IT, informatiebeveiliging en privacy, bedrijfscontinuïteitsmanagement en gegevensverwerking

Onze digitaliseringsopgave is groot. Een stabiel, betrouwbaar, beschikbaar en veilig IT‑landschap is voorwaardelijk voor de uitvoering van onze maatschappelijke taak. Om dienstverlening met de menselijke maat aan cliënten te bieden, is een adequaat functionerend en flexibel IT‑landschap een randvoorwaarde. 

Om ook in de toekomst onze maatschappelijke taak goed en betrouwbaar uit te kunnen voeren, blijven we werken aan de vereenvoudiging en fundamentele vernieuwing van onze IT‑omgeving. We brengen onze dienstverlening in lijn met de maatschappelijke behoeften en moderniseren onze interne processen en ons IT‑landschap. We willen merkbare verbeteringen doorvoeren voor cliënten, werkgevers en onze eigen medewerkers. Bij de ontwikkeling van IT‑middelen stellen we een hoogwaardige cliënt- en medewerkerervaring en digitale toegankelijkheid centraal.

Ook is het nodig om te anticiperen op nieuwe en veranderende wet- en regelgeving en richtlijnen en om bestaande wet- en regelgeving verder te implementeren. De vervanging van een aantal verouderde IT‑systemen is urgent vanwege het grote beslag op ons budget, onze capaciteit en de impact op bedrijfsprocessen. Technologische ontwikkelingen bieden kansen voor verbeterde dienstverlening, maar vragen ook om kaders en richtlijnen voor verantwoord gebruik. We vereenvoudigen routinematige taken van onze medewerkers met automatisering, zodat ze zich kunnen richten op complexere, waardetoevoegende activiteiten.

We werken eraan om onze IT‑sturing en -verantwoording op een hoger niveau te brengen en doen dit in lijn met overheidsbrede standaarden.

IT‑governance en -organisatie

De algemeen directeuren zijn verantwoordelijk voor de IT binnen hun eigen organisatieonderdeel. De chief information officer (CIO) legt elke vier maanden verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de IT‑beheersing. De chief information security officer (CISO) is gedelegeerd eigenaar van de UWV‑brede regie op de verantwoording op dit gebied en wordt op strategisch, tactisch en operationeel niveau ondersteund door diverse gremia. Functioneel stuurt de CISO aan op generieke, UWV‑brede beveiligings- en continuïteitsafspraken.

Met het programma Samen op koers hebben we afgelopen jaren gewerkt aan het versnellen en automatiseren van de IT‑ontwikkelingsprocessen (eenduidiger maken, meer agile werken). Ook in 2024 hebben we gewerkt aan een organisatiebrede samenwerking, een verbeterd portfoliomanagementproces (kwartaalsturing) en aanscherping van de UWV‑doelarchitectuur.

IT‑processen

Om deze uitdagingen het hoofd te bieden is een versnelling van onze IT‑ontwikkeling noodzakelijk. Niet alle veranderingen kunnen (tegelijkertijd) worden uitgevoerd. Enerzijds omdat in een bepaald aandachtsgebied veranderingen slechts beperkt gelijktijdig kunnen worden uitgevoerd, anderzijds vanwege de beperkte capaciteit van (IT‑)personeel. Heldere keuzes en prioriteiten zijn dan ook nodig. Om te komen tot een wendbaarder manier van besturen zijn we in 2023 begonnen met verbetering van ons portfolioproces. In 2024 hebben we kwartaalsturing en -prioritering op ons projectenportfolio ingericht. Ook hebben we de kwartaalsturing op ons projectportfolio geïntegreerd met kwartaalsturing van de dienstverlening. Dit zorgt er samen met het werken conform lean portfoliomanagement voor dat besluitvorming steeds vaker kortcyclisch verloopt.

Om de samenwerking tussen teams en een eenduidigere (agile) werkwijze te stimuleren, ontwikkelen we hiervoor nu een UWV‑brede werkwijze. We zijn in 2024 gestart met het ontwerpen van een nieuwe organisatiestructuur: de Verandermotor (zie paragraaf Verbeteringen in onze dienstverlening onder het kopje Verandermotor). Deze procesversnelling wordt aangevuld met de verdere implementatie van CI/CD (continuous integration/continuous delivery-)pijplijnen voor het sneller en vaker doorvoeren van aanpassingen van applicaties, het geautomatiseerd testen en de standaardisatie van ontwikkel-, test-, acceptatie- en productieomgevingen (OTAP).

De modernisering van het IT-landschap is ook onderdeel van de kwartaalsturing. We streven naar een versnelde uitfasering van onze verouderde (legacy)systemen, versnellen het gebruik van gemeenschappelijke en generieke voorzieningen en verbeteren met lifecyclemanagement de ondersteuning van onderhoudsupdates en beveiligingsupgrades van software en applicaties. Een deel van onze voorzieningen is aangewezen als focusvoorzieningen. Denk hierbij aan veilig inloggen met single sign‑onsoftware, wijzingen in bedrijfsapplicaties versneld in productie brengen met CI/CD maar ook beeldbeloplossingen om contact te hebben met de cliënt. Voor deze voorzieningen zijn middelen vrijgemaakt om de inzet en het gebruik ervan te versnellen. 

IT‑risicomanagement

Risicomanagement zien we als een belangrijk instrument om vroegtijdig onzekerheden voor het realiseren van onze IT‑doelstellingen te signaleren en hier op gepaste wijze op te anticiperen. We gaan door op de ingeslagen weg en sluiten aan bij de UWV‑brede ontwikkeling van risicomanagement (zie paragraaf Risicobeheersing onder het kopje Ontwikkeling risicoleiderschap en risicomanagement). Hierna wordt hier ook nog verder op ingegaan.

Het tijdig herkennen van IT‑risico’s is essentieel voor de continuïteit van onze dienstverlening. De samenleving mag ervan uitgaan dat UWV gegevens in overeenstemming met geldende wet- en regelgeving op een transparante wijze gebruikt, beheert en beschermt, conform de eisen van beschikbaarheid, integriteit en vertrouwelijkheid. We werken continu aan verbeteringen om te voldoen aan (nieuwe) richtlijnen en wet- en regelgeving.

Ook zijn in 2024 de IT-risico’s geïnventariseerd en geëvalueerd. Daarnaast zijn er opnieuw audit general IT‑controls uitgevoerd op maatregelen die gericht zijn op het beheersen van een betrouwbare werking van systemen, applicaties, componenten en processen binnen de IT‑omgeving van de organisatie. Samenvattend liggen de grootste risico’s op het gebied van de afhankelijkheid van leveranciers, IT‑continuïteit en stabiliteit, informatiebeveiliging (cybersecurity) en de afhankelijkheid van de arbeidsmarkt. De belangrijkste oorzaken hiervan zijn in beeld en mitigerende maatregelen worden getroffen.

Architectuur en technologie

We hebben in het vierde kwartaal van 2024 de basis gelegd voor onze doelarchitectuur. Er is gekozen voor een platformarchitectuur waar dat mogelijk is. We blijven echter altijd de afweging maken of dit in individuele gevallen het beste is. Daarmee transformeren we van ‘best of breed’ (waarbij de organisatie op zoek gaat naar optimale softwareoplossingen voor ieder specifiek deel van de organisatie) naar ‘best of suite’ (waarbij de organisatie kiest voor een totaaloplossing bij één partij). Deze architectuur helpt ons om de complexiteit en beheerslast van het bestaande IT‑landschap te verminderen, de integratie te vereenvoudigen en de flexibiliteit van onze organisatie te vergroten. De prioriteit ligt bij het dienstverlenings-, bedrijfsvoerings-, integratie-, data- en infrastructuurplatform, die samen een samenhangend en toekomstbestendig IT‑landschap vormen. Met deze platformen als fundament van onze informatievoorziening kunnen we sneller meetbare en merkbare waarde leveren aan medewerkers en cliënten.

Uitbesteding

We zetten gepaste outsourcing in voor applicatieontwikkeling en ‑beheer en volledige outsourcing voor exploitatie van infrastructurele voorzieningen. Leveranciers leggen, behalve via de rapportages die zijn afgesproken in dienstenniveauovereenkomsten, jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memoranda (TPM’s). We passen het sourcingbeleid aan op het uitgangspunt om meer IT‑werkzaamheden zelf uit te gaan voeren. Het nieuwe sourcingbeleid zal bijdragen aan een beter inzicht in de kwaliteit en kwantiteit van de uitbestede IT‑dienstverlening. We hebben bij het opstellen van het beleid de door onze Auditdienst gemaakte opmerkingen meegenomen. In 2025 zullen we dit beleid toetsen, formaliseren en gaan gebruiken.

We hebben de datacenterdienstverlening bij één leverancier ondergebracht. De daarbij in de TPM’s geconstateerde tekortkomingen aan de zijde van de datacenterleverancier zijn in 2024 allemaal opgevolgd. Er zijn naar aanleiding hiervan geen negatieve gevolgen voor UWV geweest. De leverancier van de netwerkdienstverlening verantwoordt zich met een generiekere TPM. De in deze TPM geconstateerde tekortkomingen en de eventuele impact ervan voor UWV worden op kwartaalbasis met ons besproken. We hebben de in 2023 opgeleverde TPM in de eerste maanden van 2024 met de leverancier geëvalueerd. De bevindingen die hieruit naar voren zijn gekomen, zijn met de leverancier besproken. Hierop zijn acties geformuleerd, die in 2024 zijn afgerond. De TPM’s over 2024 worden begin 2025 opgeleverd. De verwachting is dat hier geen grote tekortkomingen in gerapporteerd zullen worden.

Daarnaast hebben we in 2024 grote stappen gezet in het programma Kantoorautomatisering, werkplekmiddelen, netwerk en telefonie. De onderdelen werkplekmiddelen en telefonie zijn afgerond. We verwachten dat de rest van het programma medio 2025 wordt afgerond. Het programma heeft geleid tot een aantal nieuwe contracten met leveranciers. Daarbij hebben we de (aan)sturing op tactisch en operationeel niveau en de overlegstructuur beter ingeregeld.

Informatiebeveiliging en privacy

Mensen vertrouwen hun medische, werk- en/of persoonsgegevens aan ons toe. De samenleving mag ervan uitgaan dat UWV gegevens in overeenstemming met geldende wet- en regelgeving op een transparante wijze gebruikt, beheert en beschermt, conform de eisen van beschikbaarheid, integriteit en vertrouwelijkheid. Om dit te waarborgen, maken wij gebruik van gerenommeerde raamwerken, zoals het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) en de Baseline Informatiebeveiliging Overheid (BIO) voor informatiebeveiliging en het normenkader van het Centrum Informatiebeveiliging en Privacybescherming (CIP) voor privacy. Daarnaast hanteren we de Business Continuity Institute (BCI)‑richtlijn voor businesscontinuitymanagement. 

UWV zet zich in om data en informatie in processen en informatiesystemen adequaat te beveiligen in lijn met geldende wet- en regelgeving en verplichte kaders, zoals de BIO. We werken aan onze doelstelling om in 2026 te voldoen aan de eisen die de BIO stelt. Hiertoe is de sturing op het voldoen aan de BIO‑eisen versterkt. Zo hebben we in 2024 voor het eerst gewerkt met een UWV‑brede uniforme maatregelenset voor het BIO‑normenkader. In 2025 stappen ook de laatste organisatieonderdelen over op het gebruik van die uniforme werkwijze. Door die versterkte regie ontstaat er een UWV‑breed en eenduidig inzicht hoe ver we zijn met het voldoen aan de BIO‑eisen en met de openstaande verbeteracties. In 2025 zullen we ons focussen op het oplossen van deze verbeteracties, om zo de compliance steeds verder te verhogen. Organisatieonderdelen beoordelen periodiek of de BIO‑beheersmaatregelen effectief zijn. De voortgang wordt maandelijks gemonitord en alle organisatieonderdelen verantwoorden zich jaarlijks over de resultaten met een in‑controlverklaring (ICV). Dit leidt uiteindelijk tot een UWV‑brede ICV over de BIO.

In 2024 is 85% van alle processen en 75% van alle IT‑systemen beoordeeld op BIO‑compliance met selfassessments. In 2023 betrof dit nog respectievelijk 69% en 46%. Afwijkingen zijn benoemd als verbeteracties. Die zijn door de organisatieonderdelen geprioriteerd, belegd en worden gemonitord om in 2025 te worden opgepakt. De resultaten worden in het eerste kwartaal van 2025 beschreven in de UWV‑brede ICV over 2024. Er bestaat een risico dat op 1 januari 2026 niet alle incompliancy aan de BIO is opgelost. Prioritering en de beschikbare capaciteit zijn hierbij de twee voornaamste issues.

Uit de ICV van 2023 bleek dat er nog geen eenduidig inzicht is binnen UWV in het totaal van voor de BIO van toepassing zijnde aantal informatiesystemen en processen. In 2024 hebben we ons daarom ingespannen om dit inzicht te verbeteren, met als resultaat dat de registratie van bedrijfsprocessen en systemen sterk is verbeterd en er ook een beter en eenduidiger beeld is verkregen van de verbeteracties. In 2025 sturen we erop dat ook de kwaliteit van de laatste registraties op het juiste niveau wordt gebracht. Daarnaast bleek het informatiebeveiliging- en privacy‑(IB&P‑)beleid niet volledig actueel. Daarom is in 2024 een uitgebreide analyse uitgevoerd en monitoren we de opvolging hiervan actief.

Wat het dreigingsbeeld aangaat sluit het UWV zich aan bij het rijksbrede beeld. Hierin is de dreiging van statelijke actoren (landen en organisaties die worden aangestuurd door die landen die inlichtingenactiviteiten en (heimelijke) beïnvloedingsactiviteiten ontplooien, gericht tegen Nederland en zijn bondgenoten) hoog en blijft de digitale dreiging onverminderd groot. Niet alleen probeert UWV hierop voorbereid te zijn door met ook een Cyber Defense Center te zorgen dat er voldoende veiligheidsmiddelen zijn ingericht, maar ook via businesscontinuitymanagement wordt er actief gewerkt aan het opstellen van crisiskaarten per scenario om zo de digitale weerbaarheid te vergroten. De samenwerking tussen de informatiebeveiliging, privacy en continuity is verder verstevigd.

Verantwoording over de beveiliging van Suwinet

UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet (GeVS). De scope van deze verantwoording is een set van veertien normen uit de BIO en richt zich op het afnemen van Suwinet‑services. We zijn de verantwoording voor 2024 gestart. De bevindingen worden vóór mei 2025 gerapporteerd aan Bureau Keteninformatisering Werk en Inkomen (BKWI), het UWV‑organisatieonderdeel dat verantwoordelijk is voor de beheertaken op het gebied van de elektronische gegevensuitwisseling binnen de keten.

Bij de verantwoording over 2023 is gebleken dat we nog niet voldoen aan de normen. Op alle veertien normen zijn bevindingen gedaan. Omdat de verantwoordingsnormen voor beveiliging van Suwinet overeenkomen met die voor de BIO, sluiten we bij de verantwoording over 2024 aan bij het BIO‑verantwoordingstraject. Dit betekent dat we bij de verantwoording over de beveiliging van Suwinet uitgaan van resultaten vanuit de BIO‑verantwoording en aansluiten bij de door organisatieonderdelen in gang gezette verbeteracties voor de BIO. Bevindingen waarvoor vanuit de BIO nog geen verbeteracties zijn gestart, worden in 2025 alsnog opgepakt.

Autorisatiebeheer

Ons uitgangspunt is dat het gebruik van systemen en de toegang tot data uitsluitend zijn voorbehouden aan geautoriseerde medewerkers en leveranciers. Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV en het vertrouwen dat we zorgvuldig omgaan met de aan ons toevertrouwde gegevens.

Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2027 stapsgewijs verouderde Identity and Access Management‑(IAM‑)systemen en decentrale IAM‑processen door een nieuwe uniforme, effectieve werkwijze voor IAM met behulp van moderne technologie. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. In 2024 hebben we een eenmalige inlogfaciliteit in gebruik genomen waarop inmiddels vijftig van de ruim driehonderd applicaties zijn aangesloten. Voor die applicaties geldt er een hoge kwaliteit van toegangsbeveiliging. De overige applicatieomgevingen volgen in 2025 en in 2026. In het vierde kwartaal van 2024 zijn een vernieuwd autorisatiebeheersysteem en een vernieuwd autorisatiebeleid, ‑ governance en ‑processen in gebruik genomen.

Om de kans op verstoringen in de dienstverlening zo klein mogelijk te houden, is het belangrijk dat wijzigingen in de systemen op beheerste wijze worden doorgevoerd en alleen door medewerkers die speciaal daarvoor geautoriseerd zijn. In de eerste maanden van 2024 hebben we nieuwe beheersmaatregelen genomen. We hebben de procedure aangescherpt voor UWV‑medewerkers die speciale bevoegdheden voor de uitkeringssystemen krijgen. De autorisaties van beheerders van leveranciers worden maandelijks gecontroleerd. Om minder afhankelijk te zijn van medewerkers van externe leveranciers, werken we aan uitbreiding van de kennis van onze eigen functioneel beheerders. Verder hebben we een plan opgesteld om medewerkers van de leverancier voortaan te laten inloggen via een zogenoemde preferred‑userprocedure. Daarbij krijgt de medewerker voor werkzaamheden een eenmalig geldige inlogcode. Tot die tijd beoordelen we periodiek of er extra controle op de zogenoemde logging noodzakelijk is. Voor de applicaties voor de arbeidsongeschiktheidswetten hebben we dit ingeregeld, voor de WW-applicatie nog niet. Hiervoor maken we voorlopig nog gebruik van de inzet van een externe organisatie. Tot die tijd beoordelen we periodiek of er extra controle op de logging noodzakelijk is.

De resultaten van de onderzoeken naar het wijzigingsbeheer van uitkeringssystemen wijzen op tekortkomingen van de consistentie, uitvoering en vastlegging van functionele acceptatietesten (FAT’s) en gebruikersacceptatietesten (GAT’s). Die testen worden, vóór de inproductiename van wijzigingen, uitgevoerd om aan te tonen of de systemen voldoen aan de functionele en gebruikerseisen (acceptatiecriteria) en of gewijzigde functies en opties geen fouten bevatten. Na het voltooien van de FAT- en GAT‑testen wordt besloten of wijzigingen in productie worden genomen. Formeel moet de gebruikersorganisatie (eigenaar) daarvoor decharge verlenen. Uit de onderzoeken blijkt echter dat de beheerorganisatie decharge verleent. Dit doet de beheerorganisatie op basis van de uitgevoerde testen. De reden hiervoor is dat de beheerdersorganisatie veel meer kennis en expertise bezit dan de gebruikersorganisatie. Dit wordt wel afgestemd met de gebruikersorganisatie.

In het autorisatiebeheer voor de financiële systemen hebben we voor alle eerder geconstateerde tekortkomingen verbeteracties ondernomen. Daarnaast hebben we in 2024 logging en monitoring doorgevoerd voor elf cruciale processen. Sinds het derde kwartaal van 2024 wordt elk kwartaal over de uitkomsten hiervan gerapporteerd. We blijven deze rapportage aanscherpen om het risico van het niet constateren van afwijkingen bij het monitoren of het niet goed vastleggen ervan te minimaliseren.

Ook in het wijzigingsbeheer van financiële systemen waren tekortkomingen in de consistente uitvoering en vastlegging van functionele en gebruikersacceptatietesten. Daarnaast werd ook hier niet door de gebruikersorganisatie (eigenaar) decharge verleend voor de uitgevoerde wijzigingen. Sinds het derde kwartaal van 2024 worden releases formeel door de domeineigenaar geaccordeerd, waarbij onder andere wordt nagegaan of de gebruikersorganisatie voor de betrokken wijzigingen de uitkomsten van de gebruikersacceptatietesten aantoonbaar heeft geaccepteerd. In 2025 wordt bij het accorderen van releases het gebruik van testscripts en de beoordeling daarvan ook expliciet meegenomen.

Beveiliging webapplicaties

Overheidsorganisaties als UWV zijn verplicht jaarlijks de IT‑beveiliging van hun op DigiD aangesloten webapplicaties te laten toetsen in een DigiD‑beveiligingsassessment. Hierbij onderzoekt onze Auditdienst de IT‑beveiliging van de op DigiD aangesloten webapplicaties aan de hand van de door Logius (een agentschap van het ministerie van het Binnenlandse Zaken en Koninkrijksrelaties (BZK) en de dienstenleverancier van DigiD) voorgeschreven beveiligingsrichtlijnen (normen). Volgens deze richtlijnen was het tot en met verslagjaar 2023 nodig om de normen voor DigiD‑aansluitingen alleen te toetsen aan de vereisten voor de opzet en het bestaan van beveiligingsmaatregelen. Eind april 2024 hebben we voor alle vier van onze DigiD‑aansluitingen de verplichte auditrapporten opgeleverd aan Logius. Voor twee DigiD‑aansluitingen bleken we nog niet aan alle eisen te voldoen. Hiervoor hebben we in juli herassessmentrapporten aangeleverd. Logius heeft inmiddels bevestigd dat we voldoen aan alle vereisten voor de opzet en het bestaan van beveiligingsmaatregelen.

Vanaf 2024 gelden aanvullende eisen van het ministerie van BZK en moet er ook worden getoetst op de werking van vijf beveiligingsmaatregelen. Onze Auditdienst heeft dit verslagjaar voor de eerste keer getoetst of we ook voldoen aan de vijf normen voor de werking van die maatregelen. Deze toetsing op de werking houdt in dat gedurende minimaal een halfjaar moet worden aangetoond dat de genomen maatregelen werken. De interne rapportage is gebruikt om een aantal belangrijke verbeteracties te realiseren.
De verantwoording over 2024 moet vóór 1 mei 2025 worden opgeleverd aan Logius. Die heeft betrekking op drie van onze DigiD‑aansluitingen. De vierde DigiD‑aansluiting is per 1 januari 2025 vervallen. Inmiddels zijn onder andere de diverse zogenoemde pentesten, een belangrijk onderdeel van het DigiD‑assessment waarmee een cyberaanval op het systeem wordt gesimuleerd, uitgevoerd. Daar waar mogelijk worden bevindingen uit de eerdere interne rapportage opgelost; dit is bij een aantal bevindingen inmiddels gebeurd.

eHerkenning

Werkgevers kunnen al hun belangrijke zaken rondom werknemersverzekeringen met ons regelen via het werkgeversportaal op onze website uwv.nl. De toegang tot dit portaal is sinds 2019 beveiligd met de overheidsvoorziening eHerkenning. Eind september 2023 hebben we ook voor het beveiligde gedeelte van het werkgeversportaal op onze website werk.nl eHerkenning in gebruik genomen als veiligere inlogmethode voor werkgevers. In het eerste kwartaal van 2024 hebben we een aantal belangrijke aanpassingen in de beveiliging van het werkgeversportaal doorgevoerd, waardoor beide websites nu voldoen aan het beveiligingsniveau voor de diensten die we momenteel leveren.

In 2024 hebben we geleidelijk het hoogste betrouwbaarheidsniveau van eHerkenning (eHerkenning hoog, eH4) voor gegevensleveringen via het portaalonderdeel Mijn gegevensdiensten ingevoerd om zo de toegang tot de gegevens nog meer te beveiligen. De applicatie mijngegevensdiensten.nl die toegang geeft tot Mijn gegevensdiensten voldoet zelf niet aan alle beveiligingseisen en wordt in 2025 vernieuwd.

Cybersecurity

Cybercriminaliteit ontwikkelt zich razendsnel; daarom zijn er veel ontwikkelingen die de druk op cyberbeveiliging verhogen. De cyberdreiging en de (potentiële) schade nemen daardoor sterk toe. De uitbreiding van IT‑middelen, technieken en exponentiële groei aan data vraagt ook veel beveiligingswerk. Om weerbaar te blijven is het noodzakelijk dat we meer personeel inzetten en de innovatie van de toegepaste verdedigingstechnieken versterken. Het UWV Security Operations Center (USOC) heeft zich daarom in 2024 doorontwikkeld naar een Cyber Defense Center (CDC).

Het CDC is verantwoordelijk voor de operationele cybersecuritybewaking, ‑verdediging en incidentrespons voor de veiligheid van de generieke infrastructuur; onze werkplekken, ons netwerk en de hosting. Naast defensieve activiteiten (detectie van en respons op bedreigingen) introduceert het CDC een aanvulling op de huidige set van proactieve en preventieve maatregelen. Denk daarbij bijvoorbeeld aan een grotere inzet van medewerkers die werken aan privacy en security by design. Zo worden securityconsultants direct bij het design van IT‑oplossingen betrokken. Een andere activiteit van het CDC is het proactief scannen van onze omgeving en IT op potentiële bedreigingen. Om zulke activiteiten uit te kunnen voeren, investeert het CDC in personeel, nieuwe processen en nieuwe digitale tooling.

In oktober 2024 vond de cybersecuritymaand plaats. Aan de hand van verschillende presentaties en workshops verankeren we veilig gedrag in de organisatie, voorkomen we dat medewerkers worden misleid (door bijvoorbeeld phishing) en zorgen we ervoor dat ze verdachte of risicovolle situaties opmerken en rapporteren. Ook is er een inpandige cyberescaperoom ingericht, de cyberkamer. Zo worden UWV‑medewerkers op een andere manier bewust gemaakt van cyberrisico’s in hun dagelijkse werk met digitale middelen en leren ze om passende risicoverlagende maatregelen te nemen.

Met een e-learning besteden we het hele jaar aandacht aan informatiebeveiliging en privacy. Per 1 januari 2025 is de e‑learning door 51% van de UWV‑medewerkers met succes voltooid. Ook in 2025 zal dit extra aandacht blijven krijgen.

Privacybescherming vergroten

Een extern bureau heeft met een quickscan in kaart gebracht waar we staan op het gebied van informatiebeveiliging en privacy. Daarbij lag de focus op in hoeverre we voldoen aan de BIO en op ons proces voor GEB’s. We hebben een Privacy Office opgericht dat direct is gestart om opvolging te geven aan de bevindingen uit het adviesrapport. De Privacy Office heeft de basis gelegd voor een UWV‑breed privacystelsel, dat past bij ons stelsel voor informatiebeveiliging. Het CIP‑normenkader en de Algemene verordening gegevensbescherming (AVG) zijn daarvoor leidend geweest.

In 2024 zijn 28 nieuwe GEB’s afgerond. De risico’s die in deze GEB’s werden geconstateerd, worden in het reguliere risicomanagement ondergebracht. 9 GEB’s resulteerden in een negatief advies vanwege hoge risico’s of een onrechtmatige verwerking. De betrokken organisatieonderdelen ondernemen hierop actie.

Op grond van de AVG moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt. Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan moet UWV ook de betrokken personen inlichten.

Tabel Datalekken

In 64,5% van de gemelde datalekken is de termijn van 72 uur voor het melden bij de Autoriteit Persoonsgegevens gehaald. Een evaluatie van het datalekkenproces is gepland in het eerste kwartaal van 2025.

Een impactvol incident dat zich begin mei 2024 heeft voorgedaan was het inzien van 150.000 cv’s via één werkgeversaccount op onze website werk.nl. Alle betrokken personen van wie het cv is ingezien en mogelijk gedownload hebben we daarover geïnformeerd. In reactie op dit incident hebben we alle persoonsgegevens in de cv’s op werk.nl volledig afgeschermd. In de loop van 2025 tonen we alleen nog persoonlijke gegevens die werkgevers noodzakelijk achten om potentiële kandidaten te kunnen identificeren en matchen (naam, woonplaats, telefoonnummer en e‑mailadres). Telefoonnummer en e‑mailadres worden optionele velden, waarbij de werkzoekende actief moet kiezen om deze gegevens wel of niet te laten tonen. Werkzoekenden behouden de mogelijkheid om een cv zonder naw‑gegevens te maken. Daarnaast worden technische maatregelen genomen om oneigenlijk gebruik van cv’s op werk.nl tegen te gaan.

Wanneer we iemands persoonsgegevens gebruiken, dan mag die ons vragen welke gegevens dat zijn en wat we ermee doen (inzagerecht). Als de persoonsgegevens niet blijken te kloppen, dan kan iemand ons vragen om de bewuste gegevens te corrigeren. In een aantal situaties zijn we verplicht om, als iemand daarom vraagt, diens persoonsgegevens te verwijderen.

Tabel AVG‑verzoeken

We zijn verplicht om binnen een maand per brief of e‑mail te reageren op dit soort verzoeken. Als het verzoek ingewikkeld is of als het om meerdere verzoeken gaat, dan mogen we er twee maanden langer over doen. We handelden sinds mei 2024 663 verzoeken af: 80% binnen een maand, 16% binnen twee maanden, 3% binnen drie maanden en 1% niet tijdig.

Cliënten, werkgevers, partners en medewerkers verder ondersteunen met IT

Het beschikbaar hebben van de juiste data, op het juiste moment en op een toegankelijke wijze is voor onze medewerkers van groot belang. Begin 2024 hebben we versneld wijzigingen aangebracht in onze IT‑omgeving om daarmee de beschikbaarheid en stabiliteit van onze bedrijfsapplicaties te verbeteren. Hierdoor konden we bovendien eenvoudiger aanpassingen realiseren. Zo is er gewerkt aan het ontlasten van de medewerkers door processen te automatiseren en de systemen te vereenvoudigen, zowel voor de IT‑professional als voor de medewerker met cliëntcontacten.

Door repeterende handmatige processen te automatiseren met Robotic Process Automation (RPA) is niet alleen een hogere doorloopsnelheid van een aantal dienstverleningsprocessen gerealiseerd, maar wordt ook het aantal fouten verminderd en de werkdruk van de betrokken medewerkers verlicht. Zij kunnen nu op een andere manier ingezet worden, bijvoorbeeld om onze dienstverlening verder te verbeteren. Er zijn grote stappen gemaakt met de geautomatiseerde integratie en uitrol van applicaties. Deze stappen worden gezet op zowel de ontwikkel- en test- als de acceptatie- en productieomgevingen. Dit heeft geleid tot het sneller en vaker doorvoeren van applicatieveranderingen. Zo kunnen we zorgen dat verbeteringen van onze digitale dienstverlening sneller effect hebben voor de cliënt of voor medewerkers in de uitvoering. Ook kunnen we geautomatiseerd testen verder toepassen. Dit vermindert de kans op fouten en waarborgt de kwaliteit van de output van onze systemen.

Naast procesoptimalisaties zijn er ook concrete verbeteringen toegevoegd aan de werkplekomgeving waarbinnen UWV‑medewerkers dagelijks werken. Met de nieuwe moderne werkplek worden medewerkers geholpen om samen te werken en hun werk efficiënter en effectiever uit te voeren, met gebruikersvriendelijke en toegankelijke applicaties en geïntegreerde systemen. Applicaties worden via één bureaublad ontsloten waardoor medewerkers eenvoudiger en sneller kunnen werken. Dit is in 2024 voor 80% gereed: 229 applicaties zijn gemigreerd naar deze nieuwe werkplekomgeving. Om medewerkers zo goed mogelijk met de nieuwe werkplek te laten werken, zijn er op grote schaal kennissessies georganiseerd. Daarnaast hebben we een Voice over Internet Protocolapplicatie (VoIP‑app) geïmplementeerd, zodat cliënten ons telefoonnummer herkennen wanneer een van onze medewerkers hen belt.

Data Integratie Magazijn

We investeren in de vervanging van drie datawarehouseplatformen door een nieuw modern data‑integratieplatform: het Data Integratie Magazijn (DIM). Een belangrijke focus hierbij is het stevig neerzetten van alle randvoorwaarden om veilig met data te kunnen werken. Voor de migratie van de data- en informatieproducten is het programma Datafabriek geïnitieerd dat in 2025 de finale fase zal opleveren. Bij diverse afnemende organisatieonderdelen en andere partijen is geïnvesteerd in het zelf kunnen realiseren van de informatieproducten (dashboards). De samenwerking heeft een impuls gekregen door de inrichting van een gezamenlijk testtraject en een escalatieoverleg.

Doorontwikkeling analyseomgeving Dmap

Een van de belangrijkste analyseomgevingen van UWV, Dmap (datamining- en analyseplatform), is volop in ontwikkeling. Begin 2024 is een bijeenkomst georganiseerd met gebruikers en beheerders van het platform. Hierin is gezamenlijk een maatregelenset gedefinieerd die op de korte en middellange termijn de omgeving meer laat aansluiten op informatiebeveiligings- en privacynormen. Daarbij gaat het bijvoorbeeld om het nog fijnmaziger inrichten van het autorisatiebeheer en het fijnmaziger loggen en monitoren. De maatregelen worden agile doorgevoerd. Ook is het belang van een toekomstvastere analyseomgeving onderkend. In het kader van de levenscyclus van het bestaande platform hebben we voorbereidingen getroffen om te komen tot een duurzame opvolger. Naar verwachting kan in de loop van 2025 worden gestart met de vervanging van het Dmap‑platform.

Bedrijfscontinuïteit

Met bedrijfscontinuïteitsmanagement (BCM) borgen we dat de belangrijkste bedrijfsdoelstellingen kunnen doorgaan of zo snel mogelijk worden hersteld bij een calamiteit of crisis. In september 2024 hebben we een nieuw BCM‑beleid en een verbeterprogramma vastgesteld. Dit programma werkt tot en met 2025 aan een gestructureerd BCM‑proces met overzicht en controle vanuit een vernieuwde BCM‑governance. De organisatieonderdelen verbeteren de continuïteitsplannen en maatregelen en stemmen die op elkaar af. De huidige UWV‑crisisorganisatie kijkt daarbij ook naar verdere aanscherpingen.

In de tweede helft van 2024 hebben we de BCM-analysefase op hoofdlijnen afgerond. Hierbij zijn kritieke diensten, bedrijfsprocessen en continuïteitsvereisten vastgesteld; in 2025 wordt conform de BCM‑programmatijdslijnen aandacht gegeven aan het (her)inrichten van plannen en herstelmaatregelen voor die bedrijfsprocessen. In de eerste helft van 2025 vertalen we de inmiddels opgedane bevindingen naar benodigde aanpassingen in plannen en maatregelen en stellen we het overkoepelende UWV‑businesscontinuïteitsplan op.

Bij verstoringen in de bedrijfsvoering met grote impact of bij kwesties die een politiek‑bestuurlijke uitwerking hebben, is het belangrijk om snel te kunnen handelen, buiten de reguliere werkwijze om. Om effectief te kunnen optreden in geval van een (dreigende) crisis heeft UWV een crisisorganisatie ingericht, met crisisteams op het hoofdkantoor en in de districten. De crisisorganisatie evalueert crisissituaties en crisisoefeningen, om zo als organisatie van die gebeurtenissen te leren.

Gegevensverwerking van UWV

UWV treft maatregelen en procedures die gericht zijn op het waarborgen van gegevensverwerking die voldoet aan de kwaliteitsaspecten exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. Exclusiviteit is de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en met beperkte bevoegdheden gebruikmaken van gegevens. Integriteit is de mate waarin gegevens in overeenstemming zijn met de beoogde werkelijkheid. Beschikbaarheid is de mate waarin gegevens continu beschikbaar zijn en de gegevensverwerking ongestoord voortgang kan vinden. Controleerbaarheid ten slotte is de mate waarin het mogelijk is kennis te verkrijgen over de structurering en verwerking van gegevens. Daarbij gaat het ook over de mate waarin het mogelijk is om vast te stellen dat de gegevensverwerking in overeenstemming is met de eisen voor de andere drie kwaliteitsaspecten. UWV geeft volgens algemene, internationaal aanvaarde standaarden invulling aan de gegevensverwerking. Voor de waarborging van exclusieve, integere, beschikbare en controleerbare gegevensverwerking kennen we procedures en maatregelen op vier gebieden: gegevensmanagement, -verwerking en datakwaliteit, waarop we hierna ingaan, en data‑ethiek.

Gegevensmanagement

De verantwoordelijkheid voor het UWV‑brede gegevensmanagement en de daarbij behorende datagovernance is belegd bij de chief data officer (CDO). Datagovernance van de gegevenshuishouding zorgt voor een gemeenschappelijke en gedragen besluitvorming (organisatie) over de wijze waarop UWV gegevens verwerft, gebruikt en uitwisselt (gegevensprocessen). Het regisseert (de totstandkoming van) de benodigde randvoorwaarden zoals beleid en procedures waarbinnen dit gebeurt en regelt ‘wie waarvan is’ (bevoegdheden en verantwoordelijkheden). De CDO legt verantwoording af aan de raad van bestuur over de inrichting en het functioneren van de UWV‑gegevenshuishouding. De CDO wordt op strategisch, tactisch en operationeel niveau ondersteund door de Coalitie Gegevensmanagement en het Gegevensmanagementoverleg. De Coalitie Gegevensmanagement is samen met andere onderdelen van datagedreven werken opgegaan in de Databoard. Hierin worden geprioriteerde onderwerpen uit de datastrategie behandeld. Die worden vervolgens onderdeel van de kwartaalsturing. Deze waardengedreven data- en analyticsstrategie sluit aan op de UWV‑brede strategische doelstellingen. De uitvoering van de speerpunten is in handen van de betrokken organisatieonderdelen. De gegevensmanagers van die organisatieonderdelen stemmen met de CDO de voortgang, oorzaken van gesignaleerde problemen en oplossingsrichtingen af. De activiteiten die op korte termijn moeten worden uitgevoerd, worden onderdeel van de kwartaalsturing, nadat ze zijn vastgesteld in de Databoard.

Gegevensverwerking

Om aan de eisen voor gegevensverwerking te kunnen voldoen, hebben we een register met alle gegevensverwerkingen van UWV. Dit register is ingericht zoals voorgeschreven in de AVG. Wanneer een (voorgenomen) verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de privacy van betrokkenen, dan wordt voorafgaand een GEB uitgevoerd. Het is mogelijk dat daaruit dan blijkt dat de gegevens van een dermate vertrouwelijke aard zijn dat alleen bevoegde personen toegang krijgen tot de betreffende gegevensverwerking.

We werken ook aan het oplossen van tekortkomingen op het gebied van gegevensverwerking. Zo voldoen we nog niet aan de eisen die gelden vanuit de Wet politiegegevens (Wpg). Dat is nodig omdat we bij onze handhavingswerkzaamheden soms gebruikmaken van politiegegevens. In 2023 hebben we een plan van aanpak opgesteld om fasegewijs toe te werken naar de situatie waarin we volledig voldoen aan de Wpg. We hebben de afgelopen periode gewerkt aan het oplossen van diverse tekortkomingen op het gebied van die wet. Naar aanleiding van de Wpg‑audit in 2023 zijn 22 opvolgacties gedefinieerd. Die acties hebben vooral betrekking op het vastleggen van beleid, procedures, instructies en autorisaties voor het borgen van verantwoord gebruik en opslag van politiegegevens. In 2024 zijn daarvan 20 acties afgerond, waarmee de meeste tekortkomingen zijn opgelost. 2 acties lopen nog door in 2025. Er loopt nog een interne audit. De laatste mijlpaal is dat we halverwege 2025 volledig voldoen aan opzet en werking van de Wpg.

Eind 2024 heeft de interne Auditdienst de verplichte hercontrole uitgevoerd. De bevindingen uit dit rapport worden in de eerste helft van 2025 gestructureerd en fasegewijs opgepakt. De grootste acties qua complexiteit en doorlooptijd voorzien we op het gebied van toegangsbeheer en leveranciersmanagement. We hebben het rapport gedeeld met de Autoriteit Persoonsgegevens.

Datakwaliteit

In juli 2023 zijn we gestart met de uitvoering van het verbeterplan voor de datakwaliteit binnen de integrale klantreis Ik ben ziek/(deels) arbeidsongeschikt. Het doel is om een gereedschapskist te ontwikkelen waarmee we de datakwaliteit binnen alle integrale klantreizen beter kunnen beheren en borgen. Tot nu toe hebben zeven van de acht bij de integrale klantreis betrokken organisatieonderdelen hun werkzaamheden succesvol afgerond. Eerder dit jaar is de datageschiedenis (data‑lineage) in kaart gebracht van de kritieke gegevens die de organisatieonderdelen hebben aangedragen. Daarmee kunnen we ervoor zorgen dat we data op een transparante en verantwoorde manier gebruiken en oorsprong, transformatie en gebruik van data gemakkelijker traceren. Vervolgens hebben we voor de geselecteerde kritieke gegevens gecheckt of de datakwaliteit aan de normen voldoet, verbeterpunten voor de datakwaliteit bepaald en de eerste rapportages daarover opgeleverd. Hiermee kan nu een reguliere plan‑do‑check‑actcyclus worden gestart. De eerste resultaten zijn eind 2024 besproken in de Databoard waarbij ook het vervolgtraject is gepresenteerd. Met dit plan willen we de datakwaliteit van alle masterdata van UWV op orde brengen, net als de kritieke gegevens van de organisatieonderdelen.

Archiefbeleid en archiefbeheer

Voor een integrale verbinding én integrale aansturing van de beleidsdossiers zijn sinds het vierde kwartaal van 2024 archiefbeleid en het programma Informatiehuishouding onderdeel geworden van de CIO‑office. Dit is conform de stelselverantwoordelijkheid van de CIO.

In 2024 zijn 300 miljoen documenten, 813.000 papieren dossiers en 6,3 miljoen dataobjecten vernietigd. Ook zijn er ruim 9.000 e‑mailaccounts vernietigd. In 2025 wordt per archiefomgeving (er zijn er meer dan 100 binnen UWV), vastgesteld in hoeverre de proceseigenaar voldoet aan de Archiefwet op dit vlak, zodat er een gericht verbeterplan kan worden opgesteld per archiefomgeving. Hierin worden projectvoornemens uit de kwartaalsturing meegenomen.

In 2024 zijn voor 72 van de 129 archiefomgevingen audits uitgevoerd. Afhankelijk van de omvang en impact van de archiefomgeving zijn dit zelfscans dan wel verdiepende audits geweest. Op dit moment worden de resultaten geanalyseerd en verwerkt in de totaalrapportage.

Het doel is om per 2026 met de nieuwe selectielijst UWV te gaan werken. Hiertoe is in het vierde kwartaal van 2024 de tweede conceptversie afgestemd met het Nationaal Archief.

We zijn overgestapt naar een nieuwe op Microsoft 365 gebaseerde werkplek. Hierbij hebben we alle persoonlijke en groepsbestanden overgezet naar het nieuwe platform. Daarnaast hebben we de standaardinstellingen van Microsoft 365 voor gegevensbeheer ingesteld en in gebruik genomen. Op basis van deze instellingen gaan we verder met het beveiligen en beschermen van de gegevens binnen die omgeving met de beschikbare functies voor gegevensbeheer, gegevensbescherming, risicobeheer en naleving van regels (compliance).