Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT en informatiebeveiliging en privacy

Het ICT-landschap is essentieel voor onze dienstverlening. In de eerste vier maanden van 2023 hebben we, in lijn met voorgaande jaren, gewerkt aan de noodzakelijke vereenvoudiging en vernieuwing om ook in de toekomst goede, betrouwbare en moderne dienstverlening waarin de mens centraal staat te kunnen blijven bieden. Zo scheppen we meer wendbaarheid en meer ruimte voor personalisatie en maatwerk. Tegelijkertijd realiseren we ons dat de maatschappelijke urgentie om de dienstverlening te verbeteren verdere versnelling vereist. Geleidelijke aanpassing van oude processen en systemen vertraagt te veel. We willen daarom sterker inzetten op innovatie.

De capaciteit die we hebben voor het realiseren van veranderingen is schaars en innovatie zal eraan moeten bijdragen dat we met dezelfde middelen meer kunnen realiseren, in een sneller tempo. Daarnaast willen we de ondersteuning van onze medewerkers verbeteren en moeten we rekening houden met de omvangrijke opgave van wet- en regelgeving, zowel van onze eigen opdrachtgever – het ministerie van Sociale Zaken en Werkgelegenheid (SZW) – als van andere opdrachtgevende ministeries en de Europese Unie (EU).

De Versnelling

Met het in 2022 gestarte programma De Versnelling creëren we ruimte voor een verbeterde dienstverlening door de maakbaarheid van onze ICT te vergroten. Dat doen we op vier manieren:

  • We zetten in op beter prioriteren. Hierdoor kunnen we focussen op de juiste projecten en ervoor zorgen dat over bedrijfsonderdelen heen aan dezelfde prioriteiten wordt gewerkt en dat teams niet worden overvraagd. Het ICT‑portfolio is opgesplitst in strategische en tactische projecten met respectievelijk centrale en decentrale besturing en bijpassende overlegstructuren (kwartaalsessies).

  • We optimaliseren capaciteit en competenties. Met uniforme capaciteitsdashboards per bedrijfsonderdeel kunnen we inzet beter plannen. We zullen deze dashboards en de data die we gebruiken verder verbeteren. Binnen ons bedrijfsonderdeel Concern‑ICT hebben we het recruitmentproces verbeterd, een nieuwe arbeidsmarktcampagne gestart en ICT‑ontwikkelpaden opgezet. Hiermee werven we nu gerichter medewerkers met skills die we tekortkomen en werken we aan de ontwikkeling van het vakmanschap van onze ICT‑medewerkers, wat zorgt voor hogere kwaliteit en minder verloop.

  • We verhogen de effectiviteit en wendbaarheid. Dat doen we door complexiteit te verminderen, samenwerking te verbeteren en kortcyclisch te werken. Er zijn ICT‑waardestromen gedefinieerd om de samenwerking tussen bedrijfsonderdelen te verbeteren. Ook zijn er meerdere concrete verbeteringen gerealiseerd in agile werken op zowel architectuur-, project- als organisatieniveau, waardoor we aansluitend op de recente ICT‑professionalisering verdere stappen zetten richting een wendbare ICT‑organisatie. Sommige veranderingen bevinden zich nog in de pilotfase, als eerste stap van de implementatie.

  • We automatiseren de systematische ontwikkeling van ICT‑processen en werken aan een toekomstvast ICT‑landschap. Voortbouwend op het project Generieke voorzieningen voor softwareontwikkeling en testen (GST, zie deel 1 van dit viermaandenverslag, paragraaf ICT en informatiebeveiliging en privacy onder het kopje Versnelling van de ICT‑verandercapaciteit), hebben we de automatisering van de systematische ontwikkeling van processen uitgebreid naar de acceptatie- en productieomgeving, waardoor nieuwe software substantieel sneller in productie kan worden genomen. Ook leidt deze automatisering van kwaliteitscontroles in het ontwikkelproces tot stabielere en kwalitatief betere software. We bevinden ons nu nog in de pilotfase, later dit jaar starten we met de implementatie voor alle geschikte applicaties.

Blijvende aandacht voor informatiebeveiliging en privacy

We verwachten dat uiterlijk per 2026 al onze processen en systemen geheel aan de Baseline Informatiebeveiliging Overheid (BIO) voldoen. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Op basis van gesignaleerde risico’s, het nationale dreigingsbeeld van het Nationaal Cyber Security Centrum en wet- en regelgeving verbeteren we continu de digitale weerbaarheid van UWV.

Verminderen risico’s Sonar

Het systeem Sonar bevat gegevens van veel werkzoekenden en voldeed niet volledig aan de eisen van de Algemene verordening gegevensbescherming (AVG). Een extern bureau heeft in 2020 onderzoek gedaan naar hoe de informatiebeveiliging en privacy (IB&P) van dit verouderde systeem kan worden verbeterd. Het daarna ingestelde project Sonar IB&P had tot doel om de 77 bevindingen uit het onderzoeksrapport op te lossen en zo het IB&P‑risiconiveau voor Sonar sterk te reduceren. Dit project is in januari 2023 beëindigd. Alle 77 bevindingen zijn opgelost. Dat houdt in dat het risico volledig is gemitigeerd of dat het risico (gedeeltelijk) formeel is geaccepteerd. De restrisico’s en overdrachtspunten van het project zijn opgenomen in een Information Security Management System‑(ISMS-)tool om te borgen dat deze punten worden gemonitord en ook worden meegenomen in de voorbereidingen voor de aanbesteding voor een nieuw systeem dat Sonar zal vervangen. De verwachting is dat dit niet voor 2026 mogelijk is.

Next level security

Met het programma Next Level Security (NLS) (zie ook deel 1 van dit viermaandenverslag, paragraaf ICT en informatiebeveiliging en privacy onder het kopje Next level security) verbeteren we de beveiliging en vergroten we de mogelijkheden om te monitoren. In 2022 namen we het ISMS in gebruik, waardoor we nu beschikken over een centraal informatiebeveiligingsmanagementsysteem waarmee we voor de middellange termijn verbetermaatregelen kunnen uitvoeren. Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2026 stapsgewijs verouderde Identity and Access Management‑(IAM‑)systemen door een nieuwe uniforme, effectieve werkwijze voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. Het programma zorgt voor generieke voorzieningen. Begin 2023 zijn enkele deelprojecten gestart om eenmalig inloggen en verhoogde rechten effectiever te faciliteren. We zijn gestart met een impactanalyse van de Wet digitale overheid (Wdo), die zal leiden tot een verbeterde koppeling met digitale toegangsdiensten van de buitenwereld.

Bedrijfscontinuïteitsmanagement

Bedrijfscontinuïteitmanagement is bedoeld om te borgen dat de belangrijkste bedrijfsdoelstellingen zo veel mogelijk kunnen doorgaan of zo snel mogelijk worden hersteld bij een (kleine) verstoring. Dit is primair een taak van degene die verantwoordelijk is voor een proces, omdat die de gevolgen van verstoringen voor onze dienstverlening het best kan inschatten en de te nemen maatregelen kan prioriteren. Een adviestraject loopt om in 2023 de inrichting van taken, verantwoordelijkheden en governance te verbeteren. De uitvoering krijgt een gewijzigde strategie mee van cyclisch verbeteren. Daarbij worden in de periode 2023–2025 de bedrijfscontinuïteitsplannen voor vitale dienstverlening versneld geactualiseerd of opgesteld.

Gegevensverwerking van UWV

UWV draagt zorg voor een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. Daarvoor hebben we maatregelen en procedures getroffen. We hebben een groot deel van onze IT‑dienstverlening uitbesteed. Leveranciers leggen jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memorandums (TPM’s). In niet alle gevallen is via deze TPM’s volledig over geleverde diensten verantwoord. Hierdoor zijn we niet in staat gesteld ons met de gebruikelijke mate van zekerheid te verantwoorden over de kwaliteit van de geleverde diensten. We beschrijven in paragraaf Gegevensdienstverlening onder het kopje Configureerbare webservices de maatregelen die zijn genomen ter verbetering van de loonaangifteketen. Er lopen meerdere initiatieven om UWV weerbaarder te maken tegen digitale dreiging en om de beheersing van onze informatiebeveiliging naar een hoger niveau te tillen. Zo versterken we onze portalen door ze steeds meer te laten voldoen aan de webrichtlijnen.

Verbeteren informatiehuishouding

UWV is een informatiegestuurde organisatie. We zijn afhankelijk van de informatiestromen die we dagelijks ontvangen, opvragen, raadplegen, opslaan en uiteindelijk ook verwijderen. Het is essentieel voor de uitoefening van onze taken dat al deze informatie voldoet aan de informatieprincipes. Dat betekent dat de informatie volledig, betrouwbaar, duurzaam toegankelijk en beveiligd is. Daarnaast moeten we informatie waarvan de bewaartermijn verstreken is en die geen waarde meer heeft voor de organisatie en de maatschappij op het juiste moment en op de juiste wijze vernietigen. Sinds 2021 meten we binnen het programma Informatiehuishouding jaarlijks wat de stand van zaken is van onze informatiehuishouding en ondernemen we actie naar aanleiding van geconstateerde verbeterpunten. Uit de meting van 2022 kwam naar voren dat we nog de nodige stappen moeten zetten om in 2026 het door ons gewenste volwassenheidsniveau te bereiken. Zo voldoet de bestuurlijk‑juridische informatie, die onder andere relevant is voor Wet open overheid‑(Woo‑)verzoeken, nog niet aan de informatieprincipes. Bij de primaire processen is de vernietigbaarheid van gegevens de belangrijkste uitdaging.

Het actieplan Informatiehuishouding voor 2023 telt in totaal 27 initiatieven. Voor 17 daarvan is er inmiddels een goedgekeurd plan van aanpak en is de uitvoering gestart. We verwachten dat er in het tweede kwartaal van 2023 nog 2 initiatieven starten. De externe samenwerking met andere overheidsorganisaties, zoals het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI), het ministerie van SZW en de SVB, is met name op inhoudelijke vraagstukken geïntensiveerd, zoals het informatiebeheer van e‑mails. Het eerste deel van het vooronderzoek naar het structureel goed inregelen van de governance van de informatiehuishouding is afgerond. Hierdoor is duidelijk waar zich lacunes voordoen in de governance. Het tweede deel, dat we in het tweede kwartaal verwachten, zal een advies opleveren over het beter structureel inregelen van de governance om deze lacunes te kunnen oppakken. De komende maanden nemen we hierover beslissingen, zodat ook na de beëindiging van het programma Informatiehuishouding in 2026 helder is wie verantwoordelijk is voor een goed werkende informatiehuishouding.

Ga direct naar

Extra informatie

Bekijk ook

Toevoegen aan verslag