Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT en informatiebeveiliging en privacy

Goed werkende, betrouwbare en beschikbare ICT is essentieel en randvoorwaardelijk voor goede dienstverlening waarin burgers centraal staan, met oog voor de menselijke maat en voor de ondersteuning van onze medewerkers daarbij. UWV staat in dat opzicht voor een grote opgave: het vervangen van de grote applicatieomgevingen, de basisinfrastructuur van het datacenter, het netwerk en de verdere uitrol van de nieuwe werkplek.

De migratie naar het nieuwe datacenter is inmiddels succesvol afgerond. Naast deze noodzakelijke vernieuwingen is ook modernisering van ons IT‑landschap nodig. Daarmee vergroten we de mogelijkheden voor betere dienstverlening en zorgen we ervoor dat een volgende vernieuwingsslag gemakkelijker zal verlopen. Daardoor zal er op langere termijn minder capaciteit nodig zijn voor de instandhouding van het IT‑landschap. In 2023 hebben we een aantal belangrijke stappen gezet in de vernieuwing: we hebben niet alleen gewerkt aan de overgang naar een moderne werkplek voor alle UWV‑medewerkers en keuzes gemaakt in de vernieuwing van onze verouderde (legacy)systemen, maar ook de besturing van de IT‑veranderingen versterkt. Onze uitdaging op het gebied van de ICT voor de komende jaren blijft groot: we versnellen de systematische ontwikkeling van IT‑ processen (het voortbrengingsproces) verder, moeten onze systemen voortdurend aanpassen aan nieuwe en veranderende wet- en regelgeving, hebben blijvende aandacht voor beveiliging en privacy en blijven onze dienstverlening met behulp van ICT verbeteren.

Niet alle veranderingen kunnen tegelijkertijd worden doorgevoerd, enerzijds doordat in een bepaald aandachtsgebied veranderingen slechts beperkt gelijktijdig uitgevoerd kunnen worden, anderzijds door de beschikbare capaciteit van (ICT‑)personeel. Het werven van nieuw personeel is gegeven de zeer krappe arbeidsmarkt lastig en biedt beperkt mogelijkheden. We zullen nog meer onze interne uitdagingen moeten prioriteren door ons portfolioproces en capaciteitsmanagement verder te verbeteren. We blijven beheerst veranderen en bespreken, monitoren en reviewen onze veranderingen op decentraal en centraal niveau. Met het programma Samen op koers maken we onze ICT‑organisatie effectiever, efficiënter en wendbaarder. Ook hebben we aandacht voor ontwikkelingen die ons verder kunnen helpen. Hierbij houden we rekening met beveiligings‑ en privacyaspecten. We gaan daarbij uit van de overheidsrichtlijnen, bijvoorbeeld op het gebied van algoritmes, artificiële intelligentie (AI) en ethiek. We blijven scherp op (informatiebeveiligings)risico’s. Het IT‑risicomanagement is onderdeel van het integrale risicomanagement van UWV waarbij risicoleiderschap wordt gehanteerd. We hebben een groot deel van onze IT‑dienstverlening uitbesteed. Onze belangrijkste IT‑leveranciers verantwoorden zich jaarlijks met Third Party Memorandums (TPM’s) over de geleverde producten en diensten.

Voortgang van het UIP

In het UWV Informatieplan (UIP) schetsen we onze ICT‑doelstellingen en -planning voor de komende jaren. We hebben ons in 2023 gericht op drie overkoepelende thema’s: het verbeteren en verbreden van de dienstverlening, het versterken van het ICT‑fundament en het versterken van de governance van het ICT‑veranderportfolio. In 2023 hebben we daarbij de volgende voortgang geboekt:

  • Verbeteren en verbreden dienstverlening: In 2023 hebben we beleid vastgesteld voor een verantwoord gebruik van algoritmes, met bijzondere aandacht voor risicoscans. Momenteel verbreden we dit beleid naar alle algoritmes binnen UWV. Er zijn in verschillende werkprocessen verbeteringen doorgevoerd in de ICT‑ondersteuning, zowel voor medewerkers als voor cliënten. Zo zijn WW‑medewerkers door het herontworpen Medewerker 2‑systeem minder tijd kwijt aan administratieve handelingen, waardoor er meer ruimte is voor persoonlijke dienstverlening. Verder hebben we een belangrijke verbetering doorgevoerd in het proces voor de WIA‑aanvragen van werknemers. Dankzij een herontwerp van het digitale aanvraagformulier en het bijbehorende proces kunnen aanvragen voor vraaggestuurde herbeoordelingen op verzoek van een werknemer nu efficiënter en effectiever worden afgehandeld. Hierdoor is er daarbij minder inzet van de verzekeringsarts en de arbeidsdeskundige nodig.

  • Modernisering kernsystemen: Onze belangrijkste uitkeringssystemen draaien op het OpenVMS‑platform, waarvoor vanaf 2028 geen ondersteuning meer is. We hebben ingezet op automatische vertaling van de software naar een modern platform, maar het resultaat hiervan is tegengevallen. Daarom hebben we een nieuw scenario uitgewerkt. Het Adviescollege ICT‑toetsing (AcICT) steunt UWV in zijn besluit om de lopende werkzaamheden te stoppen en geeft adviezen om de slagingskans van het nieuwe scenario te vergroten. Deze adviezen worden verwerkt in de nieuwste versie van het programmaplan. In het tweede kwartaal van 2024 nemen we een besluit over het programmaplan.

  • Nieuwe werkplek: We zijn in 2023 begonnen met de uitrol van een nieuwe werkplek voor onze medewerkers. Deze is gebaseerd op Microsoft‑cloudtechnologie. Verouderde systemen waarmee onze medewerkers werken hebben in 2023 tot problemen geleid in combinatie met de nieuwe werkplek. Vooral in het najaar heeft dit een grote weerslag gehad op de beschikbaarheid van de werkplek. Dit heeft vooral intern, maar soms ook extern, tot een lager dienstenniveau en veel frustratie geleid. De uitrol van nieuwe werkplekken zal nog doorlopen in 2024. Veel applicaties moeten nog worden aangepast voor de nieuwe werkplek. Dit vraagt in 2024 om verdere aanpassingen en een geleidelijke overgang van alle werkzaamheden naar de nieuwe werkplek.

  • Veiliger omgaan met persoonsgegevens: We maken onze Identity and Access Management‑(IAM‑)systemen toekomstbestendig, zodat we voldoen aan de eisen die daaraan worden gesteld vanuit wet‑ en regelgeving. Tegelijkertijd moeten medewerkers gemakkelijk kunnen schakelen tussen applicaties zonder telkens opnieuw in te hoeven loggen. Hiervoor is in 2023 een verbeterde inlogfaciliteit gerealiseerd. Ook hebben we een governancemodel voor IAM‑taken, ‑verantwoordelijkheden en ‑bevoegdheden gerealiseerd.

  • Verbeteren cybersecuritymaatregelen: Met het programma Next Level Security (NLS) richten we ons op het verbeteren van specifieke cybersecuritymaatregelen. Voor dit programma hebben we in 2023 een nieuw programmaplan opgesteld om de weerbaarheid te vergroten. De afronding van het initiële NLS‑programma in 2023 heeft geleid tot verbetering van de monitoring en het afhandelen van kwetsbaarheden en cybersecurity‑incidenten (zie ook deel 2 van dit jaarverslag, paragraaf ICT, informatiebeveiliging en privacy, en gegevensverwerking).

  • Versterken van de governance van het IC­T‑veranderportfolio: In 2023 hebben we onze informatievoorzieningskoers (IV) geformuleerd. Om beter te kunnen sturen op deze strategische doelstellingen verbeteren we de governance van het ICT‑veranderportfolio. In 2023 hebben we veranderingen doorgevoerd in het portfolioproces en de portfoliostructuur. Daarbij zijn de kwaliteitscontroles van en de advisering over de kleinere projecten verder gedecentraliseerd. We zijn inmiddels gestart met de implementatie van lean portfoliomanagement, dat zorgt voor een effectievere sturing op de realisatie van businesswaarde.

Samen op koers

In 2022 zijn we het programma De Versnelling gestart om de ICT‑maakbaarheid te vergroten en als paraplu te fungeren voor verschillende verbeterinitiatieven. In de afgelopen periode hebben we onze IV‑koers geformuleerd. Hierin hebben we de langetermijnambitie van onze informatievoorzieningsfunctie verder uitgewerkt, inclusief concrete doelstellingen en activiteiten om dit te realiseren. Het programma De Versnelling is voortgezet onder een nieuwe naam: Samen op koers. Dit programma draagt bij aan het moderniseren van legacysystemen, een eenduidig prioriteringsproces voor het portfolio en optimalisatie van de IV‑voortbrengingsprocessen:

  • We streven naar één (agile) werkwijze met waardestromen: Agile werken staat voor een wendbare manier van werken volgens een vaste methodiek. Deze werkwijze zorgt voor minder complexiteit, betere samenwerking, meer kortcyclische sturing en verbetering bij de systematische ontwikkeling van nieuwe ICT‑processen. We organiseren teams en activiteiten rondom zogeheten waardestromen: alle activiteiten die nodig zijn om te komen tot ICT‑oplossingen die waarde voor onze cliënten opleveren. Hiermee sluiten we aan op de integrale klantreizen, die de vinger leggen op bestaande knelpunten. De teams in een waardestroom bouwen de (wijzigingen in) applicaties en systemen die nodig zijn voor het oplossen van deze knelpunten. In 2023 hebben we een routekaart opgeleverd en inmiddels zijn we gestart met de implementatie van de eerste waardestroom binnen de integrale klantreis Ik ben ziek/(deels) arbeidsongeschikt.

  • We gaan beter prioriteren met (lean) portfoliomanagement: Portfoliomanagement past bij de UWV‑brede beweging naar agile werken en draagt bij aan een effectieve en efficiënte sturing en uitvoering van projecten. We hebben de maakbaarheid en beheersbaarheid van het portfolio 2024 vergroot door onze grote programma’s te reviewen en door meer inzicht te creëren in ons capaciteitsmanagement. Ook hebben we het portfolio meer aangesloten op de UWV‑strategie door zogeheten dienstverleningsresultaatindicatoren uit te werken. Daarnaast hebben we kwartaalsturing op het portfolio ingericht die we in de loop van 2024 steeds meer zullen integreren met de kwartaalsturing van de integrale klantreizen en dienstverlening.

  • We werken verder aan een betrouwbare en wendbare doelarchitectuur: We maken het ICT‑landschap van UWV toekomstvast door ons te richten op betrouwbaarheid, flexibiliteit, veiligheid en wendbaarheid. We leggen de huidige situatie systematisch vast en onderzoeken verschillende scenario’s voor de toekomst. Op basis van de opgedane inzichten werken we aan een helder beeld van de gewenste doelarchitectuur en een haalbare roadmap voor de realisatie. De architectuur(functie) vervult hierbij op alle niveaus een belangrijke regierol.

  • We automatiseren de ICT‑voortbrenging verder: We automatiseren en versnellen de bouw en oplevering van software door de automatisering van kwaliteitscontroles in het ontwikkelproces. Dit leidt tot stabielere en kwalitatief betere software. In 2023 hebben we na een pilot 5 applicaties succesvol geautomatiseerd.

  • We besteden extra aandacht aan cultuur, gedrag en integrale aansturing: Al deze initiatieven zijn onlosmakelijk met elkaar verbonden en vragen om vergaande samenwerking en integrale aansturing. Dit doen we met bijeenkomsten, demo’s en events en door gebruik te maken van de nieuwe cultuurbarometer.

Artificiële intelligentie

Artificiële intelligentie (AI) kan een belangrijke impact hebben op UWV. Om duidelijkheid te krijgen over de mogelijkheden hebben we in het najaar van 2023 een proeftuin ingericht waarin organisatieonderdelen verantwoord kunnen experimenteren met generatieve AI (zoals ChatGPT). Voor individuele medewerkers is die mogelijkheid afgesloten. We zijn bezig met de ontwikkeling van een ethisch kader dat de risico’s van bijvoorbeeld vooringenomenheid en desinformatie verder adresseert.

Bewust datagedreven werken

UWV beschikt over veel data op allerlei gebieden. We zoeken naar diverse mogelijkheden om deze data meer te benutten om onze dienstverlening te verbeteren. In ons Kompas Data Ethiek zijn de uitgangspunten vastgelegd die UWV toepast bij de ontwikkeling en het gebruik van data en algoritmes. Inmiddels wordt het kompas regelmatig gebruikt bij ethische impactassessments van diverse datatoepassingen. Deze beoordelingen helpen ontwikkelaars, eigenaren en gebruikers van datatoepassingen om ethische effecten in kaart te brengen en (waar nodig) de datatoepassing daarop aan te passen. Wanneer er daarbij dilemma’s worden geconstateerd, dan leggen we die voor aan de onafhankelijke Commissie Data Ethiek die ons adviseert over het verantwoord omgaan met data in datatoepassingen. Er is een extern evaluatierapport opgeleverd met aanbevelingen voor het proces van advisering en voor de opdracht aan en de ondersteuning van de commissie. We hebben de belangrijkste leerpunten overgenomen en uitgevoerd. Het expertteam dat de commissie ondersteunt is versterkt en de dialoog over het al dan niet inzetten van een potentiële datatoepassing voordat deze ontwikkeld wordt, komt op gang.

Op onze website uwv.nl zijn tot nu toe negen UWV‑algoritmes opgenomen. Deze zijn alle ook opgenomen in het Algoritmeregister van de Nederlandse overheid. In 2023 hebben we het aantal leerlijnen voor dataprofessionals uitgebreid tot negen. We verwachten dat er aan het eind van het eerste kwartaal van 2024 een tiende gereed is, voor datagedreven humanresourcemanagement.

Informatiebeveiliging en privacy

UWV hecht veel waarde aan de zorgvuldige omgang met persoonsgegevens en aan informatiebeveiliging op het juiste niveau. Verdergaande digitalisering en veranderende wet‑ en regelgeving, ook in EU‑verband, stellen steeds hogere eisen aan informatiebeveiliging en privacybescherming. Persoonlijke en passende dienstverlening op maat vraagt dat burgers, werkgevers, partners, medewerkers en instanties over juiste en actuele gegevens beschikken. Hierbij moeten we rekening houden met diverse wet‑ en regelgeving en standaarden, naast de Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). Met het oog op de informatiebeveiliging moeten we continu adequate maatregelen treffen, onderhouden en controleren, zowel in ICT‑middelen als in houding en gedrag. Aantoonbaar ‘in control zijn’ is een belangrijke doelstelling. Daarvoor werken we aan passende maatregelen en verdere aansluiting op rijksbrede informatiebeveiliging‑ en privacystandaarden.

Voortgang implementatie BIO

Door te voldoen aan de BIO vervullen we niet alleen onze wettelijke plicht, maar ook onze maatschappelijke verantwoordelijkheid om op een veilige manier persoonsgegevens te verwerken. Het is onze ambitie om de komende jaren stapsgewijs de informatiebeveiliging verder op orde te krijgen en ervoor te zorgen dat onze processen en systemen per 1 januari 2026 geheel aan de BIO voldoen. Hiervoor hebben we roadmaps opgesteld. De jaarlijkse activiteiten voor het uitvoeren van gapanalyses en het doorvoeren van verbetermaatregelen zijn inmiddels gestart. In 2023 hebben we een verdere stap gezet als het gaat om de BIO. Alle organisatieonderdelen hebben in‑controlverklaringen opgesteld en afgegeven. Een aantal organisatieonderdelen loopt echter achter op de doelstelling. Zij leveren in het eerste kwartaal van 2024 een plan van aanpak op om hun achterstand in te lopen. Op UWV‑breed niveau is het beeld dat ruim twee derde van de belangrijkste processen en bijna de helft van de systemen voldoet aan de BIO‑doelstelling voor 2023. Een aantal zaken om op zowel technisch als organisatorisch gebied te voldoen aan de BIO is nog niet volgens plan ingeregeld, waardoor komend jaar nog een slag nodig is. In 2024 besteden we onder andere verder aandacht aan het versterken van de sturing via een uniform BIO‑dashboard en kwartaalsturing, het in kaart brengen van het processen‑ en systeemlandschap, het uitvoeren van verbeteracties binnen de organisatieonderdelen om het informatiebeveiligingsniveau te verhogen en het verder invoeren van een centrale tooling met een uniforme werkwijze voor alle organisatieonderdelen. Als we de processen tegen het licht houden van de doelstelling voor 2026, dan zijn die voor een groot deel beoordeeld en de systemen voor een kleiner deel. Een volledige beoordeling is voorzien in de plannen van aanpak tot 2026.

We monitoren de voortgang op de implementatie van de verbeteracties zodat we tijdig kunnen bijsturen om de gestelde ambitie te halen. Hiervoor maken we steeds meer gebruik van een Information Security Management System (ISMS). Met de inzet van governance, risk en compliance‑(GRC‑)tooling willen we zorgen voor uniformering en eenduidige rapportages en verkrijgen we inzicht in de huidige staat van informatiebeveiliging. De hiervoor benodigde set van maatregelen wordt met vertraging opgeleverd in 2024. Om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen, maken we op basis van een dreigingsbeeld inzichtelijk wat de grootste dreigingen zijn. Dit beeld is onder andere gebaseerd op het nationale dreigingsbeeld dat het Nationaal Cyber Security Centrum (NCSC) ieder jaar uitbrengt.

Ga direct naar

Bekijk ook

Toevoegen aan verslag