Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

ICT en informatiebeveiliging en privacy

Een belangrijk onderdeel van ‘werken aan het fundament’ is de permanente vernieuwing van ons ICT‑landschap. Het gaat daarbij om regulier onderhoud en om een aantal grote meerjarige projecten die te sterk verouderde ICT‑systemen, de zogeheten legacysystemen, zo veel mogelijk aanpassen aan de eisen en mogelijkheden van vandaag (voor meer informatie over legacysysteem Sonar zie deel 2 van dit jaarverslag, paragraaf ICT en informatiebeveiliging en privacy). Met elke vernieuwingsslag vergroten we de mogelijkheden voor betere dienstverlening en zorgen we ervoor dat een volgende vernieuwingsslag weer gemakkelijker zal verlopen. Daardoor zal er op langere termijn minder capaciteit nodig zijn voor de instandhouding van het ICT‑landschap, waardoor de mogelijkheden voor verdere verbetering van de dienstverlening weer toenemen. In 2023 ronden we de migratie van de laatste applicaties naar het nieuwe datacenter af. De overgang naar de nieuwe, cloudgebaseerde werkplek is gestart.

Versnelling van de ICT-verandercapaciteit

We willen een betere dienstverlening realiseren waarin de mens centraal staat. Dat heeft voordelen voor burgers, maar ook voor UWV. Het in 2022 gestarte programma De Versnelling creëert ruimte voor een verbeterde dienstverlening door de maakbaarheid van onze ICT te vergroten. Dat doen we op vier manieren:

  • We zetten in op beter prioriteren, zodat we de beste resultaten bereiken voor onze dienstverlening. Binnen het projectportfolio kennen we prioriteit toe aan continuïteit en wetgeving, maar nadrukkelijk ook aan verbetering van de dienstverlening.

  • Om inzet beter te kunnen plannen hebben we toegankelijke dashboards ontwikkeld. Verder werven we gericht medewerkers met skills die we nu tekortkomen en werken aan de ontwikkeling van het vakmanschap van onze ICT‑medewerkers. Dat is extra belangrijk gezien de schaarste op de arbeidsmarkt van ICT‑professionals.

  • We gaan wendbaarder, efficiënter en slimmer werken door in toenemende mate kortcyclische plannen in te zetten en aan de hand daarvan resultaten op te leveren. Ook werken we steeds meer vanuit verschillende bedrijfsonderdelen samen aan projecten, in plaats van afzonderlijk. Dit komt de dienstverlening ten goede.

  • We zijn gestart met de bouw van een geautomatiseerde ontwikkel-, test- en productieomgeving waarmee we automatisch kunnen testen en software overzetten van de ontwikkel- naar de test-, acceptatie- en productiefase. Hierdoor kunnen ontwikkelteams sneller aan de slag met het aanpassen van de software voor een applicatie, waarbij een deel van de stappen automatisch wordt genomen. Omdat er direct inzicht is in de kwaliteit kunnen eventuele fouten direct worden hersteld. Dat scheelt tijd en leidt tot stabiele en kwalitatief betere software.

Voortgang van het UIP

In het UWV Informatieplan (UIP) schetsen we onze ICT‑doelstellingen voor de komende jaren. In de afgelopen jaren hebben we conform het UIP de continuïteit en stabiliteit van ons ICT‑landschap verbeterd. In 2022 hebben we verder gewerkt aan de noodzakelijke vereenvoudiging en vernieuwing om ook in de toekomst goede, betrouwbare en moderne dienstverlening te kunnen blijven bieden, met meer wendbaarheid en meer ruimte voor personalisatie en maatwerk. In 2022 hebben we op het gebied van digitale dienstverlening (e‑dienstverlening), e‑werken en gegevenshuishouding de volgende voortgang geboekt:

  • E-dienstverlening: Sinds 1 maart 2022 kunnen werkenden en werkzoekenden gebruikmaken van het STAP‑budget (zie paragraaf Intensivering werkzoekendendienstverlening, onder het kopje STAP‑budget). We hebben, na enige aanloopproblemen bij de eerste aanvraagperiode in maart, de massale toestroom bij de volgende aanvraagperiodes probleemloos kunnen verwerken.

  • E-werken: Met het project Modernisering dienstverlening voorzieningen (MEDV) hebben we een nieuwe, volledig digitale dienst voor het aanvragen van een voorziening gerealiseerd. Deze is op 17 januari 2022 in gebruik genomen. Sinds november 2021 (de start van de pilotperiode) hebben al meer dan 365.000 mensen gebruikgemaakt van de nieuwe e‑aanvraag WW, ook wel WW‑klantapplicatie genoemd.

  • Gegevenshuishouding: Op het gebied van gegevenshuishouding en het beheer van kernadministraties hebben we stappen gezet met een projectvoorstel voor onder andere een pilot met datalifecyclemanagement. Met datalifecyclemanagement blijven in systemen alleen die gegevens staan die relevant zijn en die conform wet- en regelgeving mogen worden gebruikt. Met de pilot doen we kennis en ervaring op om deze aanpak ook in de andere processen van UWV te implementeren. In het programma DataFabriek, dat de bestaande drie verouderde datawarehouseomgevingen (DWH) vervangt, is ook voortgang geboekt. De werkzaamheden voor de DWH3‑omgeving naderen de afronding; momenteel onderzoeken we de migratiestrategie voor de DWH1- en DWH2‑omgevingen.

Meer datagedreven werken

UWV beschikt over veel data op allerlei gebieden. We zoeken naar diverse mogelijkheden om deze data meer te benutten om onze dienstverlening te verbeteren. In ons Kompas Data‑ethiek zijn de uitgangspunten vastgelegd die UWV toepast bij het de ontwikkeling en het gebruik van data en algoritmen. Inmiddels wordt het kompas regelmatig gebruikt bij ethische impactassessments op diverse datatoepassingen. Deze beoordelingen helpen ontwikkelaars, eigenaren en gebruikers van datatoepassingen om ethische effecten in kaart te brengen en (waar nodig) de datatoepassing daarop aan te passen. Wanneer er daarbij dilemma’s worden geconstateerd, leggen we die voor aan de in februari 2022 opgerichte onafhankelijke Commissie Data Ethiek die ons adviseert over het verantwoord omgaan met data in datatoepassingen. Het eerste jaar van functioneren van de commissie hebben we gebruikt als inleerjaar.

Algoritmen

UWV bevindt zich in de voorhoede van publieke organisaties. In 2022 hebben we met de pilot Algoritmeregister ervaring opgedaan met het specificeren, beheren en gebruiken van zo’n register en met het publiceren van informatie over algoritmes voor een breed publiek. Bij de inhoudelijke vormgeving van het register volgt UWV de in ontwikkeling zijnde wet- en regelgeving, een traject dat doorloopt tot in 2023. De eerste publicatie over drie algoritmes verscheen in het vierde kwartaal van 2022; de inhoud is vooraf voorgelegd aan de UWV‑panels voor WW-, WIA- en Wajong‑cliënten. Daarnaast participeert UWV in het Algoritmeregister van de Nederlandse overheid, dat op 21 december 2022 is gelanceerd. Daarin zijn tot nu toe drie algoritmes van UWV opgenomen. Om de beschikbare kennis op het gebied van data te vergroten, is in 2021 de UWV Data Academie opgericht. Deze verzorgt onder andere dataopleidingen en kennissessies, en ondersteunt het gebruik van curricula en leerlijnen en het tot stand brengen van een datacommunity. Het aanbod aan middelen vanuit de academie hebben we in 2022 uitgebouwd; dat zetten we in 2023 voort.

Informatiebeveiliging en privacy

UWV verwerkt op grote schaal (persoons)gegevens die vaak digitaal toegankelijk zijn. Om deze gegevens veilig te houden, investeren we continu in het op orde brengen en houden van de informatiebeveiliging en gegevensbescherming. De Algemene verordening gegevensbescherming (AVG) en de sinds 2020 geldende Baseline Informatiebeveiliging Overheid (BIO) zijn in dat opzicht de belangrijkste kaders voor onze organisatie. In 2021 hebben we voor het eerst een in‑controlverklaring afgegeven met opgestelde en toegepaste BIO‑beheersmaatregelen voor een deel van de meest kritische bedrijfsprocessen en systemen. In 2022 hebben we een in‑controlverklaring afgegeven over opgestelde en toegepaste BIO‑beheersmaatregelen voor een hoger aantal kritische bedrijfsprocessen en systemen. De bedrijfsonderdelen hebben een gapanalyse uitgevoerd tussen de bestaande informatiebeveiligingsmaatregelen en de BIO. Op basis van de resultaten van de gapanalyses hebben ze vervolgens verbeterplannen opgesteld. Veel van onze (oude) ICT‑systemen zijn niet ontworpen volgens de huidige standaarden van informatiebeveiliging en privacybescherming. We werken daarom stapsgewijs aan het herontwerpen en vernieuwen van deze systemen, maar er zijn grenzen aan wat we tegelijkertijd kunnen aanpassen. Het dichten van de tekortkomingen die zijn geconstateerd in de in‑controlverklaring gebeurt aan de hand van een meerjarenplan. Het is onze ambitie om de komende jaren stapsgewijs de informatiebeveiliging op orde te krijgen en ervoor te zorgen dat onze processen en systemen per 1 januari 2026 geheel aan de BIO voldoen. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Hiervoor maken we met een dreigingsbeeld inzichtelijk wat de grootste dreigingen zijn. Dit is gebaseerd op het nationale dreigingsbeeld dat het Nationaal Cyber Security Centrum ieder jaar uitbrengt.

Digitale dreiging

Er is continu sprake van digitale dreiging. Mede dankzij ons professionele Security Operations Centre (SOC) en een goede samenwerking binnen de Rijksoverheid zijn we in staat deze bedreigingen buiten onze systemen te houden. In 2022 hadden we te maken met twee ernstige bedreigingen, waaronder een phishingaanval. We hebben maatregelen getroffen door risico’s zoveel mogelijk te verminderen of diensten tijdelijk uit te zetten. Tegelijkertijd hebben we de aanval gebruikt om bij medewerkers te benadrukken hoe cruciaal veilig digitaal gedrag is.

Next level security

UWV staat continu in verbinding met de digitale buitenwereld. Hackers opereren tegenwoordig zo slim dat traditionele vormen van toegangsbescherming niet meer volstaan. We bewegen hierin mee en werken aan een verdere verhoging van onze digitale weerbaarheid. We nemen maatregelen die zowel op korte termijn effect sorteren als bijdragen aan digitale weerbaarheid van UWV op de langere termijn. Met het programma Next Level Security (NLS)‑1 richten we ons op het verbeteren van specifieke cybersecuritymaatregelen. In 2022 zijn 3 van de 7 projecten van NLS‑1 afgerond. De overige 4 projecten lopen door in 2023. Daarnaast heeft adviesorganisatie KPMG in 2022 een cybersecurityroadmap opgeleverd. Mede op basis van deze roadmap is in het vierde kwartaal van 2022 een tweede Next Level Security‑programma (NLS‑2) van start gegaan. Binnen NLS‑2 worden 5 projecten uitgevoerd die de digitale weerbaarheid van UWV verder vergroten en informatiebeveiliging in de organisatie verankeren. We bepalen jaarlijks met een assessment in hoeverre de volwassenheid van de informatiebeveiligingsfuncties toeneemt en welke verdere verbeteringen nodig zijn.

Lees aanvullende informatie in deel 2

Ga direct naar

Bekijk ook

Toevoegen aan verslag