Bijlagen bij BKWI Jaarverslag 2014
Bijlage 1 -‐ Lijst met afkortingen AMvB Algemene Maatregel van Bestuur AWBZ Algemene Wet Bijzondere Ziektekosten BIBOB Wet Bevordering Integriteitsbeoordelingen door het Openbaar Bestuur BID Taskforce Bestuur en Informatieveiligheid Dienstverlening BIG Baseline Informatiebeveiliging Nederlandse Gemeenten BIR Baseline Informatiebeveiliging Rijksoverheid BSN Burgerservicenummer CAK Centraal Administratie Kantoor CIP Centrum voor Informatiebeveiliging en Privacybescherming DPS matrix Diagnose-, Plan- en Sturingsinstrument matrix DUO Dienst Uitvoering Onderwijs FAQ frequently asked questions GBA Gemeentelijke Basis Administratie GeVs Gemeenschappelijke elektronische Voorziening Suwinet GSD Gemeentelijke Sociale Dienst IHLZ Informatisering Hervorming Langdurige Zorg IVT Interventieteams KING Kwaliteitsinstituut Nederlandse Gemeenten LRZA Landelijk Register Zorgaanbieders Ministerie SZW Ministerie van Sociale Zaken en Werkgelegenheid NHR Nieuw Handelsregister RCF Regionale Coördinatiepunten Fraudebestrijding RDW Rijksdienst voor het Wegverkeer RMC Regionale Meld- en Coördinatiefunctie voortijdig schoolverlaters SNG Stichting Netwerk Gerechtsdeurwaarders Stufi Studiefinanciering SVB Sociale Verzekeringsbank UWV Uitvoeringsinstituut Werknemersverzekeringen VNG Vereniging Nederlandse Gemeenten WMO Wet Maatschappelijke Ondersteuning Wtos Wet tegemoetkoming onderwijsbijdrage en studiekosten
2
Bijlage 2 – Voortgang speerpunten en doelen Jaarplan BKWI 2014 In het Jaarplan BKWI 2014 is op zeer gedetaillieerde wijze speerpunten benoemd bij elk van de vier opdrachtlijnen van BKWI. In het Jaarverslag BKWI 2014 is verslag gedaan van de voortgang op elk van deze opdrachtlijnen. In deze bijlage is een gedetaillieerd overzicht opgenomen van alle speerpunten en de voortgang hierop.
1. Primaire/wettelijke taak: gegevensverkeer Werk & Inkomen
De primaire / wettelijke taak van BKWI is om de gegevensuitwisseling tussen UWV, SVB en de gemeenten te verzorgen. Deze taak kan opgedeeld worden in de volgende activiteiten: • Ontwikkelen, aanbieden en beheren van de gegevensdiensten van Suwinet. • Beheer van ketenbrede standaarden voor gegevens, architectuur, beheer en beveiliging van Suwinet. • Faciliteren van de ketensamenwerking, ketenadvies en ondersteuning van de dienstverlening door de ketenpartners.
1.1. Ontwikkeling en beheer van de gegevensdiensten van Suwinet Suwinet-Inkijk Speerpunt
Resultaat
Suwinet-Inkijk volgt zoveel mogelijk de werkprocessen van de ketenpartners. Reorganisaties, het verschuiven van verantwoordelijkheden en nieuwe wetgeving maken het noodzakelijk dat Suwinet-Inkijk voortdurend aangepast wordt om aan te sluiten op de vraag van de ketenpartners
In 2014 heeft BKWI 11 aanpassingen geïmplementeerd in Suwinet-Inkijk. Deze aanpassingen zijn noodzakelijk om Suwinet-Inkijk goed aangesloten te houden op de werkprocessen van de aangesloten organisaties en zorgen ervoor dat UWV, SVB en gemeenten kunnen blijven beschikken over de klantgegevens die zij nodig hebben bij de uitvoering van hun wettelijke taken. In 2014 heeft BKWI verschillende aanpassingen geimplementeerd waarmee Suwinet-Inkijk aangesloten blijft op nieuwe wetgeving, zoals de Participatiewet. In 2014 hebben de Suwipartijen geen verzoeken ingediend om de rol van Suwinet-Inkijk in de ondersteuning van een transparante arbeidsmarkt te versterken. De verwachtte nieuwe wetgeving rond Schuldhulpverlening was in 2014 nog niet gereed. BKWI onderneemt geen activiteiten op dit onderwerp in afwachting van nieuwe wetgeving. Gegevens over re-integratie en fraude uit het nieuwe GSD bericht zijn per mei 2014 ook beschikbaar binnen SuwinetInkijk. In overleg met de Suwipartijen en het ministerie van SZW is de uitwerking van dit speerpunt opgenomen in het 'Programmaplan Borging veilige gegevensuitwisseling via Suwinet' (maatregel 9). In overleg met de Suwipartijen en het ministerie van SZW is de uitwerking van dit speerpunt opgenomen in het 'Programmaplan Borging veilige gegevensuitwisseling via Suwinet' (maatregel 3). De verbetering van de gebruikersrapportages Suwinet van de Gemeentelijke Sociale Diensten (GSD) en UWV zijn verbeterd, waardoor bronhouders en afnemers van Suwinet hun gebruik van Suwinet kunnen inzien en optimaliseren en eenvoudiger misbruik van Suwinet kunnen signaleren. De verbetering van de gebruikersrapportages Suwinet van de SVB zal half 2015 zijn afgerond. De Demo is aangepast aan de infrastructuur van SuwinetInkijk.
Suwinet-Inkijk is aangepast aan nieuwe wetgeving, zodat UWV, SVB en gemeenten beschikken over de klantgegevens die nodig zijn voor hun taken Suwinet-Inkijk ondersteunt een transparante arbeidsmarkt Suwinet-Inkijk is aangepast aan nieuwe wetgeving rond Schuldhulpverlening
Suwinet-Inkijk is aangepast aan nieuwe inzichten rond Handhaving en fraude Meer mogelijkheden voor filtering (op leeftijd, regio, klantgroep etc.)
Ontwikkeling van een nieuw aansluitbeleid voor gemeenten
De gebruiksrapportages zijn beter, zodat bronhouders en afnemers van Suwinet hun gebruik van Suwinet kunnen inzien en optimaliseren, en om misbruik van Suwinet te kunnen signaleren
De Suwinet-Inkijk Demo-omgeving is gelijk aan de Suwinet-Inkijk productie-omgeving. In 2013 is de onderliggende infrastructuur voor Suwinet-Inkijk aangepast. Dit dient nog te worden doorgevoerd voor de demo-omgeving
Suwinet-Inlezen Speerpunt Alle berichten zijn ‘berichten op maat’, zodat alleen die gegevens geleverd worden die nodig zijn
Resultaat Op twee na zijn alle berichten ‘berichten op maat’. Er zijn nog twee verouderde serverberichten, die ingelezen zijn
3
Gegevenslevering kan fijnmaziger worden geautoriseerd en gelogd Er zijn heldere en eenduidige spelregels voor aansluiten en gebruik
UWV wil KvK gegevens inlezen via het SuwiBedrijvenRegister
door de GSD-applicaties; Eén van deze berichten wordt in 2015 omgezet naar een ‘bericht op maat’. Het andere bericht zal op verzoek van onze ketenpartners op een later moment worden omgezet. Op verzoek van UWV is het grote UWV-bericht gesplitst in een werk- en inkomensgedeelte. In overleg met de Suwipartijen en het ministerie van SZW is de uitwerking van dit speerpunt opgenomen in het 'Programmaplan Borging veilige gegevensuitwisseling via Suwinet' (maatregel 3). De koppeling is gerealiseerd.
Ontsluiten van bronnen en aansluiten van nieuwe gebruikers Speerpunt
Resultaat
BKWI weet hoe op de BRP kan worden aangesloten
Op verzoek van de Suwipartijen heeft BKWI de gegevens uit het GBA en de RNI via Suwinet ontsloten. BKWI heeft in 2014 geen verdere acties ondernomen op dit speerpunt in afwachting van verdere besluitvorming van het ministerie van SZW over wie voor de Suwisector het koppelpunt wordt voor de NHR. Suwinet en het Diginetwerk zijn voor de aangesloten partijen volledig onderling uitwisselbaar door een aantal technische maatregelen binnen de Centrale Omgeving. De verwachtte nieuwe wetgeving rond Schuldhulpverlening was in 2014 nog niet gereed. BKWI onderneemt geen activiteiten op dit onderwerp in afwachting van nieuwe wetgeving.
Suwinet-afnemers kunnen via Suwinet gegevens krijgen van het NHR
BKWI is Digi-compliant
Medewerkers Schuldhulpverlening maken gebruik van Suwinet-Inkijk
Suwinet-Meldingen Speerpunt
Resultaat
Suwinet-Meldingen uitwerken tot een robuuste voorziening, zodat op een betrouwbare en goed functionerende wijze deze vorm van berichtenverkeer kan worden geboden
In de junirelease (release 14.06) is het Store & Forwardmechanisme geïmplementeerd. Dit garandeert dat meldingen die bij BKWI binnenkomen ook daadwerkelijk worden afgeleverd bij de geadresseerde. Bij tijdelijke onbereikbaarheid van de ontvangende partij worden de meldingen door het BKWI bewaard. Zodra de services van de geadresseerde weer beschikbaar zijn worden de tijdelijk opgeslagen berichten alsnog verzonden. Daarnaast wordt een incident bij de ontvangende partij gemeld, zodat deze actie kan ondernemen om de onbereikbaarheid op te heffen.
Suwinet-Correctie en Suwinet Mijn gegevens Speerpunt
Resultaat
Afspraken over gebruik en doorontwikkeling van Suwinet-Correctie
In 2014 zijn voorbereidende analyses gemaakt voor het compliant maken van de terugmeldvoorziening met de DigiMeldingen-standaard. De gegevensset die getoond wordt via werk.nl en mijnoverheid.nl is gelijk gebleven. Er zijn voorbereidende analyses gemaakt voor het compliant maken van de terugmeldvoorziening met de DigiMeldingen-standaard, omdat de basisadministraties gebruik maken van het Diginetwerk.
Vergroten van de gegevensset die via Suwinet-Mijn gegevens op www.MijnOverheid.nl wordt getoond De terugmeldvoorziening aansluiten op Digimelding
Suwinet-Infrastructuur Speerpunt
Resultaat
Zorgen voor continuïteit van de dienstverlening
*In 2014 heeft BKWI vernieuwde beheerafspraken gemaakt voor de Centrale Omgeving GeVS en de procedures hierop aangepast. Om het netwerk Suwinet ook in de komende jaren aan de GeVS eisen te kunnen laten voldoen, dienen hier de technische componenten vervangen te worden. Hiervoor heeft BKWI in 2014 met de huidige leverancier afspraken gemaakt die hebben geleid tot een migratietraject dat in begin 2015 wordt uitgevoerd.* Suwinet en het Diginetwerk zijn voor de aangesloten partijen volledig onderling uitwisselbaar door een aantal technische maatregelen binnen de Centrale Omgeving. Diginetwerk is de in de Nederlandse OverheidsReferentie-Architectuur (NORA) voorziene infrastructuur voor gegevensverkeer. Hierdoor heeft bijvoorbeeld de Inspectie SZW via haar
De Suwinet-Infrastructuur volledig Diginetwerk compliant maken
4
De beheersovereenkomst van de centrale omgeving van de Suwinet-Infrastructuur verloopt eind 2014. Om de dienstenverlening te continueren moet de bestaande overeenkomst verlengd of een Europese Aanbesteding gestart worden, welke leidt tot een nieuwe beheersovereenkomst voor 2015-18.
Voor zover BKWI hier invloed op heeft streven we naar 100% via SSL beveiligd gegevensverkeer
Vervanging van de broker als onderdeel van de infrastructuur
aansluiting op de Haagse Ring Diginetwerk toegang tot de GeVS en is het niet nodig om een aparte aansluiting op de GeVS te ontwikkelen voor de Inspectie SZW. *In het tweede kwartaal van 2014 heeft BKWI in samenwerking met UWV het proces rondom de Europese aanbesteding ten behoeve van de hosting van de Centrale Omgeving GeVS gestart. Het project verloopt volgens planning en op 22 januari 2015 is bekend gemaakt dat de voorlopige gunning is gegaan naar Schuberg Philis. Met de huidige leverancier zijn afspraken gemaakt om de dienstverlening in stand te houden totdat de migratie met de gegunde partij succesvol is afgerond.* * De verbindingen via Suwinet met de SVB en het Inlichtingenbureau zijn nog niet van SSL voorzien. Hierover vindt overleg plaats met SVB en het Inlichtingenbureau.* *In 2014 is de ontwikkeling van de nieuwe Suwibroker afgerond, getest en succesvol uitgerold naar de productieomgeving. Vrijwel alle berichten zijn inmiddels succesvol gemigreerd naar de nieuwe broker waar nu ook Suwinet-Inkijk gebruik van maakt. In het eerste kwartaal van 2015 zal het project afgerond worden en overgaan in de lijn. Parallel aan het migreren van de huidige berichten zijn ook verschillende nieuwe berichten en CMK’s op de nieuwe Suwibroker geïmplementeerd. Nieuwe berichten worden gerealiseerd op verzoek van de ketenpartners: bronnen willen meer granulariteit, wetswijzigingen veranderen de gegevensbehoefte van de afnemers. De wijzigingsverzoeken komen binnen via het Centraal Meldpunt Ketenwijzigingen (CMK) en worden vervolgens door alle ketenpartijen beoordeeld op impact en wenselijkheid voordat ze worden gerealiseerd.*
Suwinet-Mail In 2014 heeft BKWI ervoor gezorgd dat Suwinet-Mail compatibel is met alle aan Diginetwerk deelnemende netwerken. Het resultaat is dat mailverkeer tussen alle aangesloten partijen via Diginetwerk verloopt. Dit heeft als voordeel dat cliëntgegevens die onverhoopt via e-mail worden uitgewisseld dit via het besloten netwerk plaatsvindt, waarmee een grotere mate van bescherming wordt geboden dan uitwisseling via het publieke internet.
Speerpunt
Resultaat
Suwinet-Mail Digi-compliant maken
Suwinet-Mail is compliant met de Haagse Mailrelay. Ook de door KPN Lokale Overheid (voorheen GemNet) aangeboden maildienst kan Suwinet-Mail afhandelen.
1.2. Beheer van ketenbrede standaarden Ketenarchitectuur Speerpunt
Resultaat
Een actuele versie van KARWEI in haar nieuwe vorm als wiki
In 2014 is hard gewerkt aan versie 2.1. Deze wordt in het eerste kwartaal van 2015 ter vaststelling aangeboden aan de Programmaraad en het Opdrachtgeverberaad.
Suwi Gegevens Register (SGR) Speerpunt
Resultaat
Een actuele versie van het SGR (versie 10.0)
Versie 10 van SGR is vastgesteld en geïmplementeerd en in december 2013 aangeboden aan het ministerie van SZW ter publicatie. In december 2014 heeft de Domeingroep Gegevens & Berichten versie 11.0 met een positief advies voorgelegd aan het Opdrachtgeverberaad. De formele vaststelling door het Opdrachtgeverberaad heeft op 21 januari 2015 plaatsgevonden. Alle berichten en koppelvlakken die in 2014 gepland zijn, zijn tijdig geïmplementeerd in de SuwiBroker (bij BKWI). BKWI volgt de ontwikkelingen op (inter)nationaal niveau. Op landelijk niveau zijn er voorstellen gemaakt voor de stelselstandaarden, zodat ze geïmplementeerd kunnen worden door de basisregistraties en door de sectoraal standaarden. Ook de Digi-standaarden worden gevolgd en er wordt
Tijdig berichten realiseren voor alle wijzigingen in het gegevensverkeer in 2014 Opstellen van een roadmap voor de verdere ontwikkeling. Hoe ziet de toekomst van het berichtenverkeer eruit. Wat is overheidsbreed de richting en hoe sluit SGR hier in de toekomst optimaal op aan. Wat zijn de ontwikkelingen internationaal voor gegevensuitwisseling
5
aan geconformeerd. Op internationaal niveau conformeren onze ketenstandaarden aan de W3Cstandaarden.
Privacy en beveiliging Speerpunt
Resultaat
Herformuleren van een nieuwe ketenbrede verantwoordingsrichtlijn en normenkader dat afgestemd is op de aansluitvoorwaarden en keten SLA’s.
*In overleg met de Suwipartijen en het ministerie van SZW is de uitwerking van dit speerpunt opgenomen in het 'Programmaplan Borging veilige gegevensuitwisseling via Suwinet' (Maatregel 3 en Maatregel 6) In 2014 heeft BKWI de Keten-SLA aangepast, waarbij een aantal normen van het Suwinet-Normenkader reeds zijn opgenomen in de Keten-SLA en de Keten-DAP.* Op verzoek van UWV is in 2014 voor de gegevensleveringen ten behoeve van de SNG (Stichting Netwerk Gerechtsdeurwaarders) de blacklist verwijderd. In overleg met de Suwipartijen en het ministerie van SZW is de uitwerking van dit speerpunt opgenomen in het 'Programmaplan Borging veilige gegevensuitwisseling via Suwinet' (maatregel 9). *In overleg met de Suwipartijen en het ministerie van SZW is de uitwerking van dit speerpunt opgenomen in het 'Programmaplan Borging veilige gegevensuitwisseling via Suwinet' (Maatregel 1)* De inwerkingtreding van nieuwe Europese privacy wetgeving zal naar verwachting in 2017 plaatsvinden. BKWI volgt de ontwikkelingen op dit gebied. Daarnaast zijn er diverse factoren die de totstandkoming van deze verordening extra complex maken, zodat de exacte richting en invulling nog niet glashelder is. Hierdoor is er voor het Suwidomein op dit moment weinig voortgang. Ontwikkelingen op dit gebied worden gevolgd door juristen van het Suwi-ketenjuristenoverleg. In juni 2014 is het continuïteitsplan opnieuw vastgesteld door het MT BKWI. De Accountantsdienst van UWV heeft in 2014 een audit gedaan naar de continuïteit van Suwinet. De verbetervoorstellen van de accountantsdienst zijn door BKWI verwerkt in het Continuïteitsplan BKWI. In de tweede helft van 2014 is op basis van de aanbevelingen uit de UWV continuïteitsaudit gestart met de actualisatie van het continuïteitsplan. Na afstemming met UWV zal het Continuïteitsplan BKWI in 2015 door de Raad van Bestuur UWV worden vastgesteld.
Het nader toepassen van filtering in berichtuitwisseling.
Het ontwerpen van een veiliger autorisatiemodel.
Onderzoek naar en voldoen aan de nieuwe Europese privacyregelgeving (dit in nauwe samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming).
Het onderzoeken en vastleggen van risico’s, beheersmaatregelen en afspraken over organisatorische uitwijk.
Toelichting: BKWI kent een tweetal Uitwijken (organisatorisch en technisch) en BKWI beheert verschillende omgevingen (Centrale Omgeving, Suwinet-netwerk, Websites tbv Suwinet, BKN en natuurlijk BKWI zelf). Om dit alles inzichtelijk te maken heeft BKWI het continuïteitsplan herbouwd. Hierbij de opzet en de stand van zaken: 1. doel beschrijving van continuïteitsplan (het beleid); 2. welke onderdelen vallen onder dit continuïteitsplan (wat loopt gevaar); 3. welke Risico's en Maatregelen zien wij (wat kan er gebeuren, willen we ons hier tegen beschermen en hoe); 4. processen rondom de crisisorganisatie (wie pakt het op); 5. technische voorziening (draaiboek, ofwel hoe pakken we het aan). De punten 1, 2 en 4 zijn grotendeels uitgeschreven, afronding begin 2015 Punt 3 is deels beschreven maar vraagt een verdere uitwerking en verdieping. Afronding begin 2015 Punt 5 is voor de uitbestede diensten (Centrale Omgeving Suwinet en Suwinet-netwerk) belegd en beschreven bij de leveranciers. Voor de diensten in eigen beheer moet dit verder uitgewerkt worden (Wie waarvoor verantwoordelijk is, dat staat overigens beschreven bij punt 2). Afronding in tweede kwartaal 2015.
6
Door middel van kennisdeling met voornamelijk overheidsinstellingen, zoals bijvoorbeeld in het Centrum voor Informatiebeveiliging en Privacybescherming (CIP), halen wij kennis en methodieken in huis voor toepassing in onze keten.
*BKWI is in het CIP (Centrum voor Informatiebeveiliging en Privacybescherming) vertegenwoordigd in de Domeingroepen Ketens, Normen en Privacy. • BKWI is ook vertegenwoordigd in de werkgroep die ketenbreed testen nader uitwerkt.*
*Geconstateerde afwijkingen subnormen beveiliging BKWI heeft gedurende 2014 niet aan alle gestelde normen betreffende de beveiliging van Suwinet voldaan. Hieronder de normen waarbij materiele afwijking is geconstateerd, de risico's welke daarbij zijn/worden gelopen en de maatregelen die hierop zijn/worden getroffen. Aangaande het Suwinet-Normenkader (Art. 6.4): Beveiligingsbeheer, Norm 1.5E) Het Informatiebeveiligingsbeleid en de Baseline zijn wel opnieuw vastgesteld, maar zijn niet opnieuw beoordeeld op basis van een formele risicoanalyse. Hierbij bestaat het risico dat - delen van – Suwinet onvoldoende worden beschermd. In nauw overleg met UWV herschrijft in 2015 haar beveiligingsbeleid en beveiligingsplan, waarbij ook de risico’s opnieuw beoordeeld zullen worden. Continuïteitsbeheer (Norm 6.1) BKWI heeft haar bestaande continuïteitsplan opnieuw vastgesteld, inhoudelijk zijn geen aanpassingen aangebracht. Het risico bestaat dat de getroffen maatregelen niet volstaan bij calamiteiten. BKWI ontwikkelt een nieuw continuïteitplan waarin niet alleen de organisatorische uitwijk nader wordt uitgewerkt, maar ook een relatie wordt gelegd met de risicobereidheid en zijn de bedrijfsprocessen en diensten en gevolgen van het mogelijk manifest worden van risico’s gekwalificeerd. Ook wordt de relatie gelegd met de calamiteit-, ontruimings- en uitwijkplannen en zijn de crisisteams en de verantwoordelijkheden beschreven. Dit nieuwe continuïteitsplan zal 2015 gereed zijn. Configuratiebeheer, Norm 7.1 BKWI heeft niet alle componenten vastgelegd in haar configuration management database (CMDB) en ook zijn afwijkingen geconstateerd wat betreft de controle op de betrouwbaarheid van de CMDB; tussen de werkelijke situatie en wat is geregistreerd in de CMDB zijn door de auditor verschillen geconstateerd. Hierbij bestaat het risico dat inzicht ontbreekt of de componenten voorzien zijn van de benodigde releases en patches en dat incidenten aan deze componenten niet adequaat aangepast kunnen worden. BKWI heeft in 2014 veel nieuwe componenten in de CMDB opgevoerd zonder te controleren of de fysieke locatie klopte met de werkelijkheid. In 2015 wordt de CMDB gecompleteerd en wordt de betrouwbaarheid van de registratie gecontroleerd. Wijzigingbeheer, Normen 10.4, 20.1 In het systeemontwikkelingstraject van Suwinetapplicaties worden beveiligingseisen onderkend en gespecificeerd. De beveiligingsimpact van wijzigingen worden in de opzet beoordeeld door de Security Officer. Deze beoordeling vindt niet plaats voor alle wijzigingen en in het huidige wijzigingbeheerproces ontbreekt een formeel reviewproces van het functioneel ontwerp. Hierbij bestaat het risico dat ontwikkelde functionaliteit niet volledig voldoet aan alle gestelde eisen en/of zwaktes in de beveiliging kent en of het voldoet aan de ketenarchituur. Aangezien het wijzigingbeheerproces de ketenpartijen raakt, zal BKWI in 2015 het aanscherpen van het proces afstemmen met de ketenpartijen. Serverbeheer, Norm 20.1 en Koppelingen norm 22.2 De auditor heeft vastgesteld dat BKWI het proces voor het hardenen en patchen van apparatuur en software niet functineert. Beveiligingspatches worden niet altijd regulier doorgevoerd zodra ze beschikbaar en getest zijn. Hierbij bestaat het risico dat kwestbaarheden beschiknaar zijn waarmee een kwaadwillende zich toegang kan verschaffen tot Suwinet. BKWI zal in 2015 procesmatig borgen dat apparatuur gehardened wordt en alle apparatuur en software voorzien worden van de benodigde patches. Logische toegangbeveiliging, Norm 13.1E Een opzet van procedures voor de afhandeling van interne autorisatie aanvragen is aanwezig, maar onvoldoende concreet om te kunnen gelden als AO/IC beschrijving. De procedure beperkt zich tot de BKWI-medewerkers, niet op de afhandeling van aanvragen vanuit andere organisaties. Het document is niet actueel en beschrijft niet volledig de specifieke activiteiten welke de juiste verwerrking van autorisatieverzoeken borgt. Ook is het op dit moment nog niet mogelijk mutatieoverzichten te verstrekken over de autorisatiemutaties en de afhandeling van autorisatieverzoeken te toetsen aan de hand van de aanvragen (geregistreerde tickets). Hierbij bestaat het risico dat een beheerder onterecht accounts opvoert, daar rechten aan toekent en vervolgens onterecht raadplegingen doet. Met behulp van de rapportage omgeving Splunk is het begin 2015 mogelijk uitgebreid te rapporteren over het autorisatiebeheer, waarmee de controle op de rechtmatigheid van de mutaties mogelijk is.
Toegangbeveiligings softwarepakket, Norm 19.5
7
BKWI rapporteert regulier over de beschikbaarheid en het functioneren - de functie - van Suwinet. Op verzoek van VNG en Inspectie SZW heeft BKWI voorrang verleend aan de ontwikkeling van rapportages over de beveiliging bij de gemeenten boven het implementeren van de nieuwe rapportagetool Splunk. Dit heeft tot gevolg gehad dat BKWI gedurende enkele maanden niet in staat was de maandelijkse managementrapportages te verstrekken. De managementrapportages zijn belangrijk om te sturen en bij het ontbreken hiervan is het zicht op het functioneren van Suwinet beperkt. Genoemde activiteiten zijn afgerond en begin januari 2015 zijn de managementrapportages weer als van ouds beschikbaar gesteld. Testen (Norm 11.4) De auditor heeft een aantal voorbeelden gesignaleerd waarbij medewerkers van BKWI in de produciteomgeving BSN’s raadplegen. Hierbij bestaat het risico dat dit in strijd is met de Wet bescherming persoonsgegevens. BKWI heeft begin 2015 haar regels aangescherpt en met gevolg dat de autorisatie van meerdere peronen is ingetrokken. Aangaande 5.22, interne bedrijfsvoering BKWI en overige externe diensten: Beoordeling beveiligingsbeleid (Norm 5.1.2.1) Het beveiligingsbeleid en beveiligingsplan zijn ongewijzigd opnieuw vastgesteld, waarbij de risicoanalyse waarop deze zijn gebaseerd niet is gedocumenteerd. Hierbij bestaat het risico dat voor de beveiliging van Suwinet onvoldoende maatregelen worden getroffen. In nauw overleg met UWV stelt BKWI een nieuw beveiligingsbeleid en beveiliginigsplan op, welke wordt ingericht op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR). Verantwoordelijkheden, Norm 6.1.3.1 De verantwoordelijkheden voor informatiebeveiliging Informatiebeveiliging is als lijnverantwoordelijkheid gedefinieerd en de taken, verantwoordelijkheden en bevoegdheden van de proceseigenaren zijn nader uitgewerkt. Bij interview bleek dat een (interim) manager niet op de hoogte te zijn van specifieke verantwoordelijkheden en geen proactieve activiteiten onderneeemt om het onderwerp uit te dragen of onder de aandacht te brengen. Hierbij bestaat het risico dat medewerkers niet of onvoldoende op de hoogte is van wat van hen verwacht wordt op gebied van informatiebeveiliging. BKWI neemt begin 2015 stappen op deze tekortkoming te verhelpen, door de verantwoordelijkheden te verduidelijken en te operationaliseren en door het toezicht hierop te borgen. Identificatie van risico's die betrekking hebben op externe partijen, Normen 6.2.1.1, 10.2.2.1 BKWI heeft niet voor alle leveranciers en opdrachtgevers een expliciete risicoanalyse beschikbaar ten aanzien van de beveiligingseisen die aan deze partijen worden gesteld. Van de leveranciers worden veelal standaard diensten afgenomen, waarbij de leverancier zelf verwijst naar genomen beveiligingsmaatregelen. Hierbij bestaat het risico dat de informatiebeveiliging bij deze leveranciers niet het vereiste niveau heeft. BKWI heeft het besluit genomen hier beter op toe te zien. Voor generieke diensten, waarbij BKWI geen of zeer beperkt invloed heeft op de informatiebeveiliging, zoals de datalijnen van KPN, zal BKWI zelf jaarlijks een controle verrichten, voor overige diensten zal in het contract cq. de Service Level Agreement opgenomen worden dat de leverancier zich verplicht zich jaarlijks te verantwoorden op basis van het voor BKWI geldende normenkader. BKWI zal in 2015 met haar opdrachtgevers overleg voeren over de eisen die zij stellen aangaande de informatiebeveiliging. Configuratiebeheer, Norm 7.1.1.1 Zie de bevindingen bij de controle in het kader van Art. 6.4 (Norm 7.1) Classificatie, Norm 7.2.1.1 BKWI heeft een formeel document waarin informatieclassificatie is uitgewerkt. Dit document is wel al formeel vastgesteld, maar in het document is de status van concept niet aangepast naar vastgesteld. In het document zijn niet alle gegevensverzamelingen en gegevensdragers geïdentificeerd, hierbij bestaat het risico dat gegevensverzamelingen en/of gegevensdragers niet met de juiste zorg worden behandeld. Dit document zal in 2015 worden geactualiseerd en daarbij zullen de niveau's voor classificatie/rubricering voor gegevens en gegevensdragers opnieuw worden vastgesteld. Labeling en verwerking van informatie, Norm 7.2.2.1 BKWI heeft in haar Baseline regels gesteld aangaande het labelen van gegevens en gegevensdragers, dit is nader uitgewerkt in bovengenoemde document. Gegevens en gegevensdragers worden in de praktijk niet geclassificeerd, gelabeled of gerubriceerd. Hierbij bestaat het risico dat gegevens niet de benodigde bescherming krijgen. BKWI zal in 2015 voor de verschillende classificaties/rubriceringen de daarbij passende maatregelen definieren en te onderzoeken waar aanvullende maatregelen toegepast moeten worden. Beveiliging van apparatuur buiten het terrein, Norm 9.2.5.1 BKWI heeft de devices, die buiten de locatie van BKWI kan worden gebruikt niet zodanig ingericht, dat deze vanuit BKWI kan worden beheerd en heeft geen encryptie toegepast ter bescherming van de gegevens op deze devices. Hierbij bestaat het risico, dat bij verlies een ongeautoriseerde persoon toegang krijgt tot de gegevens op het device. In 2015 wordt de kantoorautomatisering verbeterd, waarbij onder andere encryptie wordt toegepast op devices die remote kunnen worden gebruikt. Systeemacceptatie, Norm 10.3.2.1
8
Bij nieuwe en bij wijzigingen van bestaande informatiesystemen moet worden vastgesteld of voldaan wordt aan alle daarvoor gestelde eisen. De auditor heeft vastgesteld dat in het wijzigingsproces niet voor alle aspecten acceptatiecriteria zijn opgesteld en dat taken, verantwoordelijkheden en bevoegdheden onvoldoende geformuleerd zijn voor het accepteren van wijzigingen. Hierbij bestaat het risico dat nieuwe en/of gewijzigde apparatuur en software niet voldoen aan de ketenstandaarden of andere gestelde eisen. BKWI zal in 2015 het wijzigingsproces op deze punten verbeteren. Aanmaken van audit-logbestanden, Norm 10.10.1 In haar Baseline schrijft BKWI voor dat de toegang tot en het gebruik van systemen op het niveau van gebruikers wordt gelogd. Logging over de verschillende systemen is aanwezig, deze is echter gefragmenteerd, waarbij centraal log beleid ontbreekt. Hierbij bestaat het risico dat loggegevens niet adequaat zijn beschermd en dat niet of beperkt gestuurd kan worden. BKWI zal in 2015 beleid definieren met betrekking tot het loggen van gegevens, waarin opgenomen de eisen die gesteld worden aan het beschermen van de loggegevens en aan het ontsluiten van de loggegevens voor nader gebruik. Beheer van speciale bevoegdheden, Norm 11.2.1.1 De toewijzing en het gebruik van speciale bevoegdheden behoren te worden beperkt en beheerst. BKWI maakt geen gebruik van ongepersonaliseerde accounts, maar heeft wel een aantal van deze accounts beschikbaar voor systeembeheerders. De wachtwoorden hiervan zijn zeer complex en zijn opgeslagen in een kluisje, waarbij uitsluitend medewerkers van TechSupport toegang tot dit kluisje hebben. Hierbij bestaat het risico dat deze accounts - omdat ze beschikbaar zijn - gebruik worden en onrechtmatig handelen niet herleidt kan worden op de persoon. BKWI zal in 2015 maatregelen treffen zodat het gebruik van deze accounts wordt geminimaliseerd of anders zichtbaar wordt wie, wanneer deze accounts hebben gebruikt. Beoordeling van toegangsrechten, Norm 11.2.4.1 De Baseline schrijft voor dat de toegangsrechten regelmatig worden geverifieerd. De controle op de juistheid van accounts en autorisaties vindt niet periodiek plaats. Hierbij bestaat het risico dat accounts onterecht beschikbaar zijn of onterecht toegangsrechten beschikbaar zijn. BKWI zal in 2015 het proces van toekennen van en de controle op toegangsrechten van de diverse omgevingen en systemen gelijktrekken. Beheersmaatregelen voor netwerkroutering, Norm 11.4.7.1 BKWI voert niet reguler checks uit op de firewallrules. Hierbij bestaat het risico dat fouten in de configuratie bijvoorbeeld als gevolg van een wijziging niet worden ontdekt met het risico van ongeautoriseerde toegang of van ontbreken van toegang. Vanaf 2015 zal de controle van de firewallrules regulier worden uitgevoerd. Beheersing van technische kwetsbaarheden, Norm 12.6.1.1 BKWI voert niet zelf penetratietests of kwetsbaarheidsscans uit en patches worden niet stelselmatig uitgevoerd. Hierdoor zijn apparatuur en systemen niet allen voorzien van de laatste beveiligingspatches en bestaat het risico dat niet geautoriseerden zich toegang kunnen verschaffen tot apparatuur of systemen. BKWI heeft dit manco gesignaleerd en in 2015 zal zij het proces voor het implementeren van patches verbeteren. Bedrijfscontinuïteit, Norm 14.1.1.1 en 14.1.2.1 BKWI heeft voor haar bedrijfscontinuïteit maatregelen genomen op basis van impliciete keuzes, en niet op basis van een gedocumenteerde uitwerking (en risicoanalyse). Hierbij bestaat het risico – ook al heeft BKWI mitigerende maatregelen getroffen, zoal het overdimensioneren en dubbel uitvoeren van componenten – dat de continuïteit in onvoldoende mate wordrt geborgd. BKWI zal in 2015 op basis van een risicoanalyse opnieuw beoordelen of de getroffen maatregelen volstaan of dat zij aanvullende maatregelen moet treffen. Controle op technische naleving, Norm 15.2.2.1 In haar Baseline schrijft BKWI voor dat informatiesystemen regelmatig worden gecontroleerd op naleving van implementatie van beveiligingsmaatregelen. Op de infrastructuur en systemen van BKWI worden niet op reguliere basis een penetratietest of kwetsbaarheisscan uitgevoerd. Hierbij bestaat het risico dat kwetsbaarheden niet gesignaleerd en gemitigeerd worden. BKWI zal in 2015 beoordelen of bij de infrastructuur en systemen sprake is van kwetsbaarheden en vaststellen op welke wijze zij deze controle regulier borgt.*
ICT-Beheer Speerpunt
Resultaat
Vernieuwen van de Keten SLA en Keten DAP.
*In 2014 is Keten SLA 9.0 opgeleverd en getekend door onder andere UWV, SVB, IB en BKWI. Ook is de bijbehorende Keten DAP (2.11), die een operationele uitwerking is van de GeVS Keten SLA opgeleverd. De GeVS Keten SLA is officieel vanaf 1 oktober 2014 geldend.* *Veel rapportages worden inmiddels geleverd via de nieuwe rapportagetool Splunk. Een aantal rapportages nog niet, zoals de Managementrapportages Gebruik Suwinet. Naar verwachting wordt in maart 2015 ook de GeVS Management Rapportage en Incidentenrapportage opgeleverd. Belangrijk voordeel is dat rapportages vele malen sneller geleverd worden. Ook ad hoc
Verbeteren van de processen en rapportages over de Productie- en Keten Integratie Testomgeving (KIT).
9
Verbeteren van de processen en middelen om de samenwerkingspartners goed gebruik te kunnen laten maken van de KIT. Evaluatie Werkplein CAB met UWV en gemeenten en de definitieve opzet afspreken en implementeren.
rapportagewensen van ketenpartijen zijn hiermee sneller leverbaar.* *Vanuit het CIP is een projectgroep in 2014 gestart “Werkgroep testen in de keten”. Dit loopt door in 2015 en houdt zich onder andere bezig met best practices in ketens, testsets en data, afspraken.* Eind 2013/begin 2014 heeft BKWI in het kader van Wijzigingsbeheer Werkpleinen ICT een evaluatierapport opgeleverd aan UWV. Mede vanwege de veranderingen die met de Participatiewet gepaard gaan heeft de Programmaraad besloten extra extern advies in te winnen. De bestaande dienstverlening wordt ongewijzigd voortgezet.
1.3. Ketenadvies en ondersteuning complementaire dienstverlening Resultaat Ondersteuning Programmaraad
Ondersteuning UWV gezamenlijke ICT voor de Arbeidsmarktregio’s
Ook in 2014 heeft BKWI op diverse manieren de Programmaraad ondersteund; onder andere door het leveren van de secretaris en het beheren van de site samenvoordeklant.nl. Sinds september 2014 wordt samenvoordeklant.nl niet meer door BKWI beheerd. Ook hebben we huisvesting en bemensing voor het Programmaraad bureau geboden. De ondersteuning van de Programmaraad wordt gefinancierd door het ministerie van SZW. BKWI voert de financiële administratie BKWI coördineert de inbreng van de ketenpartners met betrekking tot plannen rond de doorontwikkeling van de ICT die UWV en gemeenten gezamenlijk gebruiken op de Werkpleinen en in de arbeidsmarktregio’s en faciliteert de aanpak van de ICT-speerpunten van de Programmaraad. BKWI heeft in 2014 het wijzigingsbeleid voor de gezamenlijke ICT voor de Arbeidsmarktregio’s / Werkpleinen georganiseerd, door middel van het Centraal Meldpunt Ketenwijzigingen en de organisatie van het wijzigingsoverleg. Dit heeft geleid tot afspraken over ICT-wijzigingen ten behoeve van de releases van UWV. Het hiervoor relevante wijzigingsoverleg bestaat uit een aantal nieuwe overlegtafels, waaronder het Intergemeentelijk Prioriteiten Overleg (IGP, door KING), het Gezamenlijk Operationeel ICT-Overleg (GOIO) en het Gezamenlijk Business- en Beleidsoverleg (GBB).
2. Aanvullende opdrachten Werk & Inkomen van het ministerie van SZW In 2014 heeft het ministerie van SZW BKWI verzocht om een aantal aanvullende opdrachten uit te voeren die niet vallen binnen de eerste opdrachtlijn van BKWI. Deze opdrachten zijn door het ministerie van SZW aanvullend gefinancierd.
Speerpunt
Resultaat
Een recidiveregister dat gemeenten in staat stelt om recidive volledig vast te stellen
In opdracht van het ministerie van SZW heeft het Inlichtingenbureau een onderzoek gedaan naar de huidige fraudepagina en wat er moet gebeuren om de huidige pagina optimaal te laten functioneren.
Een volledig digitaal klantdossier via Suwinet voor de uitvoering van de Wet Gemeentelijke Schuldhulpverlening
Conclusie van het onderzoek is dat een goed werkende fraudepagina een significante inspanning vereist. In de praktijk blijken gemeenten ook zonder frauderegister goed in staat te zijn uitvoering te geven aan de recidiveregeling in de Fraudewet. BKWI heeft verder geen opdracht gekregen voor dit register en heeft daarom geen activiteiten ontplooid rondom het recidiveregister. De verwachtte nieuwe wetgeving rond Schuldhulpverlening was in 2014 nog niet gereed. BKWI onderneemt geen activiteiten op dit onderwerp in afwachting van nieuwe wetgeving.
3. Opdrachten van een of meer van onze ketenpartners (SVB, UWV, VNG) tot uitwisseling van gegevens met niet-‐Suwi partijen. Speerpunt
Resultaat
10
Bestaande gegevensleveringen
Proof of Concept (PoC) gegevenslevering aan de Belastingdienst via Suwinet-Inkijk
Pilot Suwinet-International Suwinet-Bulk
Inmiddels zijn er 135 gemeenten die voor het leggen van derdenbeslag Suwinet-Inkijk gebruiken en 17 regio’s die voor de uitvoering van de RMC-taak Suwinet gebruiken. BKWI is, op verzoek van hen, in gesprek met een aantal gemeenten over het gebruik van Suwinet-Inlezen voor het leggen van derdenbeslag. De operationele ondersteuning wordt geleverd. Twee keer per jaar is er een afspraak tussen BKWI en de Belastingdienst over het gebruik van Suwinet-Inkijk en het gebruik van de rapportages. Daarnaast een enkele ad hoc vraag per mail. De besluitvorming over het vervolg moet nog plaatsvinden. Deze pilot is op verzoek van UWV half augustus 2014 stopgezet. De ontwikkeling en implementatie zijn door UWV stopgezet.
4. Additionele opdrachten diverse overheidsorganisaties Speerpunt
Resultaat
Beheer Basiskoppelnetwerk
In 2014 verzorgde BKWI in opdracht van Logius het beheer van het Basiskoppelnetwerk Publieke Sector (BKN). Het BKN koppelt de grote overheidsnetwerken en vormt hiermee de basis voor Diginetwerk. Logius betaalt BKWI voor dit beheer. In 2014 zijn twee BKWI-medewerkers gedetacheerd bij het ministerie van VWS. Het gehele jaar een medewerker voor gemiddeld 1 dag per week en vanaf 1 september 2014 een medewerker voor 100%. Van de ontvangen vergoeding heeft BKWI vervanging ingehuurd.
Detachering bij ministerie van VWS
11
