Informatiebeveiliging en privacy 2018

UWV verwerkt binnen zijn werkprocessen veel informatie en stelt ook veel informatie via gegevensleveringen in bulk of via Suwinet of andere intermediairs beschikbaar aan derden. Het gaat vaak om (gevoelige) persoonsgegevens. De aard van de gegevens, het risico van onjuiste of onzorgvuldige omgang met de gegevens en de mogelijkheid van (hack)incidenten maken het treffen van adequate maatregelen noodzakelijk om oneigenlijk gebruik of misbruik van deze gegevens te voorkomen. Burgers moeten er immers op kunnen vertrouwen dat UWV zorgvuldig met hun persoonsgegevens omgaat. Daarom besteden we veel aandacht aan informatiebeveiliging en privacy. Dit legt een steeds groter beslag op ons verandervermogen. Het aantal deskundigen op dit terrein is schaars, de capaciteit die ons ter beschikking staat moeten we op uiteenlopende taken inzetten.

Risicoanalyses

Een belangrijk referentiepunt voor het zeker stellen van gegevensbescherming vormt het normenkader van de Baseline Informatiebeveiliging Rijksdienst (BIR) voor de inrichting en toepassing van informatiebeveiliging. Op basis van eigen risicoanalyses stelt UWV vast welke aspecten en BIR‑normen aandacht vragen om de belangrijkste informatiebeveiligingsrisico’s te beperken en de algehele beveiliging van gegevens voor UWV op een hoger niveau te brengen. In 2017 troffen we voor applicaties met een hoog risico maatregelen zoals het loggen en monitoren van het gebruik van deze applicaties. In 2018 doen we dat ook voor applicaties met een middelhoog risico. We hebben de ontwikkel- en testomgevingen geanonimiseerd. In de acceptatieomgeving kan nog wel gebruik worden gemaakt van productiedata, mits daarvoor aanvullende beveiligingsmaatregelen worden genomen die vrijwel gelijk zijn aan die voor de productieomgeving. Logging is inmiddels voor de meeste applicaties met een hoog of middelhoog risico ingevoerd. De belangrijkste primaire systemen worden nog in 2018 aangesloten op een monitoringsysteem. Het in lijn brengen van applicaties met de eisen van secure software development (SSD) verloopt minder voorspoedig. Wijzigingen die voortkomen uit de vertaling van het normenstelsel naar concrete beveiligingsmaatregelen zijn omvangrijk en sneeuwen onder in de veranderagenda. Hierdoor loopt het inhalen van de achterstanden in ieder geval nog door in 2019. Voor nieuwe applicaties is geregeld dat deze SSD‑compliant worden opgeleverd.

Bewustzijn

Minstens zo belangrijk als een goede beveiliging van de systemen en het voldoen aan wet- en regelgeving is dat onze medewerkers zich bewust zijn van het belang om op een veilige manier om te gaan met (persoons)gegevens. Eind 2018 zullen 900 managers een training hebben gevolgd op het gebied van informatiebeveiliging en privacy, waarna ze deze kennis zullen overdragen aan hun medewerkers. Eind augustus hadden 600 managers de training gedaan. Verder treffen we diverse organisatorische maatregelen. Intern sluitend autorisatiebeheer is nagenoeg gerealiseerd. Maandelijks rapporteren we over de resterende afwijkingen en handelen we signalen af. Verder screenen we (nieuwe) medewerkers, werken we met verklaringen omtrent gedrag, en geven richtlijnen over het gebruik van (eigen) devices zoals iPads en mobiele telefoons.

E‑learningmodule

Als onderdeel van het programma Borging veilige gegevensuitwisseling via Suwinet (BVGS) is een e‑learningmodule ontwikkeld. Deze heeft tot doel alle medewerkers van UWV voor wie dat relevant is ervan bewust te maken hoe ze veilig gebruik kunnen maken van Suwinet. Inmiddels hebben 5.500 medewerkers de e‑learningmodule met succes afgerond. Nieuwe gebruikers van Suwinet‑Inkijk moeten de e‑learningmodule en toets binnen 2 maanden met succes hebben afgerond.

eHerkenning

We werken aan het aansluiten van het werkgeversportaal van uwv.nl op eHerkenning per 1 november 2018. Daarmee is dan de basis gelegd om de diensten voor werkgevers op een veilige en betrouwbare wijze digitaal toegankelijk te maken. Alle gebruikers van het portaal hebben in het jaar daarna de tijd om over te stappen van de huidige inlogmethodiek naar eHerkenning.

Nieuw Ziektewet‑arbodienstverleningsmodel

De Autoriteit Persoonsgegevens (AP) heeft in 2017 op verzoek van UWV 2 uitvoeringsvarianten voor de Ziektewet‑arbodienstverlening beoordeeld. Daarbij heeft de AP vraagtekens geplaatst bij de rechtsgeldigheid van de verwerking van gegevens door medewerkers verzuimbeheersing bij de uitvoering van de Ziektewet. Naar aanleiding hiervan hebben we in 2017 een nieuwe werkwijze ontwikkeld die robuust, toekomstvast en kosteneffectief is, en die voldoet aan de eisen van de AP. Deze werkwijze wordt momenteel geïmplementeerd. We nemen de nieuwe werkwijze per 1 januari 2019 in gebruik, zoals afgesproken met de AP.