Informatiebeveiliging en privacy 2018

UWV verwerkt binnen zijn werkprocessen veel informatie en stelt ook veel informatie via gegevensleveringen in bulk of via Suwinet beschikbaar aan derden. Het gaat vaak om (gevoelige) persoonsgegevens. De aard van de gegevens, het risico van onjuiste of onzorgvuldige omgang met de gegevens en de mogelijkheid van (hack)incidenten maken het treffen van adequate maatregelen noodzakelijk om oneigenlijk gebruik of misbruik van deze gegevens te voorkomen. Burgers moeten er immers op kunnen vertrouwen dat UWV zorgvuldig met hun persoonsgegevens omgaat. Daarom besteden we veel aandacht aan informatiebeveiliging en privacy.

Risicoanalyses

Een belangrijk referentiepunt voor het zeker stellen van gegevensbescherming vormt het normenkader van de Baseline Informatiebeveiliging Rijksdienst (BIR). Op basis van eigen risicoanalyses stelt UWV vast welke aspecten en BIR‑normen aandacht vragen om de belangrijkste informatie- en beveiligingsrisico’s te beperken en de algehele beveiliging van gegevens voor UWV op een hoger niveau te brengen. Uit de risicoanalyse is gebleken dat de grootste risico’s zich voordoen op 3 terreinen: veilige digitale dienstverlening aan de klant, veilige gegevensuitwisseling met andere partijen en intern‑organisatorisch zaken op orde hebben (toegang tot systemen, gedrag van medewerkers). Op het laatste gebied treffen we diverse maatregelen. We voeren bijvoorbeeld een sluitend autorisatiebeheer, screenen (nieuwe) medewerkers, werken met verklaringen omtrent gedrag, geven richtlijnen over het gebruik van (eigen) devices zoals iPads en mobiele telefoons en attenderen medewerkers op het belang van veilig omgaan met informatie. In 2018 treffen we voor applicaties met een middelhoog risico maatregelen zoals het loggen en monitoren van het gebruik van applicaties en het anonimiseren van testdata. In 2017 is dit al gedaan voor applicaties met een hoog risico.

eHerkenning

We werken aan het aansluiten van het werkgeversportaal van uwv.nl op eHerkenning per 1 november 2018. Daarmee is dan de basis gelegd om de diensten voor werkgevers op een veilige en betrouwbare wijze digitaal toegankelijk te maken. Alle gebruikers van het portaal hebben in het jaar daarna de tijd om over te stappen van de huidige inlogmethodiek naar eHerkenning.

e‑learningmodule

Als onderdeel van het programma Borging veilige gegevensuitwisseling via Suwinet is een e‑learningmodule ontwikkeld. Deze heeft tot doel alle medewerkers van UWV voor wie dat relevant is ervan bewust te maken hoe ze veilig gebruik kunnen maken van Suwinet. Inmiddels hebben 3.000 medewerkers de e‑learningmodule met succes afgerond. Nieuwe gebruikers van Suwinet‑Inkijk moeten de e‑learningmodule en toets binnen 2 maanden met succes hebben afgerond.

Nieuw Ziektewet‑arbodienstverleningsmodel

De Autoriteit Persoonsgegevens (AP) heeft in 2017 vraagtekens geplaatst bij de rechtsgeldigheid van de verwerking van gegevens door medewerkers verzuimbeheersing bij de uitvoering van de Ziektewet. Naar aanleiding hiervan hebben we in 2017 een nieuwe werkwijze ontwikkeld die robuust, toekomstvast en kosteneffectief is, en die voldoet aan de eisen van de AP. Het nieuwe model wordt op dit ogenblik afgestemd met de medezeggenschap; hierna volgt in juli 2018 definitieve besluitvorming. We verwachten de nieuwe werkwijze per 1 januari 2019 in gebruik te kunnen nemen, zoals afgesproken met de AP.