Afgelopen jaar had het Uitvoeringsinstituut Werknemersverzekeringen (UWV) te maken met twee ernstige digitale bedreigingen, waaronder een phishingaanval. Om herhaling te voorkomen, vroeg de uitkeringsinstantie aan KPMG om een cybersecurityroadmap te schetsen. Door deze aanvullende maatregelen en een professionele Security Operations Centre (SOC), wist de organisatie hackers buiten de deur te houden.
Dat meldt het UWV in het jaarverslag 2022 (pdf).
UWV wil informatiehuishouding ‘slimmer en efficiënter’ inrichten
De uitkeringsinstantie erkent dat de organisatie met een aantal sterk verouderde ICT-systemen werkt. Deze worden ook wel legacysystemen genoemd. Om ervoor te zorgen dat deze toepassingen aan de hedendaagse beveiligingseisen voldoen, wordt er regelmatig regulier en groot onderhoud gepleegd.
Om de dienstverlening te verbeteren, dringt het UWV bij de politiek aan op vereenvoudiging van de wet- en regelgeving. De organisatie zelf streeft ernaar om “wendbaarder, efficiënter en slimmer” te werken. Hoe het UWV dat wil realiseren, is vastgelegd in het UWV Informatieplan (UIP). Een voorbeeld daarvan is datalifecyclemanagement. Daarmee blijven alleen de gegevens in de systemen beschikbaar die volgens de huidige wet- en regelgeving gebruikt mogen worden. Met dit programma wil de uitkeringsinstantie de gegevenshuishouding verbeteren.
Daarnaast zet het UWV in op meer datagedreven werken. Om de uitgangspunten van het UWV en het gebruik van data en algoritmen vast te leggen, is het Data-ethiek kompas bedacht. Het kompas wordt onder meer gebruikt bij de uitvoering van ethische impact assessments. Deze beoordelingen helpen ontwikkelaars, eigenaars en gebruikers om ethische effecten in kaart te brengen en de datatoepassing eventueel aan te passen.
UWV: ‘Beveiliging voldoet in 2026 geheel aan alle eisen’
Een ander speerpunt van het UWV is het verbeteren van informatiebeveiliging en privacy. “Het UWV verwerkt op grote schaal (persoons) gegevens die vaak digitaal toegankelijk zijn. Om deze veilig te houden, investeren we continu in het op orde brengen en houden van de informatiebeveiliging en gegevensbescherming”, zo schrijft de uitkeringsorganisatie in haar jaarverslag.De belangrijkste kaders hiervoor zijn de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO).
Om de beveiliging up-to-date te brengen, liet het UWV afgelopen jaar een gapanalyse uitvoeren. Daarbij werden de huidige beveiligingsmaatregelen in kaart gebracht en vergeleken met beveiligingseisen van de BIO. Op basis daarvan is een meerjarenplan opgesteld om verouderde systemen aan te passen.
“Veel van onze (oude) ICT-systemen zijn niet ontworpen volgens de huidige standaarden van informatiebeveiliging en privacybescherming. We werken daarom stapsgewijs aan het vernieuwen van deze systemen, maar er zijn grenzen aan wat we tegelijkertijd kunnen aanpassen”, schrijft het UWV. Het doel is dat alle processen en systemen vanaf 1 januari 2026 geheel voldoen aan de eisen die de BIO stelt.
UWV: ‘Er is continu sprake van digitale dreiging’
In 2022 kreeg het UWV te maken met twee “ernstige bedreigingen”, waaronder een phishingaanval. Daarbij proberen cybercriminelen de hand te leggen op privacygevoelige gegevens of andere vertrouwelijke informatie. Een veelbeproefde methode is dat hackers een phishingmail versturen, waarbij ze zich voordoen als een hooggeplaatste medewerker van een externe organisatie. De mail bevat een malafide bijlage die ransomware of andere malware installeert zodra hij wordt geopend. Deze werkwijze wordt ook wel Business Email Compromise of BEC-fraude genoemd.
Het UWV wist volgens het jaarverslag beide aanvallen af te slaan. “We hebben maatregelen getroffen en de aanval gebruikt om bij medewerkers te benadrukken hoe cruciaal veilig digitaal gedrag is”, aldus de instantie.
Traditionele vormen van toegangsbescherming zijn volgens het UWV niet langer toereikend om persoonsgegevens en andere data te beschermen. “Er is continu sprake van digitale dreiging”, meent de uitkeringsinstantie. Daarom is de organisatie voortdurend bezig om haar cybersecurity op te schroeven. Eén van de initiatieven is dat het UWV adviesorganisatie KPMG heeft gevraagd om een cybersecurityroadmap op te stellen. Deze roadmap vormde de basis voor het tweede Next Level Security-programma (NLS-2), dat in het vierde kwartaal van 2022 van start ging.
AP legt boete van 450.000 euro op aan UWV
Het UWV de afgelopen jaren grote stappen gemaakt om de informatiebeveiliging te verbeteren. In juni 2021 deelde de Autoriteit Persoonsgegevens nog een boete van 450.000 euro uit aan het UWV, omdat de beveiliging van de berichtenomgeving ‘Mijn Werkmap’ jarenlang niet op orde was. Daardoor vonden er tussen 2016 en 2018 negen datalekken plaats, waarbij de gezondheids- en andere persoonlijke gegevens van ruim 15.000 mensen bij de verkeerde mensen terecht kwamen.
“Nu het UWV jarenlang geen passend beveiligingsniveau heeft gewaarborgd, is de Autoriteit Persoonsgegevens van oordeel dat het UWV ernstig nalatig is geweest in het niet afwegen van risico’s voor burgers, het treffen van passende beveiligingsmaatregelen en controleren en aanpassen van deze maatregelen (…) Daarnaast vindt de AP het zeer onachtzaam en nalatig dat het UWV pas na negen datalekken in december 2018 is overgegaan tot het doorvoeren van technische maatregelen”, schreef de toezichthouder in het boetebesluit.
