Vorige
Vorige Digitalisering
Volgende Loonaangifteketen en polisadministratie verbeteren
Volgende

Geautomatiseerde dienstverlening en ondersteuning

Digitalisering is essentieel voor UWV, zowel voor de dienstverlening aan cliënten, werkgevers en partners als voor de ondersteuning van medewerkers. Op basis van inzicht in waaraan cliënten, werkgevers en partners behoefte hebben en met de focus op klantwaarde breiden we de mogelijkheden op onze portalen en in de UWV-app uit. Daarnaast verbeteren we onze digitale communicatie, onder meer met eenvoudige, beeldrijkere brieven die ook goed leesbaar zijn op mobiele apparaten, en zetten we stappen richting proactieve dienstverlening.

Verbeteringen in het WIA-proces zijn daarbij een belangrijk aandachtspunt. We werken aan digitale ondersteuning die bijdraagt aan een zorgvuldig, uitlegbaar en efficiënter proces. De realisatie hiervan is complex en neemt meerdere jaren in beslag.

We werken ook aan een wendbare organisatie waarin we processen vereenvoudigen en transparanter maken. Veel van de wet- en regelgeving die we invoeren, heeft betrekking op een veilige en goede digitale dienstverlening. Zo hebben burgers op grond van de Wet modernisering elektronisch bestuurlijk verkeer het recht om digitaal met UWV te communiceren. Voor grote uitvoeringsprocessen zoals de WW‑aanvraag hadden we dat al geregeld. In 2025 hebben we dit ook voor een groot aantal andere uitvoeringsprocessen gedaan. Voor de Ziektewet moeten we dat nog doen.

Tegelijkertijd automatiseren we repeterende handmatige processen met digitale assistenten (robotic process automation (RPA)). Dit verhoogt de doorloopsnelheid van een aantal dienstverleningsprocessen, vermindert fouten en verlaagt de werkdruk. Inmiddels hebben we negentien digitale assistenten in gebruik, waarmee medewerkers tijd vrijmaken voor de ondersteuning van cliënten.

Ook investeren we in een moderne, stabiele werkplek met gebruikersvriendelijke en toegankelijke applicaties en geïntegreerde systemen. Die bevorderen samenwerking en helpt medewerkers hun werk efficiënter en effectiever te werken en zo onze cliënten, werkgevers en partners beter van dienst te zijn. In 2025 heeft de nieuwe werkplekleverancier de dienstverlening voor de moderne werkplek succesvol overgenomen. Sinds september 2025 maken alle medewerkers gebruik van de moderne werkplek.

Ook de komende jaren hebben we nog het nodige te doen op het gebied van digitalisering. Dit geldt onder andere voor onze gegevensverwerking en ons autorisatiebeheer.

UWV werkt langs vier actielijnen aan het versterken van de: professionals, volume en aard van informatie, IT‑systemen, en besturing en naleving. Die sluiten aan op de rijksbrede doelen van het actieplan Open op Orde. Op alle actielijnen is vooruitgang geboekt. Metingen hebben laten zien dat de volwassenheid van de professionals is gestegen naar 2,3 op een schaal van 4, waarmee de doelstelling van niveau 3 binnen bereik komt. Onder regie van het programma Informatie op orde zijn onder meer initiatieven uitgevoerd op het gebied van bewustwording, datakwaliteit, datagedreven werken, versterking van de informatiebetrouwbaarheid en de versterking van de governance op informatiehuishouding.

Met de implementatie van het Contact Management Platform als vervanging van K3CR (klantregistratiesysteem), de invoering van beeldbrieven, de aansluitingen van het organisatieonderdeel Bezwaar en Beroep op het Klantbeeld Werkgevers en de aansluiting van Klantbeeld Burger, zijn serieuze stappen gezet in de vernieuwing van IT‑voorzieningen. Medewerkers beschikken hierdoor over een integraler beeld van de cliënt.

In de volgende paragrafen gaan we in op de belangrijkste ontwikkelingen in onze IT‑processen, de ondersteuning van de bedrijfsvoering, onze manier van werken in de nieuwe organisatiestructuur en de beheersing van IT‑risico’s en informatievoorziening.

IT‑processen: goed eigenaarschap van generieke applicaties,
data en platformen

We hebben verschillende activiteiten ontplooid om generieke applicaties, data, berichtenverkeer en platformen goed te beheren. Daarmee ondersteunen en ontzorgen we de UWV‑organisatie bij de uitvoering van haar dagelijkse taken. Dit moet leiden tot het versneld leveren van waarde voor cliënten en het in stand houden en verbeteren van de bedrijfsprocessen binnen UWV, met aandacht voor informatiebeveiliging en privacy.

Om versneld waarde toe te voegen voor cliënten zijn er in 2025 drie belangrijke ontwikkelingen geweest:

  • Geautomatiseerde softwareleverstraten (continuous integration/continuous delivery or deployment (CI/CD)): Ons platform voor CI/CD bevat de mogelijkheid om via DevOps (een softwareontwikkelingsmethodologie die ontwikkelings- en operationele teams verenigt om software sneller, veiliger en efficiënter te leveren) softwareleverstraten te maken. Dit zijn gestructureerde processen en hulpmiddelen die worden gebruikt om snel en op gecontroleerde wijze software te ontwikkelen, testen, implementeren en onderhouden gedurende de gehele levenscyclus. Die hebben we uitgebreid met enterprise broncodemanagement. Dit is het gecentraliseerd bijhouden, beveiligen, versie beheren en structureren van softwarecode binnen grote organisaties. e doorlooptijd van ontwikkeling naar het in productie nemen is door deze methodiek met bijna 30% verkort. Binnen de leverstraten wordt ook gebruikgemaakt van moderne geautomatiseerde testgereedschappen en geautomatiseerde controle van de kwaliteitscode. Dit om in productie een zo stabiel en betrouwbaar mogelijke applicatie te leveren. Op dit moment maken 115 applicaties van UWV gebruik van de geautomatiseerde softwareleverstraten.

  • Integratie: Om applicaties gecontroleerd met elkaar te laten communiceren en op dataverzamelingen aan te sluiten maken we gebruik van integratiekoppelingen. We kunnen hiermee veranderingen voor meerdere systemen en applicaties sneller realiseren en berichtenstromen sneller afhandelen. In 2025 is de gehele voorbereiding naar een geautomatiseerde selfservice voor koppelingen afgerond. In 2026 zullen we die verder inrichten en in gebruik nemen. Op dit moment zijn er ruim 3.500 integratiekoppelingen actief in beheer en handelen we per dag ongeveer de 1,1 miljoen berichtaanvragen af.

  • MS Platform ECO-systeem: Microsoft biedt een geïntegreerd ontwikkel- en dataplatform aan. Dit platform verbindt de verschillende Microsoft‑componenten, waardoor het mogelijk wordt om op een effectieve en efficiënte wijze nieuwe functionaliteit te ontwikkelen en ter beschikking te stellen. In 2025 hebben we dit platform in productie genomen en inmiddels zijn de eerste applicaties live ter beschikking. Dit zijn de eerste succesvolle implementaties met dit platform die in zeer korte tijd zijn gerealiseerd, waardoor onze cliënten beter en sneller kunnen worden geholpen.

Ondersteuning UWV-bedrijfsprocessen

Door de veelheid van applicaties als gevolg van de toegenomen vraag naar functionaliteit, is in de loop der jaren een complex applicatielandschap ontstaan. Dit landschap sluit op vele plaatsen niet meer volledig aan op de huidige marktstandaarden. Hiervoor is UWV het programma Modernisering interne bedrijfsvoering gestart. Het doel is om te komen tot een verbetering van de interne UWV‑dienstverlening, bijvoorbeeld voor het doen van aanvragen of meldingen voor hr-, financiële of facilitaire diensten. Het gehele aanbestedingstraject, inclusief de leverancierselectie voor zowel de software- als de implementatiepartner, is in 2025 afgerond.

In 2026 starten we met de implementatie van een productiegang van de eerste programmaonderdelen per 31 december 2026. We hebben diverse implementaties uitgevoerd op het gebied van toegang en beveiliging om daarmee een veiligere en gecontroleerde toegang tot applicaties en data te bewerkstelligen. Hierdoor is de betrouwbaarheid en veiligheid van cliënt- en medewerkerdata nog beter geborgd.

Verandermotor

Samen sneller, concreter en merkbaarder veranderen, zodat we bijdragen aan een betere dienstverlening aan cliënten, werkgevers, partners en medewerkers. Dat is het doel van de Verandermotor, een nieuwe organisatiestructuur. In 2025 is hiervoor een grote sta­p gezet met besluiten op de adviesaanvraag op het hoofdontwerp van de Verandermotor en vijf detailadviesaanvragen. Ook zijn de eerste nieuwe leiders benoemd op de sleutelposities binnen de Verandermotor. Alle veranderingen en verbeteringen in de UWV‑dienstverlening worden straks vormgegeven en uitgevoerd binnen deze Verandermotor. Van het bouwen en onderhouden van nieuwe applicaties voor onze systemen tot het wijzigen van onze website. Met de Verandermotor kan UWV beter prioriteren, sneller veranderen, fouten voorkomen en beter onze dienstverleningsprocessen en (IT‑)systemen vernieuwen. Dit willen we gaan doen door te gaan werken in clusters en vakgroepen. In de clusters werken we samen aan het realiseren van deze veranderingen in kleine, multidisciplinaire teams. In de vakgroepen werken we aan de individuele vakbekwaamheid van medewerkers en de brede ontwikkeling van de vakgebieden waarop zij werken.

De Verandermotor betekent voor UWV een nieuwe manier van werken. Vanaf de start is onze ondernemingsraad (or) hier dan ook goed bij betrokken. 2025 heeft daarmee voor een groot deel in het teken gestaan van afstemming met de or. Dat heeft op 11 juni eerst geleid tot een besluit op het hoofdontwerp van de Verandermotor, waarin we op hoofdlijnen hebben beschreven hoe de Verandermotor zou moeten gaan werken. Op basis daarvan hebben we vijf adviesaanvragen ingediend die in detail beschrijven hoe we een en ander binnen de Verandermotor vormgeven: de (eerste zes) clusters, de vakgroepen, de ondersteuning (HRM en Financiën), hoe we beter gaan prioriteren met meer kwartaalsturing en hoe we onze veranderaanpak vormgeven. Na goed overleg met de or hebben we op 14 november 2025 besloten om deze adviesaanvragen te gaan uitvoeren. Ons doel is om in mei 2026 te starten met de eerste zes clusters en de vakgroepen. Op 28 november 2025 hebben we de adviesaanvragen voor de inrichting van de overige veertien clusters bij de or ingediend.

IT‑processen

Niet alle veranderingen kunnen (tegelijkertijd) worden uitgevoerd. Enerzijds omdat in een bepaald aandachtsgebied veranderingen slechts beperkt gelijktijdig kunnen worden uitgevoerd, anderzijds vanwege de beperkte capaciteit van (IT‑)personeel. Heldere keuzes en prioriteiten zijn dan ook nodig. Om te komen tot een wendbaarder manier van besturen zijn we in 2023 begonnen met verbetering van ons portfolioproces. In 2024 zijn we gestart met kwartaalsturing en -prioritering op ons projectenportfolio. Die hebben we ook geïntegreerd met kwartaalsturing van de dienstverlening. Dit zorgt er samen met het werken conform lean portfoliomanagement voor dat besluitvorming steeds vaker kortcyclisch verloopt. We hebben in 2025 de doorontwikkeling van lean portfoliomanagement doorgezet. Dit voeren we nu geheel uit in de geest van de Verandermotor. Zo borgen we dat die werkwijze naadloos aansluit op de toekomstige werkwijze. Ook levert de ervaring die we opdoen met kwartaalsturing en portfolio sync (portfoliosynchronisatie: dit biedt inzicht in hoe goed de portfolio vordert bij het behalen van de doelstellingen) waardevolle input voor de Verandermotor. We zien dat met deze nieuwe manier van werken de besluitvorming rond de portfoliosamenstelling meer gedragen wordt binnen de organisatie en beter past. Deze procesversnelling wordt aangevuld met de verdere implementatie van CI/CD‑pijplijnen voor het sneller en vaker doorvoeren van aanpassingen van applicaties, het geautomatiseerd testen en de standaardisatie van ontwikkel-, test-, acceptatie- en productieomgevingen (OTAP).

We streven naar een versnelde uitfasering van onze verouderde (legacy)systemen, versnellen het gebruik van gemeenschappelijke en generieke IT‑voorzieningen en verbeteren met lifecyclemanagement de ondersteuning van onderhoudsupdates en beveiligingsupgrades van software en applicaties. Een deel van onze IT‑voorzieningen is aangewezen als IT‑focusvoorzieningen. Denk hierbij aan veilig inloggen met single sign‑onsoftware, wijzingen in bedrijfsapplicaties versneld in productie brengen met CI/CD, maar ook beeldbeloplossingen om contact te hebben met de cliënt. Voor deze IT‑voorzieningen zijn middelen vrijgemaakt om de inzet en het gebruik ervan te versnellen.

IT‑risicomanagement

Ook in 2025 zijn weer de IT-risico’s geïnventariseerd en geëvalueerd. Daarnaast zijn er opnieuw IT‑audits uitgevoerd op maatregelen die gericht zijn op het beheersen van een betrouwbare werking van systemen, applicaties, componenten en processen binnen de IT‑omgeving van de organisatie. De grootste risico’s liggen op het gebied van de afhankelijkheid van leveranciers, IT‑continuïteit en -stabiliteit, informatiebeveiliging (cybersecurity) en de afhankelijkheid van de arbeidsmarkt. De belangrijkste oorzaken hiervan zijn in beeld en er worden beheersmaatregelen getroffen.

IT-architectuur

We hebben in 2025 verder invulling gegeven aan de doelarchitectuur van UWV. De UWV‑strategie 2025–2030 is als kader voor het op customer relationship management (crm) gebaseerde dienstverleningsplatform doorvertaald naar onze bedrijfsarchitectuur. Ook zijn we doorgegaan met het vernieuwen van het technische platformfundament, zodat we wendbaarder en sneller bedrijfsapplicaties kunnen realiseren. Denk hierbij aan thema’s als data- en informatiebeveiliging. Voor het niet‑IT‑deel van de secundaire bedrijfsvoering is een doelarchitectuur vastgesteld en een nieuw platform aangeschaft waar UWV in 2026 op overgaat. Daarnaast hebben we het cloudbeleid uitgewerkt in een cloudstrategie, waarmee richting gegeven wordt aan de migraties naar de hybride cloud – met een private on‑premisedeel (met IT‑infrastructuur in eigen beheer) en een public off‑premisedeel (met IT‑infrastructuur die wordt beheerd door een externe provider) – en aan eventuele migraties uit de public cloud. Ook hebben we in lijn met de overheidsambities beleid ontwikkeld op het gebied van opensourcesoftware, waarin zowel consumptie- als creatie- en contributieaspecten worden geadresseerd.

Aansluiting bij overheidsstandaarden en de doelarchitectuur Digitale Overheid 2030

Vanuit UWV werken we binnen diverse bedrijfsonderdelen aan de éénoverheidsambitie. Onder regie van het Bureau Keteninformatisering Werk en Inkomen (BKWI) dragen we bij aan de actualisatie van de SUWI‑ketenarchitectuur. Vanuit het Netwerk van Publieke Dienstverleners en de Manifestgroep bundelen we onze inzet om te komen tot een capaciteitsmodel voor de publieke dienstverlening, waarmee we bepalen welke extra stappen we allen kunnen zetten om onze dienstverlening te verbeteren. Ook leveren we in de Architectuurraad Digitale Overheid een bijdrage aan de doorontwikkeling en actualisatie van het document Architectuur Digitale Overheid.

IT-uitbesteding

We zetten gepaste outsourcing in voor applicatieontwikkeling en ‑beheer en volledige outsourcing voor de exploitatie van infrastructurele voorzieningen. Leveranciers leggen, behalve via de rapportages die zijn afgesproken in dienstenniveauovereenkomsten, jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memoranda (TPM’s).

Zowel interne als externe invloeden hebben geleid tot een duidelijke koerswijziging op het gebied van sourcing. UWV heeft als dienstverlener namelijk steeds meer te maken met een hoge mate van afhankelijkheid van technologie en met name specialismes binnen die technologie en ziet hoge risico’s om dat in de markt (extern) weg te zetten Om hierop te anticiperen is vanuit ons IV‑domein besloten zelf kennis op te bouwen in strategische vaardigheden die de toekomst van UWV vormgeven.

De denkrichting van het nieuwe IV‑sourcingbeleid verandert daarmee van ‘laten doen, tenzij …’ naar ‘zelf doen, tenzij …’ Met de overweging ‘tenzij’ is hiermee een bewuste nuance aangebracht. Niet alles kan namelijk zelf worden gedaan. Op basis van vele interne en externe factoren wordt een afweging gemaakt of, en zo ja, welke (kritische delen van) vaardigheden zelf gedaan worden. Deze bewuste afweging moet er uiteindelijk toe leiden dat UWV beter kan gaan sturen op zijn strategie, omdat er minder externe afhankelijkheid is. Uiteraard vergt het zelf in huis halen van vaardigheden tijd en inspanning, maar op de langere termijn zal een merkbaar verschil zichtbaar worden. In 2026 zullen de werkzaamheden leiden tot het definitieve beleidskader IV‑sourcing, waarmee ook de auditbevindingen rond het beter hanteren van een leveranciersmanagementframework worden beantwoord.

Begin 2026 wordt de nieuwe versie van het model voor de beveiligings- en verwerkersovereenkomst (BVO) opgeleverd waarin de recentste versies van het beveiligingsbeleid worden meegenomen (denk aan NIS2 en BIO2). Dit model wordt gebruikt bij nieuwe verwervingen. Bij bestaande contracten bespreken we met leveranciers hoe de nieuwe BVO‑eisen kunnen worden opgenomen in de contracten.

We hebben de datacenterdienstverlening bij één leverancier ondergebracht. De leverancier van de netwerkdienstverlening verantwoordt zich met een generiekere TPM. De in deze TPM geconstateerde tekortkomingen en de eventuele impact ervan voor UWV worden op kwartaalbasis met ons besproken. De TPM’s over 2024 van onze grote leveranciers zijn conform afspraak opgeleverd in de eerste vier maanden van 2025. Er zijn geen grote tekortkomingen geconstateerd in de TPM’s en de bijbehorende dienstverlening door de leveranciers. De bevindingen vanuit de TPM‑cyclus over 2024 die er wél waren, zijn in de reguliere governance opgelost. De TPM over 2025 voor de hosting en technisch applicatiebeheerdiensten is conform afspraak eind 2025 opgeleverd. TCS (de leverancier) zal de TPM – volgens afspraken met TCS – over 2025 in een andere vorm leveren. Vanaf het jaar 2026 zal TCS de TPM leveren zoals afgesproken in de aanbieding en contractering. Netwerkdiensten (door KPN) zijn geleverd conform afspraak. Op het applicatieve domein worden de TPM’s conform afspraken begin 2026 aangeleverd. De implementatie van het nieuwe printcontract is in 2025 gestart.

Zorgvuldige omgang met persoonsgegevens en informatiebeveiliging

Mensen vertrouwen hun medische, werk- en/of persoonsgegevens aan ons toe. We zorgen ervoor dat deze gegevens op een transparante en veilige manier worden gebruikt, beheerd en beschermd, in lijn met geldende wet- en regelgeving en verplichte kaders zoals de Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). Daarbij letten we op beschikbaarheid, integriteit en vertrouwelijkheid, zowel in processen als in informatiesystemen.

In 2025 hebben we de interne capaciteit op het gebied van informatiebeveiliging en privacy versterkt. Wel blijft op onderdelen sprake van een afhankelijkheid van externen, wat een risico kan vormen voor de continuïteit. Bij de afdeling van de chief information security officer (CISO Office) hebben we het aantal externen teruggebracht naar nul, waarmee de continuïteit van kennis en werkzaamheden is geborgd.

Stand van zaken verbeteracties informatiebeveiliging en privacy

  • In 2025 is het totaal aantal openstaande verbeteracties vanuit BIO‑selfassessments met een risicoclassificatie ‘kritiek’ en ‘hoog’ sterk afgenomen. Waar begin 2025 nog sprake was van respectievelijk 10 kritieke en 208 hoge verbeteracties, staan er per december 2025 geen kritieke verbeteracties meer open en nog 32 met de classificatie ‘hoog’. In totaal staan er per eind 2025 1.317 verbeteracties open. Aan de organisatieonderdelen is gevraagd om die met prioriteit op te pakken en eind januari 2026 in de deel‑in‑controlverklaringen te adresseren.

  • In 2025 werkten alle organisatieonderdelen voor het eerst in de UWV‑brede softwareoplossing voor het vastleggen van (BIO‑)compliance. Alle systemen en processen zijn getoetst op basis van een selfassessment door de organisatieonderdelen en verbeteracties zijn gedefinieerd zodat deze adequaat kunnen worden opgevolgd. Hierdoor is een eenduidig en meetbaar beeld ontstaan van de ingeschatte BIO‑compliance, waardoor acties waar nodig beter kunnen worden geprioriteerd. In 2025 is het C‑beleid (controlbeleid bij informatiebeveiliging en privacy) waar nodig aangevuld, zodat ook de resterende verplichtingen vanuit de BIO beleidsmatig zijn geborgd. Ook hebben alle organisatieonderdelen gewerkt aan het oplossen van verbeteracties. Hierdoor blijkt uit de selfassessments een significante verbetering in de BIO‑compliance ten opzichte van 2024. Daarnaast zal de compliancetoetsing zich in 2026 onder andere richten op de nog door de Eerste Kamer goed te keuren Cyberbeveiligingswet (Cbw) en de BIO2 (opvolger van de BIO, van kracht vanaf 2 maart 2026), waarbij we planmatig toewerken naar de verwachte inwerkingtreding van de Cbw in het tweede kwartaal van 2026.

  • De borging van het BIO-beleid is in 2025 substantieel verbeterd. In de in‑controlverklaring BIO 2024 werd gerapporteerd dat 66% van de BIO‑beheersmaatregelen was vastgelegd in actueel en geldig beleid. Doorat de organisatieonderdelen beleidsstukken hebben aangevuld en afgerond, is dit percentage gedurende het jaar gestegen naar 100% in december 2025.

  • We zijn gestart met het uitvoeren van steekproefsgewijze tweedelijnscontroles op de BIO‑selfassessments van organisatieonderdelen. Bevindingen worden periodiek teruggekoppeld, zodat die tijdig kunnen worden opgepakt en kunnen bijdragen aan structurele verbetering van de compliance.

  • We hebben het BIV-classificatiebeleid (beschikbaarheid, integriteit en vertrouwelijkheid) vernieuwd. Organisatieonderdelen zullen de ontbrekende BIV‑classificaties aanvullen, zodat de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens beter worden geborgd.

  • We hebben begin 2025 een uitgebreide gapanalyse uitgevoerd op de vereisten uit de conceptteksten van de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. De opvolging van geconstateerde afwijkingen wordt gestructureerd gemonitord. Vanaf 2026 wordt de naleving van de Cyberbeveiligingswet en de AVG ook gemeten via het bestaande controleraamwerk dat wordt gebruikt voor de BIO‑selfassessments.

  • Alle organisatieonderdelen is gevraagd een privacyselfassessment uit te voeren om de privacyvolwassenheid te meten en verbeteracties te identificeren. De geconsolideerde resultaten worden gebruikt voor tweedelijnssturing en monitoring op verbetering.

  • De kaders en richtlijnen rondom data transfer impact assessments zijn aangescherpt en geïntegreerd in bestaand beleid en processen. Daarnaast is actief ingezet op bewustzijn en kwaliteitsborging, onder andere door het verzorgen van drie GEB‑workshops met circa tweehonderd deelnemers. Hiermee is bijgedragen aan een meer uniforme en kwalitatieve uitvoering van gegevensbeschermingseffectbeoordelingen (GEB).

  • In de tweede helft van 2025 is de uitrol van het privacynormenkader van het Centrum Informatiebeveiliging en Privacybescherming (CIP) voortgezet. Op basis van een uitgevoerde gapanalyse zijn acties uitgewerkt om vastgestelde tekortkomingen te verhelpen, zodat de privacynormen vanaf 2026 onderdeel worden van de BIO‑verantwoording.

Privacybescherming vergroten

Privacybescherming is een belangrijk thema voor UWV. Wanneer een (voorgenomen) verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de privacy van betrokkenen, dan moet voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling worden uitgevoerd. De functionaris gegevensbescherming (FG) heeft in 2025 in totaal honderd keer een advies uitgebracht op een gegevensbeschermingseffectbeoordeling. In vervolg op een negatief advies van de FG vanwege een te hoog risicoprofiel of een onrechtmatige gegevensverwerking zijn enkele initiatieven en bijbehorende GEB’s aangepast. In totaal werden veertig GEB’s afgerond.

Op grond van de AVG moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt. Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan moet UWV ook de betrokken personen inlichten.

Tabel Datalekken

2025

2024

Gemelde datalekken

2.281

2.329

Bevestigde datalekken

1.784

1.833

Datalekken die moeten worden gemeld bij de Autoriteit Persoonsgegevens

796

871

In ongeveer 65% van de gemelde datalekken is de termijn van 72 uur voor het melden bij de Autoriteit Persoonsgegevens gehaald. Dit percentage ligt lager dan we willen en is vooral beïnvloed door een toename van het aantal meldingen in de tweede helft van het jaar in combinatie met verminderde capaciteit.

In het eerste kwartaal van 2025 is een evaluatie van het datalekkenproces uitgevoerd. De conclusie hiervan is dat het proces duidelijk is ingericht en in de basis goed functioneert. Wel zijn verbeteracties geïdentificeerd die medewerkers beter moeten ondersteunen bij het herkennen en afhandelen van datalekken, waaronder het tijdig signaleren van mogelijk impactvolle datalekken. Door capaciteitsbeperkingen zijn deze verbeteracties grotendeels doorgeschoven naar 2026.

De beoordeling van impactvolle datalekken vindt plaats aan de hand van de Handreiking impactvolle datalekken. In 2025 hebben zich geen impactvolle datalekken voorgedaan.

Wanneer we iemands persoonsgegevens gebruiken, dan mag die ons vragen welke gegevens dat zijn en wat we ermee doen (inzagerecht). Als de persoonsgegevens niet blijken te kloppen, dan kan iemand ons vragen om de bewuste gegevens te corrigeren. In een aantal situaties zijn we verplicht om, als iemand daarom vraagt, diens persoonsgegevens te verwijderen.

Wanneer we persoonsgegevens verwerken, kunnen betrokkenen verzoeken doen tot inzage, correctie of verwijdering van hun gegevens. UWV is verplicht deze verzoeken binnen één maand af te handelen, met een mogelijke verlenging tot maximaal drie maanden.

Tabel AVG‑verzoeken

2025

2024

Verzoeken tot inzage

1.174

763

Correctieverzoeken

157

61

Verwijderverzoeken

69

106

Totaal

1.400

930

Van alle AVG‑verzoeken hebben we circa 80% afgehandeld binnen één maand; circa 16% binnen twee maanden; ongeveer 3% binnen drie maanden en een zeer beperkt aantal niet tijdig. Een en ander is afhankelijk van de complexiteit van het verzoek. We zien dat AVG‑verzoeken steeds complexer worden. Dit hangt mogelijk samen met het gebruik van modelbrieven en AI bij het indienen van verzoeken. Deze toegenomen complexiteit heeft invloed op de doorlooptijd van de afhandeling. We hebben het proces waar mogelijk hierop aangepast, onder andere door het digitaliseren van een processtap om de doorlooptijd te verkorten.

Autorisatiebeheer

Ons uitgangspunt is dat het gebruik van systemen en de toegang tot data uitsluitend zijn voorbehouden aan geautoriseerde medewerkers en leveranciers. Het beheer van autorisaties van gebruikers en beheerders is belangrijk voor de betrouwbaarheid van de gegevensverwerking van UWV en het vertrouwen dat we zorgvuldig omgaan met de aan ons toevertrouwde gegevens.

In 2022 is het programma Modernisering Identity and Access Management (MIAMI) gestart, dat als doel heeft om tot en met 2027 stapsgewijs verouderde IAM‑(Identity and Access Management‑)systemen te vervangen door uniforme en effectieve werkwijzen voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV.

We hebben eind 2024 een centrale eenmalige inlogfaciliteit gerealiseerd waarop in de loop van 2025 en 2026 ruim driehonderd applicaties werden en worden aangesloten. Daarmee is voor deze applicaties een hoge kwaliteit van toegangsbeveiliging gerealiseerd, inclusief multifactoridentificatie. Begin 2025 zijn we gestart met de realisatie van een moderne voorziening voor het autorisatiebeheer van geprivilegieerde accounts (speciale toegangsrechten). De pilot voor deze voorziening is inmiddels succesvol afgerond. We zijn in 2025 gestart met het realiseren van een IAM‑voorziening voor één toegangspunt tot de digitale dienstverlening van UWV via één integratiepunt voor cliënten, werkgevers en ketenpartners. In de tweede helft van 2025 hebben we de daarvoor benodigde analyse uitgevoerd. In 2026 wordt deze voorziening opgeleverd.

Om de kans op verstoringen in de dienstverlening zo klein mogelijk te houden, is het belangrijk dat wijzigingen in de systemen op beheerste wijze worden doorgevoerd en alleen door medewerkers die speciaal daarvoor geautoriseerd zijn.

Om de geconstateerde knelpunten binnen ons systeem ABS IIQ en autorisatiebeheer aan te pakken en de aansluiting bij de BIO te waarborgen, hebben we de volgende structurele verbeteringen doorgevoerd:

  • Uitstroom: Bij beëindiging van een dienstverband worden accounts nu automatisch geblokkeerd en gekoppelde rollen direct ingetrokken. Dit elimineert het risico op ‘slapende accounts’ en onbevoegde toegang na uitdiensttreding.

  • Doorstroom: Wanneer een medewerker van functiecode, divisiecode, medewerkertype of kostenplaatscode verandert, wordt er automatisch een certificeringsproces gestart. De manager is verplicht de daarvoor in aanmerking komende businessrollen te beoordelen. Hierdoor zouden de autorisaties altijd moeten aansluiten bij de actuele werkzaamheden.

  • Periodieke controle: Reguliere autorisaties worden nu twee keer per jaar getoetst. Geprivilegieerde autorisaties (beheerdersrechten) worden vanwege het verhoogde risicoprofiel vier keer per jaar herbeoordeeld.

  • SSD-testen (secure software development): Om de integriteit van het systeem zelf te waarborgen, vindt er tijdens het veranderproces bij elke derde release een SSD‑test plaats.

  • Vaststelling IAM-governance 1.0: De IAM‑governance is vastgesteld op 2 december 2025.

Deze maatregelen zorgen voor een verhoogde controle, strikte naleving en een actueel autorisatiebeheer. Er is nog veel te doen, maar we zijn op de goede weg.

In 2025 hebben we nieuwe beheersmaatregelen genomen. In het eerste kwartaal van 2026 scherpen we de bestaande beheersmaatregelen aan en worden bij het excassosysteem de beheerrechten geüpdatet.

Ook in het wijzigingsbeheer van financiële systemen hebben we stappen gezet om tekortkomingen op te lossen. Dit heeft ertoe geleid dat er geen openstaande bevindingen zijn voor het onderdeel wijzigingsbeheer en dat voor de onderdelen logische toegangsbeveiliging en logging & monitoring qua opzet op de meeste onderwerpen aan de norm wordt voldaan. Er is evenwel nog een aanzienlijke verbetering nodig om de bevindingen over het bestaan en de werking (en voor back‑up en recovery ook de opzet) op te lossen. We monitoren de voortgang periodiek en koersen op het adequaat wegwerken van de geconstateerde tekortkomingen.

Cybersecurity

Het dreigingsbeeld voor UWV sluit aan op het rijksbrede beeld van informatiebeveiliging-, privacy- en businesscontinuitydreigingen (IBPC). Hierin blijft de dreiging van statelijke actoren onverminderd hoog. Het gaat om organisaties en landen die worden aangestuurd door die landen die inlichtingenactiviteiten en (heimelijke) beïnvloedingsactiviteiten ontplooien, gericht tegen Nederland en zijn bondgenoten. UWV ontwikkelt in samenspraak met (semi)overheidsorganisaties en partijen werkzaam in de publieke sector een nieuw dreigingsbeeldformat. Dit dreigingsbeeld zal periodieke updates geven over de actuele stand van zaken van IBPC‑dreigingen voor UWV. In het licht van de gespannen internationale veiligheidssituatie doen we dit al voor de prominentste continuïteitsdreigingen. UWV probeert op dit soort dreigingen te anticiperen door onder andere IBPC‑beleid te ontwikkelen dat de UWV‑organisatie helpt om veilig te functioneren. Daarnaast is er een Cyber Defense Center (CDC) dat zorgt voor passende veiligheidsmiddelen. Verder wordt vanuit bedrijfscontinuïteitsmanagement een aantal scenario’s uitgewerkt die van belang (kunnen) zijn voor het bepalen van een continuïteitsstrategie.

Ook investeren we in personeel, processen en digitale middelen om de inzet op privacy- en security‑by‑design te vergroten en het proactief scannen op potentiële bedreigingen uit te breiden. Zo zijn we in staat om steeds beter preventief én proactief de cyberveiligheid van onze IT‑omgevingen te garanderen. In 2025 heeft het CDC de proactieve cybersecurity verder versterkt. Met de oprichting van een eigen Cyber Threat Intelligence‑team (CTI‑team) monitoren we externe dreigingen en vertalen deze direct naar passende beveiligingsmaatregelen voor UWV. Door te investeren in securitytechnologie kunnen we beter ingrijpen en is de reactiesnelheid bij incidenten aanzienlijk verhoogd. Dit is cruciaal om bij cyberincidenten direct en adequaat op te kunnen treden en eventuele schade te minimaliseren. Een overkoepelend speerpunt van het CDC is om de strijd tegen cyberdreigingen en cybercriminaliteit niet alleen te voeren. Het CDC participeert daarom in verschillende initiatieven en samenwerkingsverbanden binnen de Rijksoverheid. Op deze manier onderhouden en bouwen we aan een veilig en (digitaal) weerbaar UWV.

Verantwoording over de beveiliging van Suwinet

UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet. De scope van deze verantwoording is een set van zestien normen uit de BIO en richt zich op het afnemen van Suwinet‑services. De bevindingen moeten jaarlijks gerapporteerd worden aan BKWI, het UWV‑organisatieonderdeel dat verantwoordelijk is voor de beheertaken op het gebied van de elektronische gegevensuitwisseling binnen de keten. Bij de verantwoording over 2023 en 2024 is gebleken dat we nog niet voldoen aan de normen. In 2025 is de benodigde investering gedaan om het fundament en de volwassenheid richting 2026 te verbeteren. Daarnaast is tijd geïnvesteerd in het optimaliseren van het verantwoordingproces en is de kwaliteit van de verantwoording verbeterd, waardoor er minder tijd nodig is voor de verantwoording. Hierdoor kunnen we meer tijd besteden aan het opvolgen van de bevindingen.

Er is in 2025 een volledig en kwalitatief inzicht van de bevindingen op organisatie- en organisatieonderdeelniveau gecreëerd en een start gemaakt met de benodigde verbeteringen. De verantwoordelijkheden en taken zijn belegd en er is ook een monitoringsproces voor het opvolgen van de geconstateerde bevindingen ontwikkeld. We zullen dit proces in 2026 starten. Dit geeft een stevige basis om de gesignaleerde verbeterpunten op te pakken. Ook investeren we in 2026 in het verder stroomlijnen van het SUWI- en het BIO‑verantwoordingsproces. Naar verwachting zal dit vermoedelijk leiden tot een vermindering van het aantal bevindingen over 2025. We zullen de transparantierapportage Suwinet over 2025 uiterlijk in het tweede kwartaal van 2026 opleveren aan BKWI.

Beveiliging van webapplicaties

Sinds 2024 gelden voor de toetsing van de beveiliging van webapplicaties die gebruikmaken van DigiD aanvullende eisen van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Sindsdien moet ook de werking van vijf normen getoetst worden. De verantwoording over 2024 is conform afspraak vóór 1 mei 2025 opgeleverd aan Logius. Die heeft betrekking op alle drie DigiD‑aansluitingen. Ondanks de verzwaring van de toetsing is het aantal bevindingen verminderd. Op twee normen konden we niet voldoen en daarover zijn bevindingen gerapporteerd. Een bevinding is afgerond in juli 2025, de andere op autorisatiebeheer is niet opgelost. Het gevolg hiervan is dat Logius verscherpt toezicht heeft ingesteld. Hierdoor moeten we iedere twee maanden een auditrapport aan Logius opleveren. Inmiddels heeft er een verscherpt‑toezichtaudit plaatsgevonden op opzet en bestaan. Hierin is één bevinding vastgesteld. Het verscherpt toezicht kan worden opgeheven indien UWV over een nieuwe periode van zes maanden een goede opzet, bestaan en werking van webapplicaties kan aantonen.

Bedrijfscontinuïteit

Veel mensen vertrouwen op de dienstverlening van UWV. Daarom willen we een betrouwbare uitvoerder zijn die ook bij calamiteiten en crises blijft bijdragen aan de bestaanszekerheid. UWV werkt daarom voortdurend aan zijn bedrijfscontinuïteit door het verbeteren van continuïteitsplannen en het treffen van maatregelen. Gezien de actuele ontwikkelingen in de wereld is het verhogen van onze weerbaarheid noodzakelijk. In lijn met de zes prioritaire aandachtsgebieden op het gebied van digitalisering van het ministerie van Sociale Zaken en Werkgelegenheid (SZW) en de Nederlandse Digitaliseringsstrategie verkent UWV momenteel aanvullende maatregelen om zijn weerbaarheid te versterken. Bij het nemen van maatregelen hanteren we een risicogestuurde aanpak gericht op de kerntaken.

Dataverwerking van UWV

UWV treft maatregelen en procedures die gericht zijn op het waarborgen van dataverwerking die voldoet aan de kwaliteitsaspecten exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid. Voor de waarborging daarvan kennen we procedures en maatregelen op vier gebieden: datamanagement, -verwerking, -kwaliteit en -ethiek. UWV geeft volgens algemene, internationaal aanvaarde standaarden invulling aan de dataverwerking.

Dataverwerking Wet politiegegevens

We voldoen nog niet aan de eisen die gelden vanuit de Wet politiegegevens (Wpg). Dat is nodig omdat we bij onze handhavingswerkzaamheden soms gebruikmaken van politiegegevens. In de afgelopen maanden zijn er verschillende Wpg‑audits en -controles geweest, zoals de interne controle, de toezichtrapportage van de functionaris gegevensbescherming en een Wpg‑risicotoets. Naar aanleiding hiervan zijn verschillende verbeteracties opgesteld. De opvolging hiervan loopt op schema. De onafhankelijke (vierdelijns wettelijke) controle door de Accountants Dienst volgens de wettelijke kaders in de Wpg in de verplichte vierjaarlijkse cyclus loopt momenteel nog. Eind 2025 zijn de conceptbevindingen ontvangen. Een groot deel van de bevindingen houdt verband met het ontbreken van het Third Party Memorandum (TPM) van de leverancier van Summit. Ter vervanging van het TPM is een externe audit bij de leverancier uitgevoerd. We verwachten het definitieve rapport hierover in februari 2026.

Omdat de leverancier van Summit niet in staat is het beheer, onderhoud en hosting van het pakket na 1 maart 2026 voort te zetten, worden afspraken gemaakt met een van hun grotere afnemers, voor het (tijdelijk) overnemen en beschikbaar stellen van de applicatie, ook aan UWV. Parallel wordt er gekeken naar langetermijnoplossingen. Ook zijn we, samen met de Sociale Verzekeringsbank (SVB), in gesprek met het ministerie van Justitie en Veiligheid over versoepeling van de zware auditlast die de Wpg van ons vraagt, gelet op het zeer beperkte aantal strafrechtdossiers. Er is een conceptvoorstel besproken dat voorziet in een lagere auditfrequentie en een scheiding tussen technische audits en organisatorische controles, maar de verlichting voor werkgevers met weinig boa’s in dienst lijkt nog beperkt.

Maximaal datakracht benutten

We hebben een waardegedreven data- en analyticsstrategie opgesteld die ons helpt om in een snel veranderende wereld de kansen te benutten om met data beter, slimmer en efficiënter te werken en daarmee de dienstverlening aan cliënten, werkgevers en afnemers te verbeteren. Om hieraan sturing te geven, hebben we de Databoard ingericht. De Databoard bepaalt de koers en stelt prioriteiten voor de strategie‑implementatie. Zo werken we aan het op orde brengen van het datafundament, aan het realiseren van een datagedreven organisatie en aan het creëren van waarde uit data voor de organisatie. We willen een datageletterde organisatie creëren waarin medewerkers op een verantwoorde en effectieve manier omgaan met data en AI. Dit doen we door het aanbieden van diverse trainingen en kennissessies om kennis, vaardigheden en bewustwording op het gebied van data en AI te ontwikkelen en te vergroten. Hiernaast wordt een dataleergang beschikbaar gesteld om het data- en AI‑kennisniveau van leidinggevenden te verhogen.

Ook is het Netwerk van Data Academies (binnen de overheid) begin 2025 opgericht, omdat meerdere academies met dezelfde thema’s bezig zijn en er een sterke behoefte is aan kennisdeling en sparringpartners. Dit heeft geleid tot een netwerk dat enkele keren per jaar bij elkaar komt voor kennisdeling en dat zich steeds verder uitbreidt met andere organisaties waaronder de Kamer van Koophandel en het Centraal Bureau voor de Statistiek (CBS). Na de kick‑off bij UWV zijn inmiddels bijeenkomsten georganiseerd bij de SVB en ICTU.

Archiefbeleid en archiefbeheer

In 2025 is een conceptlijst opgesteld die overzichtelijk weergeeft welke taken UWV uitvoert en hoelang de bijbehorende informatie moet worden bewaard. Die lijst is ter vaststelling ingediend bij het Nationaal Archief. In 2026 wordt de vaststellingsprocedure doorlopen, met als doel dat de lijst voor het einde van 2026 definitief wordt vastgesteld door de algemene rijksarchivaris.

In 2025 zijn we gestart met het opstellen van een nieuwe regeling Duurzame toegankelijkheid UWV‑informatie ter voorbereiding op de inwerkingtreding van de nieuwe Archiefwet. De nieuwe regeling vormt een belangrijk onderdeel van de bredere ontwikkeling naar een toekomstbestendig en integraal informatiebeheer binnen UWV.

Verder hebben we een basis gelegd voor UWV‑breed kwaliteitsmanagement van overheidsinformatie. Een onderdeel hiervan is de start van kwaliteitsonderzoeken naar het bewaren van informatie over de grenzen van organisatieonderdelen heen. Hierbij besteden we aandacht aan de borging van verantwoordelijkheden en eigenaarschap over de informatie. Dezelfde thema’s komen terug bij het inrichten van de plan‑do‑check‑actcyclus, waarvoor in 2025 een maatregelenset is opgesteld die aansluit op het governance-, risico- en compliancesysteem van UWV.

Na de overstap van UWV op de op Microsoft 365 gebaseerde werkplek, is gestart met de verdere inrichting van Purview, een platform waarmee we alle beschikbare data kunnen classificeren, beveiligen, beheren en de toegang tot data vergemakkelijken voor specifieke gebruikersgroepen. Daarvoor is ook beleid ontwikkeld voor het archiveren van chatberichten en over het juiste gebruik van Microsoft 365‑omgevingen.

In 2025 zijn naar schatting 50 miljoen documenten met de bijbehorende data in het Ziektewet‑systeem vernietigd.

Het doel is om per 2027 met de nieuwe UWV‑selectielijst te gaan werken. Hiertoe is in het vierde kwartaal van 2025 de tweede conceptversie afgestemd met het Nationaal Archief. Het Nationaal Archief is op dit moment bezig met de vaststelling van de selectielijst.

Ga direct naar