In deel 1 van dit jaarverslag zijn we in paragraaf Blijvende aandacht voor informatiebeveiliging en privacy ingegaan op de maatregelen die we hebben genomen om de risico’s in ons cliëntvolgsysteem Sonar te verminderen. Hieronder gaan we nader in op hoe we invulling geven aan informatiebeveiliging en privacy.
Gegevensverwerking van UWV
UWV draagt zorg voor een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. Daarvoor hebben we maatregelen en procedures getroffen. UWV heeft een groot deel van zijn IT‑dienstverlening uitbesteed aan een IT‑serviceorganisatie. Serviceorganisaties leggen jaarlijks verantwoording af over aan UWV geleverde diensten via Third Party Memorandums (TPM’s). Met onze nieuwe datacenterleverancier hebben we afspraken gemaakt over verbetering van de wijze van verantwoorden (zie ook in deel 2 van dit jaarverslag in paragraaf Vernieuwen en vereenvoudigen ICT‑landschap, onder het kopje Nieuwe datacenterdienstverlening). Hieronder lichten we de verbeteringen toe die we hebben getroffen, zoals de implementatie van de BIO en veilige uitwisseling van persoonsgegevens. We verantwoorden ons hier ook over de wijze waarop UWV voldoet aan de Algemene verordening gegevensbescherming (AVG) en zorg draagt voor de bescherming van persoonsgegevens. We beschrijven in deel 1, paragraaf Gegevensdienstverlening onder het kopje Configureerbare webservices de maatregelen die zijn genomen ter verbetering van de loonaangifteketen. In diezelfde paragraaf lichten we onder het kopje Data lifecycle management toe welke maatregelen zijn genomen om de structurele inbedding en optimalisatie van data lifecycle management te realiseren.
Voldoen aan de AVG
De AVG vereist een gegevensbeschermingseffectbeoordeling (GEB) voor iedere voorgenomen verwerking van persoonsgegevens die een hoog risico voor de privacy van betrokkene met zich meebrengt. Om te bepalen of het uitvoeren van een volledige GEB voor de desbetreffende verwerking noodzakelijk is, doen we eerst een GEB‑check. Een GEB brengt de specifieke risico’s en mitigerende maatregelen in kaart. In sommige gevallen kan een GEB ook leiden tot het aanpassen (inperken) van de verwerking. Dat gebeurt als blijkt dat er geen grondslag of noodzaak aanwezig is. Bijzondere aandacht gaat uit naar de inzet van algoritmen en de gegevens die daarbij gebruikt worden. Niet alles wat kan, mag ook. Hetzelfde geldt voor gegevensuitwisseling binnen samenwerkingsverbanden met andere (publieke en private) organisaties. Ons uitgangspunt is dat elke verwerking van persoonsgegevens ethisch verantwoord moet zijn. In 2021 hebben we voor zowel bestaande als aanstaande verwerkingen 127 GEB-checks en 61 GEB-rapporten afgerond. Er heeft zich in 2021 een incident met voortijdige vernietiging van dossiers voorgedaan. We hebben hiervan melding gemaakt bij de Autoriteit Persoonsgegevens (AP). Eind 2021 is een vooronderzoek data lifecycle management opgeleverd, op basis waarvan we in 2022 verbeteracties in gang kunnen zetten. Tegelijkertijd constateren we dat het borgen van tijdige vernietiging van persoonsgegevens in de praktijk regelmatig problemen oplevert. Het vergt analyse om te voorkomen dat daarmee direct of indirect informatie wordt vernietigd die van belang is voor lopende of mogelijke toekomstige aanspraken. Systemen zijn technisch niet altijd goed ingericht om het schonen van persoonsgegevens te ondersteunen. Als alternatief wordt handmatig schonen ingezet, maar dit is kwetsbaar bij menselijke fouten en vergt veel managementaandacht die niet altijd in voldoende mate aanwezig is.
Beveiliging van portalen
Adequate beveiliging is een belangrijke randvoorwaarde om de stabiliteit en continuïteit van onze digitale dienstverlening te kunnen blijven garanderen. Daarom werken we aan het vergroten van onze cyberweerbaarheid en streven we naar het waarborgen van veilige toegang tot de UWV-portalen en de bescherming van persoonsgegevens die op de portalen worden gedeeld. Er is in 2021 hard gewerkt aan de UWV-websites om zo een veilige en betrouwbare interactie tussen overheid en Nederlandse burgers en bedrijven te kunnen garanderen. We sluiten werk.nl aan op de overheidsvoorziening eHerkenning, zodat werkgevers veiliger toegang verkrijgen tot onze dienstverlening via deze site. Dit zal in de loop van 2023 worden gerealiseerd. Ook andere portalen, zoals het tolkenportaal, het jobcoachportaal en ons zakelijk portaal, worden in 2022 en 2023 aangesloten op eHerkenning. De voorbereidingen hiervoor zijn inmiddels in gang gezet. In 2021 voldeden uwv.nl en werk.nl niet aan alle normen van het ICT‑beveiligingsassessment DigiD. Dat komt onder andere doordat we gebruikmaken van applicaties van externe (Software as a Service‑)leveranciers. De applicaties van een aantal van deze leveranciers voldoen (nog) niet aan de – na de aanschaf en ingebruikname aangescherpte – Content‑Security‑Policy (CSP)‑eisen. We hebben via een audit vastgesteld dat er wel voldoende mitigerende maatregelen getroffen zijn. Verder is er een verbeterplan gemaakt om in 2022 wel te gaan voldoen aan deze eisen. De eisen voor een goede omgang met burgers op portalen worden steeds verder aangescherpt en beslaan een steeds breder terrein. Onze websites uwv.nl en werk.nl voldoen inmiddels aan alle eisen van Forum Standaardisatie. Voor massaal gebruikte portalen zoals die van UWV zijn cookies onontkoombaar. Cookies zijn data over de interactie met individuele burgers die worden bewaard voor analyse en om de webervaring van terugkerende bezoekers te verbeteren. Op het gebied van transparantie richting gebruikers en verantwoording over ons cookiegebruik hebben we nog werk te verrichten.
Voldoen aan de BIO
In 2021 hebben we een UWV-brede verantwoordingssystematiek opgezet voor de Baseline Informatiebeveiliging Overheid (BIO), met als doel om een in-controlverklaring af te geven voor de kritische bedrijfsprocessen en systemen. We hebben, met externe ondersteuning, een gedetailleerde aanpak uitgewerkt. Alle bedrijfsonderdelen hebben implementatieteams samengesteld die hebben onderzocht of specifiek beleid, richtlijnen en voorzieningen voor deze kritische bedrijfsprocessen en kritische systemen voldoen aan het normenkader van de BIO. De bedrijfsonderdelen hebben voor een deel van deze bedrijfsprocessen en systemen een gapanalyse uitgevoerd tussen de bestaande informatiebeveiligingsmaatregelen en de BIO. Op basis van de resultaten van de gapanalyses hebben ze vervolgens verbeterplannen opgesteld. Zo zijn er verbeteringen noodzakelijk in het autorisatiebeheer voor meerdere kritieke systemen, om de beschikbaarheid, integriteit en vertrouwelijkheid van onderliggende data te waarborgen. De UWV‑brede in-controlverklaring is begin maart 2022 vastgesteld. We verwachten dat uiterlijk per 2026 al onze processen en systemen geheel aan de BIO voldoen.
Veilige uitwisseling van persoonsgegevens
Onze medewerkers zijn zich er in toenemende mate van bewust hoe zij kunnen bijdragen aan een veilige omgang met informatie, maar hier is blijvend aandacht voor nodig. In 2021 hebben wij geïnvesteerd in maatregelen die een veilige uitwisseling van informatie faciliteren en daarmee datalekken terugdringen. Er loopt een vooronderzoek naar adequate oplossingen voor veilige digitale communicatie in het medische domein, waarmee we conform wettelijke voorschriften digitaal kunnen communiceren met medisch specialisten. Voor de korte termijn zijn sinds 2020 aanvullende processen en technologie ingezet die sindsdien breed zijn uitgerold. Voor de langere termijn streven we bij voorkeur naar een eenduidige oplossing voor portalen en apps; indien nodig sluiten we voor heel specifieke doelgroepen aan op de door deze doelgroep gebruikte veilige communicatiemiddelen. Ook schonen we digitale omgevingen op waarbinnen persoonsgegevens ongestructureerd en zonder nadrukkelijk doel worden bewaard.
Meer verzoeken tot inzage
Burgers hebben het recht om de persoonsgegevens die wij van ze hebben, in te zien. Daarvoor moeten ze een verzoek op grond van de AVG indienen. Het aantal verzoeken is toegenomen sinds de opening van de mailbox privacy@uwv.nl (begin 2020) en het in 2021 beschikbaar komen van een digitaal formulier waarmee burgers, door via DigiD in te loggen op uwv.nl, een verzoek tot inzage kunnen indienen. Veel mensen vragen om inzage van hun persoonsgegevens, maar ook om correctie of verwijdering. De uitvoering van deze verzoeken kost de nodige inspanning, zeker wanneer meerdere bedrijfsonderdelen bij de dienstverlening betrokken zijn. Op dit moment staat het tijdig en goed afhandelen van de verzoeken onder druk. Vaak moet verlenging van de termijn worden gevraagd. Dit leidt tot ontevreden burgers en klachten, en in een enkel geval tot de indiening van een bezwaar. In 2022 onderzoeken we of en zo ja hoe we het proces anders kunnen inrichten.
Inbreuken in verband met persoonsgegevens
Op grond van de AVG moeten alle inbreuken in verband met persoonsgegevens (datalekken) binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de persoon van wie persoonsgegevens zijn gelekt (de betrokkene). Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet UWV ook de betrokkene inlichten. UWV heeft in 2021 in totaal 3.027 signalen over mogelijke inbreuken ontvangen. Daarvan hebben we er 1.039 als datalek gemeld bij de AP. Het ging hierbij in bijna 90% van de gevallen om poststukken die geopend werden door iemand anders dan de geadresseerde. Dankzij adequaat handelen door onze medewerkers konden risico’s voor de rechten en vrijheden van betrokkenen daarbij snel worden gemitigeerd. Naar aanleiding van deze incidenten hebben we nader onderzoek ingesteld. Hiermee zijn de risico’s helder in kaart, zodat we maatregelen konden treffen om soortgelijke incidenten in de toekomst te voorkomen. Het blijft van belang om de aandacht te vestigen op tijdige en voldoende managementaandacht om risico’s van impactvolle datalekken te mitigeren en om maatregelen te treffen om verdere inbreuken te voorkomen.
Er hebben zich in de afgelopen periode meerdere incidenten met grotere impact voorgedaan:
-
Ten onrechte vernietigde dossiers: De afgelopen drie jaar heeft UWV fysieke archiefbescheiden geschoond. Gedurende deze periode zijn ook fysieke documenten over sociaal-medische beoordelingen vernietigd waarvan de wettelijke bewaartermijn nog niet was verstreken. Het gaat om documenten van ruim 15.500 mensen met een lopende Wajong-uitkering en bijna 128.000 mensen van wie de uitkering inmiddels is beëindigd, bijvoorbeeld als gevolg van het bereiken van de AOW-leeftijd, overlijden of herstel. Het vernietigen van dossiers is na constatering onmiddellijk stopgezet. We hebben onderzoek gedaan naar de oorzaak en maatregelen getroffen; hierna kon de vernietiging weer worden opgepakt. De vroegtijdige vernietiging heeft geen nadelige gevolgen voor de reeds beëindigde uitkeringen; dit is vastgelegd in de werkinstructies. Voor de lopende Wajong‑uitkeringen hebben we vastgesteld dat alle voor de betaling van de uitkering relevante informatie, zoals de mate van arbeidsongeschiktheid, gereconstrueerd kan worden. Omdat de risico’s voor betrokkenen beperkt zijn, was het op grond van de AVG niet nodig hen te informeren.
-
Incident werkgeversportaal: Op 10 juni is nieuwe software geïnstalleerd op het werkgeversportaal. Na installatie van deze software waren er, wanneer er een zoekopdracht werd gedaan binnen een specifiek wetsdomein, voor werkgevers titels zichtbaar van documenten die betrekking hebben op werknemers van andere werkgevers. De bestanden konden niet worden geopend of gedownload. De risico’s voor de betrokkenen zijn beperkt gebleven, omdat het datalek optrad in een beveiligde omgeving en vanwege de relatief korte tijdsduur (circa 2,5 uur) van het incident. Het incident is door circa 30 werkgevers gemeld, waarna we de software‑installatie hebben teruggedraaid en de inbreuk was beëindigd. De werkgevers die een melding hebben gedaan, hebben een terugkoppeling ontvangen. We hebben maatregelen genomen om dit soort datalekken in de toekomst te voorkomen.
-
Incident loonaangifteketen: Gebleken is dat door een fout in de aanlevering vanuit de Belastingdienst sinds januari 2021 ongeveer 1.700 loonaangiftes niet volledig konden worden verwerkt in de polisadministratie. Hierdoor zijn deze loonaangiftes ook onvolledig doorgeleverd aan afnemende organisaties: gegevens over de inkomstenperiode ontbraken. Deze fout heeft geen (financiële) gevolgen voor UWV‑cliënten. We hebben, conform de procedure in de loonaangifteketen, een melding gedaan bij de Belastingdienst en bij het ketenbureau van de loonaangifteketen. Het proces zal worden geëvalueerd en de gegevens zullen met een herstellevering worden gecorrigeerd.
Verantwoording beveiliging Suwinet
UWV legt ieder jaar verantwoording af over de beveiliging van Suwinet volgens de verantwoordingsrichtlijn Gezamenlijke elektronische Voorziening Suwinet (GeVS). Voor het verantwoordingsjaar 2021 geldt de GeVS‑verantwoordingsrichtlijn uit 2020. De scope van deze verantwoording is een set van veertien normen uit de Baseline Informatiebeveiliging Overheid (BIO) en richt zich op het afnemen van Suwinet‑services. Bevindingen en eventuele afwijkingen ten opzichte van het afgesproken beveiligingsniveau rapporteren we met een transparantierapportage vóór 1 mei aan Bureau Keteninformatisering Werk & Inkomen (BKWI).