Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT en informatiebeveiliging en privacy

Een goed werkende, betrouwbare en beschikbare ICT is essentieel en randvoorwaardelijk voor goede dienstverlening waarin burgers centraal staan, met oog voor de menselijke maat en voor de ondersteuning van onze medewerkers daarbij. Onze ambitie op het gebied van de ICT voor de komende jaren is dan ook groot.

Niet alle veranderingen kunnen tegelijkertijd worden doorgevoerd, enerzijds doordat in een bepaald aandachtsgebied veranderingen slechts beperkt gelijktijdig uitgevoerd kunnen worden, anderzijds door de beschikbare capaciteit van (ICT‑)personeel. Het werven van nieuw personeel is gegeven de krappe arbeidsmarkt lastig en biedt beperkt mogelijkheden. We zullen nog meer onze interne uitdagingen moeten prioriteren door ons portfolioproces en capaciteitsmanagement verder te verbeteren. Met het programma De Versnelling maken we onze ICT‑organisatie effectiever, efficiënter en wendbaarder (zie ook deel 2 van dit viermaandenverslag, paragraaf ICT en informatiebeveiliging en privacy, onder het kopje De Versnelling).

Een belangrijk onderdeel van ‘werken aan het fundament’ is de vernieuwing van ons ICT‑landschap. Het gaat daarbij om reguliere vervangingen en ook om een aantal grote meerjarige projecten die grote verouderde ICT‑systemen, de zogeheten legacysystemen, vernieuwen of zo veel mogelijk aanpassen aan de eisen en mogelijkheden van vandaag (voor meer informatie over het legacysysteem Sonar: zie deel 2 van dit viermaandenverslag, paragraaf ICT en informatiebeveiliging en privacy, onder het kopje Verminderen risico's Sonar). Met de vernieuwing van ons ICT‑landschap vergroten we de mogelijkheden voor betere dienstverlening en zorgen we ervoor dat een volgende vernieuwingsslag weer gemakkelijker zal verlopen. Daardoor zal er op langere termijn minder capaciteit nodig zijn voor de instandhouding van het ICT‑landschap, waardoor de mogelijkheden voor verdere verbetering van de dienstverlening weer toenemen. In de eerste vier maanden van 2023 hebben we een aantal belangrijke stappen gezet. De migratie naar het datacenter van onze nieuwe leverancier heeft in februari een belangrijke mijlpaal bereikt met het voltooien van de migratie van alle 197 op de contractdatum bekende applicaties, de zogeheten equivalente scope.

Versnelling van de ICT-verandercapaciteit

We hebben in april 2023 het project Generieke voorzieningen voor softwareontwikkeling en testen (GST) succesvol afgerond. Daarmee is het voor softwareontwikkelteams dankzij standaardvoorzieningen eenvoudiger geworden om softwarewijzigingen door te voeren met automatische kwaliteitschecks. Dit zorgt voor meer wendbaarheid en snelheid om nieuwe functies te ontwikkelen, speelt capaciteit vrij bij ontwikkelaars en testers voor complexere werkzaamheden en zorgt ook voor betere samenwerking binnen UWV. Verder maken we in toenemende mate gebruik van de generieke ICT‑tool Business Automation Workflow (BAW) om applicaties te ontwikkelen die medewerkers ondersteunen in hun werk.

Voortgang van het UIP

In het UWV Informatieplan (UIP) schetsen we op strategisch niveau onze ICT‑doelstellingen en -planning voor de komende jaren. In de afgelopen jaren hebben we conform het UIP de continuïteit en stabiliteit van ons ICT‑landschap verbeterd. We richten ons in 2023 op drie overkoepelende thema’s: het verbeteren en verbreden van de dienstverlening, het versterken van het ICT‑fundament en het versterken van de governance op het ICT‑veranderportfolio. Dat laatste thema komt voort uit de behoefte om te kunnen sturen vanuit de strategische doelstellingen, zodat bestaande concrete voorstellen vanuit de organisatie daartegen kunnen worden afgewogen en eventuele lacunes kunnen worden gesignaleerd. Er is een begin gemaakt met de aanpak hiervoor; het voornemen is om die dit jaar uit te werken en met ingang van volgend jaar op deze basis te gaan werken.

In de eerste vier maanden van 2023 hebben we daarbij de volgende voortgang geboekt:

  • Verbeteren en verbreden dienstverlening: Begin 2023 hebben we met de implementatie van het modelrisicomanagement voor risicoscans beleid vastgesteld voor een verantwoord gebruik van algoritmes. Momenteel verbreden we dit beleid naar alle algoritmes binnen UWV. Ook hebben we het project Herontwerp Medewerker 2 afgerond. Hierdoor zijn WW‑medewerkers minder tijd kwijt aan administratieve handelingen, waardoor er meer ruimte is voor persoonlijke dienstverlening waarbij de cliënt zich gezien, gehoord en geholpen voelt.

  • Versterken ICT-fundament: UWV rolt in 2023 een nieuwe, moderne werkplek uit voor zijn personeel. Met het programma Samen naar de moderne werkplek (SMW) ontwikkelen we een moderne, veilige en relatief leveranciersonafhankelijke werkplek voor alle UWV‑medewerkers. De moderne werkplek is gebaseerd op Microsoft‑cloudtechnologie. Daarmee stellen we aan onze medewerkers een intuïtieve, moderne werkplekomgeving met hoge beschikbaarheid ter beschikking, en ook nieuwe laptops en een nieuwe methode voor toegangsauthenticatie. Medio april is een pilot gestart voor een eerste groep van ongeveer vijfhonderd gebruikers. In juni start de uitrol voor heel UWV.

Meer datagedreven werken

UWV beschikt over veel data op allerlei gebieden. We zoeken naar diverse mogelijkheden om deze data meer te benutten om onze dienstverlening te verbeteren. In ons Kompas Data Ethiek zijn de uitgangspunten vastgelegd die UWV toepast bij de ontwikkeling en het gebruik van data en algoritmes. Inmiddels wordt het kompas regelmatig gebruikt bij ethische impactassessments op diverse datatoepassingen. Deze beoordelingen helpen ontwikkelaars, eigenaren en gebruikers van datatoepassingen om ethische effecten in kaart te brengen en (waar nodig) de datatoepassing daarop aan te passen. Wanneer er daarbij dilemma’s worden geconstateerd, leggen we die voor aan de onafhankelijke Commissie Data Ethiek die ons adviseert over het verantwoord omgaan met data in datatoepassingen. Het eerste jaar van functioneren van de commissie hebben we gebruikt als inleerjaar. Het evaluatierapport met aanbevelingen voor het vervolg hebben we recent ontvangen. Op onze website uwv.nl en in het Algoritmeregister van de Nederlandse overheid zijn tot nu toe drie UWV‑algoritmes opgenomen. In het tweede kwartaal van 2023 volgen er meer. In de eerste vier maanden van 2023 hebben we, naast de bestaande vijf leerlijnen voor dataprofessionals en de leerlijn voor basiskennis, nieuwe leerlijnen ontwikkeld voor gegevensmanagers, controllers en gegevensarchitecten. Ook werken we aan een nieuwe leerlijn voor datagedreven human‑resourcemanagement.

Informatiebeveiliging en privacy

UWV hecht veel waarde aan de zorgvuldige omgang met persoonsgegevens en aan informatiebeveiliging op het juiste niveau. Verdergaande digitalisering en veranderende wet- en regelgeving, ook in EU‑verband, stellen steeds hogere eisen aan informatiebeveiliging en privacybescherming. Persoonlijke en passende dienstverlening op maat vraagt dat burgers, werkgevers, partners, medewerkers en instanties over juiste en actuele gegevens beschikken. Hierbij moeten we rekening houden met de Wet eenmalige gegevensuitvraag werk en inkomen (WEU), de Algemene verordening gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO), de Wet digitale overheid (Wdo) en de Wet open overheid (Woo), rijksbrede standaarden zoals DigiD en eHerkenning en andere informatiebeveiliging‑ en privacyregelgeving. Met het oog op de informatiebeveiliging moeten we continu adequate maatregelen treffen, onderhouden en controleren, zowel in ICT‑middelen als in houding en gedrag. Aantoonbaar ‘in control zijn’ is een belangrijke doelstelling. Daarvoor zetten we ook de komende periode in op passende maatregelen en verdere aansluiting op rijksbrede informatiebeveiliging‑ en privacystandaarden.

Voortgang implementatie BIO

Door te voldoen aan de regels van de BIO voldoen we niet alleen aan onze wettelijke plicht, maar ook aan onze maatschappelijke verantwoordelijkheid om op een veilige manier persoonsgegevens te verwerken. Het is onze ambitie om de komende jaren stapsgewijs de informatiebeveiliging op orde te krijgen en ervoor te zorgen dat onze processen en systemen per 1 januari 2026 geheel aan de BIO voldoen. De jaarlijkse activiteiten voor het uitvoeren van gapanalyses en het doorvoeren van verbetermaatregelen zijn inmiddels gestart. We monitoren de voortgang op de implementatie hiervan om tijdig te kunnen bijsturen om de gestelde ambitie te halen. Hiervoor maken we gebruik van een Information Security Management System (ISMS). Met de inzet van tooling zorgen we voor eenduidige rapportages en verkrijgen we inzicht in de huidige staat van informatiebeveiliging. Om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen maken we op basis van een dreigingsbeeld inzichtelijk wat de grootste dreigingen zijn. Dit beeld is gebaseerd op het nationale dreigingsbeeld dat het Nationaal Cyber Security Centrum ieder jaar uitbrengt.

Digitale dreiging

Er is continu sprake van digitale dreiging. Mede dankzij ons professionele Security Operations Centre (SOC) en een goede samenwerking binnen de Rijksoverheid zijn we in staat deze bedreigingen buiten onze systemen te houden. In lijn met het rijksbeleid hebben we onze medewerkers aangeraden geen gebruik te maken van de socialmedia‑app TikTok vanwege mogelijke negatieve gevolgen voor de vertrouwelijkheid. We vervangen geleidelijk de mobiele telefoons van medewerkers door centraal beheerde toestellen waarop de app niet kan worden geïnstalleerd.

Next level security

UWV staat continu in verbinding met de digitale buitenwereld. Hackers opereren tegenwoordig zo slim dat traditionele vormen van toegangsbescherming niet meer volstaan. We bewegen hierin mee en werken aan een verdere verhoging van onze digitale weerbaarheid. We nemen maatregelen die zowel op korte termijn effect sorteren als bijdragen aan digitale weerbaarheid van UWV op de langere termijn. Met het programma Next Level Security (NLS) 1 richten we ons op het verbeteren van specifieke cybersecuritymaatregelen. In 2022 zijn 3 van de 7 projecten van NLS‑1 afgerond. De overige 4 projecten lopen door in 2023. Mede op basis van een cybersecurityroadmap is een programmaplan voor NLS‑2 opgesteld, dat in maart 2023 is goedgekeurd en loopt tot mei 2024. Binnen NLS‑2 worden 5 projecten uitgevoerd die de digitale weerbaarheid van UWV verder vergroten en informatiebeveiliging in de organisatie verankeren, waaronder het verhogen we de bewustwording van UWV‑medewerkers over veilig digitaal gedrag. We verankeren (veilig) gedrag in de organisatie, voorkomen dat medewerkers misleid worden (door bijvoorbeeld phishing) en zorgen ervoor dat ze verdachte of risicovolle situaties opmerken en rapporteren. We bepalen jaarlijks met een assessment in hoeverre de volwassenheid van de informatiebeveiligingsfuncties toeneemt en welke verdere verbeteringen nodig zijn.

Lees aanvullende informatie in deel 2

Ga direct naar

Bekijk ook

Toevoegen aan verslag