ICT en informatiebeveiliging en privacy
Het ICT-landschap is essentieel voor onze dienstverlening. In 2022 hebben we, in lijn met voorgaande jaren, gewerkt aan de noodzakelijke vereenvoudiging en vernieuwing om ook in de toekomst goede, betrouwbare en moderne dienstverlening waarin de mens centraal staat te kunnen blijven bieden. Zo scheppen we meer wendbaarheid en meer ruimte voor personalisatie en maatwerk. Tegelijkertijd realiseren we ons dat de maatschappelijke urgentie om de dienstverlening te verbeteren verdere versnelling vereist. Geleidelijke aanpassing van oude processen en systemen vertraagt te veel. We willen daarom sterker inzetten op innovatie.
De capaciteit die we hebben voor het realiseren van veranderingen is schaars en innovatie zal eraan moeten bijdragen dat we met dezelfde middelen meer kunnen realiseren, in een sneller tempo. Daarnaast willen we de ondersteuning van onze medewerkers verbeteren en moeten we rekening houden met de omvangrijke opgave van wet- en regelgeving, zowel van onze eigen opdrachtgever – het ministerie van Sociale Zaken en Werkgelegenheid (SZW) – als van andere opdrachtgevende ministeries en de Europese Unie (EU).
Blijvende aandacht voor informatiebeveiliging en privacy
We verwachten dat uiterlijk per 2026 al onze processen en systemen geheel aan de Baseline Informatiebeveiliging Overheid (BIO) voldoen. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Op basis van gesignaleerde risico’s, het nationale dreigingsbeeld van het Nationaal Cyber Security Centrum en (aanpassingen in) wet- en regelgeving verbeteren we continu de digitale weerbaarheid van UWV.
Verminderen risico’s Sonar
Het systeem Sonar bevat gegevens van veel werkzoekenden en voldeed niet volledig aan de eisen van de Algemene verordening gegevensbescherming (AVG). Om die reden heeft een extern bureau onderzoek gedaan naar hoe de informatiebeveiliging en privacy (IB&P) van Sonar kan worden verbeterd. De bevindingen die hieruit voortkwamen waren eind 2022 allemaal volgens planning opgepakt. Zo zijn de toegangsrechten geëvalueerd en aangepast, er zijn scripts ontwikkeld om tijdig gegevens te verwijderen waarvan de bewaartermijn is verstreken, de logging en monitoring zijn verbeterd, er worden nu sterkere wachtwoorden afgedwongen en er zijn allerlei (voortdurende) acties uitgevoerd om medewerkers bewust te maken van het belang om zorgvuldig om te gaan met persoonsgegevens. De restrisico’s en overdrachtspunten van het project zijn opgenomen in een Information Security Management System (ISMS)‑tool om te borgen dat deze punten worden gemonitord en de maatregelen waar nodig worden bijgesteld. Omdat Sonar technisch verouderd is, zal dit systeem worden vervangen. De verwachting is dat dit niet voor 2026 mogelijk is.
Onze accountantsdienst heeft in een onderzoek naar het kwaliteitsstelsel van het project Sonar IB&P geoordeeld dat dit stelsel binnen het project voldoende waarborgen heeft geboden en heeft daarbij aandachtspunten aangegeven voor de duurzame borging van de getroffen maatregelen.
Gegevensverwerking van UWV
UWV draagt zorg voor een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. Daarvoor hebben we maatregelen en procedures getroffen. We hebben een groot deel van onze IT‑dienstverlening uitbesteed. Leveranciers leggen jaarlijks verantwoording af over aan ons geleverde diensten via Third Party Memorandums (TPM’s). In niet alle gevallen is via deze TPM’s volledig over geleverde diensten verantwoord. Hierdoor is UWV niet in staat gesteld zich met de gebruikelijke mate van zekerheid te verantwoorden over de kwaliteit van de geleverde diensten. Elders in dit jaarverslag gaan we in op de stappen die we zetten om uiterlijk per 1 januari 2026 te voldoen aan de BIO (zie deel 1 van dit jaarverslag, paragraaf ICT en informatiebeveiliging en privacy, onder het kopje Informatiebeveiliging en privacy). We beschrijven in paragraaf Gegevensdienstverlening onder het kopje Configureerbare webservices de maatregelen die zijn genomen ter verbetering van de loonaangifteketen. In diezelfde paragraaf hebben we toegelicht dat er voor de loonaangifteketen een structureel proces is ingericht om misbruikrisico’s te analyseren en waar nodig te verkleinen. Er lopen meerdere initiatieven om UWV weerbaarder te maken tegen digitale dreiging en om de beheersing van onze informatiebeveiliging naar een hoger niveau te tillen. Zo versterken we onze portalen door ze steeds meer te laten voldoen aan de webrichtlijnen. Met het programma Next Level Security (NLS) (zie ook deel 1 van dit jaarverslag, alinea Next level security) verbeteren we de beveiliging en vergroten we de mogelijkheden om te monitoren. In 2022 namen we het hierboven genoemde Information Security Management System (ISMS) in gebruik, waardoor we nu beschikken over een centraal informatiebeveiligingsmanagementsysteem waarmee we voor de middellange termijn verbetermaatregelen kunnen uitvoeren. Met het in 2022 gestarte programma Modernisering Identity and Access Management (MIAMI) vervangen we tot en met 2026 stapsgewijs verouderde Identity and Access Management (IAM)-systemen door een nieuwe uniforme, effectieve werkwijze voor IAM. Zo zorgen we voor een stabiele, betrouwbare, beschikbare en veilige informatievoorziening binnen UWV. In 2022 is de basis gelegd voor de realisatie van de IAM-voorzieningen: het programmaplan is goedgekeurd en de visie en de doelarchitectuur zijn vastgesteld. Verder wordt risicomanagement nu op een meer uniforme wijze vormgegeven.
Verantwoording beveiliging Suwinet
UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet (GeVS). Voor het verantwoordingsjaar 2022 geldt de GeVS‑verantwoordingsrichtlijn uit 2022. De scope van deze verantwoording is een set van veertien normen uit de Baseline Informatiebeveiliging Overheid (BIO) en richt zich op het afnemen van Suwinet‑services. Bevindingen en eventuele afwijkingen ten opzichte van het afgesproken beveiligingsniveau rapporteren we met een transparantierapportage vóór 1 mei 2023 aan Bureau Keteninformatisering Werk en Inkomen (BKWI).