UWV biedt steeds meer digitale dienstverlening en werkt met veel persoonsgegevens. Adequate beveiliging is noodzakelijk om de stabiliteit en continuïteit van de digitale dienstverlening te kunnen blijven garanderen.
Baseline Informatiebeveiliging Rijksdienst
In 2019 hebben wij maatregelen genomen om de veiligheid van gegevens en informatiesystemen verder te borgen. Hierbij conformeren wij ons aan de Baseline Informatiebeveiliging Rijksdienst (BIR), die per 2020 opgaat in de Baseline Informatiebeveiliging Overheid (BIO). Op dit moment bereidt UWV een scenario voor de overgang van de BIR naar de BIO voor. De impact wordt vooralsnog ingeschat als beperkt omdat UWV al langere tijd volgens een risicogestuurde aanpak werkt.
UWV is eind vorig jaar een traject gestart om externe softwareleveranciers gecontroleerd toegang te geven tot de UWV‑omgeving, in lijn met de AVG en geldende interne richtlijnen. De aanpak van de eerste fase, waarin de externe softwareleveranciers op gecontroleerde wijze toegang krijgen tot de UWV‑omgeving, is enigszins gewijzigd, waardoor deze fase later dit jaar wordt afgerond. Daarna volgt de tweede fase, waarin de softwareleveranciers ook toegang krijgen tot de door hen beheerde applicaties.
Veilige software is een constant aandachtspunt binnen het IV‑domein. UWV hanteert hiervoor de kwaliteitsrichtlijn Secure Software Development (SSD). Voor nieuwe software is dit in afspraken en contracten met softwareleveranciers vastgelegd. Voor bestaande, oudere software blijkt dit weerbarstige materie, omdat de rolverdeling met onze hostingpartij en softwareleveranciers niet altijd duidelijk is. Begin 2019 is een pilot gestart die tot doel heeft om gezamenlijk met de applicatie- en hostingleveranciers de implementatie van SSD te evalueren. De pilot is inmiddels afgerond. Op basis van de bevindingen wordt momenteel een projectplan met verbeteracties opgesteld.
Autorisatiebeheer, ofwel het beheer van toegangsrechten van medewerkers tot en binnen de (digitale) werkplek, is een belangrijk thema binnen UWV. Er wordt nu de laatste hand gelegd aan een strategisch visiedocument over autorisatiebeheer. Parallel is de doorvertaling naar een operationele roadmap gestart. We houden met een maandelijkse controle op autorisaties toezicht op de uitvoering van het huidige proces. Uit de controles bleek dat er de afgelopen maanden een toename was in autorisatieafwijkingen. We hebben de divisies hierop aangesproken en verzocht om het aantal afwijkingen te verlagen.
UWV heeft eind 2018 een encryptiebeleid vastgesteld, dat is afgeleid van de BIR. Het encryptiebeleid is richtinggevend voor de wijze waarop UWV zijn informatie kan beveiligen. Het gaat daarbij niet alleen om opgeslagen data maar ook om data die tussen systemen worden uitgewisseld. De betrokken bedrijfsonderdelen bepalen op basis van een risicoanalyse gezamenlijk waar aanvullende maatregelen op het gebied van encryptie nodig zijn. De verwachting is dat zij uiterlijk eind september hiervoor een plan opleveren.
Bewustzijn
Minstens zo belangrijk als een goede beveiliging van de systemen en het voldoen aan wet- en regelgeving is dat onze medewerkers zich bewust zijn van het belang om op een veilige manier om te gaan met (persoons)gegevens. Voor medewerkers en managers zijn e‑learnings Veilig omgaan met gegevens ontwikkeld en beschikbaar gesteld op het leerportaal van UWV. Deze e‑learnings worden een vast onderdeel van het onboardingprogramma voor nieuwe medewerkers. Verder is de pilot FG op tournee gestart om de functionaris gegevensbescherming dichter bij de werkvloer te brengen. Doel hiervan is om met medewerkers in de regio’s in gesprek te gaan over de AVG en het privacybeleid van UWV.