UWV biedt steeds meer dienstverlening digitaal aan en verwerkt veel persoonsgegevens die ook digitaal toegankelijk zijn. Burgers moeten erop kunnen vertrouwen dat persoonsgegevens bij UWV in veilige handen zijn én rechtmatig gebruikt worden. Het op orde brengen en houden van de informatiebeveiliging en de gegevensbescherming is een permanent proces, waarbij de verwerking van gegevens voortdurend beoordeeld moet worden. De Algemene verordening gegevensbescherming (AVG) en de sinds 2020 geldende Baseline Informatiebeveiliging Overheid (BIO) zijn de belangrijkste kaders voor onze organisatie. Veel van onze (oude) ICT‑systemen zijn niet ontworpen volgens de principes van ‘security en privacy by design’. UWV werkt stapsgewijs aan het herontwerpen en vernieuwen van deze systemen, maar er zijn grenzen aan wat we tegelijkertijd kunnen aanpassen. Het zal meerdere jaren duren voordat alle systemen aan de moderne vereisten voldoen. In de tussentijd treffen we maatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Een jaarlijkse informatiebeveiliging en privacy (IB&P)‑risicoanalyse geeft daarbij richting aan de prioriteiten die UWV‑breed worden gesteld.
Voldoen aan de AVG
De AVG vereist een gegevensbeschermingseffectbeoordeling (GEB) voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt. In de eerste vier maanden van 2021 hebben we er twintig afgerond, op zowel bestaande als nieuwe verwerkingen. Een GEB brengt de specifieke risico’s en mitigerende maatregelen in kaart. In sommige gevallen kan een GEB ook leiden tot het aanpassen (inperken) van de verwerking. Dat gebeurt als er geen grondslag of noodzaak aanwezig is. Bijzondere aandacht gaat uit naar de inzet van algoritmen en de gegevens die daarbij gebruikt worden. Niet alles wat kan, mag ook. Hetzelfde geldt voor samenwerkingsverbanden met andere (publieke en private) organisaties. Daarbij speelt met name de kloof tussen wat maatschappelijk wenselijk is en wat de wetgeving daarover zegt. Wanneer adequate wet- of regelgeving ontbreekt, komen we in een grijs gebied terecht.
Beveiliging van portalen
Adequate beveiliging is een belangrijke randvoorwaarde om de stabiliteit en continuïteit van onze digitale dienstverlening te kunnen blijven garanderen. Daarom werken we aan het vergroten van onze cyberweerbaarheid en zetten we in op het waarborgen van veilige toegang tot de UWV‑portalen en de bescherming van gegevens die op de portalen worden gedeeld. Eind 2021 sluiten we werk.nl aan op de overheidsvoorziening eHerkenning, zodat werkgevers veiliger toegang verkrijgen tot onze dienstverlening via deze site. Het herijkte projectplan is in februari vastgesteld. Er is in de eerste vier maanden van 2021 hard gewerkt om UWV‑websites te laten voldoen aan de eisen van de Wet digitale overheid (Wdo). Hiermee borgen we een veilige en betrouwbare interactie tussen overheid en Nederlandse burgers en bedrijven. Knelpunt is dat de dienst digitale overheid Logius heeft vastgesteld dat uwv.nl en werk.nl niet aan alle normen van het ICT‑beveiligingsassessment DigiD voldoen.
Aantoonbaar in control
Om doeltreffend te kunnen sturen op informatiebeveiliging en privacy is inzicht in de status van risico’s, beveiliging en privacybescherming onontbeerlijk. Dit inzicht is bovendien van belang om aantoonbaar te kunnen maken dat UWV aan de vereisten van wetgeving en normenkaders voldoet.
Verminderen risico’s Sonar
In 2020 heeft UWV het informatiesysteem Sonar onderworpen aan een externe privacy- en informatiebeveiligingsaudit. Dit systeem, waarin de gegevens van werkzoekenden staan geregistreerd, wordt gebruikt door meerdere bedrijfsonderdelen van UWV en ook door gemeenten. Om de bevindingen die uit het onderzoek naar voren zijn gekomen op te lossen, is een project gestart om op de korte en middellange termijn maatregelen te nemen om risico’s te verminderen. De werkzaamheden aan Sonar ter verbetering van de informatiebeveiliging en privacybescherming hebben geen nadelige gevolgen voor de dienstverlening aan werkzoekenden. Totdat Sonar volledig is vervangen, zal er, ondanks alle maatregelen die UWV neemt, sprake zijn van restrisico’s omdat niet alle tekortkomingen kunnen worden opgelost binnen het huidige systeem. De vier kortetermijnmaatregelen zijn inmiddels gerealiseerd. Hierdoor zijn gegevens waarvan de archiveringstermijn is verlopen verwijderd, is er verbeterde logging en monitoring, worden er sterkere wachtwoorden afgedwongen en is er een ambassadeursnetwerk opgericht dat UWV‑medewerkers wijst op het belang van privacy. De acties voor de middellangetermijnmaatregelen, die uiterlijk eind 2022 gereed zullen zijn, liggen op schema. Het gaat onder meer om het aanscherpen van de autorisaties in Sonar en het verbeteren van risicomanagement. Wel is gebleken dat het implementeren van maatregelen in Sonar zeer complex is. Het is een uitermate gecompliceerd systeem dat, mede door het vele maatwerk dat in de loop van de jaren is geleverd, moeilijk is te onderhouden. Een andere complicerende factor is dat de kennis over de onderliggende programmatuur van Sonar schaars is. Het doorvoeren van aanpassingen is daardoor een vaak lastige en langdurige aangelegenheid, waarbij zich geregeld onvoorziene effecten voordoen. Zo duurde het opschonen van klantgegevens een maand langer dan gepland (april in plaats van maart).
Voldoen aan de BIO
In 2021 voeren we een UWV‑brede verantwoordingssystematiek in voor de Baseline Informatiebeveiliging Overheid (BIO). De planning is erop gericht dat UWV eind dit jaar een in‑controlverklaring kan afgeven voor alle kritische bedrijfsprocessen. In de eerste vier maanden van 2021 hebben we, met externe ondersteuning, een gedetailleerde aanpak uitgewerkt. Daarbij is onderscheid gemaakt tussen analyse en onderzoek van de genoemde bedrijfsprocessen en het voldoen van specifiek beleid, richtlijnen en voorzieningen aan het normenkader van de BIO.
Veilige uitwisseling van gegevens
Onze medewerkers zijn zich in toenemende mate bewust hoe zij kunnen bijdragen aan een veilige omgang met informatie, maar hier is blijvend aandacht voor nodig. In 2021 investeren wij in maatregelen die een veilige uitwisseling van informatie faciliteren en daarmee datalekken terugdringen. Zo zijn wij gestart met een vooronderzoek naar adequate oplossingen voor veilige digitale communicatie in het medische domein, waarmee we conform wettelijke voorschriften digitaal kunnen communiceren met medisch specialisten. Ook schonen we digitale omgevingen op waarbinnen gegevens ongestructureerd en zonder nadrukkelijk doel worden bewaard.
Inbreuken in verband met persoonsgegevens
Op grond van de AVG moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet UWV ook de betrokkene inlichten. UWV heeft in de eerste vier maanden van 2021 in totaal 1.066 signalen over mogelijke inbreuken ontvangen. Daarvan hebben we er 340 als datalek gemeld bij de AP. Er hebben zich in deze periode meerdere incidenten met grotere impact voorgedaan. Deze zijn adequaat afgehandeld. Er zijn maatregelen getroffen en in 1 geval is ook nader onafhankelijk onderzoek ingesteld. Er is niet gebleken dat de gedupeerden materieel nadeel hebben ondervonden. Tijdige en voldoende managementaandacht voor impactvolle datalekken is een aandachtspunt.
Meer AVG-verzoeken
Burgers hebben het recht om de persoonsgegevens die wij van ze hebben, in te zien. Daarvoor moeten ze een AVG‑verzoek indienen. Het aantal AVG‑verzoeken is toegenomen sinds de opening van de mailbox privacy@uwv.nl (begin 2020) en het onlangs beschikbaar komen van een digitaal formulier waarmee burgers, door via DigiD in te loggen op uwv.nl, een AVG‑verzoek kunnen indienen. Veel mensen vragen om inzage van hun persoonsgegevens, maar ook om correctie of verwijdering. De uitvoering van deze verzoeken kost de nodige inspanning, zeker wanneer meer bedrijfsonderdelen bij de dienstverlening betrokken zijn. Op dit moment staat het tijdig en goed afhandelen van de verzoeken onder druk. Vaak moet verlenging van de termijn worden gevraagd. Dit leidt tot ontevreden burgers en klachten en in een enkel geval tot de indiening van een bezwaar. In 1 geval is UWV in gebreke gesteld. We bekijken momenteel of we het proces anders kunnen inrichten.