Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT en informatiebeveiliging en privacy

Goed werkende, betrouwbare en beschikbare ICT is essentieel en randvoorwaardelijk voor goede dienstverlening waarin burgers centraal staan, met oog voor de menselijke maat en voor de ondersteuning van onze medewerkers daarbij. Onze ambitie op het gebied van de ICT voor de komende jaren is dan ook groot.

Niet alle veranderingen kunnen tegelijkertijd worden doorgevoerd, enerzijds doordat in een bepaald aandachtsgebied veranderingen slechts beperkt gelijktijdig uitgevoerd kunnen worden, anderzijds door de beschikbare capaciteit van (ICT‑)personeel. Het werven van nieuw personeel is gegeven de krappe arbeidsmarkt lastig en biedt beperkt mogelijkheden. We zullen nog meer onze interne uitdagingen moeten prioriteren door ons portfolioproces en capaciteitsmanagement verder te verbeteren. Met het programma Samen op koers maken we onze ICT‑organisatie effectiever, efficiënter en wendbaarder (zie ook deel 2 van dit achtmaandenverslag, paragraaf ICT en informatiebeveiliging en privacy).

Een belangrijk onderdeel van ‘werken aan het fundament’ is de vernieuwing van ons ICT‑landschap. Het gaat daarbij om reguliere vervangingen en ook om een aantal grote meerjarige projecten die grote verouderde ICT‑systemen, de zogeheten legacysystemen, vernieuwen of zo veel mogelijk aanpassen aan de eisen en mogelijkheden van vandaag. Met de vernieuwing van ons ICT‑landschap vergroten we de mogelijkheden voor betere dienstverlening en zorgen we ervoor dat een volgende vernieuwingsslag weer gemakkelijker zal verlopen. Daardoor zal er op langere termijn minder capaciteit nodig zijn voor de instandhouding van het ICT‑landschap, waardoor de mogelijkheden voor verdere verbetering van de dienstverlening weer toenemen. In de eerste acht maanden van 2023 hebben we een aantal belangrijke stappen gezet.

Migratie naar nieuwe datacenter

De migratie naar het datacenter van onze nieuwe leverancier heeft in februari een belangrijke mijlpaal bereikt met de succesvolle omzetting van alle op de contractdatum bekende applicaties naar het nieuwe datacenter. De laatste applicaties van ons alsmaar groeiende ICT‑landschap zijn in het derde kwartaal van 2023 gemigreerd. Eind 2023 wordt deze grote transitie naar het nieuwe datacenter volledig afgerond met de migratie van de laatste koppelingen en wordt UWV ontkoppeld van het oude datacenter. Vanaf dat moment zullen er naar verwachting maandelijks baten van ongeveer € 3,3 miljoen worden gerealiseerd.

Versnelling van de ICT-verandercapaciteit

We hebben in april 2023 het project Generieke voorzieningen voor softwareontwikkeling en testen (GST) succesvol afgerond. Daarmee is het voor softwareontwikkelteams dankzij standaardvoorzieningen eenvoudiger geworden om softwarewijzigingen door te voeren met automatische kwaliteitschecks. Dit zorgt voor meer wendbaarheid en snelheid om nieuwe functies te ontwikkelen, speelt capaciteit vrij bij ontwikkelaars en testers voor complexere werkzaamheden en zorgt ook voor betere samenwerking binnen UWV. Verder maken we in toenemende mate gebruik van het werkstroombesturingspakket Business Automation Workflow (BAW) om applicaties te ontwikkelen die medewerkers ondersteunen in hun werk.

Voortgang van het UIP

In het UWV Informatieplan (UIP) schetsen we onze ICT-doelstellingen en -planning voor de komende jaren. In de afgelopen jaren hebben we conform het UIP de continuïteit en stabiliteit van ons ICT‑landschap verbeterd. We richten ons in 2023 op drie overkoepelende thema’s: het verbeteren en verbreden van de dienstverlening, het versterken van het ICT‑fundament en het versterken van de governance op het ICT‑veranderportfolio.

In de eerste acht maanden van 2023 hebben we daarbij de volgende voortgang geboekt.

  • Verbeteren en verbreden dienstverlening: Begin 2023 hebben we met de implementatie van het modelrisicomanagement voor risicoscans beleid vastgesteld voor een verantwoord gebruik van algoritmes. Momenteel verbreden we dit beleid naar alle algoritmes binnen UWV. Ook hebben we het project Herontwerp Medewerker 2 afgerond. Hierdoor zijn WW‑medewerkers minder tijd kwijt aan administratieve handelingen, waardoor er meer ruimte is voor persoonlijke dienstverlening waarbij de cliënt zich gezien, gehoord en geholpen voelt. Inmiddels is het project Herontwerp Medewerker 3 gestart. In dit project worden de werkvoorraden uit diverse legacysystemen toegevoegd aan de nieuwe medewerkerapplicatie WW (MAWW) en wordt het Tonen Printer Vooraankondiging‑(TPV‑)systeem uitgefaseerd. Binnen MAWW is nu ook de gemeenschappelijke voorziening Klantbeeld burger ontsloten, waarmee medewerkers die dat voor hun werk nodig hebben toegang hebben tot alle relevante gegevens over de cliënt (zie ook paragraaf Meer menselijke maat en maatwerk, onder het kopje Persoonlijker contact). Verder hebben we een belangrijke verbetering doorgevoerd in het proces voor de werknemersaanvragen WIA. Dankzij een herontwerp van het digitale aanvraagformulier en het bijbehorende proces is een efficiëntere en effectievere afhandeling gerealiseerd van de aanvragen voor vraaggestuurde herbeoordelingen. Hiermee wordt bij herbeoordelingen onnodige inzet van de verzekeringsarts en de arbeidsdeskundige voor een belangrijk deel voorkomen.

  • Versterken ICT-fundament: UWV rolt in 2023 een nieuwe, moderne werkplek uit voor zijn personeel. In het programma Samen naar de moderne werkplek (SMW) ontwikkelen we een moderne, veilige en relatief leveranciersonafhankelijke werkplek voor alle UWV‑medewerkers. De moderne werkplek is gebaseerd op Microsoft‑cloudtechnologie. Daarmee stellen we aan onze medewerkers een intuïtieve, moderne werkplekomgeving met hoge beschikbaarheid ter beschikking, nieuwe laptops en een nieuwe methode van toegangsauthenticatie. Na een pilot is in juni de uitrol voor heel UWV begonnen. Deze loopt door tot het einde van 2023.

  • Versterken van de governance op het ICT-veranderportfolio: Om beter te kunnen sturen op strategische doelstellingen verbeteren we de governance op het ICT‑veranderportfolio. In de afgelopen periode zijn daarom veranderingen doorgevoerd in het portfolioproces en de portfoliostructuur. Daarbij zijn de kwaliteitscontroles van en de advisering over de kleinere projecten verder gedecentraliseerd. Ook is begonnen met het structureren van het portfolio op basis van zogenoemde buckets. Een bucket bestaat uit een cluster van projecten die bijdragen aan eenzelfde strategisch thema. Dit is een belangrijke stap in de richting van de implementatie van lean portfoliomanagement waarmee we in januari 2024 willen starten. Lean portfoliomanagement zorgt voor een effectievere sturing op de realisatie van businesswaarde. Inmiddels zijn we gestart met de ontwikkeling van een blauwdruk. Verder hebben we dit jaar onze IV‑koers geformuleerd. Hierin is de UWV‑strategie vertaald naar de strategische koers voor onze informatievoorziening (IV) voor de komende jaren (zie ook deel 2 van dit achtmaandenverslag, paragraaf ICT en informatiebeveiliging en privacy onder het kopje Samen op koers).

Bewust datagedreven werken

UWV beschikt over veel data op allerlei gebieden. We zoeken naar diverse mogelijkheden om deze data meer te benutten om onze dienstverlening te verbeteren. In ons Kompas Data Ethiek zijn de uitgangspunten vastgelegd die UWV toepast bij de ontwikkeling en het gebruik van data en algoritmes. Inmiddels wordt het kompas regelmatig gebruikt bij ethische impactassessments op diverse datatoepassingen. Deze beoordelingen helpen ontwikkelaars, eigenaren en gebruikers van datatoepassingen om ethische effecten in kaart te brengen en (waar nodig) de datatoepassing daarop aan te passen. Wanneer er daarbij dilemma’s worden geconstateerd, leggen we die voor aan de onafhankelijke Commissie Data Ethiek die ons adviseert over het verantwoord omgaan met data in datatoepassingen. Er is een extern evaluatierapport opgeleverd met aanbevelingen voor het proces van advisering en voor de opdracht aan en de ondersteuning van de commissie. We hebben de belangrijkste leerpunten overgenomen en uitgevoerd. Het expertteam dat de commissie ondersteunt is versterkt en de dialoog over het al dan niet inzetten van een datatoepassing voordat deze ontwikkeld wordt, komt op gang.

Op onze website uwv.nl zijn tot nu toe vier UWV-algoritmes opgenomen. Daarvan zijn er tot nu toe drie ook opgenomen in het Algoritmeregister van de Nederlandse overheid. In de eerste acht maanden van 2023 hebben we het aantal leerlijnen voor dataprofessionals uitgebreid tot negen. We verwachten dat er eind oktober een tiende gereed is, voor datagedreven human‑resourcemanagement.

Informatiebeveiliging en privacy

UWV hecht veel waarde aan de zorgvuldige omgang met persoonsgegevens en aan informatiebeveiliging op het juiste niveau. Verdergaande digitalisering en veranderende wet- en regelgeving, ook in EU‑verband, stellen steeds hogere eisen aan informatiebeveiliging en privacybescherming. Persoonlijke en passende dienstverlening op maat vraagt dat burgers, werkgevers, partners, medewerkers en instanties over juiste en actuele gegevens beschikken. Hierbij moeten we rekening houden met diverse wet- en regelgeving en standaarden, naast de Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). Met het oog op de informatiebeveiliging moeten we continu adequate maatregelen treffen, onderhouden en controleren, zowel in ICT‑middelen als in houding en gedrag. Aantoonbaar ‘in control zijn’ is een belangrijke doelstelling. Daarvoor zetten we in op passende maatregelen en verdere aansluiting op rijksbrede informatiebeveiliging‑ en privacystandaarden.

Voortgang implementatie BIO

Door te voldoen aan de BIO vervullen we niet alleen onze wettelijke plicht, maar ook onze maatschappelijke verantwoordelijkheid om op een veilige manier persoonsgegevens te verwerken. Het is onze ambitie om de komende jaren stapsgewijs de informatiebeveiliging verder op orde te krijgen en ervoor te zorgen dat onze processen en systemen per 1 januari 2026 geheel aan de BIO voldoen. Hiervoor hebben we roadmaps opgesteld. De jaarlijkse activiteiten voor het uitvoeren van gapanalyses en het doorvoeren van verbetermaatregelen zijn inmiddels gestart. We monitoren de voortgang op de implementatie hiervan om tijdig te kunnen bijsturen om de gestelde ambitie te halen. Hiervoor maken we gebruik van een Information Security Management System (ISMS). Met de inzet van governance, risk en compliance‑(GRC‑)tooling zorgen we voor uniformering en eenduidige rapportages en verkrijgen we inzicht in de huidige staat van informatiebeveiliging. Om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen maken we op basis van een dreigingsbeeld inzichtelijk wat de grootste dreigingen zijn. Dit beeld is gebaseerd op het nationale dreigingsbeeld dat het Nationaal Cyber Security Centrum (NCSC) ieder jaar uitbrengt.

Digitale dreiging

Er is continu sprake van digitale dreiging. Mede doordat UWV transformeert naar een digitaal gedreven organisatie, nemen het aantal aan UWV gerichte cyberdreigingen en de potentiële schade toe. Cyberincidenten zijn niet altijd te voorkomen. Wel kunnen we de gevolgen verkleinen en de schade beperken, zodat de beschikbaarheid, integriteit en vertrouwelijkheid van onze systemen gewaarborgd blijven. Mede dankzij onze goed georganiseerde informatiebeveiliging en een goede samenwerking met en informatiepositie binnen de Rijksoverheid zijn we steeds weerbaarder. Erkenning daarvoor kregen we van de Rijksoverheid met de prijs die het NCSC toekende aan het UWV Security Operations Centre (SOC) voor het op zich nemen van een leidende rol binnen het Nationaal Detectie Netwerk (NDN). Dankzij het werk en de actieve kennisdeling van het UWV SOC konden ook andere overheidspartijen zich wapenen tegen een reeks geavanceerde phishingaanvallen.

Next level security

UWV staat continu in verbinding met de digitale buitenwereld. Hackers opereren tegenwoordig zo slim dat traditionele vormen van toegangsbescherming niet meer volstaan. We bewegen hierin mee en werken aan een verdere verhoging van onze digitale weerbaarheid. We nemen maatregelen die zowel op korte termijn effect sorteren als bijdragen aan digitale weerbaarheid van UWV op de langere termijn. Met het programma Next Level Security (NLS)‑1 richten we ons op het verbeteren van specifieke cybersecuritymaatregelen. In 2022 zijn 3 van de 7 projecten van NLS‑1 afgerond. De overige 4 projecten bevinden zich inmiddels in de realisatiefase. Mede op basis van een cybersecurityroadmap is een programmaplan voor NLS‑2 opgesteld, dat in maart 2023 is goedgekeurd en loopt tot mei 2024. Binnen NLS‑2 worden 5 projecten uitgevoerd die de digitale weerbaarheid van UWV verder vergroten en informatiebeveiliging in de organisatie verankeren, waaronder de bewustwording van UWV‑medewerkers verhogen over veilig digitaal gedrag. Hierbij wordt intensief samengewerkt met andere projecten en programma’s, en benutten we ook activiteiten op het gebied van businesscontinuïteitsmanagement. We verankeren (veilig) gedrag in de organisatie, voorkomen dat medewerkers misleid worden (door bijvoorbeeld phishing) en zorgen ervoor dat ze verdachte of risicovolle situaties opmerken en rapporteren. Hiervoor is in de digitale leeromgeving van UWV een e‑learning ontwikkeld die vanaf september beschikbaar wordt gesteld aan alle medewerkers. We bepalen jaarlijks met een assessment in hoeverre de volwassenheid van de informatiebeveiligingsfuncties toeneemt en welke verdere verbeteringen nodig zijn.

Lees aanvullende informatie in deel 2

Ga direct naar

Bekijk ook

Toevoegen aan verslag