Adequate beveiliging is noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen. In 2018 hebben wij maatregelen genomen om de veiligheid van gegevens en informatiesystemen verder te borgen. Hierbij conformeren wij ons aan de Baseline Informatiebeveiliging Rijksdienst (BIR), die in 2019 opgaat in de Baseline Informatiebeveiliging Overheid (BIO).
Technische maatregelen
Het doorvoeren van technische maatregelen op applicaties heeft blijvend aandacht. Voorbeelden hiervan zijn het verbeteren van het autorisatiebeheer op onze systemen en applicaties, het loggen en monitoren van het applicatiegebruik, het aanpassen van applicaties in lijn met beveiligingseisen voor software en het anonimiseren van testdata. Voor een aantal grote applicaties met een groot risico is het loggen en monitoren van het gebruik ingericht. Ongewenst gebruik en inbraakpogingen op de applicaties worden gedetecteerd, waarna we actie ondernemen. Ook op het werkgeversportaal is in 2018, naast de aansluiting op eHerkenning, de logging en monitoring uitgebreid. Het in 2018 gestarte project Loghost voorziet in uitbreiding en geleidelijk steeds intelligentere monitoring van de infrastructuur.
Bij de ontwikkeling van software hanteren wij de eisen van de kwaliteitsrichtlijn Secure Software Development (SSD). Zo borgen we dat wat onze leveranciers voor ons ontwikkelen en onderhouden in principe geen bekende kwetsbaarheden bevat. Het in lijn brengen van bestaande software met SSD verloopt langzamer dan verwacht. We zijn een pilot gestart om dit te bespoedigen. Om ongewenste toegang tot persoonsgegevens door eigen personeel of leveranciers te voorkomen, zijn testdata geanonimiseerd. Voor het testen van systemen worden echte data grotendeels gewijzigd, zodat ze niet langer herleidbaar zijn tot personen.
Veiligheid en privacy
We borgen dat security en privacy integraal worden meegenomen bij nieuwe ontwikkelingen in systemen en applicaties. Dat doen we door ontwerpprincipes als security by design en security by default standaard toe te passen, evenals privacy by design en privacy by default. In 2018 is het Beleidskader Privacy by design en by default uitgewerkt. De vereisten vanuit de Algemene verordening gegevensbescherming (AVG) zijn daarin opgenomen. In het verlengde hiervan zijn afwegingskaders voor mogelijke technische maatregelen uitgewerkt. Deze zijn in lijn gebracht met de reeds bestaande veiligheidsrichtlijnen op het gebied van bijvoorbeeld anonimisering, dataminimalisatie, toegangscontrole, logging/monitoring en encryptie. Bij de start van het (her)ontwerp van een bedrijfsproces of -systeem vindt een risicoafweging voor veiligheids- en privacyrisico’s plaats. De privacyrisico’s worden uitgewerkt in de gegevensbeschermingseffectbeoordeling (GEB)‑check en de GEB‑rapportage. Wanneer er geen privacyrisico’s, maar wel veiligheidsrisico’s zijn, dan brengen we die in kaart en beschrijven we de te nemen maatregelen. In 2018 zijn op dit terrein 9 kennismodules ontwikkeld. Deze modules zijn in totaal 90 keer aangeboden aan 1.020 deelnemers werkzaam in het IV‑voortbrengingsproces.
In 2018 zijn 2 projecten gestart om de weerbaarheid op het gebied van informatiebeveiliging en privacy te vergroten. Het project Information Security Management System (ISMS) heeft als doel de informatie op het terrein van informatiebeveiliging effectiever en efficiënter te verwerken. Het biedt bovendien een betere basis voor rapportage en sturing. In 2018 zijn de voorbereidingen uitgevoerd en we verwachten de ISMS‑tool in 2019 in gebruik te kunnen nemen. Het eerdergenoemde project Loghost verhoogt de operationele paraatheid van UWV. Door de infrastructuur en applicaties actief te loggen en te monitoren, kunnen we bij afwijkend gedrag proactief handelen om mogelijke incidenten te voorkomen. Wanneer zich een cyberincident voordoet, kunnen we aan de hand van forensische analyse nagaan tot welke gegevens of autorisaties cybercriminelen toegang hebben gekregen.
Bewustzijn
Minstens zo belangrijk als een goede beveiliging van de systemen en het voldoen aan wet- en regelgeving is dat onze medewerkers zich bewust zijn van het belang om op een veilige manier om te gaan met (persoons)gegevens. In 2018 zijn 600 UWV‑managers breed opgeleid op het gebied van informatiebeveiliging en privacy. Daarnaast zijn er roadshows georganiseerd rondom specifieke informatiebeveiligingsthema’s zoals de AVG, het ontwikkelen van veilige software, geanonimiseerde testdata en social engineering.
Nieuw screeningsbeleid
Verder treffen we organisatorische maatregelen. Zo is in 2018 een nieuw screeningsbeleid ingevoerd. Alle nieuwe medewerkers en medewerkers die vanuit een niet‑managementfunctie intern op een managementfunctie solliciteren, vragen we om een verklaring omtrent gedrag (vog). Bij functies met bijzondere vertrouwelijkheid checken we altijd op referenties en diploma en verrichten we onderzoek in openbare bronnen. Intern sluitend autorisatiebeheer is nagenoeg gerealiseerd. Maandelijks rapporteren we over de resterende afwijkingen en handelen we signalen af. Het aantal risicovolle autorisatieafwijkingen is in 2018 met ruim 80% gedaald tot 4.900. Dit is onder het afgesproken acceptabele niveau van 12.000 autorisatieafwijkingen.