Uitkeringsinstantie moet in 2014 klaar zijn

UWV start verbetering informatiebeveiliging

De Uitvoering Werknemers Verzekeringen (UWV) begint met de eerste projecten om de informatiebeveiliging binnen de dienst op orde te hebben. Het UWV wil hiermee in 2014 klaar zijn. De dienst is al gedeeltelijk in de cloud en medewerkers kunnen hun eigen smartphones naar de werkvloer meenemen. De komende jaren richt het UWV zich vooral op het automatiseren van autorisaties en het monitoren van hoe geautoriseerden zich gedragen.

Bart van Staveren, senior beleidsadviseur bij UWV, lichtte de strategie toe op de conferentie Access Governance op 6 december 2011. Hij zegt dat de plannen vooral vanuit de nieuwe cio van de dienst komen. Frans Haverkamp zit sinds 1 januari 2011 op die plek. Van Staveren: 'De vorige cio, Thijs Vervaat, had andere specialismen, maar Haverkamp vindt informatiebeveiliging belangrijk. Hij realiseert zich dat als dit niet op orde is, zijn naam in de krant staat.'

Databases niet te bereiken

Het UWV heeft nog veel legacy staan: oude apparatuur die dateert uit 2002, toen de dienst werd opgestart. Het UWV is ontstaan uit een samenvoeging van zes bedrijven, die allen hun automatisering buiten de deur hadden. Bijna tien jaar later, in december 2011, wordt pas het laatste dubbele systeem binnen het UWV uitgefaseerd. Van Staveren: 'Maar de legacy blijft bestaan. Daarop staan databases die van buiten niet te bereiken zijn.'

Dat weet Van Staveren, omdat de organisatie is doorgelicht door een externe partij. Van Staveren: 'Het is sowieso van buitenaf niet mogelijk om de dienst binnen te dringen. Dat is vanaf de binnenkant wel anders en daarmee gaan we ons tot 2014 bezighouden.' Het UWV werkt met role-based access control om toegang tot informatiesystemen te verschaffen. Het externe bureau dat de doorlichting deed, concludeerde dat het UWV klaar is voor 2011, maar wel dat de organisatie erg gesloten is.

Niet alles even zorgvuldig

Van Staveren: 'We willen een open organisatie worden met een open infrastructuur. We willen af van brieven en we willen in 2015 90 procent digitaal doen. Binnen onze dienst werken we met ABS 2.0. Dat is een autorisatiebeheersysteem waarin eigen medewerkers worden geregistreerd. De lijnmanager neemt iemand in dienst, zijn secretaresse vult het ABS in en de ict-servicedesk houdt die processen in de gaten. We willen naar een volledig geautomatiseerd proces gaan, waarin bovendien de databases worden geschoond om de bestaande vervuiling weg te bannen. Tijdens het samengaan van de zes bedrijven is namelijk niet alles even zorgvuldig overgebracht.'

Op dit moment regelen Getronics en Atos het werkplekbeheer en ligt de rest van de ict binnen de dienst bij IBM. Het UWV krijgt echter te maken met bezuinigingen, zo moet er vijf- tot zeshonderd miljoen euro bezuinigd worden op uitvoeringskosten. Of dezelfde partijen in 2015 nog steeds hun rol hebben bij de dienst, is daardoor onzeker geworden. Er verdwijnen bovendien 2600 van de vijfduizend banen bij het UWV, omdat steeds meer processen digitaal moeten verlopen.

Van waterval naar agile

Ondertussen is de dienst ook bezig met het opzetten van het neuwe werken en beleid waardoor medewerkers hun privétoestellen kunnen meenemen en gebruiken op de werkvloer. Het UWV krijgt bovendien vanuit de zakelijke markt vraag naar clouddiensten. Van Staveren: 'Er zit een redelijk groot bureaucratisch proces achter zulke ict-plannen. Eerst moet er een projectvoorstel worden ingevoerd en voor je het weet ben je een half jaar verder. Dat pikken mensen niet. We moeten dan ook van een watervalmethode naar agile werken.'

Inmiddels draaien er processen van UWV in de publieke cloud, zoals de urenregistratie van externen en het registreren van bezoekers in de parkeergarage. Er is wel een regel: er zullen nooit primaire processen of data van het UWV in de publieke cloud komen. Het is de bedoeling om binnenkort het gedrag van UWV-gebruikers te monitoren, zodat er grip komt op wat mensen met hun autorisaties doen. Daarbij komen vaker penetratietesten om te zien of het makkelijk is om autorisaties te misbruiken of rechten toe te eigenen die niet bij een account horen.