ICT, informatiebeveiliging en privacy, bedrijfscontinuïteitsmanagement en gegevensverwerking

Een stabiel, betrouwbaar, beschikbaar en veilig ICT‑landschap is voorwaardelijk voor de uitvoering van onze maatschappelijke taak en voor het kunnen bieden van (persoonlijke) dienstverlening met duidelijke informatie die aansluit op de persoonlijke situatie en het doenvermogen van onze cliënten.

Om ook in de toekomst onze maatschappelijke taak goed en betrouwbaar uit te kunnen voeren, blijven we werken aan de vereenvoudiging en fundamentele vernieuwing van onze ICT. We brengen onze dienstverlening in lijn met wensen die leven in de maatschappij en moderniseren onze interne processen en ons ICT‑landschap. Bij de ontwikkeling van ICT‑middelen stellen we een hoogwaardige cliënt- en medewerkerervaring en digitale toegankelijkheid centraal. Routinematige taken van medewerkers vereenvoudigen we met automatisering, zodat zij zich kunnen richten op complexere, waardetoevoegende activiteiten.

We werken eraan om onze ICT‑sturing en verantwoording op een hoger niveau te brengen. We willen op een gestandaardiseerde wijze verantwoording afleggen over onze ICT, in lijn met de I‑strategie Rijk 2021–2025 en het manifest Op naar een digitaal weerbare samenleving.

ICT‑governance en -organisatie

Sinds oktober 2023 houdt een raad van bestuurslid zich specifiek bezig met de UWV‑brede opgaven voor ICT, datagedreven werken en informatiebeveiliging en privacy. De algemeen directeuren zijn verantwoordelijk voor de ICT binnen hun eigen organisatieonderdeel. De CIO legt elke vier maanden verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de ICT‑beheersing. De chief information security officer (CISO) is gedelegeerd eigenaar van de UWV‑brede regie op de verantwoording op dit gebied en wordt op strategisch, tactisch en operationeel niveau ondersteund door diverse gremia. Functioneel stuurt de CISO aan op generieke, UWV‑brede beveiligings- en continuïteitsafspraken.

ICT‑processen

Om onze strategische ambities te realiseren is een integrale plan‑do‑check‑actcyclus vereist om naar een volgend niveau van organisatievolwassenheid te groeien. Daarnaast werken we aan het versnellen van processen, het kortcyclischer maken van besluitvorming en het moderniseren van ons ICT‑landschap, zodat teams autonoom en flexibel kunnen werken. Verder hebben we de volgende stappen gezet:

• Versnellen van processen: We werken meer met multidisciplinaire teams die steeds beter agile werken en zich richten op ICT‑oplossingen voor in de integrale klantreizen gesignaleerde knelpunten voor cliënten. Om de samenwerking tussen teams en een eenduidigere (agile) werkwijze te stimuleren, ontwikkelen we hiervoor nu een UWV‑brede werkwijze. Verder kunnen we releases nu deels geautomatiseerd uitvoeren. Door deze stappen kunnen processen sneller verlopen.

• Kortcyclischere besluitvorming: We werken volgens de principes en werkwijzen van lean portfoliomanagement en integreren de kwartaalsturing op ons projectportfolio steeds meer met die van de dienstverlening.

• Modernisering van ICT‑landschap, zodat teams autonoom en flexibel kunnen werken: We streven naar een versnelde uitfasering van onze verouderde (legacy)systemen, versnellen het gebruik van gemeenschappelijke en generieke voorzieningen en verbeteren met lifecyclemanagement de ondersteuning van onderhoudsupdates en beveiligingsupgrades van software en applicaties.

ICT‑risicomanagement

Risicomanagement zien wij als een belangrijk instrument om onzekerheden voor het realiseren van onze ICT‑doelstellingen vroegtijdig te signaleren en hier op gepaste wijze op te anticiperen. We gaan door op de ingeslagen weg en sluiten aan bij de UWV‑brede ontwikkeling van risicomanagement (zie paragraaf Risicobeheersing).

Het tijdig herkennen van ICT‑risico’s is essentieel voor de continuïteit van onze dienstverlening. De samenleving mag ervan uitgaan dat UWV gegevens in overeenstemming met geldende wet- en regelgeving op een transparante wijze gebruikt, beheert en beschermt, conform de eisen van beschikbaarheid, integriteit en vertrouwelijkheid. We werken continu aan verbeteringen om te voldoen aan (nieuwe) richtlijnen en wet- en regelgeving. We vragen onze medewerkers dan ook alert te zijn op risico’s en die te melden, zodat er op het juiste niveau adequate beheersmaatregelen kunnen worden genomen. Dat doen we onder andere met een jaarlijkse bewustwordingscampagne en e‑learning. Per 1 september hadden bijna 6.900 medewerkers (29%) deelgenomen aan deze e‑learning. Intussen nemen we gerichte beheersmaatregelen om de risico’s te verkleinen, zoals de implementatie van een uniforme BIO‑maatregelset, de ingebruikneming van een governance, risk en compliance‑(GRC‑)tool en het opvolgen en implementeren van de aanbevelingen uit een extern rapport (zie hierna onder kopje Privacybescherming vergroten). Om de digitale weerbaarheid van UWV te vergroten, zullen wij in het vervolg meer vanuit een risicogebaseerde benadering rapporteren over de verschillende risicogebieden (ICT‑thema’s). Hieronder gaan we in op een aantal van deze strategische ICT‑thema’s.

Architectuur, technologie en innovatie

We werken aan een vernieuwde doelarchitectuur die richting geeft aan ons veranderportfolio. Zoals we in deel 1 van dit achtmaandenverslag hebben aangegeven in paragraaf ICT, informatiebeveiliging en privacy, en gegevensverwerking, onder het kopje Samen op koers, leveren we in het vierde kwartaal van 2024 de eerste versie van de doelarchitectuur op met een roadmap voor de realisatie. Afwijkingen van de doelarchitectuur worden geregistreerd en gemonitord. Bij de invulling van deze architectuur baseren we ons op overheidsbrede standaarden en kijken we naar in de markt verkrijgbare oplossingen.

De vervanging van onze verouderde legacysystemen en de modernisering van ons ICT‑landschap verlopen tot nu toe trager dan gepland. Dit komt onder andere doordat deze vervanging complexer is dan we hadden verwacht. Een verbeterd portfoliomanagementproces en de nieuwe kwartaalsturing dragen bij aan een betere besturing en prioritering van dergelijke omvangrijke projecten. Dankzij de betere prioritering kunnen we dit jaar ondanks een lager budget nieuwe projecten starten.

Uitbesteding

We zetten gepaste outsourcing in voor applicatieontwikkeling en ‑beheer en volledige outsourcing voor exploitatie van infrastructurele voorzieningen. Alleen de centrale afdelingen Inkoop, Juridische Zaken en ICT Leveranciersmanagement zijn bevoegd om uit naam van UWV ICT‑verplichtingen met leveranciers (of derden) aan te gaan. De sourcingstrategie voor datacenterdienstverlening heeft ertoe geleid dat deze sinds 2023 bij één leverancier is belegd. Met de migratie is de onderliggende ICT‑infrastructuur volledig vernieuwd en zijn de exploitatiekosten omlaag gebracht. We bespreken de beveiliging en de risico’s maandelijks met de leverancier. De in de Third Party Memorandum (TPM) geconstateerde tekortkomingen aan de zijde van deze leverancier, zijn allemaal opgevolgd. Er zijn geen negatieve gevolgen voor UWV geweest.

Leveranciers leggen, behalve via de rapportages die zijn afgesproken in dienstenniveauovereenkomsten, jaarlijks verantwoording af over aan ons geleverde diensten via TPM’s. Alle contractgegevens zijn vastgelegd in een centraal contractenregister. Het beleid en de processen, richtlijnen en werkinstructies zijn beschreven, er is een stappenplan met actuele risico’s en knelpunten en er zijn bijbehorende maatregelen ingericht. In de eerste maanden van 2024 zijn er verdere verbeteringen doorgevoerd in het contractbeheer. Zo werken onze centrale afdelingen Inkoop, Juridische Zaken en ICT Leveranciersmanagement inmiddels multifunctioneel samen om ervoor te zorgen dat de brondata in systemen correct is en dat er zo veel mogelijk dezelfde dashboards worden gebruikt voor sturing, controle en rapportage.

De leverancier van de netwerkdienstverlening verantwoordt zich daarover met een generiekere TPM. De in deze TPM geconstateerde tekortkomingen en de eventuele impact ervan voor UWV worden op kwartaalbasis met ons besproken. We hebben de in 2023 opgeleverde TPM in de eerste maanden van 2024 met de leverancier geëvalueerd. De in 2023 opgeleverde TPM’s voor hosting, netwerken, security en workplaceservices zijn met een beperking gerapporteerd. De bevindingen die hiertoe hebben geleid, zijn met de leverancier besproken. Hierop zijn acties geformuleerd en het merendeel van de bevindingen is inmiddels opgevolgd. Monitoring hierop gebeurt in nauw contact met deze leverancier. In de Third Party Authorizations (TPA’s) en TPM’s geconstateerde verbeterpunten worden door de contract- en diensteigenaar én binnen UWV meegenomen in de plan‑do‑check‑actcyclus. Ook zullen we in het vierde kwartaal van 2024 bepalen in hoeverre de in 2020 vastgestelde verdeling tussen rollen en verantwoordelijkheden aangescherpt moet worden voor het vaststellen van enerzijds de toetsings- en referentiekaders en anderzijds de bij het TPM‑proces betrokken partijen.

Informatiebeveiliging en privacy

Mensen vertrouwen hun medische-, werk- en/of persoonsgegevens aan ons toe. De samenleving mag ervan uitgaan dat UWV gegevens in overeenstemming met geldende wet- en regelgeving op een transparante wijze gebruikt, beheert en beschermt, conform de eisen van beschikbaarheid, integriteit en vertrouwelijkheid. We werken continu aan verbeteringen om te voldoen aan (nieuwe) richtlijnen en wet- en regelgeving. Voor informatiebeveiliging is het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) leidend, voor privacy het framework van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en voor bedrijfscontinuïteit het framework van het Business Continuity Institute (BCI).

Informatiebeveiliging

Ons uitgangspunt is om gegevens, informatie en informatiesystemen adequaat te beveiligen, in lijn met wettelijke normenkaders zoals de Baseline Informatiebeveiliging Overheid (BIO). We werken gestructureerd aan de doelstelling om in 2026 geheel te voldoen aan de eisen die de BIO stelt. In maart 2024 hebben we een uniforme maatregelset vastgesteld voor het BIO‑normenkader. De maatregelset is beschikbaar gesteld aan alle organisatieonderdelen. In de toekomst wordt de maatregelset uitgebreid zodat ook aan andere normenkaders kan worden voldaan. Organisatieonderdelen beoordelen periodiek of de BIO‑beheersmaatregelen effectief zijn. De voortgang wordt gemonitord via een dashboard en alle organisatieonderdelen verantwoorden zich jaarlijks over de voortgang en resultaten met een in‑controlverklaring.

Verantwoording over de beveiliging van Suwinet

UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet (GeVS). De scope van deze verantwoording is een set van veertien normen uit de BIO en richt zich op het afnemen van Suwinet‑services. De verantwoording voor 2023 is afgerond; de bevindingen zijn gerapporteerd aan Bureau Keteninformatisering Werk en Inkomen (BKWI), het UWV‑organisatieonderdeel dat verantwoordelijk is voor de beheertaken op het gebied van de elektronische gegevensuitwisseling binnen de keten. Er is gebleken dat we nog niet voldoen aan de normen. In november starten we met het verantwoordingstraject voor 2024. Op basis hiervan bepalen we ook weer met gapanalyses welke verschillen er bestaan tussen de bestaande en de gewenste situatie. Omdat de verantwoordingsnormen voor de beveiliging van Suwinet overeenkomen met die voor de BIO, sluiten we voor dit traject voortaan aan bij het reguliere BIO‑verantwoordingstraject. Dit betekent dat we bij de verantwoording over de beveiliging van Suwinet uitgaan van resultaten vanuit de BIO‑verantwoording en aansluiten bij door organisatieonderdelen in gang gezette verbeteracties voor de BIO.

Autorisatiebeheer

Ons uitgangspunt is dat gebruik van systemen en toegang tot data uitsluitend zijn voorbehouden aan geautoriseerde medewerkers en leveranciers. Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV en het vertrouwen dat we zorgvuldig omgaan met de aan ons toevertrouwde gegevens.

Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2026 stapsgewijs verouderde Identity and Access Management‑(IAM‑)systemen door een nieuwe uniforme, effectieve werkwijze voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. In 2023 hebben we IAM‑beleid opgesteld. Een eenmalige inlogfaciliteit is gerealiseerd voor een omgeving waarop inmiddels 44 applicaties zijn aangesloten. De overige applicatieomgevingen volgen zo veel mogelijk later in 2024 en in 2025. Vooronderzoeken om extra verhoogde rechten effectiever te faciliteren en fijnmaziger toegang te realiseren, zijn afgerond. We maken een plan om de extra verhoogde rechten in 2024 te realiseren, als eerste basis om na 2024 aan BIO‑vereisten te voldoen. Naar aanleiding van de impactanalyse van de Wet digitale overheid (Wdo) hebben we een vooronderzoek uitgevoerd om een verbeterde koppeling van digitale toegangsdiensten met de buitenwereld tot stand te brengen. Het programma wordt in 2024 in een lager tempo voortgezet om ook andere projecten te kunnen uitvoeren.

Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV. De vernieuwing van autorisatiebeheer omvat de realisatie en implementatie van een nieuw autorisatiebeheersysteem, een uniform autorisatiebeleid en vernieuwde processen die voldoen aan wet- en regelgeving op gebied van informatiebeveiliging (Network and Information Security directive, kortweg NIS‑2, en de BIO) en privacy (AVG). We voeren voor de NIS‑2 op dit moment een gapanalyse uit. Vanuit een grofmazige analyse en de analyse van een extern onderzoeksbureau (zie ook hierna onder kopje Privacybescherming vergroten) is al gebleken dat third‑partyriskmanagement aandacht behoeft. We gaan dit vormgeven volgens een internationaal geldende ISO‑norm. Het systeem van risicobeheersing van UWV voor informatiebeveiliging en privacy is ingericht via het internationale three‑lines‑of‑defensemodel. Onze eenheden Businesscontrol en Kwaliteit monitoren als tweede lijn voor de AVG en de BIO de (kwaliteit van de) uitvoering en geven adviezen als bijsturing noodzakelijk is; onze onafhankelijke Auditdienst (voor de BIO) en onze functionaris gegevensbescherming (voor de AVG) controleren als derde lijn of de samenwerking tussen de eerste (het lijnmanagement) en de tweede lijn soepel functioneert en beoordelen of er verbetermogelijkheden zijn. Verder hebben we recent een Privacy Office opgericht (zie verder onder kopje Privacybescherming vergroten).

De vernieuwing van het autorisatiebeheersysteem wordt vormgegeven binnen het programma Helios. In 2023 hebben we vanuit dit programma een autorisatiebeleid en bijbehorende governance en ook generieke autorisatieprocessen opgesteld. De livegang staat gepland voor het vierde kwartaal van 2024. Taken en verantwoordelijkheden zijn in overeenstemming met de BIO vastgelegd in het autorisatiebeleid en er zijn functieprofielen voor verschillende niveaus van autorisatiebeheermedewerkers opgesteld. Het huidige autorisatiebeheersysteem is opgeschoond; de organisatieonderdelen houden de huidige rollen op orde totdat het nieuwe autorisatiebeheersysteem in productie gaat. Als hulpmiddel zorgen we maandelijks voor een controlelijst aan de hand waarvan de organisatieonderdelen de data kunnen bijwerken. Inhoudelijk specialisten zoals functioneel beheerders en rolbeheerders trainen we in het gebruik en beheer van het nieuwe autorisatiebeheersysteem. We zijn op dit moment met onze ondernemingsraad in gesprek over een aanzet tot een inrichtings- en businessplan voor het Autorisatie Beheer Centrum (ABC). Dit gaat centraal alle beheer en monitortaken voor autorisatiebeheer bij UWV uitvoeren.

Om de kans op verstoringen in de dienstverlening zo klein mogelijk te houden, is het belangrijk dat wijzigingen in de systemen op beheerste wijze worden doorgevoerd en alleen door medewerkers die speciaal daarvoor geautoriseerd zijn. In de eerste maanden van 2024 hebben we nieuwe beheersmaatregelen genomen. De procedure voor UWV‑medewerkers om speciale bevoegdheden voor de uitkeringssystemen te krijgen, is aangescherpt. De autorisaties van beheerders van leverancier worden maandelijks gecontroleerd. Om minder afhankelijk te zijn van medewerkers van externe leveranciers, werken we aan uitbreiding van de kennis van onze eigen functioneel beheerders. Verder hebben we een plan opgesteld om medewerkers van de leverancier voortaan te laten inloggen via een zogenoemde preferred‑userprocedure. Daarbij krijgt de medewerker voor werkzaamheden een eenmalig geldige inlogcode. We verwachten nu dat we deze nieuwe procedure in het vierde kwartaal in gebruik kunnen nemen. Tot die tijd beoordelen we periodiek of er extra controle op de logging noodzakelijk is. In het autorisatiebeheer voor de financiële systemen hebben we voor alle eerder geconstateerde tekortkomingen verbeteracties ondernomen. Om het wijzigingsbeheer op orde te krijgen, hebben we in de eerste acht maanden van 2024 verdere stappen gezet om logging en monitoring door te voeren voor elf cruciale processen.

Beveiliging webapplicaties

Overheidsorganisaties zoals UWV zijn verplicht jaarlijks de ICT‑beveiliging van hun op DigiD aangesloten webapplicaties te laten toetsen in een DigiD‑beveiligingsassessment. Hierbij onderzoekt onze Auditdienst de ICT‑beveiliging van de op DigiD aangesloten webapplicaties aan de hand van de door Logius (een agentschap van het ministerie van het Binnenlandse Zaken en Koninkrijksrelaties (BZK) en de dienstenleverancier van DigiD) voorgeschreven beveiligingsrichtlijnen (normen). Volgens deze richtlijnen was het tot en met verslagjaar 2022 nodig de normen voor DigiD‑aansluitingen alleen te toetsen aan de vereisten voor de opzet en het bestaan van beveiligingsmaatregelen. Sinds het verslagjaar 2023 gelden nieuwe eisen van het ministerie van BZK en moet ook worden getoetst op de werking van de beveiligingsmaatregelen. Eind april hebben we voor alle vier onze DigiD‑aansluitingen de verplichte auditrapporten opgeleverd aan Logius. Voor twee DigiD‑aansluitingen bleken we nog niet aan alle eisen te voldoen. Hiervoor hebben we in juli herassessmentrapporten aangeleverd. Logius heeft inmiddels bevestigd dat we voldoen aan alle vereisten voor de opzet en het bestaan van beveiligingsmaatregelen.

Onze Auditdienst heeft dit jaar voor de eerste keer getoetst of we ook voldoen aan de vijf normen voor de werking van beveiligingsmaatregelen. Het eind juli 2024 opgeleverde rapport geeft inzicht in verbeterpunten die we nog moeten realiseren om in 2024 aan de normen te voldoen, zodat we de komende audit op zowel opzet, bestaan en werking van de beveiligingsmaatregelen met vertrouwen tegemoet kunnen zien. Het auditrapport voor alle vier de DigiD‑aansluitingen wordt uiterlijk eind april 2025 opgeleverd. Omdat het belangrijk is dat we aantoonbaar over een langere periode voldoen aan de normen, zullen we dit periodiek toetsen.

eHerkenning

Werkgevers kunnen al hun belangrijke zaken rondom werknemersverzekeringen met ons regelen via het werkgeversportaal op onze website uwv.nl. De toegang tot dit portaal is sinds 2019 beveiligd met de overheidsvoorziening eHerkenning. Eind september 2023 hebben we ook voor het werkgeversportaal op onze website werk.nl eHerkenning in gebruik genomen als veiligere inlogmethode. In het eerste kwartaal van 2024 hebben we een aantal belangrijke aanpassingen in de beveiliging van het werkgeversportaal doorgevoerd, waardoor beide websites nu het juiste beveiligingsniveau hebben voor de diensten die we op dit moment leveren. In 2023 hebben we het eDienstenregister opgeleverd. Dit maakt inzichtelijk wat de digitale diensten zijn die op de portalen worden aangeboden en welk betrouwbaarheidsniveau hiervoor verplicht is.

Cybersecurity

Het aantal aan UWV gerichte cyberdreigingen en de potentiële schade daarvan nemen toe. We nemen passende maatregelen om onze dienstverlening zo goed mogelijk te beschermen (weerbaar maken) en om zo snel mogelijk te kunnen herstellen (veerkracht) als er zich toch een incident voordoet.

Op het gebied van bewustwording hebben we meerdere initiatieven ontplooid, zoals een digitale leeromgeving met een e‑learning over digitale veiligheid voor al onze medewerkers en de Week van de digitale veiligheid, waarmee we (veilig) gedrag verankeren in de organisatie, voorkomen dat medewerkers misleid worden (door bijvoorbeeld phishing) en ervoor zorgen dat ze verdachte of risicovolle situaties opmerken en rapporteren. Tot nu toe heeft 30% van alle UWV‑medewerkers de e‑learning succesvol afgerond. Ons streven is dat eind van dit jaar 90% de e‑learning heeft afgerond. We besteden er daarom extra aandacht aan in de cybersecuritymaand oktober.

Privacybescherming vergroten

Een extern bureau heeft met een quickscan in kaart gebracht waar we staan op het gebied van informatiebeveiliging en privacy. Daarbij lag de focus op in hoeverre we voldoen aan de BIO en op ons proces voor gegevensbeschermingseffectbeoordelingen (GEB’s). We hebben een Privacy Office opgericht dat direct is gestart om opvolging te geven aan de bevindingen uit het adviesrapport. Twee agile sprintteams die elke twee weken een resultaat opleveren, zijn er concreet mee aan de slag gegaan. Het doel is om de BIO‑implementatie te versnellen en de privacybescherming te vergroten. Sinds 1 juli geven we prioriteit aan het verbeteren van het fundament voor ons privacystelsel. Daarin opgenomen zijn privacy (en security) by design en by default, de projectstartarchitectuur en het GEB‑proces.

Op grond van de AVG moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt. Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan moet UWV ook de betrokken personen inlichten.

Tabel Datalekken

In 67% van de gemelde datalekken is de termijn van 72 uur voor het melden bij de Autoriteit Persoonsgegevens gehaald. Er heeft zich de afgelopen vier maanden een impactvol incident voorgedaan. Begin mei zijn via één werkgeversaccount op onze website werk.nl 150.000 cv’s ingezien, zie ook deel 1 van dit achtmaandenverslag, paragraaf Dienstverlening aan werkgevers, onder het kopje Cv’s inzien. Dit incident heeft geleid tot structurele maatregelen op het gebied van logging en monitoring en om de cv’s die werkgevers op werk.nl kunnen inzien zo veel mogelijk te anonimiseren. Verder hebben we naar aanleiding van dit incident besloten dat we het proces rondom impactvolle datalekken gaan evalueren.

Wanneer we iemands persoonsgegevens gebruiken, dan mag die ons vragen welke gegevens dat zijn en wat we ermee doen (inzagerecht). Als de persoonsgegevens niet blijken te kloppen, dan kan die ons vragen om de gegevens te corrigeren. In een aantal situaties zijn we verplicht om, als iemand daarom vraagt, diens persoonsgegevens te verwijderen.

Tabel AVG‑verzoeken

We zijn verplicht om binnen een maand per brief of e‑mail te reageren op dit soort verzoeken. Als het verzoek ingewikkeld is of als het om meerdere verzoeken gaat, dan mogen we er twee maanden langer over doen. We handelden in de tweede vier maanden van 2024 264 verzoeken af: 84,4% binnen een maand, 14,7% binnen twee maanden en 3% binnen drie maanden.

Een extern bureau heeft in 2023 geconstateerd dat onze drie huidige datawarehouses en ook het nieuwe Data Integratie Magazijn (DIM) tekortkomingen vertonen wat betreft privacy. Ook onze eigen functionaris gegevensbescherming constateerde dat het nieuwe platform nog niet voldoet aan de AVG. Er zijn inmiddels verbeteracties in gang gezet. Zo zijn we bezig met een aangepaste GEB en zijn er business rules opgesteld voor het nieuwe DIM en voor het uitfaseren van historische data.

In maart 2024 hebben we de privacy onder de loep genomen in ons Data Mining Analyse Platform, een analyseomgeving voor customer‑intelligenceanalisten. We doen analyses naar mogelijke nieuwe verbetermaatregelen en zijn bezig met een aangepaste GEB.

Bedrijfscontinuïteit

Met bedrijfscontinuïteitsmanagement borgen we dat de belangrijkste bedrijfsdoelstellingen kunnen doorgaan of zo snel mogelijk worden hersteld bij een calamiteit of crisis. In 2023 is een adviestraject voor het verbeteren van bedrijfscontinuïteitsmanagement afgerond, waarna er beleid is opgesteld dat begin september 2024 is vastgesteld. Er is een programma ingericht dat werkt aan een centraal bedrijfscontinuïteitsmanagementsysteem en een voorstel om in 2024 de inrichting van taken, verantwoordelijkheden en de governance te verbeteren. Bedrijfscontinuïteitsmanagers bij de organisatieonderdelen zijn nu bezig met voorbereidingen om uitvoering te geven aan best practices die in de periode 2024–2025 zullen leiden tot geactualiseerde bedrijfscontinuïteitsplannen voor vitale dienstverlening. Deze best practices worden gefaseerd en volgens de methode van cyclisch verbeteren uitgevoerd. Omdat er nu geen UWV‑breed overkoepelend businesscontinuïteitsplan is, kunnen onder andere continuïteitsafspraken met ICT‑leveranciers niet worden gevalideerd. Hierdoor weten we niet of de continuïteitsmaatregelen die ICT‑leveranciers nemen wel voldoen aan de eisen. Het programma werkt toe naar een overkoepelend bedrijfscontinuïteitsplan door in de eerste helft van 2025 onder andere, in samenwerking met organisatieonderdelen die kritische bedrijfsprocessen huisvesten, een UWV‑brede bedrijfscontinuïteitsmanagementstrategie te ontwikkelen, door risico’s te identificeren en af te wegen op basis van generieke dreigingsscenario’s en door (keten)herstelplannen in te richten.

Gegevensverwerking van UWV

UWV beschikt over een stelsel van maatregelen en procedures dat gericht is op het waarborgen van een gegevensverwerking die voldoet aan de kwaliteitsaspecten exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. Exclusiviteit is de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en met beperkte bevoegdheden gebruikmaken van gegevens. Integriteit is de mate waarin gegevens in overeenstemming zijn met de beoogde werkelijkheid. Beschikbaarheid is de mate waarin gegevens continu beschikbaar zijn en de gegevensverwerking ongestoord voortgang kan vinden. Controleerbaarheid ten slotte is de mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van gegevens. Daarbij gaat het ook over de mate waarin het mogelijk is om vast te stellen dat de gegevensverwerking in overeenstemming is met de eisen voor de andere drie kwaliteitsaspecten. Onze Auditdienst controleert jaarlijks de werking van het stelsel van deze procedures en maatregelen voor gegevensverwerking. UWV geeft volgens algemene, internationaal aanvaarde standaarden invulling aan de gegevensverwerking. Voor de waarborging van exclusieve, integere, beschikbare en controleerbare gegevensverwerking kennen we procedures en maatregelen op vier gebieden: gegevensmanagement, -verwerking en datakwaliteit, waarop we hierna ingegaan, en data‑ethiek (zie deel 1 van dit achtmaandenverslag, onder andere in paragraaf ICT, informatiebeveiliging en privacy, en gegevensverwerking, onder kopje Bewust datagedreven werken).

Gegevensmanagement

De verantwoordelijkheid voor het UWV‑brede gegevensmanagement en de daarbij behorende datagovernance is belegd bij de chief data officer (CDO). Datagovernance van de gegevenshuishouding zorgt voor een gemeenschappelijke en gedragen besluitvorming (organisatie) over de wijze waarop UWV gegevens verwerft, gebruikt en uitwisselt (gegevensprocessen). Het regisseert (de totstandkoming van) de benodigde randvoorwaarden zoals beleid en procedures waarbinnen dit gebeurt en regelt ‘wie waarvan is’ (bevoegdheden en verantwoordelijkheden). De CDO legt verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de UWV‑gegevenshuishouding. De CDO wordt op strategisch, tactisch en operationeel niveau ondersteund door de Coalitie Gegevensmanagement en het Gegevensmanagementoverleg. In opdracht van de CDO is een waardengedreven data- en analyticsstrategie opgesteld die aansluit op de UWV‑brede strategische doelstellingen (zie deel 1 van dit achtmaandenverslag, paragraaf ICT, informatiebeveiliging en privacy, en gegevensverwerking, onder kopje Bewust datagedreven werken). De uitvoering van de speerpunten is in handen van de betrokken organisatieonderdelen. De gegevensmanagers van deze organisatieonderdelen stemmen met de CDO de voortgang, oorzaken van gesignaleerde problemen en oplossingsrichtingen af. De activiteiten die op korte termijn moeten worden uitgevoerd, worden onderdeel van de kwartaalsturing die nu UWV‑breed wordt ingericht. Op dit ogenblik zijn we bezig met de oprichting van een Databoard, een strategische groep die de drijvende kracht wordt achter het realiseren van onze doelstellingen.

Gegevensverwerking

Om aan de eisen voor gegevensverwerking te kunnen voldoen, hebben we een register met alle gegevensverwerkingen van UWV. Dit register is ingericht zoals voorgeschreven in de AVG. Wanneer een (voorgenomen) verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de privacy van betrokkenen, dan wordt voorafgaand een GEB uitgevoerd. Het is mogelijk dat daaruit dan blijkt dat de gegevens van dermate vertrouwelijke aard zijn dat alleen bevoegde personen toegang krijgen tot de betreffende gegevensverwerking.

In de eerste acht maanden van 2024 zijn 18 nieuwe GEB’s afgerond, waarvan 17 met een positief advies. De risico’s die in deze GEB’s werden geconstateerd worden in het reguliere risicomanagement ondergebracht. 5 GEB’s resulteerden in een negatief advies vanwege hoge risico’s of een onrechtmatige verwerking. De betrokken organisatieonderdelen ondernemen hierop actie.

We werken ook aan het oplossen van tekortkomingen op het gebied van gegevensverwerking. Zo voldoen we nog niet aan de eisen die gelden vanuit de Wet politiegegevens (Wpg). Dat is nodig omdat we bij onze handhavingswerkzaamheden soms gebruikmaken van politiegegevens. In 2023 hebben we een plan van aanpak opgesteld om fasegewijs toe te werken naar de situatie waarin we volledig voldoen aan de Wpg. We hebben de afgelopen maanden gewerkt aan het oplossen van diverse tekortkomingen op het gebied van de Wpg. In het derde kwartaal van 2024 onderzoeken we tijdens de verplichte hercontrole of deze tekortkomingen inderdaad zijn opgelost.

Datakwaliteit

In juli 2023 zijn we gestart met de uitvoering van het verbeterplan voor de datakwaliteit binnen de integrale klantreis Ik ben ziek/(deels) arbeidsongeschikt. Het doel is om een gereedschapskist te ontwikkelen waarmee we de datakwaliteit binnen alle integrale klantreizen beter kunnen beheren en borgen. Tot nu toe hebben 7 van de 8 bij de integrale klantreis betrokken organisatieonderdelen hun werkzaamheden succesvol afgerond. Eerder dit jaar is de datageschiedenis (data‑lineage) van de geselecteerde kritieke gegevens in kaart gebracht. Daarmee kunnen we ervoor zorgen dat we data op een transparante en verantwoorde manier gebruiken, en de oorsprong, de transformatie en het gebruik van data gemakkelijker traceren. In het tweede tertaal is vervolgens voor de geselecteerde kritieke gegevens gecheckt of de datakwaliteit aan de normen voldoet, zijn verbeterpunten voor de datakwaliteit bepaald en de eerste rapportages daarover opgeleverd. Hiermee kan nu een reguliere plan‑do‑check‑actcyclus worden gestart.

Data Academie

Investeren in datavakmanschap is een essentiële randvoorwaarde om datagedreven werken bij UWV verder te professionaliseren en het ambitieniveau van UWV te realiseren. Onze Data Academie faciliteert de ontwikkeling van (toekomstige) dataprofessionals en draagt bij aan het vergroten van databewustzijn en datageletterdheid bij UWV. Het doel hiervan is om het datakennisniveau te verhogen en dit op een effectieve manier in te zetten voor een betere en toekomstbestendige dienstverlening. De leerlijnen zijn de afgelopen maanden herijkt en het aanbod is vernieuwd om aan de snel veranderende leerbehoefte in het datavakgebied te voldoen. Onze dataprofessionals kunnen ook gebruikmaken van een extern online leerplatform met duizenden cursussen in diverse vakgebieden.

Dataprofessionals ontmoeten en inspireren elkaar en wisselen kennis uit in onze datacommunity. Het aantal leden van de datacommunity groeit snel; in de eerste acht maanden van dit jaar met bijna 28%. Elke maand is er bijvoorbeeld een kennisdeling, deep dive of workshop te volgen. Om het externe relatienetwerk uit te breiden is de Data Academie een samenwerkingsovereenkomst met de Vrije Universiteit Amsterdam (VU) aangegaan. De Data Academie werkt hierin mee aan een onderzoek van een masterstudent om beter te begrijpen wat datagedreven projecten succesvol maakt.