie, welk gedrag van medewerkers is gewenst voor een succesvolle implementatie van Samen op koers en wat vraagt dit van leiderschap? Op basis van via het bredere UWV‑programma Cultuur DNA verzamelde inzichten hebben we een aanpak geformuleerd om de samenwerking binnen en tussen ICT‑teams te versterken en de organisatiecultuur te verbeteren.

Voortgang van het UIP

In het UWV Informatieplan (UIP) 2024 hebben we op hoofdlijnen onze ICT‑ambities geschetst waarmee we onze digitale dienstverlening verbeteren en verbreden, en ons ICT‑fundament versterken. Ook richten we ons in het UIP op veranderingen die nodig zijn om aan externe verplichtingen en wet- en regelgeving te voldoen, en op de benodigde veranderingen in onze besturing en bedrijfsvoering. De omslag die we in 2024 maken naar een lean portfoliomanagementproces is van invloed op de besturing, prioritering en eventuele herijking van het UIP‑projectenportfolio. In de eerste acht maanden van 2024 hebben we op hoofdlijnen de volgende voortgang geboekt:

• Verbeteren en verbreden dienstverlening: Met de realisatie van Herontwerp WW‑3 (HOWW‑3) hebben we WW‑processen voor de medewerker geüniformeerd en geoptimaliseerd. Het merendeel van de relevante informatie wordt nu in één systeem aan de medewerker aangeboden. Hierdoor is de gemiddelde doorlooptijd van WW‑aanvragen teruggebracht, wat een verbetering betekent in de dienstverlening aan cliënten. Verder hebben we een belangrijke stap gezet in een meerjarig traject dat onze brievenboeksystemen verder digitaliseert en daarmee onder andere minder foutgevoelig maakt.

• Verdere vernieuwing en modernisering van ons applicatielandschap: Om de komende jaren onze dienstverlening op orde te houden, voeren we een aantal grote vervangings- en moderniseringstrajecten uit. Een belangrijk traject is de vervanging van ons OpenVMS‑platform. Op dit platform draaien onze belangrijkste uitkeringssystemen voor de verstrekking van arbeidsongeschiktheids- en WW‑uitkeringen. De ondersteuning van het platform loopt eind 2027 af. Alle voorbereidende en regieactiviteiten voor deze vervanging verlopen via het speciaal hiervoor ingerichte programma Nexus. Via twee Nexus‑projecten realiseren we nu een oplossing. Begin 2024 heeft het Adviescollege ICT‑toetsing (AcICT) een advies uitgebracht dat we hebben verwerkt bij de keuze van onze aanpak.

• Modernisering van ons datawarehouse: Met ons verandertraject DataFabriek willen we drie oude datawarehouses vervangen door één modern en toekomstbestendig platform: het Data Integratie Magazijn (DIM). Inmiddels is de migratie van een van deze drie datawarehouses afgerond. We hebben besloten alleen de echt onmisbare informatieproducten voor afnemers over te zetten naar het nieuwe DIM. De overige informatieproducten zullen via de reguliere processen gaan verlopen. We streven naar volledige afronding van het programma in december 2025.

• Verbeteren van onze informatieveiligheid en privacybescherming: Met het programma Next Level Security (NLS) richten we ons op het verbeteren van specifieke cybersecuritymaatregelen, met als doel om de digitale weerbaarheid van UWV aantoonbaar te verhogen. In de eerste acht maanden van 2024 hebben we het project NLS‑1 afgerond, net als drie deelprojecten binnen NLS‑2. Deze projecten hebben geleid tot verbetering van monitoring en afhandeling van kwetsbaarheden en cybersecurityincidenten. Ook is (veilig) gedrag in de organisatie verankerd. Daarmee voorkomen we dat medewerkers misleid worden (door bijvoorbeeld phishing) en zorgen we ervoor dat ze verdachte of risicovolle situaties opmerken en rapporteren. Hiervoor is in de digitale leeromgeving van UWV een e‑learning opgenomen die alle medewerkers moeten volgen. Ook is een roadmap opgesteld voor vervolgactiviteiten om de weerbaarheid te vergroten. De overige twee deelprojecten van NLS‑2 worden in de tweede helft van 2024 afgerond.

• Modernisering van onze ICT‑infrastructuur: We hebben afgelopen jaren een nieuwe werkplek voor onze medewerkers gecreëerd. In februari 2024 is het project Transitie en transformatie werkplekdiensten gestart om het beheer van de werkplek over te zetten naar een nieuwe externe leverancier. Dit project loopt tot 1 februari 2025. Verder hebben we de migratie van onze SharePoint‑omgeving gerealiseerd. In januari 2024 is een project gestart om de transitie naar de nieuwe netwerkdiensten te implementeren. Dit project loopt door tot juni 2025.

Bewust datagedreven werken

UWV beschikt over veel data. We willen deze data gebruiken om onze dienstverlening te verbeteren. Datagedreven werken wordt steeds meer een essentieel onderdeel van onze reguliere bedrijfsvoering. In juli hebben we een waardengedreven data- en analyticsstrategie vastgesteld die aansluit op de UWV‑brede strategische doelstellingen. Hierin is opgenomen welke concrete stappen op het gebied van data en analytics we de komende vijf jaar UWV‑breed gaan zetten om medewerkers beter bij hun werk te ondersteunen en meerwaarde te halen uit data en algoritmen waarmee we onze dienstverlening kunnen verbeteren. In ons Kompas Data Ethiek zijn de uitgangspunten vastgelegd die UWV toepast bij de ontwikkeling en het gebruik van data en algoritmes. Het kompas wordt regelmatig gebruikt bij ethische impactassessments van diverse datatoepassingen. Deze beoordelingen helpen ontwikkelaars, eigenaren en gebruikers van datatoepassingen om ethische effecten in kaart te brengen en (waar nodig) de datatoepassing daarop aan te passen. De onafhankelijke Commissie Data Ethiek toetst, zoals beschreven in paragraaf Publieke waarden, ethisch verantwoord en evidencebased onder het kopje Ethische beraadslaging, gegevenstoepassingen aan het Kompas Data Ethiek, het Expertteam Data Ethiek ondersteunt de commissie bij het voeren van de dialoog over data‑ethiek binnen UWV. Daarbij wordt het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) als hulpmiddel gebruikt. Voor hoogrisicomodellen is het IAMA verplicht. Voor medewerkers die zich met algoritmes bezighouden verzorgen we trainingen. We publiceren onze algoritmemodellen in ons algoritmeregister en in het Algoritmeregister van de Nederlandse overheid; op dit ogenblik gaat dit op voor negen algoritmen.

Sinds 1 augustus 2024 is de AI-Act van kracht, een Europese verordening die het gebruik van algoritmes en AI reguleert en bepaalt dat risico’s voor mens en maatschappij moeten worden geminimaliseerd. We werken aan beleid om deze regelgeving te implementeren. Hiervoor nemen we het bestaande modelrisicomanagement‑(MRM‑)beleid als uitgangspunt. Dit MRM‑beleid is UWV‑breed van toepassing op hoogrisicomodellen en het gebruik van algoritmen binnen deze modellen. We voeren momenteel een AI‑Act wetsanalyse uit om de gap met het huidige MRM‑beleid vast te stellen, zodat we dit beleid waar nodig kunnen aanpassen.

Artificiële intelligentie

Artificiële intelligentie (AI) biedt allerlei mogelijkheden. Zo maken we gebruik van algoritmes (zie hierboven onder kopje Bewust datagedreven werken) en van machine learning om modellen te ontwikkelen die onze dienstverlening ondersteunen. Er is een multidisciplinair kernteam AI opgericht met experts op het gebied van onder andere AI, data‑ethiek, informatiebeveiliging en privacy, juridische zaken en inkoop. Alle AI‑ontwikkelingen en ‑vraagstukken gaan langs dit kernteam. Zo bouwen we AI‑expertise op en houden we overzicht en samenhang in de ontwikkelingen binnen en buiten de organisatie.

Om duidelijkheid te krijgen over de mogelijkheden van GenAI (zoals ChatGPT) om teksten, beelden en audio te genereren, hebben we in het najaar van 2023 een proeftuin ingericht waarin organisatieonderdelen er verantwoord mee kunnen experimenteren. Voor individuele medewerkers is die mogelijkheid afgesloten. In aanvulling op het ethisch kader dat de Commissie Data Ethiek gebruikt, ontwikkelen we nu ook een normenkader GenAI dat de risico’s van bijvoorbeeld vooringenomenheid en desinformatie verder adresseert. Er is inmiddels een eerste versie beschikbaar die de komende periode in een aantal experimenten wordt getest. Omdat de capaciteit van de proeftuin beperkt is en de vraag naar experimenten groot, focussen we ons op experimenten met concreet toepasbare AI, zoals ondersteuning bij tekstredactie. De toepassing van AI daarbij bespaart tijd en het resultaat is door medewerkers goed te beoordelen.