Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

Informatiebeveiliging en privacy

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

UWV biedt digitale dienstverlening en werkt met veel persoonsgegevens. Daarom moeten de informatiebeveiliging en de privacy op orde zijn. Burgers moeten er immers op kunnen vertrouwen dat persoonsgegevens bij UWV in veilige handen zijn. Adequate beveiliging is bovendien noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen. Verder hebben we te maken met normen vanuit wet- en regelgeving, zoals de Algemene verordening gegevensbescherming (AVG). Het op orde brengen van informatiebeveiliging en privacy is een doorlopend proces, waarbij elk jaar stappen gezet worden en keuzes worden gemaakt.

Belangrijkste punten in deze paragraaf

Wij vinden de privacy van onze klanten een groot goed. En met de toenemende digitalisering wordt het bewaken van de privacy van burgers steeds belangrijker. We beperken privacyrisico’s in overeenstemming met de voorschriften van de Algemene verordening gegevensbescherming (AVG). In 2019 is gestart met het uitvoeren van een organisatiebrede gapanalyse om in beeld te krijgen waar UWV nu staat en welke verbeteringen nog nodig zijn. De beschikbare analyses laten zien dat we, om te voldoen aan de vereisten van de AVG, aan twee onderwerpen bijzondere aandacht moeten besteden: het tijdig schonen van de systemen en het zodanig inrichten van de systemen dat alleen medewerkers die dat nodig hebben voor het uitoefenen van hun taak toegang hebben tot klantgegevens. In 2019 was er een toename van autorisatieafwijkingen. We hebben maatregelen getroffen waardoor het aantal risicovolle afwijkingen zich aan het eind van het jaar weer op een acceptabel niveau bevond.

Ook incidenten zoals datalekken handelen we af volgens de richtlijnen van de AVG. In 2019 heeft UWV 1.657 signalen over datalekken ontvangen. Daarvan zijn 606 meldenswaardige signalen aan de Autoriteit Persoonsgegevens (AP) doorgegeven (2018: 342). Dat het aantal meldingen is gestegen, komt doordat er dankzij het toegenomen bewustzijn onder medewerkers meer incidenten worden herkend als een inbreuk. Daarnaast onderscheppen we sinds 2019 geopende retourpost beter en melden deze zo nodig als datalek aan de AP.

Privacy

Wij vinden de privacy van onze klanten een groot goed. En met de toenemende digitalisering wordt het bewaken van de privacy van burgers steeds belangrijker. We beperken privacyrisico’s in overeenstemming met de voorschriften van de AVG. Ook incidenten zoals datalekken handelen we af volgens de richtlijnen van de AVG.

Algemene verordening gegevensbescherming

Op grond van de AVG heeft UWV per 25 mei 2018 maatregelen ter bescherming van persoonsgegevens aantoonbaar ingericht. Dit betekent onder andere dat we een functionaris gegevensbescherming (FG) hebben aangesteld, gegevensbeschermingseffectbeoordelingen uitvoeren, klanten actief informeren over het gebruik van persoonsgegevens en een register gegevensverwerking hebben ingericht alsmede het inzage- en correctierecht. In december 2018 is het UWV Beleidskader privacy vastgesteld, waarin is vertaald wat de AVG voor UWV betekent en hoe UWV beter kan voldoen aan de vereisten van de AVG en de bescherming van persoonsgegevens. Hiermee is een ambitieuze horizon in beeld gebracht. In 2019 is gestart met het uitvoeren van een organisatiebrede gapanalyse om in beeld te krijgen waar UWV nu staat en welke verbeteringen nog nodig zijn. De beschikbare analyses laten zien dat we, om te voldoen aan de vereisten van de AVG, aan twee onderwerpen bijzondere aandacht moeten besteden: het tijdig schonen van de systemen en het zodanig inrichten van de systemen dat alleen medewerkers die dat nodig hebben voor het uitoefenen van hun taak toegang hebben tot klantgegevens.

Gegevensbeschermingseffectbeoordeling

De AVG vereist dat voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt, een gegevensbeschermingseffectbeoordeling (GEB) wordt uitgevoerd. UWV heeft hiervoor een proces ingericht. De criteria daarvoor zijn gebaseerd op richtlijnen van de Autoriteit Persoonsgegevens (AP). Een GEB‑board onder verantwoordelijkheid van de functionaris gegevensbescherming beoordeelt wekelijks de kwaliteit van de uitgevoerde GEB’s. Met een GEB‑check kan worden bepaald of het uitvoeren van een volledige GEB voor de desbetreffende verwerking noodzakelijk is. In 2019 heeft de GEB‑board tweehonderd GEB-checks en -rapporten behandeld.

Datalekken

Op grond van de AVG moeten alle beveiligingsincidenten met persoonsgegevens (datalekken) binnen 72 uur na constatering worden gemeld aan de AP, tenzij het onwaarschijnlijk is dat het incident een risico oplevert voor de rechten en vrijheden van de betrokken persoon. Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt, moet UWV ook de betrokken personen inlichten. In 2019 heeft UWV 1.657 signalen over datalekken ontvangen. Daarvan zijn 606 meldenswaardige signalen aan de AP doorgegeven (2018: 342). Dat het aantal meldingen is gestegen, komt doordat er dankzij het toegenomen bewustzijn onder medewerkers meer incidenten worden herkend als een inbreuk. Daarnaast onderscheppen we sinds 2019 geopende retourpost beter en melden deze zo nodig als datalek aan de AP. Van alle meldingen aan de AP gaat het bij ruim de helft om deze retourpost. Deze meldingen hebben meestal maar op één persoon betrekking, maar de ernst kan wisselend zijn, variërend van een verkeerd bezorgde neutrale uitnodiging tot een verkeerd bijgevoegd medisch rapport. De overige meldingen zijn datalekken met uiteenlopende oorzaken en hebben meestal betrekking op meerdere personen.

Bij alle meldingen ondernemen we direct actie om de schade voor de betrokkenen te beperken. We analyseren regelmatig de meldingen om ontwikkelingen daarin te onderkennen en maatregelen te kunnen treffen om het risico op herhaling te verkleinen. Bij impactvolle datalekken is het cruciaal dat snel en gecoördineerd de juiste stappen worden gezet. Daarvoor hebben we een calamiteitenplan opgesteld dat zo veel mogelijk aansluit bij de bestaande crisisorganisatie en bijbehorende processen. Dit calamiteitenplan wordt naar verwachting in het eerste tertaal van 2020 in gebruik genomen.

In 2019 heeft UWV een aantal datalekken gehad met grote impact:

  • Op 30 april 2019 is geconstateerd dat in de twee voorafgaande weken met een account van één werkgever vanuit werk.nl circa 117.000 unieke cv’s zijn gedownload. De betrokkenen en de AP zijn over het incident geïnformeerd. Het account van de werkgever is meteen geblokkeerd. We hebben alle wachtwoorden van werkgevers gereset, oude accounts opgeschoond en de processen rond de monitoring verbeterd – waardoor misbruik beter en sneller geconstateerd kan worden.

  • Een UWV‑medewerker heeft bij een uitnodiging via e-mail een bestand met persoonsgegevens van 586 klanten aan 99 klanten meegestuurd. De medewerker heeft hiermee de geldende richtlijnen niet gevolgd. Het is niet toegestaan om direct via e-mail met klanten te communiceren, dat moet altijd via een beveiligde omgeving zoals Mijn UWV of de Werkmap. Daarnaast is het zogenaamde vierogenprincipe niet toegepast. De klanten die het selectiebestand ontvangen hebben, is gevraagd het bestand en eventuele lokale kopieën te verwijderen.

Inzage en correctie

Op grond van signalen die de functionaris gegevensbescherming heeft ontvangen uit de organisatie, is geconcludeerd dat de afhandeling van verzoeken in verband met het inzage- en correctierecht voor verbetering vatbaar is. Een werkgroep heeft een aantal verbeteringen uitgewerkt om de afhandeling van dergelijke verzoeken te versnellen en te verbeteren. Zo is de interne informatievoorziening over de afhandeling van dit soort verzoeken verbeterd. Verder zijn hiervoor hulpmiddelen beschikbaar gesteld, zoals briefsjablonen en een netwerk van contactpersonen.

Autoriteit Persoonsgegevens

Momenteel lopen er bij UWV twee grotere onderzoeken van de AP naar datalekken. Het eerste betreft een onderzoek naar datalekken van de divisie WERKbedrijf. Dit onderzoek is gestart in december 2018. De AP heeft in augustus 2019 een tweede informatieverzoek hierover ingediend. UWV heeft hierop gereageerd en in november 2019 heeft de AP een feitenrelaas aan UWV voorgelegd. UWV heeft hierop schriftelijk gereageerd en is in afwachting van een reactie van de AP. Het tweede onderzoek, dat gestart is in juni 2019, gaat over de wijze van registratie en het melden van datalekken. Ook in dit geval heeft de AP inhoudelijke vragen gesteld en heeft UWV deze beantwoord. Naast deze twee grote onderzoeken heeft de AP ook kleine onderzoeken gestart, onder andere naar aanleiding van klachten van klanten die bij de toezichthouder zijn binnengekomen.

Informatiebeveiliging

Adequate beveiliging is noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen. Cybersecurity vraagt steeds meer aandacht. In lijn met het Cybersecuritybeeld Nederland (CSBN) investeert UWV in het vergroten van de digitale weerbaarheid. Het gaat om concrete risico’s. Ook UWV heeft in 2019 bedreiging van de digitale dienstverlening ondervonden. Onze maatregelen zijn effectief gebleken in het afslaan van de digitale aanvallen.

Baseline Informatiebeveiliging Rijksdienst

In 2019 hebben wij maatregelen genomen om de veiligheid van gegevens en informatiesystemen verder te borgen. Hierbij conformeren wij ons aan de Baseline Informatiebeveiliging Rijksdienst (BIR), die per 2020 opgaat in de Baseline Informatiebeveiliging Overheid (BIO). Alle maatregelen om onze ICT‑systemen te laten voldoen aan de laatste (beveiligings)vereisten leggen een steeds groter beslag op ons verandervermogen. We investeren bijvoorbeeld in het verbeteren van het autorisatiebeheer op onze systemen en applicaties, het loggen en monitoren van het gebruik van applicaties, het aanpassen van applicaties in lijn met beveiligingseisen voor software en het anonimiseren van testdata. Daarbij maken we keuzes en brengen we prioriteiten aan op grond van een risicogerichte aanpak.

UWV is eind 2018 een traject gestart om externe softwareleveranciers gecontroleerd toegang te geven tot de UWV‑omgeving. De toegang tot de UWV‑omgeving wordt hierdoor beter gereguleerd en in lijn gebracht met de AVG en interne richtlijnen. De procedure wordt in twee fasen doorgevoerd. De eerste fase, waarin de externe softwareleveranciers op gecontroleerde wijze toegang krijgen tot de UWV‑omgeving, is licht vertraagd door wijzigingen in procestechnische afspraken. Verwachting is dat deze fase in het eerste kwartaal van 2020 wordt afgerond.

Veilige software is een constant aandachtspunt binnen het IV‑domein. UWV hanteert hiervoor de kwaliteitsrichtlijn Secure Software Development (SSD). Voor nieuwe software is dit in afspraken en contracten met softwareleveranciers vastgelegd. Voor bestaande, oudere software blijkt dit weerbarstige materie, omdat de rolverdeling met onze hostingpartij en softwareleveranciers niet altijd duidelijk is. Begin 2019 is een pilot gestart die tot doel heeft om samen met de applicatie- en hostingleveranciers de implementatie van SSD te evalueren. De pilot is inmiddels afgerond en heeft het inzicht opgeleverd dat een betere verankering in processen en op organisatieniveau nodig is voor SSD. We stellen op basis van de bevindingen een projectplan met verbeteracties op.

Uitgangspunt van het e‑mailbeleid van UWV is dat persoonsgegevens niet per mail mogen worden verzonden. Alleen als er geen alternatief is, mag onder voorwaarden worden gemaild. Dit is bijvoorbeeld het geval in de samenwerking met ketenpartners, waarmee frequent wordt gecommuniceerd en post geen reële optie is. Met het programmavoorstel Iris werken we sinds oktober 2019 aan een veilig communicatiealternatief. Binnen dit programma worden twee verschillende vormen van veilig digitaal communiceren in pilots beproefd en vergeleken.

Autorisatiebeheer

Autorisatiebeheer, ofwel het beheer van toegangsrechten van medewerkers tot en binnen de (digitale) werkplek, is een belangrijk thema binnen UWV. Met een controlemodel voor risicovolle autorisatieafwijkingen houden we toezicht op de uitvoering van het huidige autorisatiebeheerproces. In 2019 was er een toename van autorisatieafwijkingen. De divisies hebben maatregelen getroffen om het aantal afwijkingen te verlagen. In de laatste maanden van het jaar is een dalende trend ingezet, waardoor het aantal risicovolle afwijkingen zich weer op een acceptabel niveau bevindt.

In 2019 is in het project Toekomstvast autorisatiebeheer gewerkt aan waarborgen voor stabiliteit en continuïteit van het autorisatiebeheersysteem. Contracten en ondersteuning zijn tot 2023 geborgd en de omgeving is technisch gemigreerd naar een nieuw platform, waardoor de wendbaarheid, flexibiliteit en stabiliteit beter zijn geborgd. Doordat we bij autorisatiebeheer geen gebruik meer maken van het burgerservicenummer voldoen we aan de bestaande wetgeving.

Encryptiebeleid

UWV heeft eind 2018 een volgens de AVG geactualiseerd encryptiebeleid vastgesteld, dat is afgeleid van de BIR. Het encryptiebeleid is richtinggevend voor de wijze waarop UWV zijn informatie kan beveiligen. Het gaat daarbij niet alleen om opgeslagen data maar ook om data die worden uitgewisseld tussen systemen en met klanten en externe organisaties. De betrokken bedrijfsonderdelen bepalen op basis van een risicoanalyse gezamenlijk waar aanvullende maatregelen nodig zijn voor het borgen van de privacy van de betrokkenen, en voor het borgen van de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de informatie. In 2020 actualiseren we ons informatiebeveiligingsbeleid volgens de BIO.

Bewustzijn

Minstens zo belangrijk als een goede beveiliging van de systemen en het voldoen aan wet- en regelgeving is dat onze medewerkers zich bewust zijn van het belang om op een veilige manier om te gaan met (persoons)gegevens. Medewerkers en managers kunnen op het leerportaal van UWV e‑learnings Veilig omgaan met gegevens volgen. Deze e‑learnings worden een vast onderdeel van het onboardingprogramma voor nieuwe medewerkers. Eind 2019 zijn de resterende projectwerkzaamheden afgerond en heeft schoning en structurering op de groepsdata plaatsgevonden.

Ga direct naar

Toevoegen aan verslag