UWV biedt digitale dienstverlening en werkt met veel persoonsgegevens. Daarom moeten de informatiebeveiliging en de privacy op orde zijn.
Burgers moeten er immers op kunnen vertrouwen dat persoonsgegevens bij UWV in veilige handen zijn. Adequate beveiliging is bovendien noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen. Verder hebben we te maken met normen vanuit wet- en regelgeving, zoals de Algemene verordening gegevensbescherming (AVG). Het op orde brengen van informatiebeveiliging en privacy (IB&P) is een doorlopend proces, waarbij elk jaar stappen gezet worden en keuzes worden gemaakt.
De laatste maanden heeft de coronacrisis veel invloed gehad op de UWV‑organisatie. Er werden nieuwe regelingen ingevoerd, werkwijzen werden aangepast en voor de bestaande dienstverlening moet gestaag worden opgeschaald. In het algemeen is bij deze ontwikkelingen voldoende aandacht geweest voor de bescherming van persoonsgegevens; het aantal incidenten is hierdoor niet significant toegenomen. Toch maakten de omstandigheden dat er meer risico’s moesten worden geaccepteerd dan gebruikelijk. Van belang is dat, zodra de omstandigheden dat toelaten, maatregelen worden genomen om risico’s terug te dringen.
Privacy
Terugkerende thema’s zijn de ontwikkeling van aanvullend beleid rond bijvoorbeeld digitale communicatie, de omgang met gezondheidsgegevens en ook personeelsgegevens. Dit gaat langzaam, zeker in de omstandigheden van de coronacrisis. Voordeel van goed aanvullend beleid is dat het duidelijkheid geeft aan medewerkers en managers en dat het werk bespaart.
Inbreuken in verband met persoonsgegevens
Op grond van de AVG moeten in principe alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet UWV ook de betrokkene inlichten. In de eerste acht maanden van 2020 heeft UWV in totaal 1.894 signalen over mogelijke inbreuken ontvangen. Daarvan hebben we er tot en met augustus 636 als datalek gemeld bij de AP. Dit is ruim 40% meer dan in de eerste acht maanden van 2019. Meer dan 90% van de gemelde datalekken heeft betrekking op door UWV verzonden post – er is dan bijvoorbeeld sprake van verkeerde adressering of er is een verkeerde bijlage toegevoegd. Intern wordt inmiddels werk gemaakt van de adressenproblematiek – de verschillende adressen die een klant kan aanhouden zijn een belangrijke bron van fouten. UWV heeft contact met andere zelfstandig bestuursorganen (zbo’s) en de AP om te komen tot een vereenvoudigde afhandeling van postgerelateerde datalekken. Op dit moment zijn er nog geen concrete afspraken tot stand gekomen.
Recht op inzage en correctie
Burgers hebben recht op inzage in en eventueel correctie van de persoonsgegevens die UWV van hen verwerkt. Op grond van verschillende signalen uit de organisatie blijkt dat het proces voor inzage- en correctierecht voor verbetering vatbaar is. De huidige afhandeling op de UWV‑kantoren verloopt niet goed: medewerkers zijn onvoldoende op de hoogte van het proces, klanten klagen over tijdigheid en volledigheid van de afhandeling en het ontbreekt aan inzicht in bijvoorbeeld totaalaantallen verzoeken en de wijze van afhandeling. Om deze redenen is besloten het proces aan te passen naar een centrale routing met duidelijke richtlijnen voor de afhandeling. Afgelopen kwartaal is gestart met de verdere uitwerking van dit proces en de verkenning van een ondersteunend afhandelingssysteem. Ook zijn we begonnen met de voorbereidingen voor het digitaliseren van het aanvraagproces voor inzage en correctie via Mijn UWV. Dit aanvraagproces richt zich niet alleen op inzage en correctie, maar ook op andere rechten die voortvloeien uit de AVG, zoals het recht op vergetelheid en het tijdelijk stopzetten van de verwerking van persoonsgegevens.
Samenwerkingsverbanden
Het ontbreken van een duidelijk wettelijk kader zorgt al langere tijd voor onduidelijkheid voor medewerkers en managers in de samenwerking met partners en in contact met de klant. Wat er in de praktijk gebeurt hangt dan vaak af van de lokale situatie. De enige goede oplossing hiervoor is wet- of regelgeving waarin taken en verantwoordelijkheden duidelijk zijn omschreven en de daarvoor vereiste gegevensuitwisseling is vastgelegd. Sinds het begin van het jaar zijn we hierover in gesprek met het ministerie van Sociale Zaken en Werkgelegenheid (SZW). Dit heeft echter helaas nog niet geleid tot concrete resultaten. Mede daardoor kan een initiatief als de vroegsignalering bij schuldenproblematiek (zie paragraaf Inkomenszekerheid bieden onder het kopje Pilot) nog niet als vast onderdeel van onze dienstverlening worden opgenomen.
Gegevensbeschermingseffectbeoordelingen
De AVG vereist dat voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt, een gegevensbeschermingseffectbeoordeling (GEB) moet worden uitgevoerd. Dit proces is ingericht en zorgt voor een vergroot inzicht in de gegevensverwerkingen en de risico’s en maatregelen. Om te bepalen of het uitvoeren van een volledige GEB voor de desbetreffende verwerking noodzakelijk is, doen we eerst een GEB‑check. In de eerste acht maanden van 2020 heeft de GEB‑board in totaal 38 GEB‑checks en 42 GEB‑rapporten afgerond (er zijn 59 GEB‑checks en 53 GEB ‑rapporten ontvangen).
Algoritmes en kunstmatige intelligentie
Als gevolg van de coronacrisis is de geplande start van de Commissie Datagestuurd Werken uitgesteld tot september. Dat betekent dat op dit moment nog geen meeromvattende toetsing plaatsvindt op de inzet van algoritmes en kunstmatige intelligentie bij UWV. Dergelijke toepassingen worden overigens wel getoetst vanuit het perspectief van de AVG via een gegevensbeschermingseffectbeoordeling (GEB). Noemenswaardig zijn in dit verband de GEB’s van drie analyseomgevingen. De belangrijkste gesignaleerde risico’s betreffen de grootschalige verwerking van niet‑geanonimiseerde gegevens, de verwerking van gegevens voor doelen waar die gegevens niet voor verkregen zijn en het handhaven van oorspronkelijke bewaartermijnen. Mitigerende maatregelen stuiten vaak op weerstand. Dit geldt bijvoorbeeld voor de screening van medewerkers die toegang hebben tot de analyseomgevingen. Punt van zorg is dat er buiten de aangeboden GEB’s meer toepassingen van kunstmatige intelligentie en algoritmen worden gebruikt die nog niet getoetst zijn. We willen ook daarvoor GEB’s laten opstellen.
Betrouwbaarheid leveranciers
UWV maakt met name voor ondersteunende processen vaak gebruik van externe partijen en clouddiensten. Hiervoor worden contracten gesloten en GEB’s opgesteld. Dit voorjaar is bij één partij bij toeval aan het licht gekomen dat de geleverde diensten niet voldeden aan de minimale eisen voor beveiliging en privacy. Dat is intussen opgelost, maar de conclusie is dat de papieren werkelijkheid niet noodzakelijk overeenkomt met de echte werkelijkheid. Het is van belang aangeboden diensten van externe partijen altijd te onderzoeken en minimaal te onderwerpen aan een zogeheten penetratietest.
Informatiebeveiliging
Om de privacy van burgers en medewerkers te beschermen is het zaak de informatiebeveiliging op orde te hebben.
Technische maatregelen
UWV is eind 2018 een traject gestart om externe softwareleveranciers gecontroleerd toegang te geven tot de UWV‑omgeving. De toegang tot de UWV‑omgeving wordt hierdoor beter gereguleerd en daarmee in lijn gebracht met de AVG en geldende interne richtlijnen. Deze Red envelope controlled access procedure (REP) wordt in twee fasen doorgevoerd. Tijdens de eerste fase krijgen de externe softwareleveranciers op gecontroleerde wijze toegang tot UWV. De tweede fase is gericht op het gecontroleerd toegang verschaffen tot applicaties en systemen. Een aantal divisies heeft de eerste fase nog niet afgerond (de interne afspraak was om dat te doen in het eerste kwartaal van 2020). In het vierde kwartaal van 2020 wordt de toepassing van de REP binnen UWV geëvalueerd.
Een ander belangrijk beveiligingsthema dat een constant aandachtspunt is binnen het IV‑domein, is veilige software. Sinds 2012 hanteert UWV hiervoor het Secure Software Development (SSD)‑framework. Voor nieuwe software is dit in afspraken/contracten met softwareleveranciers vastgelegd. In 2019 is de pilot waarin de implementatie van SSD is geëvalueerd met de applicatie- en hostingleveranciers, afgerond. Vervolgens is begin 2020 een projectplan met verbeteracties opgesteld. Momenteel worden deze verbeteracties uitgevoerd. Zo zijn er aanpassingen doorgevoerd die het SSD‑proces moeten optimaliseren. Verder wordt de informatievoorziening over de SSD‑bevindingen en hoe deze op te lossen verbeterd. Dat gebeurt door het realiseren van een oplossingenbibliotheek waarin SSD‑oplossingen worden opgenomen. Hiervoor is nu een middel aangewezen dat momenteel in pilotvorm wordt beproefd.
Ook in het tweede tertaal van 2020 is verder gewerkt aan het ontwikkelen van een centrale voorziening om logdata uit infrastructuur en applicaties op te slaan (loghost). Zo is de scope van het project Loghost uitgebreid, waardoor versneld de logging en monitoring is uitgevoerd op de websites van UWV – een vereiste vanuit het DigiD‑normenkader. Daarnaast is een dreigingsanalyse afgerond. Op basis van het resultaat is een prioritering aangegeven voor de nieuw te ontsluiten logbronnen.
Eerder dit jaar is een tool voor Information Security Management System (ISMS) opgeleverd voor een beperkte scope. Dat betekent dat nu uitsluitend de normenkaders DigiD en SUWI zijn opgenomen. Daarnaast zijn ICT‑controles opgenomen voor het normenkader van de Baseline Informatiebeveiliging Overheid (BIO). Met de inrichting van ISMS krijgen we inzicht in de status van risico’s. Daardoor zijn we in staat om doeltreffend te sturen op het IB&P‑domein en kunnen we aantoonbaar maken dat UWV aan de vereisten van wetgeving en normenkaders voldoet. Met ISMS kan de informatie efficiënter worden verwerkt, ontstaat een betere basis voor rapportage en sturing en krijgen we een concernbreed inzicht in de mate van compliance.
Verder is binnen UWV het vernieuwde cryptografiebeleid vastgesteld, wat is afgeleid van de BIO. Dit beleid is richtinggevend voor de wijze waarop UWV zowel opgeslagen data als data die worden uitgewisseld tussen systemen en met andere partijen kan beveiligen. Bij de toepassing van het cryptografiebeleid wordt op basis van een risicoanalyse bepaald waar aanvullende maatregelen op het gebied van versleuteling nodig zijn. Bij het operationaliseren van het beleid maken we gebruik van de ervaring die we in 2019 en 2020 hebben opgedaan met de onderliggende Richtlijn cryptografische beheersmaatregelen en houden we rekening met de mogelijkheden die de transitie naar het nieuwe datacenter DXC biedt. Voor de situatie bij DXC worden specifieke richtlijnen opgesteld naast de beheerrichtlijnen die de komende jaren tijdens de transitiefase bij de huidige dienstverlener van kracht blijven. De bedrijfsonderdelen hebben half april 2020 inzichtelijk gemaakt op welke wijze zij invulling geven aan het cryptografiebeleid en afgesproken dat zij halfjaarlijks dit inzicht herijken.
Jaarlijks vertalen we het Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC) naar het dreigingsbeeld voor UWV. Een van de directe bronnen daarbij zijn de incidenten die zich bij UWV voordoen. Zo was het begin 2020 door problemen met Citrix‑software een tijd onmogelijk om thuis te werken. Tegelijkertijd werd een kwetsbaarheid ontdekt in de Microsoft‑besturingssystemen. In dezelfde periode was er in de media ook veel aandacht voor een gijzelsoftwareaanval bij Maastricht University. Deze aanval heeft UWV gelukkig niet geraakt. We hebben onderzocht welke maatregelen UWV nog meer kan nemen om dergelijke aanvallen af te wenden en om de privacyimpact van het gebruik van Microsoft‑systemen steeds verder te beperken. Verder hebben we onderzocht welke acties binnen UWV nodig zijn bij de inkoop van ICT en leveranciersmanagement.
Autorisatiebeheer
Effectief autorisatiebeheer, als onderdeel van identity access management (IAM), zorgt ervoor dat een systeem alleen toegankelijk is voor medewerkers die de gegevens in het systeem nodig hebben voor hun werkzaamheden. Daarmee wordt het risico op misbruik van gegevens zo veel mogelijk beperkt. Met een controlemodel voor risicovolle autorisatieafwijkingen (delta’s) houden we toezicht op de uitvoering van het huidige autorisatiebeheerproces. Eerder dit jaar hebben we geconstateerd dat het proces, het controlemodel en het autorisatiebeheersysteem (ABS) voor verbetering vatbaar zijn. We gaan de nodige verbeteringen realiseren via een meerjarig programma. We richten ons in eerste instantie op de inrichting van een betere beheerorganisatie en op het beperken van de risico’s die de hoogste prioriteit hebben. Het gaat dan om overautorisatie en onderautorisatie. In het eerste geval heeft iemand rechten op systemen en toegang tot gegevens die niet bij zijn functie horen en is er een risico van misbruik, bijvoorbeeld fraude met geldstromen of het lekken van (persoons)gegevens. In het tweede geval heeft iemand juist te weinig rechten, waardoor hij zijn werk niet goed kan doen. Met het programma Helios zijn we een vooronderzoek gestart om te inventariseren wat er als eerste moet worden opgepakt om onder andere deze risico’s te mitigeren.
In het eerste tertaal van 2020 is een verbeterplan opgesteld om het proces rond het aanmaken van de deltalijsten te versimpelen en te automatiseren, waardoor de lijsten die bij de controles gebruikt worden, betrouwbaarder worden. Het verbeterplan wordt inmiddels uitgevoerd. De verbeteringen in de kwaliteit van de deltalijsten leiden initieel tot een hoger aantal delta’s. De kwaliteit van de deltalijsten wordt echter verbeterd. Hierdoor kunnen gerichtere schoningsacties worden uitgezet die op termijn zullen leiden tot een afname van het aantal delta’s. Daarnaast worden stappen gezet om autorisatiebeheer als onderdeel van IAM, het beheer van gebruikers en hun toegangsrechten binnen een (bedrijfs)netwerk uit te werken. Een visie op IAM is in concept opgesteld en zal eind 2020 leiden tot gestructureerde uitwerking in beleidsuitgangspunten.
Bewustwording
Het vergroten van de bewustwording van medewerkers over de risico’s van het werken met vertrouwelijke informatie van klanten is een belangrijke maatregel voor het borgen van informatiebeveiliging en privacybescherming. De e‑learnings hiervoor zijn eerder dit jaar geëvalueerd en worden nu geactualiseerd. Afgesproken is dat ze worden opgenomen in het onboardingprogramma voor nieuwe medewerkers, dat in de loop van 2020 stapsgewijs wordt uitgerold in de divisies. Divisies zijn zelf verantwoordelijk om de huidige medewerkers en managers de e‑learnings te laten volgen. Daarnaast worden voorbereidingen getroffen voor bewustwordingsactiviteiten in oktober, de cybersecuritymaand. Bewustwording kan nooit in de plaats treden van principes als dataminimalisatie, beperking van autorisaties, privacy by design en adequate beveiligingsmaatregelen. Systemen en processen dienen in dat opzicht inherent foutbestendig te zijn. Het is duidelijk dat dat zeker bij oudere systemen vaak nog niet het geval is. In die situaties is een bewuste omgang met persoonsgegevens een sleutelfactor.
Baseline Informatiebeveiliging Overheid
Per 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) in werking getreden. We hebben in november 2019 definitief besloten over te gaan op de BIO. Als uitwerking van dit besluit actualiseren we het huidige strategische en tactische informatiebeveiligingsbeleid en stellen we opnieuw de verantwoordelijkheden in de organisatie vast ten aanzien van de normen uit de BIO. Beide acties lopen nog; ze worden in nauwe samenwerking met de betrokken bedrijfsonderdelen uitgevoerd. In 2021 zullen de bedrijfsonderdelen naar verwachting een gapanalyse ten opzichte van het nieuwe beleid uitvoeren. Zorgpunt is dat UWV bij de eerdere Baseline Informatiebeveiliging Rijksdienst (BIR) een risicogerichte benadering heeft gehanteerd. Deze wordt nog steeds gevolgd maar volstaat niet meer: toepassing van de BIO vereist een systeemgerichte benadering waarbij bedrijfsonderdelen zich verantwoorden ten opzichte van een minimale set van de BIO‑normen. Dit vraagt een andere benadering van informatieveiligheid door het management en het zal in veel gevallen een grotere claim op de (verander)capaciteit van de bedrijfsonderdelen leggen.
Informatiebeveiligings- en privacybeschermingsagenda
Onze Informatiebeveiligings- en privacybeschermingsagenda geeft inzicht in welke activiteiten nodig zijn om de voornaamste IB&P‑risico’s te verminderen. De IB&P‑agenda bestaat uit een top 11 van UWV‑brede risicogebieden en een overzicht van de voorgenomen maatregelen. Uit de herijking van de IB&P‑agenda in het eerste tertaal van dit jaar komt naar voren dat de top 11 van 2020 grotendeels van toepassing blijft voor 2021. Er is blijvend aandacht nodig voor de digitale weerbaarheid van de organisatie – naast de aandacht voor al in de top 11 opgenomen risico’s (zie onderstaande tabel). Deze uitkomst is in lijn met de verwachting dat deze risico’s niet binnen een jaar zijn opgelost. Diverse maatregelen zijn vanwege de beperkte verandercapaciteit en de daaruit voortvloeiende prioritering nog niet genomen en daarmee onverminderd actueel.
Tabel: Top 11 risicogebieden
Risicogebieden | Risico |
1. Bewustzijn | Medewerkers zijn zich onvoldoende bewust van de risico's en hun rol op het gebied van IB&P of handelen niet naar deze risicoʼs. |
2. Doelbinding en proportionaliteit | Doelbinding en proportionaliteit is niet conform de vereisten van de AVG ingericht: |
3. Beveiliging portalen | Het belang van veilige digitale dienstverlening aan klanten en derden via de portalen neemt steeds verder toe. Het aantal diensten dat op de portalen wordt aangeboden groeit en het gebruik door klanten en derden neemt toe. |
4. Digitale weerbaarheid (nieuw) | De weerbaarheid van de organisatie staat steeds verder onder druk door een toenemende cyberdreiging. Maatregelen om incidenten te voorkomen of tijdig te detecteren en schade te beperken moeten afdoende zijn ingericht. |
5. Informatie buiten bronsystemen | Beveiligingsmaatregelen zijn veelal op applicaties gericht. Wanneer persoonsgegevens aan applicaties zijn onttrokken en elders worden opgeslagen zijn deze maatregelen niet effectief. |
6. Veilig digitaal communiceren (VDC) | Niet voor alle werkprocessen zijn goede, geaccepteerde middelen beschikbaar om veilig informatie te delen (zoals VDC of portalen) en de huidige VDC-oplossing is niet geschikt voor het versturen van medische informatie. Het gebruik van het open e‑mailkanaal voldoet niet aan de gestelde IB&P‑eisen voor informatie‑uitwisseling. Daarnaast vergroot het gebruik van e‑mail het risico op een datalek. |
7. Verouderde techniek en innovatie | UWV heeft systemen in gebruik die niet aan beveiligingsnormen zoals SSD, encryptie en zonering van netwerk kunnen voldoen. Daarnaast bieden sommige applicaties niet de functionaliteiten die gebruikers nodig hebben waardoor onveilige workarounds ontstaan. |
8. Datalekken | Fundamentele oorzaken achter datalekken, zoals workarounds op systemen die onvoldoende het werkproces ondersteunen en het ontbreken van een betrouwbaar eenduidig adressenbestand, worden nog onvoldoende opgelost. |
9. Leveranciersmanagement | Er is onduidelijkheid over de regie richting leveranciers ten aanzien van IB&P. |
10. Data-analyseomgevingen | Het ontbreekt aan een volledig inzicht van alle data-analyseomgevingen en uniform beleid over analyseomgevingen dat geldt voor alle organisatieonderdelen. Uit de gapanalyse AVG blijkt dat toegang tot gegevens, doelbinding en dataminimalisatieprincipes in de data‑analyseomgevingen onvoldoende worden toegepast. |
11. Shadow IT | Decentraal worden voorzieningen ontwikkeld/ingekocht die niet centraal beheerd worden. Shadow IT is vaak onveilige software, waarbij databases of applicaties buiten de beveiligde UWV-omgeving en het -beheer worden geplaatst. |
De IB&P‑agenda 2021–2025 is half juli vastgesteld. De voornaamste wijzigingen zijn dat:
-
de risicogebieden worden geconcretiseerd op basis van inzichten uit de gapanalyse op het privacybeleid en recente ontwikkelingen;
-
het risicogebied ‘rechten van betrokkenen’ is verwijderd uit de top 11 omdat er al afdoende maatregelen zijn genomen of voor 2020 staan gepland;
-
het risicogebied ‘digitale weerbaarheid’ is in de top 11 geplaatst vanwege de toenemende cyberdreiging en de noodzaak om adequate maatregelen te nemen.
De voorgenomen IB&P‑maatregelen die projectmatig moeten worden opgepakt, worden meegenomen in de prioritering van de projectportfolio van het UWV Informatieplan (UIP). Daarna wordt opnieuw bekeken welke maatregelen regulier worden opgepakt. Een overkoepelend risico is inherent aan de eerdergenoemde risicogerichte benadering: doordat IB&P‑belangen nog onvoldoende zijn ingevlochten in de bredere prioriteitstelling van de bedrijfsonderdelen, is er geen sprake van werkelijk IB&P‑management. Mitigerende maatregelen die in GEB’s en jaarplannen worden voorgesteld, dreigen daardoor niet op het netvlies van de juiste personen te staan en de realisatie is op zijn minst onvoorspelbaar. Het voortbestaan van risico’s wordt daarbij niet expliciet en op het juiste niveau geaccepteerd.