Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

Informatiebeveiliging en privacy

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

UWV biedt steeds meer dienstverlening digitaal aan en verwerkt veel persoonsgegevens die ook digitaal toegankelijk zijn. Burgers moeten erop kunnen vertrouwen dat persoonsgegevens bij UWV in veilige handen zijn én rechtmatig gebruikt worden. Het op orde brengen en houden van de informatiebeveiliging en de gegevensbescherming is een permanent proces, waarbij de verwerking van gegevens voortdurend beoordeeld moet worden. De Algemene verordening gegevensbescherming (AVG) en de sinds 2020 geldende Baseline Informatiebeveiliging Overheid (BIO) zijn de belangrijkste kaders voor onze organisatie. Veel van onze (oude) ICT‑systemen zijn niet ontworpen volgens de principes van ‘security en privacy by design’. UWV werkt stapsgewijs aan het herontwerpen en vernieuwen van deze systemen, maar er zijn grenzen aan wat we tegelijkertijd kunnen aanpassen. Bij de vernieuwing van applicaties nemen we deze vereisten mee. In de tussentijd treffen we maatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen. Een regelmatige informatiebeveiliging en privacy (IB&P)‑risicoanalyse geeft daarbij richting aan de prioriteiten die UWV‑breed worden gesteld.

Voldoen aan de AVG

De Algemene verordening gegevensbescherming (AVG) vereist een gegevensbeschermingseffectbeoordeling (GEB) voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt. In de eerste acht maanden van 2021 hebben we er 35 afgerond, op zowel bestaande als aanstaande verwerkingen. Een GEB brengt de specifieke risico’s en mitigerende maatregelen in kaart. In sommige gevallen kan een GEB ook leiden tot het aanpassen (inperken) van de verwerking. Dat gebeurt als er geen grondslag of noodzaak aanwezig is. Bijzondere aandacht gaat uit naar de inzet van algoritmen en de gegevens die daarbij gebruikt worden. Niet alles wat kan, mag ook. Hetzelfde geldt voor samenwerkingsverbanden met andere (publieke en private) organisaties. Ons uitgangspunt is dat elke verwerking van persoonsgegevens ethisch verantwoord moet zijn. We hebben open normen en zijn terughoudend.

Beveiliging van portalen

Adequate beveiliging is een belangrijke randvoorwaarde om de stabiliteit en continuïteit van onze digitale dienstverlening te kunnen blijven garanderen. Daarom werken we aan het vergroten van onze cyberweerbaarheid en zetten we in op het waarborgen van veilige toegang tot de UWV‑portalen en de bescherming van gegevens die op de portalen worden gedeeld. We sluiten werk.nl aan op de overheidsvoorziening eHerkenning, zodat werkgevers veiliger toegang verkrijgen tot onze dienstverlening via deze site. Deze opdracht is complex en andere veiligheidsmaatregelen hebben hogere prioriteit; daarom realiseren we dit begin 2022. Ook andere portalen zoals het tolkenportaal en ons zakelijk portaal worden in 2022 aangesloten op eHerkenning. De voorbereidingen hiervoor zijn inmiddels in gang gezet. Er is in 2021 hard gewerkt om UWV‑websites te laten voldoen aan de eisen van de Wet digitale overheid (Wdo). Hiermee borgen we een veilige en betrouwbare interactie tussen overheid en Nederlandse burgers en bedrijven. Knelpunt is dat de dienst digitale overheid Logius heeft vastgesteld dat uwv.nl en werk.nl niet aan alle normen van het ICT‑beveiligingsassessment DigiD voldoen. Dat komt doordat we gebruikmaken van applicaties van externe (Software as a Service‑)leveranciers. De applicaties van een aantal van deze leveranciers voldoen (nog) niet aan de aangescherpte Content‑Security‑Policy (CSP)‑eisen. We hebben hiervoor mitigerende maatregelen getroffen. We gaan met Logius en een aantal partijen in gesprek over de stappen die nodig zijn om te voldoen aan de geldende eisen.

Aantoonbaar in control

Om doeltreffend te kunnen sturen op informatiebeveiliging en privacy is inzicht in de status van risico’s, beveiliging en privacybescherming onontbeerlijk. Dit inzicht is bovendien van belang om aantoonbaar te kunnen maken dat UWV aan de vereisten van wetgeving en normenkaders voldoet.

Boete Autoriteit Persoonsgegevens voor datalekken

De Autoriteit Persoonsgegevens (AP) heeft in juli 2021 aan UWV een boete van € 450.000 opgelegd voor het niet goed beveiligen van het verzendproces van groepsberichten via de Werkmap. In de periode van 2016 tot 2018 is negen keer een Excel‑bestand met veel persoonsgegevens van werkzoekenden als bijlage aan een Werkmapbericht toegevoegd en zo terechtgekomen bij andere werkzoekenden. De Werkmap is een met DigiD beveiligde persoonlijke omgeving op werk.nl waar werkzoekenden onder andere een cv maken en naar vacatures zoeken. We gebruiken de Werkmap ook om met werkzoekenden te communiceren. Juist om datalekken te voorkomen zijn onze medewerkers verplicht gebruik te maken van de groepsberichtenfunctionaliteit in de Werkmap in plaats van e‑mail. Na de eerste datalekken via de Werkmap heeft UWV organisatorische maatregelen genomen. Zo hebben we werkinstructies aangepast, ingezet op extra bewustwording bij (nieuwe) medewerkers die regelmatig (digitaal) contact hebben met werkzoekenden en we vragen medewerkers om een collega te laten meekijken (vierogenprincipe). Deze maatregelen voorkwamen niet dat er daarna nog meer van deze datalekken optraden. Eind 2018 hebben we een technische maatregel doorgevoerd waardoor het niet meer mogelijk is om onder andere Excel‑bestanden aan Werkmapberichten toe te voegen. Achteraf bezien hadden we dat eerder moeten doen. Mede naar aanleiding van een intern onderzoek eind 2018 naar een van de datalekken hebben we een extern onderzoek laten uitvoeren naar kwetsbaarheden en risico’s in ons informatiesysteem Sonar.

Verminderen risico’s Sonar

In 2020 heeft UWV het informatiesysteem Sonar onderworpen aan een externe privacy- en informatiebeveiligingsaudit. Dit systeem, waarin de gegevens van werkzoekenden staan geregistreerd, wordt gebruikt door meerdere bedrijfsonderdelen van UWV en ook door gemeenten. Het onderzoek toonde aan dat dit legacysysteem niet voldoet aan de eisen die de AVG stelt en dat de privacy van klanten onvoldoende is gewaarborgd. Op de lange termijn zal het vernieuwingsprogramma WORKit het systeem vervangen en uitfaseren. Om de bevindingen die uit het onderzoek naar voren zijn gekomen op te lossen, is een project gestart om op de korte en middellange termijn maatregelen te nemen om risico’s te verminderen. Totdat Sonar volledig is vervangen, zal er, ondanks alle maatregelen die UWV neemt, sprake zijn van restrisico’s omdat niet alle tekortkomingen kunnen worden opgelost binnen het huidige systeem. De vier kortetermijnmaatregelen zijn inmiddels gerealiseerd. Hierdoor zijn gegevens waarvan de bewaartermijn is verlopen uit Sonar verwijderd, is er verbeterde logging en monitoring, worden er sterkere wachtwoorden afgedwongen en is er een ambassadeursnetwerk opgericht dat UWV‑medewerkers wijst op het belang van privacy. De acties voor de middellangetermijnmaatregelen, die uiterlijk eind 2022 gereed zullen zijn, liggen grotendeels op schema. Het gaat onder meer om het aanscherpen van de autorisaties in Sonar en het verbeteren van risicomanagement. Wel is gebleken dat het implementeren van maatregelen in Sonar zeer complex is. Het is een uitermate gecompliceerd systeem dat, mede door het vele maatwerk dat in de loop van de jaren is geleverd, moeilijk is te onderhouden. Een andere complicerende factor is dat de kennis over de onderliggende programmatuur van Sonar schaars is. Het doorvoeren van aanpassingen is daardoor een vaak lastige en langdurige aangelegenheid, waarbij zich geregeld onvoorziene effecten voordoen.

Voldoen aan de BIO

In 2021 voeren we een UWV‑brede verantwoordingssystematiek in voor de Baseline Informatiebeveiliging Overheid (BIO). De planning is erop gericht dat UWV eind dit jaar een in‑controlverklaring kan afgeven voor alle kritische bedrijfsprocessen. In de eerste maanden van 2021 hebben we, met externe ondersteuning, een gedetailleerde aanpak uitgewerkt. Daarbij is onderscheid gemaakt tussen analyse en onderzoek van de genoemde bedrijfsprocessen en het voldoen van specifiek beleid, richtlijnen en voorzieningen aan het normenkader van de BIO. In april zijn we gestart met de uitvoering van deze aanpak. Er is een stuurgroep samengesteld, er is een governancestructuur ingericht en alle bedrijfsonderdelen hebben implementatieteams samengesteld. Een centraal team van BIO‑specialisten ondersteunt en adviseert de implementatieteams. De meeste bedrijfsonderdelen zijn inmiddels gestart met de gapanalyse tussen de bestaande informatiebeveiligingsmaatregelen en de BIO.

Veilige uitwisseling van gegevens

Onze medewerkers zijn zich in toenemende mate bewust hoe zij kunnen bijdragen aan een veilige omgang met informatie, maar hier is blijvend aandacht voor nodig. In 2021 investeren wij in maatregelen die een veilige uitwisseling van informatie faciliteren en daarmee datalekken terugdringen. Er loopt een vooronderzoek naar adequate oplossingen voor veilige digitale communicatie in het medische domein, waarmee we conform wettelijke voorschriften digitaal kunnen communiceren met medisch specialisten. Ook schonen we digitale omgevingen op waarbinnen gegevens ongestructureerd en zonder nadrukkelijk doel worden bewaard.

Inbreuken in verband met persoonsgegevens

Op grond van de AVG moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet UWV ook de betrokkene inlichten. UWV heeft in de eerste acht maanden van 2021 in totaal 2.026 signalen over mogelijke inbreuken ontvangen. Daarvan hebben we er 694 als datalek gemeld bij de AP. Er hebben zich in deze periode een aantal incidenten met grotere impact voorgedaan. Dankzij adequaat handelen door onze medewerkers konden risico’s voor de rechten en vrijheden van betrokkenen daarbij snel worden gemitigeerd. Naar aanleiding van deze incidenten hebben we nader onderzoek ingesteld. Hiermee zijn de risico’s helder in kaart, zodat we maatregelen konden treffen om soortgelijke incidenten in de toekomst te voorkomen. Het blijft van belang om te sturen op tijdige en voldoende managementaandacht om risico’s van impactvolle datalekken te mitigeren en om maatregelen te treffen om verdere inbreuken te voorkomen.

Meer verzoeken tot inzage

Burgers hebben het recht om de persoonsgegevens die wij van ze hebben, in te zien. Daarvoor moeten ze een verzoek op grond van de AVG indienen. Het aantal verzoeken is toegenomen sinds de opening van de mailbox privacy@uwv.nl (begin 2020) en het onlangs beschikbaar komen van een digitaal formulier waarmee burgers, door via DigiD in te loggen op uwv.nl, een verzoek kunnen indienen. Veel mensen vragen om inzage van hun persoonsgegevens, maar ook om correctie of verwijdering. De uitvoering van deze verzoeken kost de nodige inspanning, zeker wanneer meerdere bedrijfsonderdelen bij de dienstverlening betrokken zijn. Op dit moment staat het tijdig en goed afhandelen van de verzoeken onder druk. Vaak moet verlenging van de termijn worden gevraagd. Dit leidt tot ontevreden burgers en klachten en in een enkel geval tot de indiening van een bezwaar. We bekijken momenteel of we het proces anders kunnen inrichten.

Lees aanvullende informatie in de publieke bijlagen

Ga direct naar

Bekijk ook

Toevoegen aan verslag