ICT werknemers- en volksverzekeringen
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
R02/07, juli 2002 ISSN 1383-8733 ISBN 90-5079-012-7 Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
Inhoud
3
1
Inleiding
2 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.1.8 2.1.9 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6 2.2.7 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 2.4
Werknemersverzekeringen General computer controls Functievervulling EDP-audit Organisatie van informatiebeveiliging Toegangsbeveiliging (logische- en fysieke toegangsbeveiliging) Wijzigingsbeheer (change- en problem-management, testen) Operationele werkzaamheden Continuïteit (backup/recovery, uitwijk en fysieke beveiliging) Conclusie Actuele ontwikkelingen en verbetermaatregelen Beoordeling maatregelen bij ICT-dienstverleners Dienstenniveaubeheer Gak SFB UOSV GUO Cadans USZO Conclusie Actuele ontwikkelingen en verbetermaatregelen Gegevensbeheer Gak SFB UOSV GUO Cadans USZO Conclusie Actuele ontwikkelingen en verbetermaatregelen Slotconclusie werknemersverzekeringen
7 7 7 8 9 9 10 10 11 11 12 12 13 13 14 14 15 15 16 16 17 17 17 18 18 18 18 19
3 3.1 3.1.1 3.1.2 3.2 3.2.1 3.2.2 3.3
Volksverzekeringen General computer controls Conclusie Actuele ontwikkelingen en verbetermaatregelen Dienstenniveaubeheer Conclusie Actuele ontwikkelingen en verbetermaatregelen Gegevensbeheer
21 21 22 22 22 23 23 23
Lijst van afkortingen
24
Publicaties van de Inspectie Werk en Inkomen
25
Inspectie Werk en Inkomen
5
ICT werknemers- en volksverzekeringen
1
Inleiding
Op basis van risicoanalyse is door de Inspectie van Werk en Inkomen (IWI) bij de voormalige uitvoeringsinstellingen (Gak Nederland B.V., Cadans Uitvoeringsinstelling B.V., GUO Uitvoeringsinstelling B.V., USZO B.V. en SFB Uitvoeringsorganisatie Sociale verzekeringen N.V.) en de Sociale Verzekeringsbank (SVB) over 2001 onderzoek verricht naar: • de algemene maatregelen die noodzakelijk zijn om de betrouwbaarheid en de continuïteit van de gegevensverwerking te kunnen waarborgen (general computer controls); • het uitbesteden van Informatie- en communicatietechnologie (ICT)-diensten aan derden (dienstenniveaubeheer); • de getroffen maatregelen rond het gegevensbeheer. In dit katern zijn de belangrijkste bevindingen en conclusies van deze onderzoeken opgenomen. In het hoofdrapport ‘De sociale verzekeringen in 2001’ heeft op basis van deze onderzoeken een beoordeling plaatsgevonden waarbij de beheersing van ICT als geheel centraal staat. In dit katern worden de onderzoeksresultaten van IWI in een meer uitgewerkte vorm gepresenteerd. Hierbij zijn behalve de bevindingen en conclusies met betrekking tot de genoemde aandachtsgebieden over het onderzoeksjaar 2001 tevens de actuele ontwikkelingen en verbetermaatregelen opgenomen. Bij de oordeelsvorming over 2001 is IWI uitgegaan van de maatregelen die de voormalige uitvoeringsinstellingen in het onderzoeksjaar hadden getroffen. Door de invoering van de wet Structuur Uitvoering Werk en Inkomen per 1 januari 2002 heeft de inventarisatie van actuele ontwikkelingen en verbetermaatregelen zich voor de werknemersverzekeringen gericht op het Uitvoeringsinstituut Werknemersverzekeringen (UWV). De onderzoeken naar de general computer controls en het dienstenniveaubeheer zijn een vervolg op onderzoeken waarover het voormalige College van toezicht sociale verzekeringen in het rapport ‘De sociale verzekeringen in 2000’ heeft gerapporteerd. De rapportage van het onderzoek gegevensbeheer als onderdeel van dit katern heeft zich met name gericht op de verbetermaatregelen die in 2001 door de voormalige uitvoeringsinstellingen zijn getroffen. De SVB is bij de onderzoeken gegevensbeheer nog niet betrokken. Inmiddels zijn met de SVB afspraken gemaakt over een rapportage gegevensbeheer met betrekking tot het verslagjaar 2002. Voor de volks- en werknemersverzekeringen worden door IWI in het algemeen dezelfde werkprogramma’s uitgevoerd. Wel heeft IWI over 2001 nog een verschillende methodiek van rapporteren gehanteerd. Bij de volksverzekeringen staat de integrale oordeelsvoming meer centraal. De rapportage van IWI richt zich in eerste instantie op de oordelen die binnen de SVB zelf worden afgegeven. Bij de werknemersverzekeringen wordt meer ingegaan op de verschillende deelaspecten die per aandachtsgebied kunnen worden onderkend. Hierdoor heeft IWI per aandachtsgebied van de general computer controls zelfstandig een conclusie geformuleerd. IWI is bezig de wijze van onderzoek en rapportering over de verschillende uitvoeringsorganen vanaf 2002 verder te uniformeren. Hierbij baseert IWI zich op een controleaanpak die is geënt op de methodiek van Control objectives for information related technology (Cobit). Gedurende 2002 zal de uitvoering van de controle conform deze methodiek verder gestalte krijgen. Hierdoor zal ook een verdere uniformering in de wijze van rapportering en oordeelsvorming worden bereikt. Om dit te realiseren is door IWI inmiddels overleg met de verschillende uitvoeringsorganen geïnitieerd. Bij de beoordeling van de general computer controls wordt reeds enige jaren gebruik gemaakt van een conclusie waarbij drie categorieën worden gehanteerd. Bij de beoordeling van het dienstenniveaubeheer is bij Gak als pilot eveneens van deze drie categorieën gebruik gemaakt. Bij de overige uitvoeringsinstanties is dit model over 2001 nog niet gehanteerd. IWI streeft ernaar een uniform beoordelingsmodel vanaf 2002 verder in te voeren. De bevindingen en conclusies met betrekking tot ICT kunnen gevolgen hebben voor de rechtmatigheid van de geïnde premies en verstrekte uitkeringen. In dit katern wordt deze relatie verder niet behandeld, in het katern rechtmatigheid wordt hierop verder ingegaan. 5
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
2
Werknemersverzekeringen
2.1
General computer controls
• • • • • •
General computer controls omvatten de toepassingsonafhankelijke (‘algemene’) maatregelen binnen de automatiserings- en gebruikersorganisatie die van belang zijn voor de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. Bij de beoordeling van de general computer controls worden door IWI beoordelingscriteria gehanteerd die zijn gebaseerd op het studierapport ‘Normatieve maatregelen voor de geautomatiseerde gegevensverwerking’ van het Nederlands instituut van registeraccountants. Hierbij worden de volgende objecten beoordeeld: Functievervulling Electronic Data Processing (EDP)-audit; Organisatie van de informatiebeveiliging; Toegangsbeveiliging (logische- en fysieke toegangsbeveiliging); Wijzigingsbeheer (changemanagement, incidentmanagement, problemmanagement, testen); Continuïteit (backup & recovery, uitwijk en fysieke beveiliging); Operationele werkzaamheden.
Bij het onderzoek wordt aangesloten bij de beoordelingen die door de EDP-auditors van de betreffende uitvoeringsinstelling worden uitgevoerd. Hierbij worden per aandachtsgebied van de general computer controls de belangrijkste bevindingen in een ‘nota van bevindingen EDPaudit’ opgenomen en wordt een conclusie geformuleerd. Deze conclusies zijn ingedeeld in de volgende drie categorieën: • voldoende: de genomen maatregelen binnen het aandachtsgebied voldoen in het algemeen aan de daaraan te stellen eisen; • beperkt: de genomen maatregelen binnen het aandachtsgebied voldoen op een aantal onderdelen niet aan de daaraan te stellen eisen; • onvoldoende: de genomen maatregelen binnen het aandachtsgebied voldoen niet aan de te stellen eisen. Indien onvoldoende informatie beschikbaar is voor de oordeelsvorming is dit in de conclusie weergegeven. De conclusies uit de ‘nota’s van bevindingen EDP-audit’ zijn in onderstaande paragrafen van deze rapportage overgenomen. Naar aanleiding van bevindingen en onderzoeken in voorgaande jaren is de voormalige uitvoeringsinstellingen verzocht over 2001 aan te geven welke maatregelen voor de gesignaleerde tekortkomingen zouden worden getroffen. De beoordeling van deze maatregelen is in het onderzoek over 2001 betrokken.
2.1.1
Functievervulling EDP-audit Gak IWI heeft voor de oordeelsvorming gebruik kunnen maken van de uitgevoerde EDP-audit werkzaamheden. Hierbij merken wij op dat Gak slechts in beperkte mate inzicht heeft in de bij de externe dienstverlener PinkRoccade Sociale Zekerheid B.V. (hierna PinkRoccade) getroffen maatregelen. SFB UOSV IWI heeft voor de oordeelsvorming over 2001 in beperkte mate gebruik kunnen maken van de uitgevoerde EDP-audit werkzaamheden. Binnen de Interne Accountants Dienst (IAD) van SFB UOSV was in 2001 geen zelfstandige EDP-auditfunctie aanwezig. Verder zijn de EDP-audits door SFB Audit Services gericht op de verwerkingsorganisatie binnen SFB Diensten en wordt gerapporteerd aan de directie van deze werkmaatschappij. Hierdoor hebben wij geen zicht op de beheersing van ICT in 2001 door SFB UOSV. De audittrail met betrekking tot de oordeelsvorming is niet altijd herleidbaar.
7
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
GUO IWI heeft voor de oordeelsvorming in beperkte mate gebruik kunnen maken van de EDP-audit werkzaamheden. De beoordeling van general computer controls is gericht op de verwerkingsorganisatie binnen Ordina Sociale Zekerheid (OSZ) Zoetermeer en met name gericht op de opzet en in mindere mate het bestaan van maatregelen. Hierdoor hebben wij geen volledig inzicht in de getroffen maatregelen en de resterende risico’s. Wel is door de audits naar het gegevensbeheer een indruk gekregen van de maatregelen die binnen de gebruikersorganisatie zijn getroffen. Cadans IWI heeft voor de oordeelsvorming over 2001 in beperkte mate gebruik kunnen maken van de EDP-audit werkzaamheden. De general computer controls zijn ten dele niet binnen een drie jaren cyclus beoordeeld, deels vanwege onderhanden projecten. Vanaf 2001 wordt aan deze cyclische beoordeling verder invulling gegeven. USZO IWI heeft voor de oordeelsvorming gebruik kunnen maken van de uitgevoerde EDP-audit werkzaamheden.
2.1.2
Organisatie van de informatiebeveiliging Gak De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Gak heeft in 2001 belangrijke stappen gezet voor het verbeteren van de organisatie van de informatiebeveiliging. Het handboek informatiebeveiliging is verder geconcretiseerd en ingevoerd. De vorming van UWV heeft ertoe geleid dat het in gang gezette traject niet afgerond is. Inmiddels zijn (in het kader van de Werkgroep Integrale Beveiliging UWV) activiteiten gestart om de noodzakelijke maatregelen door te voeren. SFB UOSV De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Binnen SFB UOSV is het informatiebeveiligingsbeleid vastgesteld door de directie. De verdere uitwerking van het informatiebeveiligingsbeleid in afhankelijkheids- en kwetsbaarheidsanalyses en beveiligingsplannen heeft echter nog niet plaatsgevonden. Binnen SFB Diensten wordt het informatiebeveiligingsbeleid momenteel afgerond. Verder zijn de procedures en werkinstructies binnen IT-Services niet voldoende uitgewerkt en niet actueel. Om de opvolging van actiepunten te waarborgen zijn deze medio 2001 binnen IT-services/Informatiesystemen duidelijker belegd waarbij over de voortgang moet worden gerapporteerd aan de directie van SFB Diensten. GUO De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. GUO heeft nog geen vastgesteld beveiligingsbeleid. De security functies zijn door GUO nog onvoldoende ingevuld, tevens bestaat er geen beeld van de uitgevoerde security werkzaamheden door OSZ (Zoetermeer). De afspraken tussen OSZ en GUO op het gebied van informatiebeveiliging waren in 2001 nog onvoldoende geconcretiseerd. Cadans De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Cadans heeft via een pragmatische aanpak activiteiten vastgesteld, waarmee in 2001 op het gebied van logische toegangsbeveiliging en continuïteitsvoorzieningen verbeteringen zijn gerealiseerd. Wel dienen de te nemen maatregelen voor informatiebeveiliging verder te worden geconcretiseerd en ook periodiek te worden gemonitored. USZO De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Een overkoepelend informatiebeveiligingsbeleid is in ontwikkeling. Wel zijn in 2001 verbetermaatregelen in gang gezet voor de door de Security Board onderkende en geprioriteerde security onderwerpen, waardoor gerealiseerde maatregelen beter hierop zullen aansluiten.
8
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
2.1.3
Toegangsbeveiliging (logische- en fysieke toegangsbeveiliging) Gak De toegangsbeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Het beheer van eindgebruikeraccounts vertoont op een aantal aspecten tekortkomingen. Gak heeft geen structurele eisen aan de rapportage van de leverancier gesteld. Er wordt binnen Gak niet structureel over beveiligingsincidenten aan het management gerapporteerd. SFB UOSV De toegangsbeveiliging voldoet niet aan de daaraan te stellen eisen. Het beheer van bevoegdheden binnen de gebruikersorganisatie vertoont tekortkomingen. Er vindt geen periodieke beoordeling en evaluatie van toegekende autorisaties binnen de gebruikersorganisatie plaats. De bevoegdheden van medewerkers binnen IT-services/Informatiesystemen zijn te ruim in relatie tot de uit te voeren taken. De in het beveiligingsbeleid opgenomen afhankelijkheids- en kwetsbaarheidsanalyse moet nog worden uitgevoerd. Vanaf najaar 2001 is binnen SFB UOSV een Data Security Officer belast met het verhelpen van de geconstateerde tekortkomingen. GUO De toegangsbeveiliging voldoet niet aan de daaraan te stellen eisen. Er zijn tekortkomingen in het beheer van autorisaties binnen de gebruikersorganisatie. Ook binnen OSZ (Zoetermeer) zijn de autorisaties nog te ruim toegekend. Door het project Borging Autorisatiebeleid zijn in 2001 maatregelen getroffen waarmee de toegangsbeveiliging binnen GUO op een aantal punten is verbeterd. Logging en monitoring zijn onvoldoende (controleerbaar) ingevuld. Cadans De toegangsbeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Door de invoering van standaard functieprofielen en de realisatie van de autorisatie database is (de controleerbaarheid van) de logische toegangsbeveiliging in 2001 verbeterd. De volgende zaken dienen nog te worden gerealiseerd: nadere aanscherping van de functieprofielen, beheer autorisaties binnen het rekencentrum, terugbrengen verschillen bij afstemming autorisatiedatabase en daadwerkelijk verleende autorisaties. IWI heeft geen inzicht in de logische en fysieke toegangsbeveiliging binnen OSZ (Zeist). Wel zijn eisen hieromtrent in de generieke Service Level Agreement (SLA) met OSZ (Zeist) vastgelegd. USZO De toegangsbeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. De beveiliging van netwerk en midrange platformen vertoont evenals de decentrale fysieke toegangsbeveiliging nog een aantal tekortkomingen. De gebruikersorganisatie heeft het beheer van autorisaties in relatie tot Concern Informatie Systemen (CIS, een afdeling van het Algemeen Burgerlijk Pensioenfonds (ABP)) – ondanks de in 2001 gerealiseerde verbeteringen binnen het proces van de Wet op de arbeidsongeschiktheidsverzekering – als geheel nog niet voldoende gestructureerd.
2.1.4
Wijzigingsbeheer (change- en problem-management, testen) Gak Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Er zijn onvolkomenheden in de acceptatietestomgeving, het doorvoeren van wijzigingen, de gebruikte standaards bij het uitvoeren van de acceptatietest en het beheer van versies binnen Gak Nederland B.V. (De aansturing van) incident- en probleembeheer door Gak is voldoende onder controle. SFB UOSV Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Er zijn onvoldoende maatregelen getroffen voor het buiten het reguliere wijzigingstraject om wijzigen van gegevens. Hiernaast hebben wij geen zicht op de maatregelen die hiervoor binnen SFB UOSV zijn getroffen. Tevens is er een aantal tekortkomingen in het reguliere wijzigingstraject. Wij hebben geen zicht op de actuele status van het SFB UOSV project inzake het uitwerken en formaliseren van acceptatietesten.
9
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
GUO Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. De formele test en acceptatie van applicaties door GUO vertoont tekortomingen, hiernaast zijn er tekortkomingen in de communicatie met OSZ. Doordat wij slechts beperkt zicht hebben op het wijzigingsbeheer binnen GUO kunnen wij de gevolgen van geconstateerde tekortkomingen slechts gedeeltelijk inschatten. De opzet van het (technisch) wijzigingsbeheer binnen OSZ (Zoetermeer) voldoet in het algemeen wel aan de daaraan te stellen eisen. Cadans Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Op mainframe is in opzet sprake van een gestructureerde aanpak. Op midrange is nog geen sprake van toereikend change management. Wij hebben voor mainframe beperkt zicht op de beheersing van het testproces. Wel is in 2001 uit (steekproefsgewijze) waarneming gebleken dat wijzigingen in mainframeprogrammatuur in voldoende mate getest worden door gebruikers. USZO Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Voor changemanagement zijn binnen CIS in opzet voldoende maatregelen getroffen. Ten aanzien van testen is binnen de gebruikersorganisatie een integrale aanpak nog niet voldoende ingevuld. Verder is in de werking van het wijzigingsbeheer een aantal tekortkomingen gesignaleerd. Hiervoor zijn zowel binnen CIS als binnen USZO verbeteracties in gang gezet. Voor het wijzigen van infrastructurele IT-componenten zijn in het algemeen wel voldoende maatregelen genomen.
2.1.5
Operationele werkzaamheden
• • • •
Gak De operationele werkzaamheden voldoen aan de daaraan te stellen eisen. De leverancier beheerst het proces in voldoende mate Wel is aandacht gevraagd voor de volgende zaken: bewaken van de kennis en expertise van de bij ‘operations’ betrokken medewerkers; afronden procedurebeschrijvingen; minimaliseren handmatige handelingen rond batchjobs; bewaken van de operationele rapportage (inclusief incidentenrapportage). SFB UOSV De operationele werkzaamheden voldoen aan de daaraan te stellen eisen. De procedures en werkinstructies dienen verder te worden uitgewerkt en geformaliseerd. GUO De operationele werkzaamheden voldoen in beperkte mate aan de daaraan te stellen eisen. De bevoegdheden van de operators dienen te worden beperkt. Cadans De operationele werkzaamheden op mainframe voldoen aan de daaraan te stellen eisen. IWI heeft beperkt zicht op de beheersmaatregelen ten aanzien van operationele werkzaamheden op midrange systemen. USZO Vanwege de in 2000 ingezette veranderingen, welke niet recent beoordeeld zijn, heeft IWI beperkt zicht op de operationele werkzaamheden.
2.1.6
Continuïteit (backup/recovery, uitwijk en fysieke beveiliging) Gak De waarborgen voor de continuïteit van de gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. PinkRoccade heeft verscheidene maatregelen genomen om de continuïteit van de geautomatiseerde gegevensverwerking in geval van calamiteiten te kunnen garanderen.
10
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
SFB UOSV De waarborgen voor de continuïteit van de gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. Er wordt voor (kritieke) gegevensverszamelingen van SFB UOSV geen back-up buiten het SFB gebouw opgeslagen. Bij een ernstige calamiteit op het hoofdkantoor kunnen de gegevens van de door SFB UOSV geadministreerde werknemers en werkgevers verloren gaan. Ook in 2001 heeft er geen uitwijktest plaatsgevonden. De door de directie van SFB UOSV toegezegde inventarisatie van kritieke bestanden heeft niet plaatsgevonden. GUO De waarborgen voor de continuïteit van de gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. OSZ (Zoetermeer) heeft voor storingen en kleinere calamiteiten diverse maatregelen getroffen. Doordat er geen sprake is van een (getest) uitwijkplan waarin alle aspecten van een eventuele uitwijk zijn betrokken, bestaat er onvoldoende zekerheid dat de verwerking van kritische applicaties bij grotere calamiteiten tijdig kan worden hersteld. Cadans De waarborgen voor de continuïteit van geautomatiseerde gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. Naast de reeds bestaande uitwijkvoorziening voor mainframe in Parijs is voor midrange en de personal computeromgeving op een andere locatie in Zeist een uitwijkvoorziening geoperationaliseerd. De uitwijkvoorziening voor mainframe is een aantal malen getest. Een integrale risicoanalyse en een integraal uitwijkplan ontbreken echter. Over backup/recovery hebben wij ons geen oordeel kunnen vormen. Wel zijn eisen hieromtrent in de (generieke) SLA met OSZ (Zeist) vastgelegd. USZO De waarborgen voor de continuïteit van de geautomatiseerde gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. Onzeker is of de capaciteit van de interne uitwijkmogelijkheid voor midrange in geval van calamiteiten toereikend is voor de systemen van de USZO. Een integraal (getest) uitwijkplan, waarin uitwijk voor de processen van de USZO als geheel is opgenomen, ontbreekt. Daarnaast zijn er tekortkomingen in de decentraal getroffen maatregelen voor de fysieke beveiliging geconstateerd. De maatregelen voor de fysieke beveiliging voor het centrale rekencentrum zijn in het algemeen wel toereikend.
2.1.7
Conclusie IWI concludeert dat er ten aanzien van de general computer controls op verschillende aandachtsgebieden significante tekortkomingen bestaan. Verder blijkt er over het verslagjaar 2001 ten opzichte van het verslagjaar 2000 slechts op onderdelen sprake te zijn van een verbetering. Dit wordt met name veroorzaakt doordat lopende projecten en verbeteracties nog slechts gedeeltelijk tot daadwerkelijke implementatie van maatregelen hebben geleid.
2.1.8
Actuele ontwikkelingen en verbetermaatregelen De tekortkomingen op het gebied van de general computer controls zijn reeds langere tijd bij het management van de voormalige uitvoeringsinstellingen bekend. Door de uitvoeringsinstellingen zijn derhalve projecten in gang gezet om de general computer controls op het vereiste niveau te brengen Deze projecten vergen veelal een aanzienlijke inspanning. Veel van deze projecten zijn eerst in 2000 of 2001 gestart, of de daadwerkelijke implementatie van maatregelen is eerst in 2001 ter hand genomen. Bij deze projecten zijn in eerste instantie producten tot stand gebracht waarmee in opzet de maatregelen op het gebied van informatiebeveiliging kunnen worden verbeterd. Voorbeelden hiervan zijn procedurebeschrijvingen, matrices aan de hand waarvan autorisaties kunnen worden verleend en gecontroleerd, systemen waarmee de verleende autorisaties effectiever kunnen worden gecontroleerd en draaiboeken voor een mogelijke uitwijksituatie. Genoemde producten dienen echter ook in de staande organisatie te worden gehanteerd en periodiek te worden geactualiseerd om de maatregelen ook daadwerkelijk te kunnen effectueren. Eerst dan kan IWI de effectiviteit van deze maatregelen ook bij de beoordeling over het betreffende verslagjaar betrekken.
11
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
Evenals over 2000 geldt speciale aandacht voor het aspect toegangsbeveiliging als noodzakelijke voorwaarde voor de te realiseren functiescheiding. Bij alle voormalige uitvoeringsinstellingen geldt dat de toegangsbeveiliging van geautomatiseerde gegevensverwerking niet of in beperkte mate aan de daaraan te stellen eisen voldoet. IWI acht het noodzakelijk dat UWV op korte termijn de in opzet aanwezige maatregelen zal effectueren om de aanwezige risico’s te beperken. Door UWV wordt verder onderkend dat gesignaleerde tekortkomingen dienen te worden verholpen. Hiertoe is binnen UWV sinds begin 2002 een interdisciplinair project integrale beveiliging UWV gestart. Aan dit project nemen Algemeen Juridische Zaken, Accountantsdienst, Concern ICT en de divisies (Werkloosheidswet, Arbeidsgeschiktheid en Werkgeverszaken) deel. Het project heeft onder andere tot doel een UWV-breed beveiligingsbeleid en privacybeleid gestalte te geven en voorstellen te formuleren voor een passende organisatorische inrichting. De Raad van Bestuur van UWV onderschrijft het belang van (informatie)beveiliging voor de organisatie en ziet het tot zijn taak dit naar alle medewerkers van UWV uit te dragen. IWI zal de door UWV in gang gezette acties gedurende 2002 intensief gaan monitoren en hierover periodiek rapporteren.
2.1.9
Beoordeling maatregelen bij ICT-dienstverleners De geautomatiseerde verwerking van gegevens door (private) ICT-dienstverleners is van essentieel belang voor de (rechtmatige) verstrekking van uitkeringen. Voor zowel UWV als IWI is het van belang dat er transparantie bestaat omtrent maatregelen (zoals beveiliging van gegevens en waarborgen voor continuïteit) die bij deze ICT-dienstverleners zijn getroffen. IWI signaleert dat veelal geen volledig en eenduidig zicht bestaat in de genoemde maatregelen bij ICT-dienstverleners. Dit wordt versterkt door de verkoop van voormalige automatiserinsafdelingen oftewel werkmaatschappijen aan private ICT-dienstverleners. Hierbij is spanning is ontstaan tussen de (commerciële) belangen van deze ICT-dienstverleners en de door de opdrachtgever (UWV) en toezichthouder (IWI) noodzakelijk geachte transparantie. Vanuit UWV is een proces in gang gezet om de beoordeling van deze maatregelen bij de ICTdienstverleners door middel van Third Party Mededelingen te realiseren. Hierbij wordt contractueel vastgelegd dat een ICT-dienstverlener volgens een standaard stramien door een onafhankelijk deskundige (EDP-auditor) over de getroffen maatregelen laat rapporteren. IWI onderschrijft de door UWV gekozen aanpak. IWI is derhalve gestart met een onderzoek om te beoordelen of genoemde aanpak voor de eigen oordeelsvorming bruikbaar is.
2.2
Dienstenniveaubeheer In het rapport ‘De sociale verzekeringen in 2000’ is bij de conclusies van het eigen onderzoek Human Rescource Management/ICT aangegeven dat de toezichthouder van mening is dat de uitvoeringsinstellingen de relaties met externe ICT-dienstverleners, de (voormalige) B-poten, binnen een jaar op orde moeten hebben gebracht (inclusief de eigendomsrechten van de programmatuur). Over de middellange termijn is opgemerkt dat, als de afstand tussen beide partijen groeit en de ICT-dienstverleners zich commerciëler gaan opstellen, het risico bestaat dat de contracten niet voorzien in adequaat onderhoud en herziening van systemen, waardoor de wetsuitvoering in gevaar kan komen. Vanuit bovenstaande optiek achtte de toezichthouder het van groot belang dat uitvoeringsinstellingen zouden beschikken over een eigen ICT-functie die, naar de externe ICT-dienstverleners toe, zou kunnen optreden als gelijkwaardige en onafhankelijke gesprekspartner en die de rol van opdrachtgever kan invullen. IWI heeft om die reden gemeend onderzoek te moeten doen naar de vraag of de uitvoeringsinstellingen in 2001 de organisatorische en juridische voorwaarden voldoende hebben ingevuld, om zich zodoende een beeld te kunnen vormen over de wijze waarop en de mate waarin de uitvoeringsinstellingen uitbestede ICT-diensten beheersen.
12
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
De volgende aspecten zijn in het onderzoek betrokken: • organisatorische en procesmatige inrichting van het dienstenniveaubeheer - regels; - positionering, taken, bevoegdheden en verantwoordelijkheden; - aantallen en kosten; - het vaststellen van het niveau van dienstverlening; - het bewaken van contracten; - nazorg en evaluatie van de dienstverlening. • contractuele inrichting - definitie van te leveren prestatie; - rapportage en toezicht; - regels bij niet-naleving, aanpassing en ontbinding; - formeel/juridische aspecten; - regels van het Landelijk instituut sociale verzekeringen (Lisv). Deze aspecten zijn voornamelijk gebaseerd op de Cobit-modules DS1 en DS2. Omdat tevoren duidelijk was dat de uitvoeringsinstellingen niet aan alle voorwaarden, zoals opgenomen in het Cobit model, zouden voldoen, zijn niet alle aspecten tot in detail uitgediept. Wel is een beeld gevormd waar de uitvoeringsinstellingen in 2001 stonden op het ontwikkelingspad hiernaartoe. Alleen in het geval van Gak is als pilot oordeelsvorming uitgevoerd conform het beoordelingsmodel dat is gehanteerd bij de beoordeling van de general computer controls en is beschreven in de inleiding (uitkomsten op een schaal: onvoldoende – beperkt – voldoende). Gak heeft als pilot gediend omdat de situatie bij deze uitvoeringsinstelling in aanzet het model vormt voor het UWV-dienstenniveaubeheer. Daarmee vormt Gak een referentiepunt voor het onderzoek over het verslagjaar 2002 bij UWV. De beschrijving bij de andere uitvoeringsinstellingen heeft een andere opzet en is hiermee niet vergelijkbaar.
2.2.1
Gak Gak heeft consistente en weloverwogen uitgangspunten vastgesteld betreffende de organisatie van uitbestede ICT-diensten. In 2001 is het inrichten van de organisatie conform deze uitgangspunten echter in onvoldoende mate gerealiseerd. Het vaststellen van het niveau van dienstverlening voldoet in beperkte mate aan de gestelde eisen. Zo is Gak betreffende het uitvoeren van informatieanalyses nog steeds in grote mate afhankelijk van zijn leveranciers. Het bewaken van contracten voldoet in beperkte mate aan de gestelde eisen. Zo geven de rapportages betreffende geleverde prestaties nog geen toereikend inzicht in de naleving van afspraken en geschiedt het toetsen op naleving van de afspraken nog op ad hoc basis. De afgesloten mantelovereenkomst tussen Gak en PinkRoccade Sociale Zekerheid eind 2001 vormt een overkoepelende overeenkomst. Herijking van onderliggende overeenkomsten dient nog te geschieden. De mantelovereenkomst is beoordeeld en voldoet in voldoende mate aan de daarop van toepassing zijnde eisen. Zo voorziet de overeenkomst in de overdracht van de intellectuele eigendomsrechten van de bestaande maatwerkprogrammatuur aan Gak. De overeenkomst bevat enerzijds bepalingen die een randvoorwaarde vormen voor de opbouw van normale zakelijke verhoudingen, maar anderzijds bepalingen die aanleiding geven tot zorg hieromtrent. In de eerste plaats UWV, maar ook IWI zullen er in de toekomst op moeten toezien dat aan de beoogde zakelijke verhouding met PinkRoccade daadwerkelijk vorm wordt gegeven.
2.2.2
SFB UOSV Op het gebied van het dienstenniveaubeheer heeft SFB UOSV ten opzichte van het vorig verslagjaar goede vooruitgang geboekt. Deze is met name qua opzet te vinden in de ‘Service Level Agreement 2001’. Voor wat betreft de werking blijkt de SLA een groeimodel te zijn. Het is meer een streven. Wel wordt zo duidelijk wat wel en niet haalbaar is.
13
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
Bij SFB UOSV zijn aanzetten tot verzakelijking met de voormalige concernpartner doch de onderlinge afhankelijkheid blijft sterk. Dit komt het meest uitgesproken tot uitdrukking in de binding die bij het overdragen van het intellectuele eigendom is aangegaan tot 1 januari 2006. Hiermee wordt UWV opgezadeld met een langdurige verplichting met mogelijk negatieve gevolgen voor de herinrichting van de processen na de fusie van de uvi’s. Overigens is in het betreffende contract het intellectuele eigendom voorzien van zodanige voorwaarden ten gunste van de leverancier dat het formele begrip ‘intellectueel eigendom’ opgerekt wordt naar het materiële begrip ‘licentie met recht van kennisname van brondocumenten’. Dit gaat met name om de kern van de processen, namelijk intake, basisregistraties en inning van premies. De betreffende overeenkomst is tot stand gekomen na een complexe voorgeschiedenis die uiteindelijk beslecht is door mediation tussen SFB UOSV, SFB Diensten en het Lisv, begeleid door bedrijfsjuristen van SFB UOSV respectievelijk het Lisv en externe juridische adviseurs. De leverancier heeft in het proces van mediation zijn belang willen veiligstellen van continuïteit van dienstverlening aan SFB UOSV en het verhinderen van concurrentie met behulp van de programmatuur door UWV op de markt van bedrijfspensioenen en Collectieve arbeidsovereenkomsten.
2.2.3
GUO Door de historie van de relatie met Relan ICT heeft dienstenniveaubeheer bij GUO pas in 2000/2001 een vaste plaats gekregen binnen de organisatie. Dit is gebeurd door het inrichten van de afdeling Informatie Management. Deze afdeling is gestart in oktober/november 2000 en is sinds medio 2001 operationeel. In 2001 kon daardoor nog geen sprake zijn van een volledige beheersing van de uitbesteding van ICT-diensten. Zo bestonden er verschillen in de uitgangspunten voor uitbesteding tussen de divisies Verzekerden en Ondernemingen omdat centrale regie nog ontbrak. De relatie met de belangrijkste leverancier Relan ICT (nu opgegaan in OSZ) is lang te weinig zakelijk geweest. Momenteel wordt in hoog tempo gewerkt aan verzakelijking, met name door het opstellen van de benodigde overeenkomsten en de daarbij behorende documenten. In 2001 is nog sprake geweest van een situatie dat diensten van OSZ (Zoetermeer) werden afgenomen zonder dat daaraan een sluitende contractenstructuur ten grondslag lag, hetgeen aan beide kanten tot onduidelijkheid heeft geleid. De gebruikers en de afdeling Informatie Management lijken bovendien nog te moeten wennen aan de nieuw belegde verantwoordelijkheden. Zoals gezegd heeft de kentering zich in 2001 ingezet en daardoor is in de afgelopen periode toch sprake geweest van verbetering ten opzichte van het vorige verslagjaar. Dit uit zich door ontwikkeling van de regiefunctie van de afdeling Informatie Management en het invullen van het contractenstelsel, zij het dat hier en daar nog zaken ontbreken. Zonder meer positief is de ontwikkeling van de rapportages van en periodieke overleggen met OSZ (Zoetermeer). Bij overeenkomst van 17 november 2000 is geregeld dat de intellectuele eigendom van de GUO-systemen bij GUO berust, behalve die van de basisregistratie en gemeenschappelijk aanlever- en distributiepunt (ADP) van gegevens. De intellectuele eigendom van basisregistratie en ADP is tijdelijk ondergebracht bij een stichting waarin GUO participant is. Relan en GUO zijn inmiddels overeengekomen om de intellectuele eigendom van de basisregistratie en ADP eind 2004 om niet over te dragen aan GUO (UWV). Deze laatste beslissing moet nog worden beoordeeld door de directie Werk en Inkomen van het ministerie van Sociale Zaken en Werkgelegenheid en IWI.
2.2.4
Cadans Sedert de oprichting van het directoraat ICT zijn in opzet voor het dienstenniveaubeheer organisatorische randvoorwaarden aanwezig, waardoor dit proces binnen de organisatie kan worden beheerst. Hierbij is het voorbeeld van Gak aangehouden. IWI is wel van mening dat Cadans de nodige stappen dient te ondernemen, zodat het dienstenniveaubeheer adequaat zal gaan functioneren na de opbouwfase in 2001.
14
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
Uit het gehouden onderzoek komt naar voren dat alle intellectuele eigendomsrechten met betrekking tot de programmatuur bij Cadans berusten. IWI dringt erop aan om onafhankelijke EDP-audits in het aanvullende convenant te regelen. Cadans heeft in de afgesloten SLA’s (zestien in totaal) nauwkeurig omschreven welke services door OSZ (Zeist) geleverd dienen te worden. Periodiek wordt er gerapporteerd over de door de OSZ (Zeist) geleverde services.
2.2.5
USZO Ook in 2001 zijn door USZO verbeteringen aangebracht in het dienstenniveaubeheer. Traditioneel was al een goed ontwikkelde overlegstructuur aanwezig tussen de centrale afdeling Organisatie en Informatie en de afdelingen Informatiebeheer van de business units enerzijds en ABP/CIS anderzijds. In het verslagjaar is deze praktijk verder vastgelegd in SLA’s. Aan de SLA’s ontbreekt nog wel het een en ander, zoals de invulling van de informatiebeveiliging, de continuïteitsgaranties en het recht op audits. Wel ontvangt USZO jaarlijks de managementletter CIS van de Accountantsdienst van het ABP over de geautomatiseerde gegevensverwerking. In het licht van het overgaan van USZO naar UWV wordt geconstateerd dat de sterke binding tussen USZO en ABP/CIS niet past in een normale, zakelijke klant-leverancier relatie. De technische know how over de bedrijfsprocessen bij USZO is bij CIS veel verder ontwikkeld dan bij USZO zelf. Dit blijkt bijvoorbeeld uit het geringe aantal technische specialisten bij met name Organisatie en Informatie. De afdelingen Informatiebeheer hebben vooral een intermediaire en een verkeersregelende functie. Op de technische inhoud is geen sprake van een evenwichtige relatie met CIS. Eén van de Lisv-voorschriften was dat de voormalige uitvoeringsinstellingen intellectueel eigenaar van de voor de bedrijfsprocessen gebouwde systemen dienden te zijn. Dit is bij USZO in een overeenkomst met het ABP geregeld. Daaraan zijn evenwel ongebruikelijke beperkingen gesteld, vanwege de constructie van het gemeenschappelijk eigenaarschap binnen het ABP. Daarom worden brontekst en documentatie niet overgedragen aan USZO doch in bewaring gegeven bij een derde. Ook mag USZO pas veranderingen laten aanbrengen in de programmatuur na afloop of ontbinding van de overeenkomst. Deze beperkingen houden een barrière in voor het sluiten van overeenkomsten met andere partijen.
2.2.6
Conclusie Uit het onderzoek is gebleken dat er in het jaar 2001 in het algemeen vooruitgang is geboekt bij de invulling van de organisatorische en juridische randvoorwaarden van het dienstenniveaubeheer. De vooruitgang betreft vooral de opzet van het dienstenniveaubeheer. De uitgangssituatie was bij alle uitvoeringsinstellingen een sterke mate van verwevenheid van de ICT-activiteiten met de huidige ICT-leveranciers. Zo berustte het intellectuele eigendom van de voor de uitvoeringsinstellingsprocessen ontwikkelde maatwerkprogrammatuur vaak niet bij de uitvoeringsinstellingen, maar bij de leverancier. Hierdoor loopt de uitvoeringsinstelling continuïteitsrisico’s. In 2001 zijn daarom contractuele stappen tot overdracht van dit intellectuele eigendom genomen. Deze contracten zijn allesbehalve volmaakt: de beschikking over de maatwerkprogrammatuur is aan beperkingen onderhevig, bijvoorbeeld in de vorm van gedwongen winkelnering over het onderhoud, een langdurige dienstverleningsrelatie en het afstaan om niet van exploitatie door de leverancier ten behoeve van derden. De langdurige dienstverleningsrelatie is in strijd met het beleid om de relaties in het licht van de overgang naar UWV te beperken tot kortdurende. De relatie van de uitvoeringsinstellingen met hun ICT-leveranciers is verder vooral verzakelijkt door het tot stand komen van SLA’s.
15
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
2.2.7
Actuele ontwikkelingen en verbetermaatregelen De goede basis die in het verslagjaar is gelegd, vergt van de kant van de uitvoeringsinstellingen een actieve opstelling op inhoudelijk-technisch en verantwoording-vragend gebied. Deze is maar ten dele aanwezig. Technische kennis is op het abstracte niveau gecentraliseerd aanwezig. Applicatiekennis en de verantwoordelijkheid voor de applicaties ligt bij business units. Vaak ontbreekt daar de kennis om op het gebied van informatieanalyse weerwerk te leveren aan de ICTleverancier. Daarmee is sprake van een verbrokkelde en diverse opstelling jegens de leverancier in de werking van het dienstenniveaubeheer. De inzet ter verbetering op dit punt door de uitvoeringsinstellingen heeft minder prioriteit gekregen door de overgang naar UWV. In het kader van de UWV-vorming is een aantal organisatorische maatregelen genomen die relevant zijn voor het dienstenniveaubeheer. Zo is er nu een centrale ICT-afdeling voor de algemene ICT-vraagstukken en binnen Concern-Inkoop een eenheid voor de ICT-inkoop. UWV staat voor een enorme vernieuwing op ICT-gebied. Er is een inkoopstrategie, waarbij nieuwe contracten gelaagd (per procescluster) zullen worden aangegaan. De bestaande leveranciers blijken, om met deze nieuwe rondes te kunnen meedoen, bereid tot medewerking om onder meer de scherpe kantjes van de langdurige contracten af te halen. De divisies, die bestaan uit procesclusters zoals Werkloosheidswet, Arbeidsgeschiktheid of Werkgeversrelaties, zijn inhoudelijk verantwoordelijk voor de relatie met de dienstverlener (bijvoorbeeld voor de specificaties en verantwoordingvragend). Deze relatie is cruciaal voor de werking van het dienstenniveaubeheer. IWI zal derhalve in de komende onderzoeken aan deze relatie extra aandacht besteden. De uitwerking van de hiervoor beschreven ontwikkelingen en de werking van de driehoek centrale inkoop, centrale ICT en divisies richting de ICT-leverancier is voor het verslagjaar 2002 een aandachtspunt voor IWI.
2.3
Gegevensbeheer Uitvoeringsinstellingen dienden tot 2001 jaarlijks een mededeling van een externe deskundige (EDP-auditor) aan het voormalige Lisv af te geven dat het gegevensbeheer bij de uitvoeringsinstelling en de eventueel door de uitvoeringsinstelling in te schakelen bewerker voldoet aan alle door de wet gestelde en met het Lisv overeengekomen waarborgen. Deze eisen zijn opgenomen in de Wet persoonsregistratie (vanaf 1 september 2001 Wet bescherming persoonsgegevens), de sectorale wetgeving (Organisatiewet sociale verzekeringen 1997) en de administratie- en jaarovereenkomsten met het Lisv. Samengevat omvatten deze vereisten het uitsluitend verstrekken van (persoons)gegevens conform deze vereisten en een adequaat niveau van beveiliging. Door de externe deskundigen zijn over de periode 1 januari tot 15 oktober 2001 twee positieve mededelingen met beperkingen (Gak en Cadans) en twee negatieve mededelingen (GUO en SFB UOSV) afgegeven. De externe deskundige heeft geen oordeel gegeven over USZO als geheel. Gedeeltelijk is een positieve mededeling met beperking afgegeven en voor een ander deel van de organisatie is een negatief oordeel afgegeven. Er zijn geen geheel positieve mededelingen zonder beperkingen afgegeven. Over het verslagjaar 2000 heeft IWI het onderzoek en het oordeel van de externe deskundigen afzonderlijk beoordeeld en hierover voorjaar 2002 een separate rapportage uitgebracht. Hierbij heeft IWI geconcludeerd dat het gegevensbeheer bij de uitvoeringsinstellingen als geheel in beperkte mate aan de daaraan te stellen eisen voldoet. Verder bleek bij de review op een aantal punten nog verschil van inzicht te bestaan tussen IWI en de verschillende externe deskundigen omtrent de scope en diepgang van het onderzoek alsmede de wijze van oordeelsvorming. Het onderzoek bij de voormalige uitvoeringsinstellingen over het verslagjaar 2001 richt zich mede op de verbetermaatregelen die door de uitvoeringsinstellingen gedurende 2001 zijn getroffen. Ook de review van IWI op de door de externe deskundige uitgevoerde werkzaamheden heeft zich derhalve met name gericht op de beoordeling van deze verbetermaatregelen. Per uitvoeringsinstelling is hieronder het oordeel van de externe deskundige en de voortgang van de verbetermaatregelen opgenomen.
16
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
2.3.1
Gak
• • • •
Door de externe deskundige is voor Gak over de periode 1 januari tot 15 oktober 2001 een positieve mededeling met beperkingen afgegeven. De in de mededeling opgenomen tekortkomingen hebben betrekking op de volgende zaken: Gak Nederland ziet onvoldoende toe op en is onvoldoende op de hoogte van naleving van de privacy voorschriften door haar bewerkers; de invulling van de rol van de privacy coördinator heeft in het algemeen nog te weinig gestalte gekregen; hoewel het privacy bewustzijn hoog is, is het beveiligingsbewustzijn van de medewerkers in zijn algemeenheid laag; de controle op het toegangsbeheer is niet volledig. Deze tekortkomingen komen overeen met de tekortkomingen die zijn opgenomen in de rapportage over 2000. De fysieke beveiliging is niet in het onderzoek betrokken. In reactie op de rapportage over 2000 heeft Gak een actielijst opgesteld die voor een deel in het verslagjaar 2001 zijn opgevolgd. Het betreft met name het formaliseren van afspraken met de bewerker en het gedeeltelijk implementeren van het handboek Informatiebeveiliging. De overeenkomst met de bewerker is op het onderwerp beveiliging niet nader uitgewerkt.
2.3.2
SFB UOSV Door de externe deskundige is voor SFB UOSV over de periode 1 januari tot 15 oktober 2001 een negatieve mededeling afgegeven. De geconstateerde tekortkomingen bij het onderzoek hebben betrekking op: • onvoldoende beheer van autorisaties tot gegevensverzamelingen en de controle hierop; • onvoldoende waarborgen voor het vertrouwelijk gebruik van exclusieve sociale verzekeringsgegevens binnen de SFB-groep; • onvoldoende toezicht dat de verstrekking van persoonsgegevens conform wet- en regelgeving plaatsvindt. Deze tekortkomingen komen grotendeels overeen met de tekortkomingen die zijn opgenomen in de rapportage over 2000. Doordat de reeds gerealiseerde maatregelen door SFB UOSV vanaf 15 oktober 2001 buiten de scope van het onderzoek vallen, zijn deze niet bij de oordeelsvorming betrokken. In verslagjaar 2001 heeft SFB UOSV een plan van aanpak opgesteld voor de realisatie van de aanbevelingen uit de rapportage over 2000. De verdere implementatie van het plan zal in 2002 plaatsvinden.
2.3.3
GUO Door de externe deskundige is voor GUO over de periode 1 januari tot 15 oktober 2001 een negatieve mededeling afgegeven. De tekortkomingen in de mededeling hebben betrekking op: • onvoldoende zicht op centraal niveau op de informatieverstrekking aan derden; • onvoldoende niveau van het beheer van de logische toegangsbeveiliging. Deze tekortkomingen komen voor een deel overeen met de tekortkomingen die zijn opgenomen in de rapportage over 2000. Op basis van de belangrijkste aanbevelingen uit de rapportage over 2000 heeft GUO acties voorgesteld die ultimo 2001 niet of slechts voor een deel zijn uitgevoerd. De uitvoering van met name het project Ontvlechting Basisregistratie ten behoeve van de scheiding van private en pulieke gegevens en het project Borging met betrekking tot het eigenaarschap van gegevenselementen zijn bij GUO ten behoeve van gegevensbeheer van belang.
17
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
2.3.4
Cadans Door de externe deskundige is voor Cadans over de periode 1 januari tot 15 oktober 2001 een positieve mededeling met beperkingen afgegeven. In het oordeel zijn de bevindingen ten aanzien van de werking van maatregelen wederom nadrukkelijk uitgesloten. De opgenomen voorbehouden en tekortkomingen in de mededeling hebben betrekking op: • onvoldoende beheer van (on-line) gegevensverstrekking aan derden; • onvoldoende (fysieke) toegangsbeveiliging; • ontbreken van afspraken omtrent serviceniveau inzake beveiliging en betrouwbaarheid. In het verslagjaar 2001 heeft Cadans opvolging gegeven aan de aanbevelingen uit de rapportage over 2000, met name door het opstellen van procedures in het kader van gegevensverstrekking aan derden en door inzicht te verstrekken in toegekende autorisaties. Ook zijn in het kader van het project Informatiebeveiliging activiteiten ontwikkeld, maar nog niet afgerond.
2.3.5
USZO Door de externe deskundige is voor USZO over de periode 1 januari tot 15 oktober 2001 voor de business unit Arbeidsongeschiktheid een positieve mededeling met beperkingen afgegeven. Hierbij is wederom het begrip ‘grotendeels’ toegevoegd in de bewoordingen. Voor de business units Concern Verwerkingscentrum en Werkloosheidswet is aangegeven dat niet aan de gestelde normen wordt voldaan. Hierbij is niet de standaardtekst voor een negatieve mededeling gehanteerd. De mededeling inzake gegevensbeheer bij USZO is gesplitst en geeft daarmee geen oordeel omtrent USZO als geheel. De opgenomen tekortkomingen in de mededeling hebben betrekking op: • operationaliseren privacy organisatie; • volledig registreren van feitelijk gegevensverstrekking aan derden; • autorisatiebeheer op applicatieniveau. De onderwerpen komen overeen met degene die zijn opgenomen in de rapportage over 2001. Als gevolg van de ontwikkelingen in 2001 is de zwaarte van de tekortkomingen verlicht. USZO is voornemens de benodigde maatregelen ten aanzien van waarborgen in het gegevensbeheer in de business units Concern Verwerkingscentrum en Werkloosheidswet te treffen. Dit zal vergelijkbaar zijn met de opzet van maatregelen bij de business unit Arbeidsongeschiktheid. Voor alle aanbevelingen uit de rapportage over 2000 zijn in 2001 acties in gang gezet. Deze zijn echter nog niet (geheel) afgerond.
2.3.6
Conclusie IWI signaleert risico’s ten aanzien van de beveiliging van gegevens in het algemeen en het waarborgen van de privacy bij de verstrekking van gegevens in het bijzonder. Hierbij is nog geen sprake van een volledig beheerste situatie.
2.3.7
Actuele ontwikkelingen en verbetermaatregelen In de rapportage over 2000 heeft IWI aangegeven dat in het kader van de vorming van UWV wordt gewerkt aan het koppelen van systemen en gegevensbestanden van de huidige uitvoeringsinstellingen. In de nieuwe situatie blijven de hierboven gesignaleerde risico’s dan ook niet beperkt tot de betreffende uitvoeringsinstelling, maar kunnen deze gevolgen hebben voor het gehele UWV. IWI heeft er bij UWV op aangedrongen om eisen op het gebied van beveiliging en privacy op een structurele wijze te betrekken bij het koppelen van en/of nieuw te ontwikkelen systemen en infrastructuur en deze op de hier bedoelde terreinen versneld tot afronding te brengen. IWI heeft vastgesteld dat dit onderwerp binnen de Raad van Bestuur van UWV de aandacht heeft gekregen. IWI heeft de daadwerkelijke effectuering van maatregelen nog niet kunnen vaststellen. IWI heeft bij UWV aangekondigd deze effectuering van genoemde maatregelen gedurende 2002 intensief te zullen monitoren.
18
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
Voor de toetsing of UWV voldoet aan de eisen met betrekking tot privacy en gegevensbeheer volgens de Wet bescherming persoonsgegevens en wet Structuur Uitvoering Werk en Inkomen zal IWI vanaf 2002 aansluiten bij de ontwikkelde ‘Aanpak Privacy Audit’ door het College bescherming persoonsgegevens. De Raad van Bestuur van UWV heeft medegedeeld dat met betrekking tot de toetsing de Accountantsdienst UWV vanaf 2002 een mededeling gegevensbeheer zal afgeven op basis van het door het College bescherming persoonsgegevens ontwikkelde Raamwerk Privacy Audit. Waar nodig zal de accountantsdienst de onderzoeksresultaten per voormalig uitvoeringsinstelling verbijzonderen, waarbij zij als vanzelfsprekend voor ieder voormalig uitvoeringsinstelling een gelijkluidend referentiekader zal hanteren.
2.4
Slotconclusie werknemersverzekeringen ICT bij de uitvoeringsinstellingen is van groot belang, is volop in ontwikkeling en blijft een kwetsbaar punt. Zowel op het terrein van de general computer controls als ook bij het dienstenniveaubeheer en gegevensbeheer constateert IWI significante tekortkomingen. Deze tekortkomingen kunnen, naar de mening van IWI, risico's met zich meebrengen voor de continuïteit en de betrouwbaarheid van de geautomatiseerde gegevensverwerking zowel voor nu als in de toekomst. Hierbij vormen de goede overgang van processen die in 2001 bij de voormalige uitvoeringsinstellingen waren ondergebracht (het going concern) alsmede de toekomstige integratie en migratie van deze processen binnen UWV, aandachtspunten.
19
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
3
3.1
Volksverzekeringen
General computer controls IWI heeft bij de beoordeling van de general computer controls over 2001 de controle-op-controle methodiek gehanteerd. Hierbij is grotendeels gebruik gemaakt van de door het onderdeel EDP-audit van de Interne Accountantsdienst (IAD/EDP-audit) van de SVB verrichte werkzaamheden. De formatie en deskundigheid van IAD/EDP-audit waarborgen een voldoende uitvoering van de werkzaamheden, waarbij alle noodzakelijke aspecten worden geraakt. Punt van aandacht is echter de onderbezetting van IAD/EDP-audit. De IAD/EDP-audit werkt aan de hand van een controleprogramma wat geënt is op Cobit. In dit controleprogramma zijn de objecten opgenomen die in een cyclus van drie jaar worden beoordeeld. Deze objecten zijn geselecteerd op basis van een uitgevoerde risicoanalyse door IAD/EDP-audit. De uitgevoerde risicoanalyse door IAD/EDP-audit is door IWI positief beoordeeld. IWI heeft bij de beoordeling van de uitgevoerde onderzoeken door IAD/EDP-audit in de afgelopen jaren achteraf vastgesteld dat alle relevante werkzaamheden zijn uitgevoerd. Bij het uitvoeren van haar werkzaamheden maakt IAD/EDP-audit gebruik van een plan van aanpak en brengt structuur aan in haar werkzaamheden. IWI acht het raadzaam dat IAD/EDP-audit bij het uitvoeren van haar werkzaamheden tevens gebruik maakt van een werkprogramma, zodat de werkzaamheden indien nodig kunnen worden herhaald en de uitkomsten van de werkzaamheden kunnen worden gereproduceerd. Ten behoeve van de verrichte werkzaamheden door IAD/EDP-audit dient opgemerkt te worden dat het jaar 2001 zich kenmerkte door een aantal gelijktijdig lopende projecten: • project SVB/390 – de overgang (conversie) van een Bull-omgeving naar een OS/390-omgeving onder de gelijktijdige outsourcing van de exploitatie van het OS/390-platform aan PinkRoccade per 24 september 2001; • europroject – de invoering van de euro per 1 januari 2002; • project reorganisatie hoofdkantoor – de afronding van de reorganisatie hoofdkantoor per 1 oktober 2001. Omtrent de prioriteit die door IAD/EDP-audit aan elk van deze projecten zou worden gegeven is eind 2000/begin 2001 overeenstemming bereikt tussen IAD/EDP-audit en het voormalige College van toezicht sociale verzekeringen. Dit heeft voor het jaar 2001 gezien de beperkte beschikbare capaciteit van IAD/EDP-audit geleid tot: • een verminderde inspanning door IAD/EDP-audit voor de general computer controls van de (na de geslaagde conversie af te bouwen) Bull-omgeving; • een actieve deelname in het project SVB/390 door IAD/EDP-audit; • de toezegging van een onderzoek door IAD/EDP-audit naar de toegangsbeveiliging middels Resource Access Control Facility (audit RACF). Bij de beoordeling van de general computer controls is door IWI met name gesteund op werkzaamheden die gedurende de drie jaren cyclus door IAD/EDP-audit zijn uitgevoerd. De deelname van IAD/EDP-audit in het project SVB/390 is door IWI positief beoordeeld. Hiertoe zijn interviews gehouden en heeft inzage in het opgebouwde projectdossier door IAD/EDP-audit plaatsgevonden. De toegezegde audit RACF door IAD/EDP-audit heeft eerst in het voorjaar van 2002 plaatsgevonden. De rapportage is in de beoordeling meegenomen als onderdeel van de drie jaren cyclus.
21
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
De bovengenoemde projecten hebben ertoe geleid dat er door de SVB in 2001 weinig tot geen aandacht is besteed aan: • de verdere uitwerking van het SVB beveiligingsbeleid in beleidsplannen; • het actualiseren van de te hanteren ontwikkelmethodiek; • het uitvoeren van gebruikersbruikbaarheidstesten. IWI is van mening dat het risico dat door de SVB is gelopen, doordat in 2001 aan een aantal zaken weinig tot geen aandacht is besteed, aanvaardbaar is. Dit mede gezien het cruciale belang voor de SVB van het welslagen van met name het SVB/390 project. Voorts is IWI van mening dat deze zaken in 2002 voortvarend dienen te worden opgepakt. Jaarlijks wordt er door het accountantsbureau PriceWaterhouseCoopers, in samenwerking met IAD/EDP-audit, een EDP-verklaring afgegeven met betrekking tot de verrichte werkzaamheden door IAD/EDP-audit in het kader van betrouwbaarheid en continuïteit van de automatiseringsorganisatie, de technische infrastructuur en de systemen Algemene Ouderdomswet (AOW)/Algemene nabestaandenwet (Anw), Algemene kinderbijslagwet (AKW) en de regeling Tegemoetkoming Onderhoudskosten thuiswonende Gehandicapte kinderen (TOG). De afgegeven EDP-verklaring over 2001 omtrent de getrouwheid van de verantwoording van de omslagfondsen AOW/Anw, AKW en TOG luidde: ‘Geconcludeerd kan worden dat er geen onvervangbare leemten in de automatiseringsorganisatie en geautomatiseerde informatiesystemen zijn geconstateerd en dat er op grond van de uitgevoerde EDP-audit werkzaamheden geen beletsel is ten aanzien van het afgeven van een goedkeurend oordeel omtrent de getrouwheid van de verantwoording van de omslagfondsen AOW/Anw, AKW en TOG.’ IWI is van mening dat de door IAD/EDP-audit verrichte werkzaamheden in de periode 1999 tot en met 2001 (drie jaren cyclus) in het kader van de beoordeling van de general computer controls en de actieve deelname van IAD/EDP-audit in het project SVB/390 hebben geleid tot een voldoende mate van zekerheid omtrent de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking bij de SVB.
3.1.1
Conclusie IWI is van mening dat er een voldoende mate van zekerheid bestaat omtrent de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking bij de SVB.
3.1.2
Actuele ontwikkelingen en verbetermaatregelen Voor de SVB geldt dat een aantal zaken, waaronder de verdere uitwerking van het beveiligingsbeleid in beleidsplannen, die in 2001 noodgedwongen is blijven liggen, in 2002 een hogere prioriteit moeten krijgen.
3.2
Dienstenniveaubeheer In het voorjaar van 2000 heeft de SVB besloten de exploitatie van het OS/390 platform uit te besteden. Na het volgen van de Europese aanbestedingsprocedure is PinkRoccade verkozen om voor een periode van vijf jaar de exploitatie van de bedrijfssystemen AOW/Anw, AKW en Bureau Duitse Zaken te gaan verzorgen met nauwkeurig omschreven service levels, kwaliteitsgaranties en resultaatverplichtingen. De SVB blijft eigenaar van het interne datanetwerk en de applicaties, inclusief de applicatieontwikkeling. De SVB blijft daarmee conform de regelgeving intellectueel eigenaar van zijn bedrijfs- en informatiesystemen. IWI oordeelt dat de SVB op een zorgvuldige wijze en reproduceerbaar de uitbesteding van het OS/390 platform aan PinkRoccade heeft voorbereid. De uitbesteding heeft feitelijk plaatsgevonden per 24 september 2001. De problemen die hebben plaatsgevonden tijdens en na de eerste conversiepoging, begin juni 2001, zijn naar tevredenheid van beide partijen opgelost.
22
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
3.2.1
Conclusie De SVB heeft haar organisatie zodanig ingericht dat zij in staat is de overeenkomst met PinkRoccade met betrekking tot de uitbesteding van de exploitatie OS/390 op een beheersbare wijze uit te voeren.
3.2.2
Actuele ontwikkelingen en verbetermaatregelen IWI onderschrijft de conclusie van IAD/EDP-audit dat de SVB haar organisatie zodanig heeft ingericht dat zij in staat is de overeenkomst met PinkRoccade met betrekking tot de uitbesteding van de exploitatie OS/390 op een beheersbare wijze uit te voeren. Hierbij dient echter opgemerkt te worden dat door de SVB aanvullende structurele maatregelen gerealiseerd moeten worden om de juistheid van de opgeleverde rapportages door PinkRoccade vast te kunnen stellen aan de hand van eigen metingen. IWI zal hier op toezien in 2002.
3.3
Gegevensbeheer Zoals in de inleiding reeds vermeld is, zijn de onderzoeken naar de general computer controls en het dienstenniveaubeheer een vervolg op onderzoeken waarover door het voormalige College van toezicht sociale verzekeringen in het rapport ‘De sociale verzekeringen in 2000’ is gerapporteerd. De SVB is bij het onderzoek naar gegevensbeheer nog niet betrokken vanwege het feit dat bij de SVB geen rapportage gegevensbeheer over het verslagjaar 2001 heeft plaatsgevonden. Inmiddels zijn al wel met de SVB afspraken gemaakt over een rapportage gegevensbeheer met betrekking tot het verslagjaar 2002.
23
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
Lijst van afkortingen ABP ADP AOW/Anw Cadans CIS Cobit EDP Gak GUO IAD ICT IWI Lisv OSZ RACF SFB UOSV SLA SVB TOG USZO UWV
24
Algemeen Burgerlijk Pensioenfonds Aanlever- en distributiepunt Algemene Ouderdomswet/Algemene nabestaandenwet Cadans uitvoeringsinstelling B.V. Concern Informatie Systemen Control objectives for information related technology Electronic Data Processing Gak Nederland B.V. GUO Uitvoeringsinstelling B.V. Interne Accountantsdienst Communicatie- en informatietechnologie Inspectie Werk en Inkomen Landelijk instituut sociale verzekeringen Ordina Sociale Zekerheid Resource Access Control Facility SFB Uitvoeringsorganisatie Sociale Verzekeringen N.V. Service Level Agreement Sociale Verzekeringsbank Tegemoetkoming Onderhoudskosten thuiswonende Gehandicapte kinderen USZO B.V. Uitvoeringsinstituut Werknemersverzekeringen
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen
Publicaties van de Inspectie Werk en Inkomen 2002 Jaarplan 2002 Brochure Inspectie Werk en Inkomen R02/01 Implementatie wet SUWI bij gemeenten Tweede onderzoek naar de gemeentelijke voorbereidingen op de nieuwe Structuur Werk en Inkomen R02/02 Uitvoering werknemersverzekeringen Stand van zaken rechtmatigheid eerste halfjaar 2001 R02/03 Gegevensbeheer 2000 R02/04 Invoering van de euro bij uitvoeringsorganisaties sociale verzekeringen Eindrapportage R02/05 Geschikt of ongeschikt De rol van arbeidsdeskundigen bij de WAO-beoordeling R02/06 Financiële scheiding publiek en privaat bij uitvoeringsinstellingen Zesde vervolgrapportage ontvlechting R02/07 De sociale verzekeringen in 2001 Naast dit rapport is een aantal katernen uitgebracht die dieper ingaan op de behandelde toezichtthema’s - Handhaving werknemers- en volksverzekeringen - ICT werknemers- en volksverzekeringen - Financiële rechtmatigheid en verbetertraject werknemersverzekeringen - Sociaal medisch handelen werknemersverzekeringen - Werkbelasting werknemersverzekeringen - Volksverzekeringen R02/08 Jaarverslag toezicht gemeenten en zelfstandige bestuursorganen 2001 Meerjarenplan 2002-2005 en Jaarplan 2003 R02/09 Afhandeling openstaande posten UWV Gak Eindrapport U kunt deze publicaties opvragen bij: Afdeling Communicatie Postbus 100 2700 AC Zoetermeer Telefoon (079) 329 17 63
[email protected] www.iwiweb.nl
25
Inspectie Werk en Inkomen
ICT werknemers- en volksverzekeringen