Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT en informatiebeveiliging en privacy

Het ICT-landschap is essentieel voor onze dienstverlening. In de eerste acht maanden van 2023 hebben we, in lijn met voorgaande jaren, gewerkt aan de noodzakelijke vereenvoudiging en vernieuwing om ook in de toekomst goede, betrouwbare en moderne dienstverlening waarin de mens centraal staat te kunnen bieden. Zo scheppen we meer wendbaarheid en meer ruimte voor personalisatie en maatwerk. Tegelijkertijd realiseren we ons dat de maatschappelijke urgentie om de dienstverlening te verbeteren verdere versnelling vereist. Geleidelijke aanpassing van oude processen en systemen vertraagt te veel. We willen daarom sterker inzetten op innovatie.

De capaciteit die we hebben voor het realiseren van veranderingen is schaars en innovatie zal eraan moeten bijdragen dat we met dezelfde middelen meer kunnen realiseren, in een sneller tempo. Daarnaast willen we de ondersteuning van onze medewerkers verbeteren en moeten we rekening houden met de omvangrijke opgave van wet- en regelgeving, zowel van onze eigen opdrachtgever – het ministerie van Sociale Zaken en Werkgelegenheid (SZW) – als van andere opdrachtgevende ministeries en de Europese Unie (EU).

Samen op koers

Vorig jaar is het programma De Versnelling gestart om de ICT‑maakbaarheid te vergroten en als paraplu te fungeren voor verschillende verbeterinitiatieven. In de afgelopen periode hebben we onze IV‑koers geformuleerd. Hierin hebben we de langetermijnambitie van onze informatievoorzieningsfunctie (IV) verder uitgewerkt, inclusief concrete doelstellingen en activiteiten om dit te realiseren. Deze doelstellingen vragen om meer samenwerking binnen UWV. Het is van groot belang dat we samen ‘op koers liggen’. Het programma De Versnelling wordt nu voortgezet in het nieuwe programma Samen op koers, dat inhoudelijke verbeterinitiatieven combineert met aandacht voor cultuur, gedrag en integrale aansturing.

  • We streven naar één (agile) werkwijze met waardestromen: Agile werken staat voor een wendbare manier van werken volgens een vaste methodiek. Deze werkwijze zorgt voor minder complexiteit, betere samenwerking en meer kortcyclische sturing en verbetering bij de systematische ontwikkeling van nieuwe ICT‑processen, de zogeheten ICT‑voortbrenging. We gaan multidisciplinaire teams organiseren rondom zogeheten waardestromen: alle activiteiten die nodig zijn om te komen tot bepaalde IT‑oplossingen die waarde voor onze cliënten opleveren. Hiermee sluiten we aan op de integrale klantreizen, die de vinger leggen op pijnpunten waarvoor oplossingen moeten worden bedacht. De teams in de waardestroom bouwen dan de voor de oplossingen benodigde (wijzigingen in) applicaties en systemen. Voor deze nieuwe werkwijze gaan we een passend UWV‑breed ontwerp ontwikkelen. We streven ernaar om in het vierde kwartaal van 2023 te starten met de implementatie van de eerste waardestroom. Daarnaast lossen we de huidige knelpunten in het proces stap voor stap op. Daar waar agile werken niet passend is, verbeteren we de projectbesturing.

  • We gaan beter prioriteren met (lean) portfoliomanagement: Hierdoor kunnen we focussen op de juiste projecten, en zorgen we ervoor dat over bedrijfsonderdelen heen aan dezelfde prioriteiten wordt gewerkt en dat teams niet worden overvraagd. Lean portfoliomanagement past bij de UWV‑brede overstap op agile werken en draagt bij aan een effectieve en efficiënte sturing en uitvoering van projecten. We treffen nu voorbereidingen voor de implementatie van lean portfoliomanagement vanaf het eerste kwartaal van 2024.

  • We werken verder aan een betrouwbare en wendbare doelarchitectuur: We maken het ICT‑landschap van UWV toekomstvast door ons te richten op betrouwbaarheid, flexibiliteit, veiligheid en wendbaarheid. We leggen de huidige situatie systematisch vast en onderzoeken verschillende scenario’s voor de toekomst. Op basis van het gekozen scenario creëren we vanaf 2024 een helder beeld van de gewenste doelarchitectuur en een haalbare roadmap voor de realisatie. De architectuur(functie) vervult hierbij op alle niveaus een belangrijke regierol. De methodes van agile architectuur dragen bij aan het versnellen van de ontwikkeling.

  • We automatiseren de ICT-voortbrenging verder: We automatiseren de systematische ontwikkeling van IT‑oplossingen (voortbrenging), waardoor nieuwe software substantieel sneller in productie kan worden genomen. Deze automatisering van kwaliteitscontroles in het ontwikkelproces leidt ook tot stabielere en kwalitatief betere software. We hebben recent met positieve resultaten een pilot afgerond en werken momenteel aan het projectplan voor bredere implementatie.

  • We besteden extra aandacht aan cultuur, gedrag en integrale aansturing: Al deze initiatieven zijn onlosmakelijk met elkaar verbonden en vragen om vergaande samenwerking en integrale aansturing. We combineren de inhoudelijke veranderingen met aandacht voor cultuur, leiderschap en betrokken gedrag als bewezen versnellers bij het bouwen aan een wendbare organisatie.

­

Blijvende aandacht voor informatiebeveiliging en privacy

We verwachten dat uiterlijk per 2026 al onze processen en systemen geheel aan de BIO voldoen. Deze BIO‑implementatie vindt gefaseerd plaats en we monitoren de realisatie. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Op basis van gesignaleerde risico’s, het nationale dreigingsbeeld van het Nationaal Cyber Security Centrum en wet- en regelgeving verbeteren we continu de digitale weerbaarheid van UWV.

Informatiebeveiliging naar een hoger niveau

Met het programma Next Level Security (NLS, zie ook deel 1 van dit achtmaandenverslag, paragraaf ICT en informatiebeveiliging en privacy) verbeteren we de beveiliging en vergroten we de mogelijkheden om te monitoren. In 2022 namen we het Information Security Management System (ISMS) in gebruik, waardoor we nu over een centraal informatiebeveiligingsmanagementsysteem beschikken waarmee we voor de middellange termijn verbetermaatregelen kunnen uitvoeren en op uniforme wijze over de stand van informatiebeveiliging kunnen rapporteren. Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2026 stapsgewijs verouderde Identity and Access Management‑(IAM‑)systemen door een nieuwe uniforme, effectieve werkwijze voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. Het programma zorgt voor generieke voorzieningen. Inmiddels hebben we het IAM‑beleid opgesteld. Het vooronderzoek om verhoogde rechten effectiever te faciliteren is afgerond; we maken nu een plan om deze verhoogde rechten begin 2024 te realiseren. We verwachten eind 2023 een UWV‑breed governancemodel voor IAM‑taken, ‑verantwoordelijkheden en -bevoegdheden te realiseren. Nog voor het eind van het jaar wordt het mogelijk om gebruik te maken van een eenmalige inlogfaciliteit en wordt een vooronderzoek afgerond om fijnmazige toegang te implementeren die randvoorwaardelijk is voor de toepassing van een zero‑trustmodel. Bij zo’n model wordt niet vertrouwd op het bestaan van een veilig intern netwerk en wordt er een reeks belangrijke principes gehanteerd waarmee gebruikers en hun intenties op betrouwbare wijze kunnen worden geïdentificeerd.

Bedrijfscontinuïteitsmanagement

Met bedrijfscontinuïteitsmanagement (BCM) borgen we dat de belangrijkste bedrijfsdoelstellingen kunnen doorgaan of zo snel mogelijk worden hersteld bij een calamiteit of crisis. Een adviestraject voor het verbeteren van BCM is afgerond en we verwachten in het vierde kwartaal een voorstel om in 2024 de inrichting van taken, verantwoordelijkheden en de governance te verbeteren. Een BCM‑community is bezig met voorbereidingen om uitvoering te geven aan best practises die in de periode 2024–2025 zullen leiden tot geactualiseerde bedrijfscontinuïteitsplannen voor vitale dienstverlening.

Gegevensverwerking van UWV

UWV draagt zorg voor een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. Daarvoor hebben we maatregelen en procedures getroffen. We hebben een groot deel van onze IT‑dienstverlening uitbesteed. Leveranciers leggen jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memorandums (TPM’s). In niet alle gevallen is via deze TPM’s volledig over geleverde diensten verantwoord. Hierdoor zijn we niet in staat gesteld ons met de gebruikelijke mate van zekerheid te verantwoorden over de kwaliteit van de geleverde diensten. We beschrijven in paragraaf Gegevensdienstverlening onder het kopje Configureerbare webservices de maatregelen die zijn genomen ter verbetering van de loonaangifteketen. Er lopen meerdere initiatieven om UWV weerbaarder te maken tegen digitale dreiging en om de beheersing van onze informatiebeveiliging naar een hoger niveau te tillen. Zo versterken we onze portalen door ze steeds meer te laten voldoen aan de webrichtlijnen. In lijn met het rijksbrede beleid hebben we onze medewerkers aangeraden geen gebruik te maken van de socialmedia‑app TikTok vanwege mogelijke negatieve gevolgen voor de vertrouwelijkheid. We vervangen geleidelijk de mobiele werktelefoons van medewerkers door centraal beheerde toestellen waarop die app niet kan worden geïnstalleerd.

Verbeteren informatiehuishouding

UWV is een informatiegestuurde organisatie. We zijn afhankelijk van de informatiestromen die we dagelijks ontvangen, opvragen, raadplegen, opslaan en uiteindelijk ook verwijderen. Het is essentieel voor de uitoefening van onze taken dat al deze informatie voldoet aan de informatieprincipes. Dat betekent dat de informatie volledig, betrouwbaar, duurzaam toegankelijk en beveiligd is. Daarnaast moeten we informatie waarvan de bewaartermijn verstreken is en die geen waarde meer heeft voor de organisatie en de maatschappij op het juiste moment en op de juiste wijze vernietigen. Sinds 2021 meten we binnen het programma Informatiehuishouding jaarlijks wat de stand van zaken is van onze informatiehuishouding en ondernemen we actie naar aanleiding van geconstateerde verbeterpunten. Uit de meting van 2022 kwam naar voren dat we nog de nodige stappen moeten zetten om in 2026 het door ons gewenste volwassenheidsniveau te bereiken. Zo voldoet de bestuurlijk‑juridische informatie, die onder andere relevant is voor Wet open overheid‑(Woo‑)verzoeken, nog niet aan de informatieprincipes. Bij de primaire processen is de vernietigbaarheid van gegevens de belangrijkste uitdaging.

Het actieplan Informatiehuishouding voor 2023 telt sinds juni 29 initiatieven. Voor 18 daarvan is er inmiddels een goedgekeurd of geaccepteerd plan van aanpak. Verder zijn er 9 initiatieven die tot nu toe uit reguliere budgetten worden gefinancierd en waarvoor nog geen plan van aanpak is ingediend. We verwachten dat voor 3 hiervan in het vierde kwartaal van 2023 alsnog een budgetaanvraag en een plan van aanpak worden ingediend, dat 2 initiatieven in 2024 daadwerkelijk worden opgepakt en dat voor de overige 4 initiatieven vooralsnog reguliere financiering blijft gelden. Daarnaast werden in juni 2 nieuwe initiatieven toegevoegd.

De externe samenwerking met andere overheidsorganisaties, zoals het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI), het ministerie van SZW en de SVB, is met name op inhoudelijke vraagstukken geïntensiveerd, zoals het informatiebeheer van e‑mails. Het vooronderzoek naar het structureel goed inregelen van de governance van de informatiehuishouding is afgerond. Hierdoor is duidelijk waar zich lacunes voordoen in de governance. In de afgelopen maanden zijn een eerste ontwerpschets en een voorkeursrichting vastgesteld. De komende periode wordt gebruikt voor aanvullend onderzoek om de effecten van de gekozen voorkeursrichting voor onze organisatie beter in beeld te krijgen. Besluitvorming hierover zal naar verwachting in november plaatsvinden.

Ga direct naar

Extra informatie

Bekijk ook

Toevoegen aan verslag