UWV jaarverslag 2021 29
5.2. Vernieuwen en vereenvoudigen ICT-landschap
De afgelopen jaren hebben we de stabiliteit en continuïteit van ons ICT-landschap verbeterd. Om onze dienstverlening te kunnen innoveren en ook op termijn continuïteit te kunnen garanderen, is het noodzakelijk om verouderde
technologie te vernieuwen. Zo creëren we ook meer wendbaarheid en meer ruimte voor personalisatie en maatwerk. In het UWV Informatieplan (UIP), dat we jaarlijks actualiseren en als bijlage bij het UWV Jaarplan meesturen, beschrijven we welke trajecten we daarvoor in de komende vijf jaar verwachten te starten. We beschrijven in deel 2 van dit jaarverslag, in paragraaf 5.2 onder het kopje Strategische ICT-doelstellingen, de voortgang per ICT-doelstelling en van de veertien strategische mijlpalen uit het UIP. In deze paragraaf beperken we ons tot de hoofdlijnen van de
ICT-ontwikkelingen waarmee we onze dienstverlening verbeteren.
Nieuwe datacenterdienstverlening
Om de continuïteit van onze dienstverlening te borgen en sneller veranderingen te kunnen realiseren, stappen we over naar een nieuwe datacenterdienstverlening op basis van moderne technieken en afspraken. In 2021 zijn we
verdergegaan met het overzetten van een belangrijk deel van de applicaties en voorzieningen die bij onze huidige datacenterleverancier draaien naar onze nieuwe leverancier. De meerjarige migratie is complex en legt een groot beslag op onze verandercapaciteit. Door stapsgewijs te werken, waarbij we altijd delen van de migratie kunnen terugdraaien, ondervindt onze dienstverlening er geen hinder van.
Vernieuwing
In 2021 hebben we weer belangrijke ICT-resultaten behaald die bijdragen aan een betere dienstverlening. Zo hebben we een basisplatform voor apps ontwikkeld. Als eerste toepassing hebben we in maart 2021 de app gelanceerd waarmee WW-gerechtigden en zieke werklozen in de Ziektewet hun inkomstenopgave kunnen indienen. Het is voor de gebruiker ook mogelijk om een maandelijkse herinnering in te stellen voor het invullen van de inkomstenopgave. Verder hebben we een applicatie opgeleverd die het aanvragen van een WW-uitkeringen deels automatiseert (zie verder paragraaf 4.1, onder het kopje Sneller duidelijkheid over WW-aanvraag). Sinds de ingebruikneming van het Uniform klantbeeld hebben de klantadviseurs van UWV Klantencontact direct alle relevante gegevens bij de hand, zodat ze mensen snel en adequaat kunnen helpen. Sinds eind 2021 kunnen cliënten online in Mijn UWV hun afspraken zien met verzekeringsartsen en arbeidsdeskundigen.
Verder hebben we in juli de track-en-tracefunctionaliteit Werken met zaken in gebruik genomen voor het bezwaarproces.
Deze functionaliteit biedt zowel mensen die een bezwaar indienen als UWV-medewerkers eenvoudig inzicht in de status van een bezwaar. Beide partijen kunnen ook eenvoudig documenten aan het dossier toevoegen. Bij ons
bedrijfsonderdeel Werkbedrijf digitaliseren we processen voor cliënt en medewerker in de juridische dienstverlening.
Daarnaast werken we aan zorgvuldige omgang met persoonsgegevens door onder andere voor werkgevers toegang tot werk.nl via eHerkenning te realiseren.
5.3. Blijvende aandacht voor informatiebeveiliging en privacy
UWV verwerkt veel persoonsgegevens die ook digitaal toegankelijk zijn. Het op orde brengen en houden van de informatiebeveiliging en de gegevensbescherming is een permanent proces. Het is essentieel dat medewerkers zich bewust zijn van het belang om veilig en zorgvuldig om te gaan met gegevens van burgers en bedrijven. De aandacht daarvoor is echter niet eenduidig belegd en harde borging – zoals bij technische maatregelen – is niet mogelijk omdat het om gedrag gaat. In het realiseren van het gewenste gedrag ligt een grote verantwoordelijkheid bij het
management. Dat ondersteunen we met incidentele bewustwordingscampagnes. De Algemene verordening gegevensbescherming (AVG) en de sinds 2020 geldende Baseline Informatiebeveiliging Overheid (BIO) zijn de belangrijkste kaders voor onze organisatie. In 2021 hebben we voor het eerst een UWV-brede in-controlverklaring informatiebeveiliging op basis van de BIO opgesteld. Veel van onze (oude) ICT-systemen zijn niet ontworpen volgens de principes van ‘security and privacy by design’. UWV werkt stapsgewijs aan het herontwerpen en vernieuwen van deze systemen, maar er zijn grenzen aan wat we tegelijkertijd kunnen aanpassen. Bij de vernieuwing van applicaties nemen we alle vereisten mee. Meer hierover is te lezen in deel 2 van dit jaarverslag, in paragraaf 5.3.
Risico’s verminderen
Het zal nog meerdere jaren vergen voordat we structureel en effectief op orde zijn. We verwachten dat uiterlijk
per 2026 al onze processen en systemen geheel aan de BIO voldoen. Intussen nemen we gerichte beheersmaatregelen om informatiebeveiligings- en privacybeschermingsrisico’s te verkleinen.
Next level security
We nemen maatregelen die zowel op korte termijn effect sorteren als bijdragen aan robuustheid op de langere termijn.
Zo hebben we, om onze weerbaarheid te vergroten, in 2021 de logging en monitoring uitgebreid. We analyseren dataverkeerpatronen op onze netwerken nu breder en meer in samenhang om ongewoon dataverkeer beter te kunnen opmerken en nader te kunnen onderzoeken. We hebben ook een team specialisten aangesteld dat bij gesignaleerde
UWV jaarverslag 2021 30 incidenten of ongewone patronen direct in actie komt om de juiste maatregelen te kunnen nemen. Om onszelf beter te wapenen tegen bedreigingen, hebben we maatregelen genomen die apparaten zoals laptops en telefoons consistenter en meer in samenhang beschermen. In verband met de toename van ransomwareaanvallen hebben we alle belangrijke back-upprocessen nagelopen, om zeker te stellen dat we ook bij een geslaagde ransomwareaanval op onze operationele systemen nog kunnen beschikken over de essentiële data. Daarbij hebben we ook gekeken naar mogelijkheden om hiervoor, met het oog op efficiency, specifieke services in te richten. Sinds 2021 analyseren we de continue stroom van dreigingsinformatie uit het Nationaal Cyber Security Centrum beter. We analyseren automatisch welke signalen specifiek voor ons van belang zijn, zodat we bij de afhandeling beter kunnen prioriteren. Het is essentieel dat onze medewerkers zich continu bewust zijn van de noodzaak van veilig online gedrag. We wijzen hen regelmatig op de gevaren van misleiding (phishing) en hoe ze verdachte of risicovolle situaties kunnen opmerken en welke acties ze daar vervolgens op moeten ondernemen.
Verminderen risico’s Sonar
De Autoriteit Persoonsgegevens (AP) heeft in juli 2021 aan UWV een boete van € 450.000 opgelegd voor het niet goed beveiligen van het verzendproces van groepsberichten via de Werkmap. In de periode van 2016 tot 2018 is negen keer een Excel-bestand met veel persoonsgegevens van werkzoekenden als bijlage aan een Werkmapbericht toegevoegd en zo terechtgekomen bij andere werkzoekenden. Na de eerste datalekken via de Werkmap heeft UWV organisatorische maatregelen genomen. Deze maatregelen voorkwamen niet dat er daarna nog meer van deze datalekken optraden.
Mede naar aanleiding van een intern onderzoek eind 2018 naar een van deze datalekken hebben we een extern onderzoek laten uitvoeren naar kwetsbaarheden en risico’s in ons informatiesysteem Sonar. Dit systeem, waarin de gegevens van werkzoekenden staan geregistreerd, wordt gebruikt door meerdere bedrijfsonderdelen van UWV en ook door gemeenten.
Het onderzoek toonde aan dat Sonar niet voldoet aan de eisen die de AVG stelt en dat de privacy van
uitkeringsgerechtigden onvoldoende is gewaarborgd. Omdat Sonar ook functioneel en technisch verouderd is, zal het vernieuwingsprogramma WORKit dit systeem op langere termijn vervangen en uitfaseren. Totdat Sonar volledig is vervangen, zal er, ondanks alle maatregelen die UWV neemt, sprake zijn van restrisico’s omdat niet alle tekortkomingen kunnen worden opgelost binnen het huidige systeem. In 2021 zijn maatregelen genomen om op de korte en
middellange termijn risico’s te verminderen. Vier kortetermijnmaatregelen zijn in 2021 gerealiseerd. Hierdoor zijn gegevens waarvan de bewaartermijn is verlopen uit Sonar verwijderd, is er verbeterde logging en monitoring, worden er sterkere wachtwoorden afgedwongen en is er een ambassadeursnetwerk opgericht dat UWV-medewerkers wijst op het belang van privacy. Om te voorkomen dat er per ongeluk Excel-bestanden met persoonsgegevens worden
verstuurd, is de exportfunctionaliteit van persoonsgegevens uit Sonar zelf afgesloten voor vrijwel alle 18.000 gebruikers van UWV en gemeenten. Voortaan kunnen nog slechts 24 UWV-medewerkers, die de export nodig hebben voor de uitoefening van hun functie, gebruikmaken van deze mogelijkheid. De acties voor de middellangetermijnmaatregelen, die uiterlijk eind 2022 gereed zullen zijn, liggen grotendeels op schema.
UWV jaarverslag 2021 31
Hoofdstuk 6
UWV jaarverslag 2021 32 We willen al onze cliënten en afnemers een zo goed mogelijke dienstverlening bieden en tegelijkertijd uitvoering geven aan onze afspraken met het ministerie van SZW en de prioriteiten die we onszelf gesteld hebben. We hebben daarbij te maken met een omvangrijke veranderagenda boven op een complexe bestaande dienstverlening en bedrijfsvoering. Dit vraagt om een intensieve beheersing van risico’s in alle lagen van onze organisatie en een doelmatige besteding van het beschikbare budget. We zijn alert op het herkennen van mogelijke risico’s in alle onderdelen en lagen van onze
organisatie, om deze zo veel mogelijk te kunnen beheersen. Toch blijven er enkele restrisico’s, waarop we nader ingaan deel 2 van dit jaarverslag in, in paragraaf 6.4.
6.1. Doelmatigheid
UWV wordt gefinancierd uit publieke middelen. Die middelen willen we uiteraard zorgvuldig en verantwoord besteden.
We letten er scherp op dat al onze inspanningen en uitgaven daadwerkelijk bijdragen aan de realisatie van onze doelen en dat de kosten in verhouding staan tot de opbrengsten. UWV is een doelmatige uitvoerder. De uitvoeringskosten (het bedrag dat we uitgeven aan onder meer personeel, huisvesting en automatisering) zijn relatief laag ten opzichte van de totale lasten van UWV.
Tabel Begrotingsresultaat UWV
Bedragen x € 1 miljoen Realisatie
2021 Begroting
2021 Verschil %
Structurele uitvoeringskosten wettelijke dienstverlening 2.008,2 2.099,6 -91,4 -4,4%
Projectkosten 126,0 132,9 -6,9 -5,2%
Frictiekosten personeel en huisvesting 1,6 5,1 -3,4 -68,1%
Totaal (voor mutaties fondsen en reserveringen) 2.135,8 2.237,5 -101,7 -4,5%
Onttrekking aan bestemmingsfonds frictiekosten -26,5 -26,5 0,0 0,0%
Toevoeging aan egalisatiereserve 6,0 0,0 6,0
Totaal (na mutaties fondsen en reserveringen) 2.115,3 2.211,0 -95,7 -4,3%
Begrotingsresultaat 2021
De opgenomen jaarbegroting 2021 voor de uitvoeringskosten bedraagt € 2.237,5 miljoen. Hiervan heeft het ministerie van SZW € 2.207,9 miljoen aan budget toegekend. Daarnaast ontvangt UWV van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) € 2,0 miljoen voor de onderwijsvoorzieningen en van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) € 1,1 miljoen voor de uitvoering van de tolkvoorziening in het leefdomein. Verder is de toegekende onttrekking van € 26,5 miljoen aan het bestemmingsfonds frictiekosten in het budget opgenomen.
In 2021 is het budget met € 101,7 miljoen onderschreden. Hiervan heeft € 91,4 miljoen betrekking op de reguliere kosten. Dit saldo heeft een incidenteel karakter en ontstaat vooral doordat er door lagere WW-volumes minder opgeschaald hoefde te worden dan begroot was. Daarnaast zijn de uitvoeringskosten van de NOW-regelingen lager en is er sprake van meevallende materiële kosten door de lockdowns, vooral door lagere reis-, verblijf- en vergaderkosten.