Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT, informatiebeveiliging en privacy, en gegevensverwerking

IT is essentieel voor onze dienstverlening en voor het realiseren van de UWV-brede missie en strategische ambities. We werken toe naar een situatie met toegankelijke, goed werkende systemen voor medewerkers, ketenpartijen en cliënten die stabiel en up-to-date zijn, rekening houden met het individu en maatwerk ondersteunen. Een situatie ook waarin we onze gegevenshuishouding en de beveiliging van onze systemen op orde hebben. Bij dit alles is een goede digitale infrastructuur onontbeerlijk, zodat we wendbaar zijn en er ruimte is voor innovatie.

We werken daarvoor samen met andere overheidsorganisaties en maken afspraken over (de ontwikkeling van) standaarden, digitale producten en voorzieningen met als doel dat mensen de digitale dienstverlening bij alle overheidsorganisaties op dezelfde manier ervaren. Daarnaast moeten we rekening houden met de omvangrijke opgave van wet‑ en regelgeving, zowel van het ministerie van Sociale Zaken en Werkgelegenheid (SZW) als van andere ministeries en de Europese Unie (EU). Onze gegevensverwerking tot slot moet voldoen aan exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. De capaciteit die we hebben voor het realiseren van alle veranderingen is schaars en innovatie zal eraan moeten bijdragen dat we met dezelfde middelen meer kunnen realiseren en in een hoger tempo. We staan al met al voor een enorme opgave, waarbij we streven naar een evenwichtige prioritering voor korte- en langetermijndoelstellingen. Onze Accountantsdienst controleert jaarlijks de werking van de stelsels van maatregelen en procedures voor IT‑governance, IT‑risicomanagement en gegevensverwerking. Naar aanleiding van de uitkomsten van deze controles nemen we vervolgens maatregelen om deze stelsels te verbeteren. Het kan soms enige tijd duren voordat (de effecten van) de maatregelen zichtbaar zijn, soms gaat het om meerjarige projecten.

IT‑organisatie en governance

Ons IT‑landschap is continu in beweging en vereist een IT‑organisatie die effectief, efficiënt en wendbaar is en een governance die erop gericht is om ontwikkelingen en innovaties te faciliteren, de continuïteit en stabiliteit te waarborgen en risico’s tijdig te onderkennen en te mitigeren. In het UWV Informatieplan (UIP) hebben we onze strategische IT‑doelstellingen voor de komende jaren vastgelegd. Het programma Samen op koers zorgt voor samenhang bij het moderniseren van legacysystemen, een eenduidig prioriteringsproces voor het portfolio en optimalisatie van de Informatievoorziening (IV). De chief information officer (CIO) stelt UWV‑breed het beleid en de kaders vast en is verantwoordelijk voor infrastructurele en gemeenschappelijke voorzieningen en digitale weerbaarheid. Dit doet hij in afstemming met de IV‑board. De algemeen directeuren zijn verantwoordelijk voor de IT binnen hun eigen organisatieonderdeel. De CIO legt per tertaal verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de IT‑beheersing. De governance van de IT‑organisatie is versterkt doordat de raad van bestuur in oktober 2023 is uitgebreid met een lid dat zich specifiek richt op de UWV‑brede opgaven voor IT, datagedreven werken en informatiebeveiliging en privacy.

IT-risicomanagement en compliance

Informatiebeveiliging en privacy (IB&P) en afdoende maatregelen op het gebied van bedrijfscontinuïteitsmanagement (BCM) zijn randvoorwaardelijk voor de dienstverlening van UWV. De samenleving mag ervan uitgaan dat UWV gegevens in overeenstemming met geldende wet- en regelgeving op een transparante wijze gebruikt, beheert en beschermt, conform de eisen van beschikbaarheid, integriteit en vertrouwelijkheid. We werken continu aan verbeteringen om te voldoen aan (nieuwe) richtlijnen en wet- en regelgeving.

UWV beschikt over een besturingsmodel voor informatiebeveiliging en privacy en bedrijfscontinuïteitsmanagement met aansturing op drie verschillende niveaus: strategisch, tactisch en operationeel. De verantwoordelijkheid voor de UWV‑brede informatiebeveiliging en privacy en het bedrijfscontinuïteitsmanagement is, zoals hierboven beschreven, belegd bij de CIO. De chief information security officer (CISO) is gedelegeerd eigenaar van de UWV-brede regie op de verantwoording op dit gebied en wordt op strategisch, tactisch en operationeel niveau ondersteund door diverse gremia. Functioneel stuurt de CISO aan op generieke, UWV‑brede beveiligings- en continuïteitsafspraken. Op strategisch‑bestuurlijk niveau is de strategische informatiebeveiliging en privacyagenda leidend. Daaraan op tactisch niveau gerelateerde taken en doelen zijn opgenomen in de jaarplannen van de organisatieonderdelen. De voortgang van de informatiebeveiligingsjaarplanactiviteiten en toepassing en naleving van informatiebeveiliging- en privacybeleid wordt periodiek gecontroleerd door de CISO in samenwerking met de Business Control en Kwaliteitsafdelingen van UWV.

Het tijdig herkennen van IT‑informatiebeveiligings- en privacyrisico’s is essentieel, voor zowel de bestaande IT als de benodigde veranderingen. We doen dat niet alleen op centraal niveau. We vragen ook medewerkers alert te zijn op risico’s en die te melden, zodat er op het juiste niveau adequate beheersmaatregelen kunnen worden genomen. Dat doen we onder andere met een jaarlijkse bewustwordingscampagne en e‑learning. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Op basis van gesignaleerde risico’s, het nationale dreigingsbeeld van het Nationaal Cyber Security Centrum en wet- en regelgeving verbeteren we continu de digitale weerbaarheid van UWV.

Verantwoording over informatiebeveiliging

Het uitgangspunt is om op basis van risicomanagement de informatie en informatiesystemen te beveiligen en op basis van het wettelijke BIO‑normenkader de effectiviteit daarvan te beoordelen. We werken op gecontroleerde wijze stapsgewijs aan onze doelstelling om in 2026 geheel te voldoen aan de eisen die deze Baseline Informatiebeveiliging Overheid stelt. De voortgang hierop monitoren we en leggen we vast met in‑controlverklaringen die alle organisatieonderdelen jaarlijks moeten afgeven. Over de resultaten in 2023 op het gebied van informatiebeveiliging en in hoeverre we voldoen aan de BIO verantwoorden we ons in deel 1 van dit jaarverslag, paragraaf ICT en informatiebeveiliging en privacy, en gegevensverwerking, onder het kopje Voortgang implementatie BIO.

Verantwoording over de beveiliging van Suwinet

UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet (GeVS). Voor het verantwoordingsjaar 2023 geldt, net als voor 2022, de GeVS‑verantwoordingsrichtlijn uit 2022. De scope van deze verantwoording is een set van veertien normen uit de Baseline Informatiebeveiliging Overheid en richt zich op het afnemen van Suwinet‑services. Bevindingen en eventuele afwijkingen ten opzichte van het afgesproken beveiligingsniveau rapporteren we met een transparantierapportage vóór 1 mei 2024 aan Bureau Keteninformatisering Werk en Inkomen (BKWI). Op dit moment zijn voor alle veertien normen verbeterpunten geconstateerd.

Beveiliging webapplicaties

Overheidsorganisaties zoals UWV hebben de verplichting jaarlijks de ICT‑beveiliging van hun op DigiD aangesloten webapplicaties te laten toetsen in een DigiD‑beveiligingsassessment. Hierbij onderzoekt onze Accountantsdienst de ICT‑beveiliging van de op DigiD aangesloten webapplicaties aan de hand van de door Logius (een agentschap van het ministerie van het Binnenlandse Zaken en Koninkrijksrelaties en de dienstenleverancier van DigiD) voorgeschreven beveiligingsrichtlijnen (normen). In 2023 is met een herassessment voor de twee DigiD‑normen waaraan we nog niet voldeden vastgesteld dat we beheersmaatregelen op het gebied van de toegangsbeveiliging en het wijzigingsbeheer van de STAP‑applicatie goed hadden ingericht.

eHerkenning

Werkgevers kunnen al hun belangrijke zaken rondom werknemersverzekeringen met ons regelen via het werkgeversportaal op onze website uwv.nl. De toegang tot dit portaal is sinds 2019 beveiligd met de overheidsvoorziening eHerkenning. Eind september 2023 hebben we ook voor het werkgeversportaal op onze website werk.nl eHerkenning in gebruik genomen als veiligere inlogmethode. Voor onze zakelijke partners hebben we eHerkenning geïmplementeerd op MijnGegevensdiensten op het zakelijk portaal. Via het programma Wet digitale overheid (Wdo) bereiden we ons voor op de verwachte toekomstige verplichting om ook voor eHerkenning een beveiligingsassessment te doen. In 2023 hebben we onder andere een UWV‑brede richtlijn voor de beveiliging van webportalen vastgesteld en het autorisatiebeheer ingericht. Verder zijn penetratietesten nu een vast onderdeel van de voortbrenging. Ook hebben we maatregelen genomen om manipulatie van gegevens bij in‑ en uitvoer te voorkomen; een technische upgrade van het werkgeversportaal op uwv.nl in 2024 zal hieraan verder bijdragen.

In 2023 hebben we het eDienstenregister opgeleverd. Dit maakt inzichtelijk wat de digitale diensten zijn die op de portalen worden aangeboden en welk betrouwbaarheidsniveau hiervoor verplicht is. Verder hebben we voorbereidingen getroffen voor pre‑assessments voor audits van eHerkenning in 2024 voor ons jobcoachportaal en tolkenportaal.

Innovatie en projecten

Om beter te kunnen sturen op strategische doelstellingen hebben we in 2023 veranderingen doorgevoerd in het portfolioproces en de portfoliostructuur. Daarbij zijn de kwaliteitscontroles van en de advisering over de kleinere projecten verder gedecentraliseerd. Grotere UWV‑brede verbeteringen worden via projecten in het projectportfolio doorgevoerd. Verder hebben we in 2023 de bestaande portfoliokwartaalgesprekken met de organisatieonderdelen verbeterd door daarbij expliciet aandacht te besteden aan de voortgang op de grote projecten. Om meer kortcyclisch te kunnen sturen en verantwoording te organiseren hebben we kwartaalsturing ingevoerd, met als doel om te komen tot een maakbaar portfolio, passend binnen het financieel kader. In het eerste kwartaal van 2024 zetten we een volgende stap: dan integreren we de algemene kwartaalsturing op de dienstverlening met de kwartaalsturing op het IT‑portfolio.

De vervanging van onze verouderde legacysystemen verloopt tot nu toe trager dan gepland. Dit komt onder andere doordat deze vervanging complexer is dan we hadden verwacht; ook het projectmanagement verloopt minder goed dan beoogd. We willen daarom sterker inzetten op innovatie. Zo hebben we in 2023 besloten om een van onze kernsystemen opnieuw te bouwen met moderne ontwikkelmethoden. In april 2023 hebben we het project Generieke voorzieningen voor softwareontwikkeling en testen succesvol afgerond. Daarmee is het voor softwareontwikkelteams dankzij standaardvoorzieningen eenvoudiger geworden om softwarewijzigingen door te voeren met automatische kwaliteitschecks. Verder houden we met ons innovatieteam oog op nieuwe mogelijkheden. In het najaar van 2023 hebben we een afgeschermde proeftuin ingericht waarin organisatieonderdelen verantwoord kunnen experimenteren met generatieve artificiële intelligentie (AI). Centraal bij innovatie en projecten staat de architectuur van de IT die in 2024 verder vorm krijgt. De UWV‑brede architectuurboard beoordeelt deze architectuur en past die toe bij de organisatieonderdelen. Afwijkingen van de architectuur worden geregistreerd en gemonitord. Bij de invulling van de architectuur baseren we ons op overheidsbrede standaarden en kijken we naar in de markt verkrijgbare oplossingen.

Uitbesteding

We zetten gepaste outsourcing in voor applicatieontwikkeling en -beheer en volledige outsourcing voor exploitatie van infrastructurele voorzieningen. Alleen de centrale afdelingen Inkoop, Juridische Zaken en ICT Leveranciersmanagement zijn bevoegd om uit naam van UWV IV‑verplichtingen met leveranciers (of derden) aan te gaan. Leveranciers leggen, behalve via de rapportages die zijn afgesproken in dienstenniveauovereenkomsten, jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memorandums (TPM’s). Alle contractgegevens zijn vastgelegd in een centraal contractenregister. Het beleid en de processen, richtlijnen en werkinstructies zijn beschreven, er is een stappenplan met actuele risico’s en knelpunten en er zijn bijbehorende maatregelen ingericht.

De sourcingstrategie voor de datacenterdienstverlening heeft ertoe geleid dat deze sinds 2023 bij één leverancier is belegd. Eind 2023 is de transitie naar het nieuwe datacenter volledig afgerond met de migratie van de laatste koppelingen en is UWV ontkoppeld van het oude datacenter. Met de migratie is de onderliggende IT‑infrastructuur volledig vernieuwd en zijn de exploitatiekosten omlaag gebracht. We bespreken de beveiliging en de risico’s maandelijks met de nieuwe leverancier. We hebben ook een dashboard dat op dagelijkse basis weergeeft in hoeverre de datacenterdienstverlening aan de gestelde eisen voldoet. De in de TPM geconstateerde tekortkomingen aan de zijde van deze leverancier zijn allemaal opgevolgd. Geconstateerd is dat er geen impact voor UWV is geweest. De oude datacenterdienstverlener heeft bij de beëindiging van de dienstverlening certificaten beschikbaar gesteld over het afsluiten van hardware en het opruimen van data. De dienstverlening door deze leverancier in de eerste helft van 2023 had nog slechts betrekking op een beperkt aantal applicaties. Op basis van een daarvoor uitgevoerde risicoanalyse hebben we bepaald dat deze leverancier in 2023 geen TPM meer hoefde op te leveren.

De leverancier van de netwerkdienstverlening verantwoordt zich daarover met een generiekere TPM. De in deze TPM geconstateerde tekortkomingen en de eventuele impact ervan voor UWV worden op kwartaalbasis met ons besproken. We evalueren deze TPM in het eerste kwartaal van 2024 met deze leverancier. De opgeleverde TPM’s voor hosting, netwerken, security en workplaceservices zijn met een beperking gerapporteerd. De bevindingen die hiertoe hebben geleid zijn met de leverancier besproken. Hierop zijn acties geformuleerd en het merendeel van de bevindingen is inmiddels opgevolgd. Monitoring hierop gebeurt in nauw contact met deze leverancier.

Informatiebeveiliging en privacy

UWV verwerkt en gebruikt op grote schaal (persoons)gegevens. We vinden het uitermate belangrijk dat burgers en bedrijven erop kunnen vertrouwen dat hun gegevens bij ons in veilige handen zijn. Daarom besteden we veel aandacht aan informatiebeveiliging en privacy. UWV transformeert steeds meer naar een digitaal gedreven organisatie. Tegelijkertijd neemt het aantal aan UWV gerichte cyberdreigingen en de potentiële schade toe. Cyberincidenten zijn niet altijd te voorkomen. Wel kunnen we de gevolgen verkleinen en de schade beperken, zodat de beschikbaarheid, integriteit en vertrouwelijkheid van onze systemen gewaarborgd blijven. Vanwege de toenemende digitalisering van data en diensten, de steeds veeleisender wetgeving op het gebied van informatiebeveiliging en privacy en de toenemende externe dreiging op het gebied van cybercriminaliteit, hebben we in 2021 besloten om de sturing rond informatiebeveiliging en privacy te herijken. De implementatie daarvan is in 2022 gestart en is in 2023 verder vormgegeven. Gedurende 2023 lag de focus op daadwerkelijke inbedding van de veranderingen in de organisatie. Daarbij is vooruitgang geboekt met onder andere een beschrijving van de informatiebeveiliging en privacygovernance en een verbetercyclus op het gebied van informatiebeveiliging en privacybeheersing. Verder hebben we een informatiebeveiliging en privacybeleidsregister opgesteld en analyses gedaan voor capaciteitsinzet op het gebied van informatiebeveiliging en privacy. Het gewenste eindresultaat is echter nog niet op alle punten bereikt. Dit geldt voor onder andere een geautomatiseerd rapportagedashboard, de UWV‑brede implementatie van de verbetercycli en een gedeelde beeldvorming over het controlemechanisme. Er zijn vervolgacties gedefinieerd die in de organisatie verder opgepakt en geborgd moeten worden.

Informatiebeveiliging naar een hoger niveau

UWV staat continu in verbinding met de digitale buitenwereld, waarin traditionele vormen van toegangsbescherming niet meer volstaan omdat hackers tegenwoordig slimmer opereren. We bewegen hierin mee en werken aan een verdere verhoging van onze digitale weerbaarheid. We nemen maatregelen die zowel op korte termijn effect sorteren als bijdragen aan de digitale weerbaarheid van UWV op de langere termijn. Met het programma Next Level Security (NLS) vergroten we onze digitale weerbaarheid en verankeren we cybersecurity binnen onze organisatie. In 2023 hebben we met de NLS‑1‑projecten onder andere het digitale fundament van UWV verbeterd op het gebied van monitoring en het afhandelen van kwetsbaarheden en cybersecurityincidenten. Verder is een verbeterde back‑upstrategie tot stand gekomen en is een securityawarenessprogramma gestart dat elke UWV‑medewerker moet volgen. Mede op basis van een cybersecurityroadmap is een programmaplan voor NLS‑2 opgesteld, dat in 2024 loopt. Binnen NLS‑2 worden vijf projecten uitgevoerd die de digitale weerbaarheid van UWV verder vergroten en informatiebeveiliging in de organisatie verankeren, waaronder de verdere vergroting van de bewustwording van UWV‑medewerkers over veilig digitaal gedrag. Hierbij wordt intensief samengewerkt met andere projecten en programma’s, en benutten we ook activiteiten op het gebied van businesscontinuïteitsmanagement. We verankeren (veilig) gedrag in de organisatie, voorkomen dat medewerkers misleid worden (door bijvoorbeeld phishing) en zorgen ervoor dat ze verdachte of risicovolle situaties opmerken en rapporteren. Hiervoor is in de digitale leeromgeving van UWV een e‑learning ontwikkeld die sinds september beschikbaar is voor alle medewerkers. We bepalen jaarlijks met een assessment in hoeverre de volwassenheid van de informatiebeveiligingsfuncties toeneemt en welke verdere verbeteringen nodig zijn. Op basis van het assessment van 2023 worden verdere verbeteringen doorgevoerd.

Beveiliging webapplicaties

Er is continu sprake van digitale dreiging. Daarom versterken we onze portalen door ze steeds meer te laten voldoen aan de webrichtlijnen voor toegankelijkheid en veiligheid. In lijn met het rijksbrede beleid hebben we onze medewerkers aangeraden geen gebruik te maken van de socialmedia-app TikTok vanwege mogelijke negatieve gevolgen voor de vertrouwelijkheid. We vervangen geleidelijk de mobiele werktelefoons van medewerkers door centraal beheerde toestellen waarop die app niet kan worden geïnstalleerd. Het UWV Security Operations Center (USOC) werkt nauw samen met collega’s binnen en buiten de overheid. Mede dankzij deze goede samenwerking met en onze informatiepositie binnen de Rijksoverheid zijn we steeds weerbaarder. Dankzij actieve kennisdeling hebben ook andere overheidspartijen zich kunnen wapenen tegen een reeks geavanceerde phishingaanvallen.

Autorisatiebeheer

Ons uitgangspunt is dat gebruik van systemen en toegang tot data uitsluitend zijn voorbehouden aan geautoriseerde medewerkers en leveranciers. Beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV en het vertrouwen dat we zorgvuldig omgaan met de aan UWV toevertrouwde gegevens.

Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2026 stapsgewijs verouderde Identity and Access Management‑(IAM‑)systemen door een nieuwe uniforme, effectieve werkwijze voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. Inmiddels hebben we IAM‑beleid opgesteld. Een eenmalige inlogfaciliteit is gerealiseerd voor een omgeving waarop inmiddels 22 applicaties zijn aangesloten. De overige applicatieomgevingen volgen zo veel mogelijk in 2024 en 2025. Het vooronderzoek om extra verhoogde rechten effectiever te faciliteren, is afgerond; we maken nu een plan om deze verhoogde rechten in 2024 te realiseren, ook om aan de BIO te voldoen. De impactanalyse van de Wet digitale overheid (Wdo) heeft inmiddels geleid tot een vooronderzoek om een verbeterde koppeling van digitale toegangsdiensten met de buitenwereld tot stand te brengen. Een vooronderzoek om fijnmazige toegang tot informatie in systemen te implementeren, is afgerond. Deze is randvoorwaardelijk voor de toepassing van een zerotrustmodel. Bij zo’n model wordt niet vertrouwd op het bestaan van een veilig intern netwerk, maar wordt er een reeks belangrijke principes gehanteerd waarmee gebruikers en hun intenties op betrouwbare wijze kunnen worden geïdentificeerd.

Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV. De vernieuwing van autorisatiebeheer omvat de realisatie en implementatie van een nieuw autorisatiebeheersysteem, een uniform autorisatiebeleid en vernieuwde processen die voldoen aan de Europese wet- en regelgeving op gebied van informatiebeveiliging (Network and Information Security directive, kortweg NIS‑2) en privacy (AVG). De vernieuwing van het autorisatiebeheersysteem wordt vormgegeven binnen het programma Helios. In 2023 hebben we vanuit dit programma een autorisatiebeleid en bijbehorende governance en ook generieke autorisatieprocessen opgesteld. Het huidige autorisatiebeheersysteem is vernieuwd; de implementatie van dit systeem bevindt zich in een vergevorderd stadium. De livegang staat gepland in het tweede kwartaal van 2024. Taken en verantwoordelijkheden zijn in overeenstemming met de BIO vastgelegd in het autorisatiebeleid en er zijn functieprofielen voor verschillende niveaus van medewerkers autorisatiebeheer opgesteld. Het huidige autorisatiebeheersysteem is opgeschoond; de organisatieonderdelen houden de huidige rollen op orde totdat het nieuwe autorisatiebeheersysteem IIQ in productie gaat. Als hulpmiddel zorgen we maandelijks voor een controlelijst aan de hand waarvan de organisatieonderdelen de data kunnen bijwerken. Inhoudelijk specialisten zoals functioneel beheerders en rolbeheerders trainen we in het gebruik en beheer van het nieuwe autorisatiebeheersysteem IIQ. Tot slot is in 2023 een inrichtingsplan opgesteld voor het Autorisatie Beheer Centrum (ABC). Dit gaat centraal alle beheer en monitortaken voor autorisatiebeheer bij UWV uitvoeren. Hierover zijn we in gesprek met onze ondernemingsraad.

In het autorisatiebeheer voor de financiële systemen hebben we voor alle eerder geconstateerde tekortkomingen verbeteracties ondernomen. Het is ons streven deze verbeteracties in het eerste kwartaal van 2024 af te ronden. Daarnaast hebben we diverse verbeteracties in gang gezet om eerder geconstateerde tekortkomingen in het autorisatiebeheer van de uitkeringssystemen weg te werken. We zullen in 2024 onderzoeken of hiermee de tekortkomingen in de financiële en uitkeringssystemen zijn opgelost.

Bedrijfscontinuïteit

Met bedrijfscontinuïteitsmanagement borgen we dat de belangrijkste bedrijfsdoelstellingen kunnen doorgaan of zo snel mogelijk worden hersteld bij een calamiteit of crisis. In 2023 is een adviestraject voor het verbeteren van bedrijfscontinuïteitsmanagement afgerond, waarna er beleid is opgesteld. Er is een programma ingericht dat werkt aan een centraal bedrijfscontinuïteitsmanagementsysteem en een voorstel om in 2024 de inrichting van taken, verantwoordelijkheden en de governance te verbeteren. Bedrijfscontinuïteitsmanagers bij de organisatieonderdelen zijn bezig met voorbereidingen om uitvoering te geven aan best practices die in de periode 2024–2025 zullen leiden tot geactualiseerde bedrijfscontinuïteitsplannen voor vitale dienstverlening. Deze best practices worden gefaseerd en volgens de methode van cyclisch verbeteren uitgevoerd. Omdat er nu geen UWV‑breed overkoepelend businesscontinuïteitsplan is, kunnen onder andere continuïteitsafspraken met IT‑leveranciers niet worden gevalideerd. Het programma zal toewerken naar een overkoepelend bedrijfscontinuïteitsplan door onder andere een UWV‑brede bedrijfscontinuïteitsmanagementstrategie te ontwikkelen, door risico’s te identificeren en af te wegen op basis van generieke dreigingsscenario’s en door (keten)herstelplannen in te richten.

In 2023 hebben we te maken gehad met verstoringen die vooral in het najaar een grote weerslag hadden op de beschikbaarheid van de digitale werkplek van UWV-medewerkers. Dit heeft vooral intern, maar soms ook extern, tot een lager dienstenniveau geleid. Half december 2023 zijn we gestart met een versnelde upgrade van alle digitale werkplekken van Windows 2016 naar Windows 2019. Dankzij de inzet van een speciaal daarvoor ingesteld crisisteam waren alle werkplekken eind februari 2024 overgezet. In maart worden de laatste werkzaamheden afgerond. In de eerste twee maanden van 2024 zijn in een pilot met succes de eerste applicaties ontsloten op de nieuwe Microsoft 365‑werkplek. We werken nu aan een planning om in 2024 alle applicaties over te zetten.

Gegevensverwerking van UWV

UWV beschikt over een stelsel van maatregelen en procedures dat gericht is op het waarborgen van een gegevensverwerking die voldoet aan de kwaliteitsaspecten exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. Exclusiviteit is de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en met beperkte bevoegdheden gebruikmaken van gegevens. Integriteit is de mate waarin gegevens in overeenstemming zijn met de beoogde werkelijkheid. Beschikbaarheid is de mate waarin gegevens continu beschikbaar zijn en de gegevensverwerking ongestoord voortgang kan vinden. Controleerbaarheid ten slotte is de mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van gegevens. Daarbij gaat het ook over de mate waarin het mogelijk is vast te stellen dat de gegevensverwerking in overeenstemming is met de eisen ten aanzien van de andere drie kwaliteitsaspecten. Onze Accountantsdienst controleert jaarlijks de werking van het stelsel van deze procedures en maatregelen voor gegevensverwerking. UWV geeft volgens algemene, internationaal aanvaarde standaarden invulling aan de gegevensverwerking. Voor de waarborging van exclusieve, integere, beschikbare en controleerbare gegevensverwerking kent UWV procedures en maatregelen op vier gebieden.

Datagovernance

Datagovernance van de gegevenshuishouding zorgt voor een gemeenschappelijke en gedragen besluitvorming (organisatie) over de wijze waarop UWV gegevens verwerft, gebruikt en uitwisselt (gegevensprocessen). Het regisseert (de totstandkoming van) de benodigde randvoorwaarden zoals beleid en procedures, waarbinnen dit gebeurt en regelt ‘wie waarvan is’ (bevoegdheden en verantwoordelijkheden). De verantwoordelijkheid voor de UWV‑brede functie gegevensmanagement en de daarbij behorende datagovernance is belegd bij de chief data officer (CDO). Deze legt verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de UWV‑gegevenshuishouding. De CDO wordt op strategisch, tactisch en operationeel niveau ondersteund door de Coalitie Gegevensmanagement en het Gegevensmanagementoverleg.

Gegevensverwerking

Om aan de eisen voor gegevensverwerking te kunnen voldoen, heeft UWV een register met alle gegevensverwerkingen van UWV. Dit register is ingericht zoals voorgeschreven in de AVG. Wanneer een (voorgenomen) verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de privacy van betrokkenen, dan wordt voorafgaand een gegevensbeschermingseffectbeoordeling (GEB) uitgevoerd. Het is mogelijk dat de gegevens van dermate vertrouwelijke aard zijn dat alleen bevoegde personen toegang krijgen tot de betreffende gegevensverwerking. In 2023 zijn 44 nieuwe GEB’s afgerond, waaronder verschillende complexe; de risico’s die in deze GEB’s werden geconstateerd worden in het reguliere risicomanagement ondergebracht. Enkele risico’s rond de verwerking van (persoons)gegevens en/of datakwaliteit zijn in het risicoregister opgenomen en waar van toepassing besproken met het management. Door deze risico’s te beschrijven en te bespreken zorgen we gezamenlijk voor gegevensverwerking die steeds beter overeenkomt met de werkelijkheid. In 2023 hebben we ook gewerkt aan het oplossen van tekortkomingen op het gebied van gegevensverwerking. Zo voldoen we nog niet aan de eisen die gelden vanuit de Wet politiegegevens (Wpg). Dat is nodig omdat we bij onze handhavingswerkzaamheden ook gebruikmaken van politiegegevens. In 2023 hebben we een plan van aanpak opgesteld om fasegewijs toe te werken naar de situatie waarin we volledig voldoen aan de Wpg. Inmiddels hebben we de eerste mijlpaal behaald: we zijn compliant in opzet.

Data‑ethiek en algoritmen

Data‑ethiek gaat onder andere over een verantwoorde omgang met gegevens in gegevensverwerkingen, bijvoorbeeld als er gebruik wordt gemaakt van algoritmen en artificiële intelligentie. Om te borgen dat onze medewerkers verantwoord omgaan met gegevens, is het Kompas Data‑ethiek opgesteld. Dit kompas is een hulpmiddel om systematisch en kritisch te onderzoeken waar de grenzen van dat verantwoord gebruik van gegevens liggen. De Commissie Data‑ethiek en de Expertgroep Data‑ethiek ondersteunen de CDO om het toepassen van Data‑ethiek af te stemmen. De Commissie Data‑ethiek toetst gegevenstoepassingen aan het Kompas Data‑ethiek en de Expertgroep Data‑ethiek ondersteunt de commissie bij het voeren van de dialoog over Data‑ethiek binnen UWV. Zie ook deel 1 van dit jaarverslag, paragraaf Publieke waarden, ethisch verantwoord, evidencebased, onder het kopje Ethische beraadslaging en paragraaf ICT en informatiebeveiliging en privacy, en gegevensverwerking, onder het kopje Bewust datagedreven werken.

Datakwaliteit

Onze Accountantsdienst heeft eind 2022 tekortkomingen vastgesteld in de datakwaliteit van een van de integrale klantreizen en geconstateerd dat op een aantal belangrijke aspecten verbetering nodig is om te borgen dat de kwaliteit van data binnen de dienstverlening aansluit op de beoogde gebruikersdoelen. In 2023 hebben we bekeken hoe de kwaliteit van kritische gegevens binnen een klantreis UWV‑breed bepaald, omschreven, geanalyseerd, beheerd, geborgd en van bron tot cliënt gemonitord kan worden. Daarna zijn we concreet aan de slag gegaan met een verbeterplan. We hebben eerst vastgesteld welke kritische gegevens raakvlakken hebben met de klantreizen. Vervolgens hebben we bepaald welke bronnen binnen alle organisatieonderdelen nodig zijn om ervoor te zorgen dat de diverse werkzaamheden voor de verbetering van de datakwaliteit gerealiseerd kunnen worden. Daarnaast zijn we in 2023 gestart met het in kaart brengen van de datageschiedenis (data‑lineage). Daarmee kunnen we ervoor zorgen dat we data op een transparante en verantwoorde manier gebruiken, en de oorsprong en het gebruik van data gemakkelijker traceren. Verder hebben we gewerkt aan een voorstel voor datakwaliteitsbeheer en ‑borging.

Ga direct naar

Extra informatie

Bekijk ook

Toevoegen aan verslag