Informatiebeveiliging en privacy 2017

UWV verwerkt binnen zijn werkprocessen veel informatie en stelt ook veel informatie via gegevensleveringen in bulk of via Suwinet beschikbaar. Deze informatie betreft vaak (gevoelige) gegevens over personen. De aard van de gegevens, het risico van onjuiste of onzorgvuldige omgang met de gegevens en de mogelijkheid van (hack)incidenten maken het treffen van adequate maatregelen noodzakelijk om oneigenlijk gebruik of misbruik van deze informatie te voorkomen. Burgers moeten er immers op kunnen vertrouwen dat UWV zorgvuldig met hun persoonsgegevens omgaat. Daarom besteedt UWV veel aandacht aan informatiebeveiliging en privacy (IB&P).

Belangrijk referentiepunt voor het zeker stellen van gegevensbescherming vormt het normenkader van de Baseline Informatiebeveiliging Rijksdienst (BIR). Op basis van eigen risicoanalyses stelt UWV vast welke aspecten en BIR‑normen aandacht vragen om de belangrijkste informatie‑ en beveiligingsrisico’s te beperken en de algehele beveiliging van gegevens voor UWV op een hoger niveau te brengen. Voor 2017 zetten we extra budget in om het applicatielandschap op orde te brengen. Onder andere worden hoogrisicoapplicaties secure software development (SSD)‑proof gemaakt. Deze methode wordt gebruikt om goed beveiligde software te ontwikkelen die aan alle veiligheidsstandaarden voldoet.

Daarnaast zet UWV in op maatregelen als logging en monitoring en het anonimiseren van testdata. Inmiddels hebben we verschillende SSD‑normen doorgevoerd. Voor logging en monitoring is via een control and risk self assessment (CRSA)‑sessie bepaald welke logdata we moeten verzamelen. In 2017 zijn de activiteiten vooral gericht op de hoogrisicoapplicaties. In 2018 ronden wij deze acties af en starten we met het op orde brengen van de applicaties met een middenrisico.