UWV verwerkt veel persoonsgegevens die ook digitaal toegankelijk zijn. Het op orde brengen en houden van de informatiebeveiliging en de gegevensbescherming is een permanent proces. Het is essentieel dat medewerkers zich bewust zijn van het belang om veilig en zorgvuldig om te gaan met gegevens van burgers en bedrijven. De aandacht daarvoor is echter niet eenduidig belegd en harde borging – zoals bij technische maatregelen – is niet mogelijk omdat het om gedrag gaat. In het realiseren van het gewenste gedrag ligt een grote verantwoordelijkheid bij het management. Dat ondersteunen we met incidentele bewustwordingscampagnes. De Algemene verordening gegevensbescherming (AVG) en de sinds 2020 geldende Baseline Informatiebeveiliging Overheid (BIO) zijn de belangrijkste kaders voor onze organisatie. In 2021 hebben we voor het eerst een UWV‑brede in‑controlverklaring informatiebeveiliging op basis van de BIO opgesteld. Veel van onze (oude) ICT‑systemen zijn niet ontworpen volgens de principes van ‘security and privacy by design’. UWV werkt stapsgewijs aan het herontwerpen en vernieuwen van deze systemen, maar er zijn grenzen aan wat we tegelijkertijd kunnen aanpassen. Bij de vernieuwing van applicaties nemen we alle vereisten mee. Meer hierover is te lezen in deel 2 van dit jaarverslag, in paragraaf Blijvende aandacht voor informatiebeveiliging en privacy.
Risico’s verminderen
Het zal nog meerdere jaren vergen voordat we structureel en effectief op orde zijn. We verwachten dat uiterlijk per 2026 al onze processen en systemen geheel aan de BIO voldoen. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen.
Next level security
We nemen maatregelen die zowel op korte termijn effect sorteren als bijdragen aan robuustheid op de langere termijn. Zo hebben we, om onze weerbaarheid te vergroten, in 2021 de logging en monitoring uitgebreid. We analyseren dataverkeerpatronen op onze netwerken nu breder en meer in samenhang om ongewoon dataverkeer beter te kunnen opmerken en nader te kunnen onderzoeken. We hebben ook een team specialisten aangesteld dat bij gesignaleerde incidenten of ongewone patronen direct in actie komt om de juiste maatregelen te kunnen nemen. Om onszelf beter te wapenen tegen bedreigingen, hebben we maatregelen genomen die apparaten zoals laptops en telefoons consistenter en meer in samenhang beschermen. In verband met de toename van ransomwareaanvallen hebben we alle belangrijke back‑upprocessen nagelopen om zeker te stellen dat we ook bij een geslaagde ransomwareaanval op onze operationele systemen nog kunnen beschikken over de essentiële data. Daarbij hebben we ook gekeken naar mogelijkheden om hiervoor, met het oog op efficiency, specifieke services in te richten. Sinds 2021 analyseren we de continue stroom van dreigingsinformatie uit het Nationaal Cyber Security Centrum beter. We analyseren automatisch welke signalen specifiek voor ons van belang zijn, zodat we bij de afhandeling beter kunnen prioriteren. Het is essentieel dat onze medewerkers zich continu bewust zijn van de noodzaak van veilig online gedrag. We wijzen hen regelmatig op de gevaren van misleiding (phishing) en hoe ze verdachte of risicovolle situaties kunnen opmerken en welke acties ze daar vervolgens op moeten ondernemen.
Verminderen risico’s Sonar
De Autoriteit Persoonsgegevens (AP) heeft in juli 2021 aan UWV een boete van € 450.000 opgelegd voor het niet goed beveiligen van het verzendproces van groepsberichten via de Werkmap. In de periode van 2016 tot 2018 is negen keer een Excel‑bestand met veel persoonsgegevens van werkzoekenden als bijlage aan een Werkmapbericht toegevoegd en zo terechtgekomen bij andere werkzoekenden. Na de eerste datalekken via de Werkmap heeft UWV organisatorische maatregelen genomen. Deze maatregelen voorkwamen niet dat er daarna nog meer van deze datalekken optraden. Mede naar aanleiding van een intern onderzoek eind 2018 naar een van deze datalekken hebben we een extern onderzoek laten uitvoeren naar kwetsbaarheden en risico’s in ons informatiesysteem Sonar. Dit systeem, waarin de gegevens van werkzoekenden staan geregistreerd, wordt gebruikt door meerdere bedrijfsonderdelen van UWV en ook door gemeenten.
Het onderzoek toonde aan dat Sonar niet voldoet aan de eisen die de AVG stelt en dat de privacy van uitkeringsgerechtigden onvoldoende is gewaarborgd. Omdat Sonar ook functioneel en technisch verouderd is, zal het vernieuwingsprogramma WORKit dit systeem op langere termijn vervangen en uitfaseren. Totdat Sonar volledig is vervangen, zal er, ondanks alle maatregelen die UWV neemt, sprake zijn van restrisico’s omdat niet alle tekortkomingen kunnen worden opgelost binnen het huidige systeem. In 2021 zijn maatregelen genomen om op de korte en middellange termijn risico’s te verminderen. Vier kortetermijnmaatregelen zijn in 2021 gerealiseerd. Hierdoor zijn gegevens waarvan de bewaartermijn is verlopen uit Sonar verwijderd, is er verbeterde logging en monitoring, worden er sterkere wachtwoorden afgedwongen en is er een ambassadeursnetwerk opgericht dat UWV‑medewerkers wijst op het belang van privacy. Om te voorkomen dat er per ongeluk Excel‑bestanden met persoonsgegevens worden verstuurd, is de exportfunctionaliteit van persoonsgegevens uit Sonar zelf afgesloten voor vrijwel alle 18.000 gebruikers van UWV en gemeenten. Voortaan kunnen nog slechts 24 UWV‑medewerkers, die de export nodig hebben voor de uitoefening van hun functie, gebruikmaken van deze mogelijkheid. De acties voor de middellangetermijnmaatregelen, die uiterlijk eind 2022 gereed zullen zijn, liggen grotendeels op schema.