Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

Informatiebeveiliging en privacy

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

UWV biedt digitale dienstverlening en werkt met veel persoonsgegevens. Daarom moeten de informatiebeveiliging en de privacy op orde zijn.

Burgers moeten er immers op kunnen vertrouwen dat persoonsgegevens bij UWV in veilige handen zijn. Adequate beveiliging is bovendien noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen. Verder hebben we te maken met normen vanuit wet- en regelgeving, zoals de Algemene verordening gegevensbescherming (AVG). Het op orde brengen van informatiebeveiliging en privacy (IB&P) is een doorlopend proces, waarbij elk jaar stappen gezet worden en keuzes worden gemaakt.

Als gevolg van de overheidsbrede maatregelen in verband met de uitbraak van het coronavirus werkt een groot deel van de UWV’ers thuis. De behoefte voor het gebruiken van aanvullende (vergader)tools neemt toe. Bestaande tools bevatten niet alle gewenste functionaliteit. Het gebruik van videobelapplicaties is niet zomaar veilig. Voor een aantal projecten worden versneld gegevensbeschermingseffectbeoordelingen (GEB’s) uitgevoerd. De eerste vier maanden van 2020 zijn meerdere GEB’s ingediend die direct verband houden met de gevolgen van de coronacrisis. Het crisisteam heeft ervoor gekozen om een aantal aanvullende applicaties versneld en in beperkte mate uit te rollen. Een voorbeeld hiervan is de uitrol van Microsoft Teams. Door de crisis is ook de druk toegenomen om een veilig communicatiemiddel voor het delen van gegevens met derden ter beschikking te stellen. Uitgangspunt van het e‑mailbeleid van UWV is dat persoonsgegevens niet per e‑mail mogen worden verzonden. Alleen als er geen alternatief is, mag onder voorwaarden worden gemaild. Dit is bijvoorbeeld het geval in de samenwerking met ketenpartners waarmee frequent wordt gecommuniceerd en post geen reële optie is. Daarom is besloten tot een versnelde uitrol van een beproefd gecertificeerd e‑mailmiddel. Het voornaamste privacyrisico dat daarmee gepaard gaat, is dat de veiligheid van deze applicatie afhankelijk is van het gedrag van de individuele gebruiker. Een GEB is opgesteld die de risico’s en maatregelen inzichtelijk maakt.

Privacy

In maart 2020 is de geactualiseerde versie 2.0 van het UWV‑beleidskader privacy vastgesteld. Het beleidskader heeft tot doel de belangrijkste bepalingen uit de AVG te vertalen naar de praktijk van UWV. Op onderdelen betreft dat een beoogde praktijk waar UWV naartoe werkt. Bij de vaststelling van de eerste versie van het beleidskader privacy (eind 2018) is afgesproken dat de bedrijfsonderdelen voor het eind van 2019 met een gapanalyse inzichtelijk zouden maken op welke punten hun bedrijfsvoering nog niet aan het beleidskader en de AVG voldoet. De gapanalyse bevestigt het beeld dat de belangrijkste privacyrisico’s zich voordoen op het gebied van doelbinding en proportionaliteit. Het gaat daarbij om het kunnen inzien van meer gegevens dan noodzakelijk is voor de uit te voeren taak, om onvoldoende onderscheid tussen dossier en archief, om het bewaren van data waarvan de bewaartermijn is verstreken en om het gebruiken van data voor een nieuw doel dat niet met het oorspronkelijke doel verenigbaar is. In het tweede tertaal van 2020 wordt gewerkt aan de IB&P‑agenda waarin naast de IB&P‑risico’s ook maatregelen worden bepaald.

Inbreuken in verband met persoonsgegevens

Op grond van de AVG moeten in principe alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient UWV ook de betrokkene in te lichten. In de eerste vier maanden van 2020 heeft UWV in totaal 843 signalen over mogelijke inbreuken ontvangen en er daarvan 261 gemeld aan de AP. Hiervan hadden 224 meldingen betrekking op door UWV verzonden post. Een standaardonderdeel van de vervolgprocedure bij een melding is het inzetten van verbeteracties. In deze periode is er 1 datalek geweest dat als impactvol kan worden beschouwd. Dit betrof een maandelijkse levering van UWV Gegevensdiensten aan 2 verzekeraars inzake de aanvulling op de Ziektewet‑uitkering. Dit incident wordt nog nader onderzocht. Het eind 2019 vastgestelde calamiteitenplan voor impactvolle datalekken is in januari 2020 intern gepubliceerd.

Gegevensbeschermingseffectbeoordelingen

De AVG vereist dat voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt, een gegevensbeschermingseffectbeoordeling (GEB) moet worden uitgevoerd. Dit proces is ingericht en zorgt voor een vergroot inzicht in de gegevensverwerkingen en de risico’s en maatregelen. Om te bepalen of het uitvoeren van een volledige GEB voor de desbetreffende verwerking noodzakelijk is, doen we eerst een GEB‑check. In de eerste vier maanden van 2020 heeft de GEB-board in totaal 14 GEB‑checks en 17 GEB‑rapporten afgerond (er zijn 30 GEB‑checks en 32 GEB‑rapporten ontvangen).

Recht op inzage en correctie

Burgers hebben recht op inzage in en eventueel correctie van de persoonsgegevens die UWV van hen verwerkt. Op grond van verschillende signalen uit de organisatie blijkt dat het proces voor inzage- en correctierecht voor verbetering vatbaar is. Diverse activiteiten zijn ondernomen zoals bijeenkomsten ter bevordering van kennisdeling, de verbetering van brieven en formulieren, en het actualiseren van de lijst met contactpersonen. Uit de kennisdeling blijkt dat de huidige afhandeling op de UWV‑kantoren niet goed verloopt: medewerkers zijn niet goed op de hoogte van het proces, klanten klagen over tijdigheid en volledigheid van de afhandeling en het ontbreekt aan inzicht in bijvoorbeeld totaalaantallen verzoeken en de wijze van afhandeling. Om deze redenen is besloten het proces aan te passen naar een centrale routing waarbij de districtskantoren zo veel mogelijk ontlast worden. Het komende kwartaal start de verdere uitwerking van het nieuwe proces.

Informatiebeveiliging

Om de privacy van burgers en medewerkers te beschermen is het zaak de informatiebeveiliging op orde te hebben.

Technische maatregelen

UWV is eind 2018 een traject gestart om externe softwareleveranciers gecontroleerd toegang te geven tot de UWV‑omgeving. De toegang tot de UWV‑omgeving wordt hierdoor beter gereguleerd en daarmee in lijn gebracht met de AVG en geldende interne richtlijnen. De procedure wordt in twee fasen doorgevoerd. Tijdens de eerste fase krijgen de externe softwareleveranciers op gecontroleerde wijze toegang tot UWV. De tweede fase is gericht op het gecontroleerd toegang verschaffen tot applicaties en systemen. De interne afspraak om de eerste fase in het eerste kwartaal van 2020 af te ronden bleek voor een aantal divisies helaas niet haalbaar. Wel worden inspanningen geleverd om dit alsnog zo snel mogelijk te realiseren. De verwachting is dat de tweede fase met behulp van monitoring wordt gerealiseerd via de transitie naar de nieuwe datacenteromgeving van leverancier DXC.

Een ander belangrijk beveiligingsthema dat een constant aandachtspunt is binnen het IV‑domein, is veilige software. UWV hanteert hiervoor het Secure Software Development (SSD) framework. Voor nieuwe software is dit in afspraken/contracten met softwareleveranciers vastgelegd. Voor bestaande, oudere software, is begin 2019 een pilot gestart met als doel om gezamenlijk met de applicatie- en hostingleveranciers de implementatie van SSD te evalueren. De pilot is inmiddels afgerond, waarbij de resultaten zijn gedeeld met de Tactische Coalitie IB&P. Een projectplan met verbeteracties is in 2020 opgesteld en aangeboden aan de IV‑board. Op onderdelen is een onderzoek uitgevoerd naar de organisatie‑impact. Dit wordt opnieuw voorgelegd aan de IV‑board.

In het eerste kwartaal van 2020 is verder gewerkt aan het ontwikkelen van een centrale voorziening om logdata uit infrastructuur en applicaties op te slaan (loghost). Hierdoor kan UWV adequater op afwijkingen van standaardpatronen reageren en actie ondernemen om problemen te voorkomen, te beperken en op te lossen. De tool voor Information Security Management System (ISMS) is opgeleverd en wordt gedurende 2020 ingericht. Met de inrichting van ISMS krijgen we inzicht in de status van risico’s. Daardoor zijn we in staat om doeltreffend te sturen op het IB&P‑domein en kunnen we aantoonbaar maken dat UWV aan de vereisten van wetgeving en normenkaders voldoet. Met ISMS kan de informatie efficiënter worden verwerkt, ontstaat een betere basis voor rapportage en sturing en krijgen we een concernbreed inzicht in de mate van compliance.

Autorisatiebeheer

Effectief autorisatiebeheer zorgt ervoor dat een systeem alleen toegankelijk is voor medewerkers die de gegevens in het systeem nodig hebben voor hun werkzaamheden. Daarmee wordt het risico op misbruik van gegevens zo veel mogelijk beperkt. Met een controlemodel voor risicovolle autorisatieafwijkingen (delta’s) houden we toezicht op de uitvoering van het huidige autorisatiebeheerproces. In het eerste tertaal van 2020 is een verbeterplan opgesteld om het proces rond het aanmaken van de deltalijsten te versimpelen en te automatiseren, waardoor de lijsten die bij de controles gebruikt worden betrouwbaarder worden. Het verbeterplan wordt inmiddels uitgevoerd. De verbeteringen in de kwaliteit van de deltalijsten leiden initieel tot een hoger aantal delta’s. De kwaliteit van de deltalijsten wordt echter verbeterd. Hierdoor kunnen gerichtere schoningsacties worden uitgezet. De verwachting is dat in de loop van het tweede tertaal het aantal delta’s daardoor weer zal afnemen. Daarnaast worden stappen gezet om autorisatiebeheer als onderdeel van identity access management (IAM, het beheer van gebruikers en hun toegangsrechten binnen een (bedrijfs)netwerk) uit te werken. Een visie op IAM is in concept opgesteld en zal in 2020 leiden tot gestructureerde uitwerking in beleidsuitgangspunten.

Bewustwording

Het vergroten van de bewustwording van medewerkers over de risico’s van het werken met vertrouwelijke informatie van klanten is een belangrijke maatregel voor het borgen van informatiebeveiliging en privacybescherming. De e‑learnings hiervoor zijn de afgelopen periode geëvalueerd en worden geactualiseerd. Afgesproken is dat ze worden opgenomen in het onboardingprogramma voor nieuwe medewerkers, dat in de loop van 2020 wordt uitgerold in de divisies. Divisies zijn zelf verantwoordelijk om de huidige medewerkers en managers de e‑learnings te laten volgen.

Baseline Informatiebeveiliging Overheid

Per 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) in werking getreden. We hebben in november 2019 definitief besloten over te gaan op de BIO. Als uitwerking van dit besluit actualiseren we in het tweede kwartaal van 2020 het huidige strategische en tactische informatiebeveiligingsbeleid en stellen we opnieuw de verantwoordelijkheden in de organisatie vast ten aanzien van de normen uit de BIO. Beide acties worden in nauwe samenwerking met de betrokken bedrijfsonderdelen uitgevoerd. Hierna zullen de bedrijfsonderdelen een gapanalyse ten opzichte van het nieuwe beleid uitvoeren.

Informatiebeveiligings- en privacybeschermingsagenda 2021–2025

Onze Informatiebeveiligings- en privacybeschermingsagenda geeft inzicht in welke activiteiten nodig zijn om de voornaamste IB&P‑risico’s te verminderen. De IB&P‑agenda bestaat uit een top 11 van UWV‑brede risicogebieden en een overzicht van de voorgenomen maatregelen. In het eerste tertaal van 2020 is de IB&P‑agenda herijkt. Uit de herijking en de geïnventariseerde decentrale IB&P‑risico’s van de verschillende organisatieonderdelen komt naar voren dat de top 11 van 2020 grotendeels van toepassing blijft voor 2021. Naast de bestaande risico’s ten aanzien van onder andere bewustzijn, doelbinding en proportionaliteit, veilig digitaal communiceren, en beveiligde portalen heeft de risico‑inventarisatie ook het inzicht opgeleverd dat er blijvend aandacht nodig is voor de digitale weerbaarheid van de organisatie. Deze uitkomst is in lijn met de verwachting dat deze risico’s niet binnen een jaar zijn opgelost. Diverse maatregelen zijn vanwege de beperkte verandercapaciteit en de daaruit voortvloeiende prioritering nog niet genomen in 2020 en daarmee onverminderd actueel. De IB&P‑agenda 2021–2025 zal halverwege het tweede tertaal worden voorgelegd aan de raad van bestuur.

Ga direct naar

Toevoegen aan verslag