UWV biedt digitale dienstverlening en werkt met veel persoonsgegevens. Daarom moeten de informatiebeveiliging en de privacy op orde zijn. Burgers moeten er immers op kunnen vertrouwen dat persoonsgegevens bij UWV in veilige handen zijn. Adequate beveiliging is bovendien noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen. Verder hebben we te maken met normen vanuit wet- en regelgeving, zoals de Algemene verordening gegevensbescherming (AVG). Het op orde brengen van informatiebeveiliging en privacy (IB&P) is een doorlopend proces, waarbij elk jaar stappen worden gezet en keuzes worden gemaakt.
Vanwege de coronacrisis zijn in 2020 nieuwe regelingen ingevoerd en werkwijzen aangepast, en moet voor de bestaande dienstverlening gestaag worden opgeschaald. In het algemeen is bij deze ontwikkelingen voldoende aandacht geweest voor de bescherming van persoonsgegevens; het aantal incidenten is hierdoor niet significant toegenomen. Toch maakten de omstandigheden dat er meer risico’s moesten worden geaccepteerd dan gebruikelijk. Van belang is dat, zodra de omstandigheden dat toelaten, maatregelen worden genomen om risico’s terug te dringen.
Sonar
Tussen eind 2019 en begin 2020 hebben we een informatiebeveiliging- en privacyonderzoek laten uitvoeren naar het informatiesysteem Sonar. Dit systeem wordt ingezet voor het registreren van werkzoekenden en wordt gebruikt door meerdere bedrijfsonderdelen van UWV en ook door gemeenten. Het onderzoek toonde aan dat dit legacysysteem niet voldoet aan de eisen die de AVG stelt en dat de privacy van klanten onvoldoende is gewaarborgd. Op de lange termijn zal het vernieuwingsprogramma WORKit het systeem vervangen en uitfaseren. Voor de korte en middellange termijn is echter ook actie noodzakelijk. Hiervoor is het project Sonar IB&P gestart. Voor de korte termijn zijn er vier acties ondernomen:
-
verbeterde logging en monitoring;
-
verbeterde opschoningsscripts, waarmee klantgegevens worden opgeschoond waarvan de archiveringstermijn is verlopen;
-
een wachtwoordreset;
-
meerdere acties om het privacybewustzijn bij management en medewerkers te vergroten.
Op de middellange termijn worden de autorisaties in Sonar fijnmaziger, onderzoeken we voor welke medewerkers een regionale autorisatie mogelijk is en zetten we in op verbeterd risicomanagement.
Privacy
Terugkerende thema’s zijn de ontwikkeling van aanvullend beleid rond bijvoorbeeld digitale communicatie en de omgang met gezondheidsgegevens en personeelsgegevens. Dit gaat langzaam, zeker tijdens de coronacrisis. Maar het geeft duidelijkheid aan medewerkers en managers en bespaart werk.
Inbreuken in verband met persoonsgegevens
Op grond van de AVG moeten in principe alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet UWV ook de betrokkene inlichten. UWV heeft in 2020 in totaal 3.033 signalen over mogelijke inbreuken ontvangen. Daarvan hebben we er 1.066 als datalek gemeld bij de AP. Meer dan 90% van de gemelde datalekken heeft betrekking op door UWV verzonden post – er is dan bijvoorbeeld sprake van verkeerde adressering of er is een verkeerde bijlage toegevoegd. Intern wordt inmiddels werk gemaakt van de adressenproblematiek – de verschillende adressen die een klant kan aanhouden zijn een belangrijke bron van fouten. UWV heeft contact met andere zelfstandig bestuursorganen (zbo’s) en de AP om te komen tot een vereenvoudigde afhandeling van postgerelateerde datalekken. Doordat met UWV vergelijkbare organisaties op verschillende wijze omgaan met de meldingen aan de AP, zijn er nog geen concrete afspraken gemaakt. Mailen met klanten moet altijd gebeuren via een beveiligde omgeving zoals Mijn UWV of de Werkmap. Naar aanleiding van een groot datalek in 2018 is het sinds eind 2018 onmogelijk bestanden in de Werkmap te plaatsen. Om omvangrijke datalekken verder te voorkomen hebben we organisatorische beveiligingsmaatregelen genomen zoals toepassing van het vierogenprincipe, het opdelen van grote bestanden en dataminimalisatie.
Recht op inzage en correctie
Burgers hebben recht op inzage in en eventueel correctie van de persoonsgegevens die UWV van hen verwerkt. Op grond van verschillende signalen uit de organisatie blijkt dat het proces voor inzage- en correctierecht voor verbetering vatbaar is. De huidige afhandeling op de UWV‑kantoren verloopt nog onvoldoende: medewerkers zijn te vaak niet volledig op de hoogte van het proces, klanten klagen over gebrekkige tijdigheid en volledigheid van de afhandeling en het ontbreekt aan inzicht in bijvoorbeeld totaalaantallen verzoeken en de wijze van afhandeling. Om deze redenen is besloten het proces aan te passen naar een centrale routing met duidelijke richtlijnen voor de afhandeling. Alle verzoeken – op papier en digitaal – worden voortaan naar ons Bureau Gegevensbescherming (BG) gestuurd, dat ze controleert op volledigheid. De verzoeken worden vervolgens doorgestuurd naar de desbetreffende bedrijfsonderdelen. Verder hebben we een digitaal AVG‑formulier ontwikkeld waarmee burgers, door via DigiD in te loggen op uwv.nl, een AVG‑verzoek kunnen indienen. We verwachten dat de voorbereidingen om dit digitale formulier in gebruik te nemen aan het eind van het eerste kwartaal 2021 zijn afgerond. Uit de signalen blijkt dat ook het proces rond andere rechten die voortvloeien uit de AVG niet helemaal vlekkeloos verloopt, zoals het recht op vergetelheid en het tijdelijk stopzetten van de verwerking van persoonsgegevens. Uit een onderzoek naar een aantal systemen voor de afhandeling van dit soort signalen bleek dat deze niet duurzaam of kostenefficiënt zijn. In januari 2021 is dit onderzoek voortgezet.
Samenwerkingsverbanden
Het ontbreken van een duidelijk wettelijke taakafbakening tussen UWV en samenwerkingspartners zoals gemeenten en de GGD, zorgt al langere tijd voor onduidelijkheid voor medewerkers en managers in de samenwerking met partners en in contact met de klant. Wat er in de praktijk gebeurt hangt dan vaak af van de lokale situatie. De enige goede oplossing hiervoor is wet- of regelgeving waarin taken en verantwoordelijkheden duidelijk zijn omschreven en de daarvoor vereiste gegevensuitwisseling is vastgelegd. Sinds begin 2020 zijn we hierover in gesprek met het ministerie van Sociale Zaken en Werkgelegenheid (SZW); deze gesprekken waren aan het eind van het jaar nog niet afgerond. Mede daardoor kan bijvoorbeeld een initiatief als de vroegsignalering bij schuldenproblematiek (zie paragraaf Inkomenszekerheid bieden onder het kopje Pilot) nog niet als vast onderdeel van onze dienstverlening worden opgenomen.
Gegevensbeschermingseffectbeoordelingen
De AVG vereist een gegevensbeschermingseffectbeoordeling (GEB) voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt. Dit proces is ingericht en zorgt voor een vergroot inzicht in de gegevensverwerkingen en de risico’s en maatregelen. Om te bepalen of het uitvoeren van een volledige GEB voor de desbetreffende verwerking noodzakelijk is, doen we eerst een GEB‑check. In 2020 heeft de GEB‑board in totaal 77 GEB‑checks en 82 GEB‑rapporten afgerond.
Algoritmes en kunstmatige intelligentie
In september vond de eerste bijeenkomst plaats van de commissie datagestuurd werken. In deze commissie worden datatoepassingen zoals algoritmen besproken met als doel om uiteindelijk te komen tot een set van uitgangspunten voor het gebruik van datatoepassingen binnen UWV. Daarnaast worden in de commissie de vraagstukken uit de conceptvisie datagedreven UWV besproken. De commissie komt elke zes weken bij elkaar. Datatoepassingen als algoritmen en kunstmatige intelligentie worden getoetst vanuit het perspectief van de AVG via een gegevensbeschermingseffectbeoordeling (GEB). Noemenswaardig zijn in dit verband de GEB’s van drie analyseomgevingen. De belangrijkste gesignaleerde risico’s betreffen de grootschalige verwerking van niet‑geanonimiseerde gegevens, de verwerking van gegevens voor doelen waar die gegevens niet voor verkregen zijn en het handhaven van oorspronkelijke bewaartermijnen. Mitigerende maatregelen stuiten vaak op weerstand. Dit geldt bijvoorbeeld voor de screening van medewerkers die toegang hebben tot de analyseomgevingen. Punt van zorg is dat er buiten de aangeboden GEB’s meer toepassingen van kunstmatige intelligentie en algoritmen worden gebruikt die nog niet getoetst zijn. Hiervoor worden binnenkort GEB’s opgesteld.
Betrouwbaarheid leveranciers
UWV maakt met name voor ondersteunende processen vaak gebruik van externe partijen en clouddiensten. Hiervoor worden contracten gesloten en GEB’s opgesteld. Dat ook een beperkte ondersteunende clouddienst continue aandacht voor IB&P verdient, bleek toen dit voorjaar bij één partij bij toeval aan het licht kwam dat de geleverde diensten niet voldeden aan de minimale eisen voor beveiliging en privacy. Dat is intussen opgelost, maar de conclusie is dat de papieren werkelijkheid niet noodzakelijk overeenkomt met de echte werkelijkheid. Het is van belang aangeboden diensten van externe partijen altijd te onderzoeken en minimaal te onderwerpen aan een zogeheten penetratietest.
Informatiebeveiliging
Om de privacy van burgers en medewerkers te beschermen is het zaak de informatiebeveiliging op orde te hebben. Bedrijfsonderdelen nemen op basis van risicoanalyses maatregelen om zowel doelbinding en proportionaliteit als sluitend autorisatiebeheer op orde te brengen. Dit gebeurt onder andere via de projecten Helios (zie hieronder onder kopje Autorisatiebeheer), Maatregelen doelbinding en proportionaliteit gebruik Elektronisch Archief, Veilig digitaal communiceren, Sonar‑maatregelen IB&P (zie hierboven onder het kopje Sonar) en Migratie Sonar‑archief naar Elektronisch Archief.
Technische maatregelen
UWV is eind 2018 een traject gestart om de toegang tot de UWV‑omgeving voor externe softwareleveranciers strenger te controleren. De toegang tot de UWV‑omgeving wordt hierdoor beter gereguleerd en in lijn gebracht met de AVG en geldende interne richtlijnen. De procedure wordt in twee fasen doorgevoerd. Tijdens de eerste fase krijgen de externe softwareleveranciers op gecontroleerde wijze toegang tot UWV. De tweede fase is gericht op het gecontroleerd toegang verschaffen tot applicaties en systemen. De eerste fase is afgerond. De IV‑Board heeft de oude mogelijkheden om de productieomgeving te ontsluiten per 1 februari 2020 laten dichtzetten; alle bedrijfsonderdelen verstrekken alleen nog toegang volgens de nieuwe procedure voor externe partijen. De binnen UWV gehanteerde procedure wordt naar aanleiding van de transitie in 2021 naar een nieuw datacenter geëvalueerd en zo nodig aangepast om de toegang blijvend veilig, efficiënt en effectief te laten plaatsvinden.
Veilige software is een constant aandachtspunt binnen het IV‑domein. Sinds 2012 hanteert UWV hiervoor het Secure Software Development (SSD)‑framework. Voor nieuwe software is dit in afspraken en/of contracten met softwareleveranciers vastgelegd. Begin 2020 is een projectplan met verbeteracties opgesteld om de softwarekwaliteit verder te verhogen. Vervolgens zijn er aanpassingen doorgevoerd die het SSD‑proces moeten optimaliseren. Verder wordt de informatievoorziening over de SSD‑bevindingen en hoe deze op te lossen verbeterd. In vervolg op een pilot in 2020 gaan we in 2021 de SSD‑oplossingen opnemen in een SSD‑bibliotheek. Verder zullen we procesaanpassingen doorvoeren en een kennis- en expertisegroep op het gebied van SSD oprichten. Eind 2020 heeft UWV het nieuwe normenkader SSD (versie 3.0) omarmd. In 2021 wordt dit nieuwe normenkader in gebruik genomen en wordt gestart met het implementeren van SSD 3.0.
Ook is in 2020 verder gewerkt aan het ontwikkelen van een centrale voorziening om logdata uit infrastructuur en applicaties op te slaan (loghost). Zo is de scope van het project Loghost begin 2020 uitgebreid, waardoor versneld de logging en monitoring is uitgevoerd op de websites van UWV – een vereiste vanuit het DigiD‑normenkader. Daarnaast is in het tweede kwartaal van 2020 een dreigingsanalyse op de websites van UWV afgerond. Op basis van de resultaten zijn we in het derde kwartaal van 2020 begonnen met het ontsluiten van de logbronnen. De verwachting is dat alle logbronnen die binnen de scope van het project Loghost vallen uiterlijk in het eerste kwartaal van 2021 zijn ontsloten. UWV hanteert een procesgerichte benadering voor de beheersing van informatiebeveiliging, ook wel Information Security Management System (ISMS) genoemd. Het doel van ISMS is het continu beoordelen of beveiligingsmaatregelen, processen en procedures passend en effectief zijn, of dat ze bijgesteld moeten worden. Het ISMS gaat uit van een PDCA‑cyclus (plan, do, check, act) waarin het risicobeheerproces centraal staat. UWV maakt voor het ISMS‑proces gebruik van ondersteunende governance, risk & compliance (GRC)‑software. De GRC‑software wordt primair ingezet in het IV/ICT‑domein; we overwegen om deze software UWV‑breed in gebruik te nemen. Met de verdere inrichting van ISMS kan de informatie efficiënter worden verwerkt, ontstaat een betere basis voor rapportage en sturing en krijgen we een concernbreed inzicht in de mate van compliance.
Verder is binnen UWV het vernieuwde cryptografiebeleid vastgesteld, wat is afgeleid van de BIO, de Baseline Informatiebeveiliging Overheid. Dit beleid is richtinggevend voor de wijze waarop UWV data kan beveiligen, zowel opgeslagen data als data die worden uitgewisseld tussen systemen en met andere partijen. Bij de toepassing van het cryptografiebeleid wordt op basis van een risicoanalyse bepaald waar aanvullende maatregelen op het gebied van versleuteling nodig zijn. Bij het operationaliseren van het beleid maken we gebruik van de ervaring die we in 2019 en 2020 hebben opgedaan met de onderliggende Richtlijn cryptografische beheersmaatregelen en houden we rekening met de mogelijkheden die de transitie naar het nieuwe datacenter biedt. Voor de situatie in het nieuwe datacenter worden specifieke richtlijnen opgesteld naast de beheerrichtlijnen die de komende jaren tijdens de transitiefase bij de huidige dienstverlener van kracht blijven. De bedrijfsonderdelen maken sinds half april 2020 op halfjaarlijkse basis inzichtelijk op welke wijze zij invulling geven aan het cryptografiebeleid.
Jaarlijks vertalen we het Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC) naar het dreigingsbeeld voor UWV. Daarbij betrekken we de incidenten die zich bij UWV voordoen. Zo was het begin 2020 door problemen met Citrix‑software een tijd onmogelijk om thuis te werken. Tegelijkertijd werd een kwetsbaarheid ontdekt in de Microsoft‑besturingssystemen. In dezelfde periode was er in de media ook veel aandacht voor een gijzelsoftwareaanval bij Maastricht University. Deze aanval heeft UWV gelukkig niet geraakt. Bij de huidige bredere inzet van Microsoft‑systemen voor telewerken en thuiswerken heeft de privacyimpact hiervan nadrukkelijk aandacht. We hebben onderzocht welke maatregelen UWV nog meer kan nemen, zowel intern als bij de inkoop van ICT en leveranciersmanagement, om de digitale weerbaarheid van UWV te versterken en digitale aanvallen af te wenden. De maatregelen worden in de plannen voor 2021 uitgewerkt.
Autorisatiebeheer
Er worden stappen gezet om identity access management (IAM) verder uit te werken. Een visie op IAM is in concept opgesteld en wordt per thema gestructureerd verder uitgewerkt. Daarbij worden onder andere beleidsuitgangspunten voor autorisatiebeheer opgesteld over toegangsrechten van medewerkers binnen een (bedrijfs)netwerk.
Effectief autorisatiebeheer, als onderdeel van IAM, zorgt ervoor dat een systeem alleen toegankelijk is voor medewerkers die de gegevens in het systeem nodig hebben voor hun werkzaamheden. Daarmee wordt het risico op misbruik van gegevens zo veel mogelijk beperkt. Met een controlemodel voor risicovolle autorisatieafwijkingen (delta’s) houden we toezicht op de uitvoering van het huidige autorisatiebeheerproces. In de zomer van 2020 hebben we geconstateerd dat het proces, het controlemodel en het autorisatiebeheersysteem (ABS) voor verbetering vatbaar zijn. We realiseren elk jaar de nodige verbeteringen tot de vernieuwingen uit het meerjarig programma Helios operationeel zijn. We verwachten dat dit in 2024 het geval zal zijn. In 2020 hebben we als eerste de samenwerking van de opdrachtgever en het functioneel beheer en de werkprocessen van het beheer en onderhoud van het autorisatiebeheersysteem verbeterd. We richten ons in eerste instantie op de inrichting van een betere beheerorganisatie en op het beperken van de risico’s die volgens de uitgevoerde GEB en de bevindingen van onze eigen Accountantsdienst de hoogste prioriteit hebben. Het gaat dan om overautorisatie en onderautorisatie. In het eerste geval heeft iemand rechten op systemen en toegang tot gegevens die niet bij zijn functie horen en is er een risico van misbruik, bijvoorbeeld fraude met geldstromen of het lekken van (persoons)gegevens. In het tweede geval heeft iemand juist te weinig rechten, waardoor hij zijn werk niet goed kan doen. Met het programma Helios hebben we via een vooronderzoek in de organisatie bepaald welke verbeteringen noodzakelijk zijn voor een goed functionerend bedrijfsproces voor autorisatiebeheer. Hiermee willen we de verschillende bedrijfsonderdelen in staat stellen medewerkers op een beheerste en vlotte wijze de juiste autorisaties te geven. Een risicoanalyse is opgesteld en er zijn voorbereidende werkzaamheden gestart voor het te vernieuwen autorisatiebeheerbeleid.
In het eerste tertaal van 2020 is een verbeterplan opgesteld om het proces rond het aanmaken van de deltalijsten te versimpelen en te automatiseren. De lijsten die bij de controles worden gebruikt, worden daardoor betrouwbaarder. De acties uit dit plan zijn inmiddels grotendeels uitgevoerd. De kwaliteit van de deltalijsten is verbeterd. Hierdoor kunnen gerichtere schoningsacties worden uitgezet die op termijn zullen leiden tot een afname van het aantal delta’s. In het eerste kwartaal van 2021 komen de rapporten over de schoningsacties op een geautomatiseerde standaardwijze beschikbaar, waardoor ze een betrouwbaarder overzicht verschaffen en de manager en/of controller op elk gewenst moment een rapport kan opvragen. De huidige handmatige en arbeidsintensieve vervaardiging van de rapporten komt daarmee te vervallen.
Bewustwording
Het vergroten van de bewustwording van medewerkers over de risico’s van het werken met vertrouwelijke informatie van burgers is een belangrijke maatregel voor het borgen van informatiebeveiliging en privacybescherming. De e‑learnings hiervoor zijn in februari en maart 2020 geëvalueerd en worden nu geactualiseerd. Afgesproken is dat ze worden opgenomen in het introductieprogramma voor nieuwe medewerkers, dat in de loop van 2020 stapsgewijs is uitgerold in de organisatie. Bedrijfsonderdelen zijn zelf verantwoordelijk om de huidige medewerkers en managers de e‑learnings te laten volgen. In oktober zijn tijdens de cybersecuritymaand verschillende bewustwordingsactiviteiten georganiseerd zoals een kick‑offsessie en een afsluitend webinar cybersecurity. Ook werden phishingmails verstuurd om de alertheid van medewerkers te testen. Medewerkers zijn verder via diverse blogs en interviews op de digitale werkplek geïnformeerd en er is een extern webinar georganiseerd over de weerbare digitale overheid. Bewustwording kan nooit in de plaats komen van principes als dataminimalisatie, beperking van autorisaties, privacy by design en adequate beveiligingsmaatregelen. Systemen en processen dienen in dat opzicht inherent foutbestendig te zijn. Het is duidelijk dat dit zeker bij oudere systemen vaak nog niet het geval is. In die situaties is een bewuste omgang met persoonsgegevens van groot belang.
Baseline Informatiebeveiliging Overheid
Per 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) in werking getreden binnen alle lagen van de overheid. Dit normenkader vervangt de eerdere baselines informatieveiligheid voor gemeenten, Rijk, waterschappen en provincies. Afgelopen jaar is gewerkt aan het actualiseren van intern beleid en richtlijnen om de basis te leggen voor de invoering van de BIO. De invoering van de BIO bestaat uit twee fasen. In de eerste fase bepaalt de organisatie de tekortkomingen (gaps) die er zijn tussen de huidige situatie en de BIO, worden ongewenste tekortkomingen geïdentificeerd en wordt er een planning gemaakt om deze op te lossen. Als deze planning er is, wordt de organisatie als in control beschouwd. De tweede fase van het invoeren van de BIO is de route naar compliancy. Met een ingericht ISMS en een risicogebaseerde prioritering moet er worden gewerkt naar compliancy als onderdeel van de IB&P‑jaarplancyclus. UWV streeft ernaar om half 2022 in control te zijn en dus de eerste fase doorlopen te hebben. Ervaringen van andere organisaties leren dat het doorlopen van de eerste fase inclusief bepaling van de tekortkomingen tot de BIO en mitigerende maatregelen anderhalf jaar kost. Er wordt volop gewerkt aan de voorbereidingen en de planning van de eerste fase. Doel is om deze voorbereidingen per 1 april 2021 af te ronden.
Informatiebeveiligings- en privacybeschermingsagenda
Onze Informatiebeveiligings- en privacybeschermingsagenda geeft inzicht in welke activiteiten nodig zijn om de voornaamste IB&P‑risico’s te verminderen. De IB&P‑agenda bestaat uit een top 11 van UWV‑brede risicogebieden en een overzicht van de voorgenomen maatregelen. Uit de herijking van de IB&P‑agenda begin 2020 komt naar voren dat de top 11 van 2020 grotendeels van toepassing blijft voor 2021. Er is blijvend aandacht nodig voor de digitale weerbaarheid van de organisatie naast de aandacht voor al in de top 11 opgenomen risico’s. Dit betreft bijvoorbeeld risico’s op het gebied van veilig digitaal communiceren, beveiliging van onze portalen en doelbinding en proportionaliteit. Deze uitkomst is in lijn met de verwachting dat deze risico’s niet binnen een jaar zijn opgelost. Diverse maatregelen zijn vanwege de beperkte verandercapaciteit en de daaruit voortvloeiende prioritering nog niet genomen en blijven daarmee onverminderd actueel.
De IB&P‑agenda 2021–2025 is half juli vastgesteld. De voornaamste wijzigingen zijn dat:
-
de risicogebieden worden geconcretiseerd op basis van inzichten uit de gapanalyse op het privacybeleid en recente ontwikkelingen;
-
het risicogebied ‘rechten van betrokkenen’ is verwijderd uit de top 11 omdat er al afdoende maatregelen zijn genomen of staan gepland;
-
het risicogebied ‘digitale weerbaarheid’ is in de top 11 geplaatst vanwege de toenemende cyberdreiging en de noodzaak om adequate maatregelen te nemen.