Jaarverslag 2004 Bureau Keteninformatisering Werk en Inkomen (BKWI)
Datum: Versie:
28 februari 2005 1.0 (definitief)
1. 2.
MANAGEMENTSAMENVATTING .......................................................... 3 INLEIDING EN ALGEMEEN BEELD ...................................................... 7
2.1
Missie ........................................................................................................................7
2.2
Taken BKWI.............................................................................................................7
2.3
Organisatie en overlegstructuur* .......................................................................8
2.4
Uitgangspunten werkwijze BKWI......................................................................10
2.5
De bestuurlijke context van het BKWI.............................................................10
3.
ONTWIKKELING VAN DE KETEN ........................................................ 12
3.1 Bevorderen gebruik Suwinet-Inkijk en inventariseren van functionele wijzigingen.........................................................................................................................12 3.2
Verkennen en aanjagen (nieuwe ketenvoorzieningen)................................15
3.3
Verkennen vraag in specifieke ketens binnen domein W&I.......................18
4. ONTWIKKELING PRODUCTEN EN DIENSTEN (PROJECTEN)............................................................................................................... 20 4.1
Inleiding ...................................................................................................................20
4.2
Transformatieprojecten ......................................................................................20
4.3
Reguliere projecten..............................................................................................25
5. 5.1
BELEIDSDOELSTELLINGEN .................................................................... 27 Hoofddoelstellingen BKWI.................................................................................27
5.2 Uitvoeren en coördineren technisch/functioneel beheer voorzieningen Suwinet*.............................................................................................................................27 5.3 Voorbereiden en beheren van afspraken tussen Suwipartijen ..................31 5.3.1 ICT-beheer ...................................................................................................... 31 5.3.2 SGR/SuwiML.................................................................................................. 34 5.3.3 Privacy en beveiliging* ................................................................................. 35
6.
BEDRIJFSVOERING....................................................................................... 37
6.1 Mededeling bedrijfsvoering ................................................................................37 6.1.1 Beheersomgeving ............................................................................................. 37 6.1.2 Risico beoordeling en risico beheersing*......................................................... 37 6.1.3 Interne beheersmaatregelen ............................................................................. 38 6.1.4 Informatie en communicatie ............................................................................. 38 6.1.5 Bewaking........................................................................................................... 39 6.2
7. 8. 9.
Doelmatigheid .......................................................................................................39
JAARREKENING/ACCOUNTANTSVERKLARING ...................... 41 OORDEEL BEVEILIGING SUWINET ................................................... 62 BIJLAGEN BEHORENDE BIJ DE EDP-AUDIT .............................. 69
1.
Managementsamenvatting
In de tweede helft van 2003 hebben wij vastgesteld dat de organisatiestructuur van het BKWI ons niet meer in staat stelde om te voldoen aan de eisen die ketenpartners aan onze dienstverlening stellen. Na een grondige heroriëntatie hebben wij op 1 februari van dit jaar een nieuwe organisatiestructuur ingevoerd. Er is nu sprake van vier afdelingen met een duidelijker omschreven aandachtsgebied en taakstelling. De nieuwe afdelingen zijn ingericht naar de taken van het BKWI, te weten: • • • •
Ketenontwikkeling (KO): verantwoordelijk voor het bevorderen van het gebruik van de bestaande voorzieningen en het verkennen van de wensen van de ketenpartners ter verbetering van de bestaande voorzieningen en het ontwikkelen van nieuwe voorzieningen. Ontwikkeling producten en diensten (OPD): verantwoordelijk voor het realiseren van de door de ketenpartners gewenste verbeteringen en vernieuwingen in het aanbod van voorzieningen en diensten van het BKWI Exploitatie: belast met het beheer en onderhoud van de bestaande voorzieningen en producten van het BKWI Office: verantwoordelijk voor de bedrijfsvoering van het BKWI
De invoering van de nieuwe structuur is voorspoedig en zonder productieverlies verlopen. Het personeel is goed betrokken bij iedere stap van het veranderingsproces. Evaluatie BKWI en keten voor werk en inkomen Op het verzoek van het ministerie van SZW is in het eerste kwartaal 2004 een evaluatie uitgevoerd naar het functioneren en de positionering van het BKWI binnen de keten voor werk en inkomen. Er zijn interviews gehouden met alle ketenpartners. De uitkomsten zijn verwerkt in een brief aan de minister van SZW. De voornaamste conclusie uit de evaluatie zijn: • •
Het BKWI heeft goed gefunctioneerd en een waardevolle bijdrage geleverd aan de totstandkoming van de keten voor werk en inkomen. De positionering binnen de CWI is door de ketenpartners niet als belemmering ervaren voor het onafhankelijke optreden van het BKWI.
In de brief aan de staatssecretaris van SZW zijn aanbevelingen gedaan om het functioneren van de keten voor werk en inkomen te verbeteren en de effectiviteit van het BKWI te verhogen. Werkproceskoppelingen De eerste geautoma tiseerde werkproceskoppeling: “vooraankondiging WW”, is in productie genomen. Dit betekent een behoorlijke vermindering van de hoeveelheid papieren formulieren die tot nu toe tussen het CWI en de UWV werd uitgewisseld. Ook op het terrein van andere werkproceskoppelingen wordt goede voortgang geboekt. De eerste werkproceskoppelingen tussen CWI (vanuit SONAR) en enkele gemeenten zijn in productie gegaan. De uitwisseling van WWBinformatie tussen CWI en gemeenten is in eerste instantie afhankelijk van de implementatie van SONAR, het nieuwe primaire systeem van CWI. In november is de uitrol hiervan begonnen. Gemeenten moeten zorgen voor een tijdige aanpassing van hun primaire systemen, zodat de berichten niet alleen verzonden, maar vooral ook automatisch verwerkt kunnen worden. Suwinet Suwinet is voor de samenwerkende organisaties in de Suwiketen een onmisbaar instrument. Niet omdat dit de best denkbare ICT -oplossing vormt, maar simpelweg omdat er niets beters voorhanden is. De kracht van Suwinet is dat ongeveer 25.000 gebruikers hiervan gebruik kunnen maken en daarmee toegang hebben tot tal van gegevens die voor een effectieve en efficiënte uitvoering van het werk nodig zijn. De performance van Suwinet heeft lange tijd te wensen overgelaten, de functionaliteit sloot aanvankelijk slecht aan bij gebruikerswensen en de stabiliteit van het netwerk liet in het verleden ook te wensen over. Door middel van een aantal releases zijn verscheidene tekortkomingen verholpen. Inmiddels geven gebruikers in toenemende mate aan tevreden te zijn over de functionaliteit maar nog
3
wel grote problemen te ondervinden met snelheid (performance) en stabiliteit van sommige componenten van het netwerk. Ook hier geldt dat de zwakste schakel het resultaat bepaalt, dus een snelle levering van gegevens hoeft niet te betekenen dat medewerkers de gegevens ook snel ontvangen. Dankzij de vervanging van een aantal geautomatiseerde systemen bij het UWV is de performance en stabiliteit van het netwerk sterk verbeterd. Na deze vervanging ontstond aanvankelijk een probleem met de performance van het netwerk, mede door een plotselinge toestroom van nieuwe gebruikers maar dit kon binnen enkele dagen worden opgelost. Er zijn maatregelen genomen om in de toekomst sneller te kunnen reageren op hogere capaciteitseisen. Om de Suwinetgebruikers beter op de hoogte te brengen van wijzigingen die er worden doorgevoerd zoeken we de gebruiker door middel van de afdeling Ketenontwikkeling actiever op. Vanaf het derde kwartaal worden er intensieve gesprekken met Suwinetgebruikers gehouden, deze gesprekken hebben veel aanknopingspunten opgeleverd voor verbetering van Suwinet. In toenemende mate worden de gesprekken in de gemeentelijke sector samen met het Inlichtingenbureau gevoerd, zodat onze producten beter op elkaar kunnen worden afgestemd. Een goede samenwerking tussen de verschillende organisaties die de keten ondersteunen, is ons inziens de beste garantie voor voortgang in de beschikbaarheid van ICT -oplossingen. Het BKWI is gestart met het uitgeven van een reeks notities met als centraal thema Kansen pakken met Suwinet. Het doel van deze reeks is inzicht te geven in de wijze waarop Suwinet Inkijk nog beter kan worden benut om de effectiviteit, rechtmatigheid en doelmatigheid in de keten van Werk en Inkomen te bevorderen. Inmiddels zijn er twee notities verschenen: “De mogelijke inzet van Suwinet bij fraudebestrijding in de keten van Werk en inkomen.” en “Gebruik van het Basis Bedrijven Register in de keten van Werk en Inkomen.” DigiD Door BKWI is in opdracht van de Manifestgroep (CWI, UWV, Belastingdienst, IBG, CvZ en SVB) en het CEDI-overleg (interdepartementaal overleg op DG en SG niveau), een authenticatievoorziening gerealiseerd (DigiD), waarmee online dienstverlening aan burgers mogelijk wordt. Deze voorziening is breed geaccepteerd als eerste versie van de Overheids Toegangs Voorziening (eOTV). In 2004 is er een startcongres voor DigiD gehouden, waar meer dan 800 belangstellenden zijn geweest. De Belastingdienst neemt DigiD per 1 januari 2005 in beheer. De voorziening wordt onder regie van de Manifestgroep alsmede de ministeries van Economische Zaken en Binnenlandse Zaken en Koninkrijksrelaties verder ontwikkeld. Privacy en beveiliging Op het gebied van privacy en beveiliging is een grote vooruitgang geboekt door de vaststelling van een nieuw gezamenlijk normenkader en een gezamenlijke Verantwoordingsrichtlijn, op basis waarvan de Suwinetaudit over 2004 zal worden uitgevoerd. In het derde kwartaal is bij BKWI een pre-audit uitgevoerd op basis van dit normenkader, zodat tijdig kon worden geconstateerd of de organisatie aan alle eisen voldeed. Dit bleek in hoge mate het geval, zodat de audit met vertrouwen tegemoet werd gezien. Ketenprogramma Alle doelstellingen uit de jaartranche 2004 van het BKWI zijn behaald. In het derde en vierde kwartaal is door BKWI en de ketenpartners hard gewerkt aan de totstandkoming van een nieuw ketenprogramma. In een speciale workshop zijn wensen van “de business” vertaald in concrete voorstellen voor inzet van ICT. Daarnaast is een bijdrage geleverd door BKWI aan de ambities met betrekking tot de Keten Prestatie Indicatoren (KPI’s) en BVG-vorming. Het Ketenprogramma 2005 is in het vierde kwartaal gefinaliseerd, en aan de hand hiervan is door BKWI haar Jaartranche 2005 opgesteld. Naar verwachting zal dit document begin 2005 worden goedgekeurd door het AKO. Het ketenprogramma behoeft nog verdere uitwerking voor de bijdrage van het BKWI, deze uitwerking zal worden opgenomen in het trancheplan voor 2005. Er is overeenstemming met CWI om in 2005 een eerste versie van het Basis Bedrijven Register te implementeren. Er zal sprake zijn van een ‘plus-versie’ waarbij gegevens uit andere bestanden
4
hieraan worden toegevoegd, omdat het BBR zelf te weinig gegevens bevat (en zal bevatten) ter ondersteuning van de werkprocessen. Wij zien een toenemende aandacht bij de ketenpartners voor het gebruik van elkaars automatiseringsoplossingen en een rechtstreekse aansluiting van elkaars systemen en netwerken, o.a. binnen BVG-samenwerkingsverbanden. Wij zien dit als een zeer positieve ontwikkeling omdat dit de kans geeft om zonder grote investeringen snel te voorzien in de informatiebehoefte van werknemers van CWI, UWV en sociale diensten. Applicaties zoals SONAR (CWI) of het digitaal archiefsysteem van het UWV, kunnen op termijn uitgroeien tot waardige componenten van een ketenbreed elektronisch klantdossier. De combinatie met Suwinet Inkijk biedt de mogelijkheid om informatie overal in de keten snel in te zetten, zonder grote infrastructurele wijzigingen. Met dit mechanisme kan snel ingespeeld worden op wijzigingen in het stelsel. De inzet van Suwinet Inkijk is in principe altijd tijdelijk, omdat nagestreefd wordt informatie volledig geïntegreerd in de systemen beschikbaar te hebben. In onderstaande tabel zijn de voor 2004 afgesproken prestatie-indicatoren opgenomen.
Prestatieindicator Aantal aangesloten gebruikers Suwinet-Inkijk
Doelstelling:
24.889
288.000
568.155
geen streefgetal
48.244
op werkdagen van 8.30 uur tm 17.00 uur
op werkdagen van 8.30 uur tm 17.00 uur
Aantal raadplegingen Suwinet-Inkijk per maand Aantal via Suwinet verzonden berichten Beschikbaarheid Suwidesk (conform SLA)
Beschikbaarheid centrale en decentrale componenten (conform SLA) BKWI CWI UWV GSD VIS GBA Aantal meldingen (Centraal Meldpunt)
Werkelijk 22.600
99% 99.7% 99.3% 97.6% 99.3% 98.7% 98.6% geen streefgetal
Klanttevredenheid ketenpartners
7
Klanttevredenheid eindgebruikers
7
167
P.M. P.M.
Keten SLA
2 x per jaar
Keten SLA 1.0 opgeleverd
Stelselontwerp
2 x per jaar
SGR/SuwiML
2 x per jaar
Niet gewijzigd wel is fase 1 (architectuur werkproceskoppelingen) opgeleverd SGR 2.0 is opgeleverd
Privacy en Beveiliging
2 x per jaar
5
• Normenkader opgeleverd • Verantwoordingsrichtlij n • Incidentprocedure vastgesteld
Financieel Benutting regulier budget Benutting project budget
99,7% 85,7%
P.M.: De uitslagen van de klanttevredenheidsonderzoeken zijn nog niet bekend. Deze uitslagen zullen eventueel separaat worden verzonden. Jaarverslag Dit jaarverslag voldoet aan de eisen die worden gesteld aan de informatieproducten d ie het BKWI aan SZW dient te verstrekken op grond van artikel 5.10a van de Regeling SUWI. Het verslag opent met een algemene schets van missie, taken en organisatie van het BKWI (hoofdstuk 2), een analyse van de ketenontwikkelingen (hoofdstuk 3) en een overzicht van het veranderprogramma door middel van de ontwikkeling van producten en diensten van het BKWI (hoofdstuk 4). Het jaarverslag is een integrale rapportage waarin het management van het BKWI verantwoording aflegt over: • de uitvoering van het beleid en de geleverde prestaties (reguliere activiteiten, hoofdstuk 5); • de wijze waarop het bedrijf functioneert en ‘in control’ is (mededeling bedrijfsvoering, hoofdstuk 6); • de ontvangst en besteding van de middelen (jaarrekening, hoofdstuk 7). De accountantsverklaring bij de jaarrekening is opgenomen in hoofdstuk 7 en in het rapport van bevindingen wordt ingegaan op de doelmatigheid van het BKWI. Het BKWI is op grond van artikel 6.4 van de Regeling SUWI verplicht zich te verantwoorden over de beveiliging van de gegevensverwerking via Suwinet. Het oordeel van de externe EDP-auditor over het BKWI-aandeel in de beveiliging en het beheer van het Suwinet is opgenomen in hoofdstuk 8. De paragrafen in dit jaarverslag die op die verantwoording betrekking hebben, zijn gemarkeerd met een asteriks (*). Het BKWI heeft in samenspraak met het Ministerie een groeipad afgesproken. Dit groeipad is erop gericht om uiterlijk in 2005 volledig in overeenstemming met de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI) te zijn en aan de VBTB vereisten te voldoen. Onder VBTB proof wordt tevens verstaan een volwaardige mededeling bedrijfsvoering. Amsterdam 28 februari 2005
6
2.
Inleiding en Algemeen beeld
2.1
Missie
Het BKWI heeft tot taak de samenwerking en de communicatie tussen de samenwerkende partijen te bevorderen en te faciliteren, zodat de ketenpartners in staat zijn om hun wettelijke taken effectief en efficiënt uit te voeren. Het gaat daarbij om de werkproceskoppelingen en het betrouwbaar, snel en veilig kunnen uitwisselen van actuele gegevens. De scope die BKWI daarbij hanteert strekt zich uit van de processen tot en met de techniek. Het BKWI vervult deze taak door ervoor te zorgen dat de ketenpartners afspraken maken over de gemeenschappelijke werkprocessen, over de gegevensuitwisseling tussen de partijen en over de gemeenschappelijke infrastructuur op basis waarvan gegevensuitwisseling tussen de partijen foutloos, goed beveiligd en snel kan plaatsvinden. Het BKWI zorgt verder voor het beheer en het onderhouden van de gemeenschappelijke voorzieningen binnen deze infrastructuur. Verder zorgt het BKWI voor de doorontwikkeling van Suwinet. Het BKWI heeft een ketenbrede functie en staat ten dienste van alle organisaties in de keten (UWV, CWI, gemeenten, SVB). Het BKWI richt zich vooral op ‘het gemeenschappelijke in de werkprocessen en de eisen die daaraan gesteld worden’. Het BKWI onderscheidt hierbij vier aandachtsgebieden: • Architectuur van de keteninformatisering; • Gegevens en Berichten; • Privacy en Beveiliging; • Beheerprocessen. Op deze gebieden is de dienstverlening van het BKWI gericht. Deze structuur is in 2004 aangepast. Zie ook paragraaf 2.3. De missie van BKWI luidt als volgt: het verbeteren van het functioneren van de keten van werk en inkomen door het realiseren en coördineren van het tot stand komen van afspraken en voorzieningen ten behoeve van de werkproceskoppeling en de gegevensuitwisseling in de keten.
2.2
Taken BKWI
In het Businessplan van oktober 2001 is aangegeven dat het BKWI een beleidsvormende, een coördinerende, een uitvoerende en een innovatieve taak heeft. Dit leidt tot de volgende kerntaken voor het Bureau Keteninformatisering Werk en Inkomen: •
H e t v o o r b e r e i d e n e n b e h e r e n v a n a f s p r a k e n d i e t u s s e n de Suwipartijen worden gemaakt op de vier genoemde aandachtsgebieden. Het gaat daarbij onder meer om het maken van afspraken op het gebied van architecturen, (standaardisatie van) gegevens, techniek, beveiliging en privacy. BKWI speelt hierbij een initiërende, voorbereidende en adviserende rol en neemt de gemaakte afspraken in beheer. Onderdeel daarvan is bovendien pro -actieve advisering over gegevensuitwisseling binnen de keten.
•
Het coördineren van het technisch en functioneel beheer van aan Suwinet g e relateerde technische voorzieningen, informatiestromen en werkprocessen a a n d e z i j d e v a n d e k e t e n p a r t i j e n. Het BKWI bevordert dat de ketenafspraken worden nagekomen. Het BKWI coördineert daarnaast de implementatie van de gemaakte afspraken door de Suwi-organisaties en coördineert de reguliere activiteiten van deze organisaties op het gebied van de werkproceskoppelingen en gegevensuitwisseling. De uitvoeringsorganisaties zijn zelf verantwoordelijk voor het realiseren en implementeren van de eigen voorzieningen. Het BKWI vervult een coördinatiefunctie bij de afstemming van deze decentrale activiteiten.
•
Het uitvoeren van het technische beheer van Suwinet BKWI is verantwoordelijk voor het technische beheer van het centrale deel van Suwinet: een stelsel van technische en organisatorische voorzieningen dat als het ware boven alle
7
bestaande (keten)systemen staat. Dit stelsel van voorzieningen zorgt er voor dat alle partijen ‘op de knooppunten van de dienstverlening’ met elkaar kunnen communiceren. •
2.3
Innovatie: a) het doorontwikkelen van Suwinet en b) het doorontwikkelen van de keten van werk en inkomen. Het BKWI zorgt voor de verdere ontwikkeling van Suwinet én de keten van werk en inkomen door in projectvorm onderzoek uit te voeren, aanpassingen te realiseren en nieuwe faciliteiten te ontwerpen en te bouwen. Het selecteren en prioriteren van projecten vindt plaats in overleg met de ketenpartijen.
Organisatie en overlegstructuur*
Het BKWI is als volgt ingericht:
Directeur
Ketenontwikkeling
Ontwikkeling Producten & Diensten
Exploitatie
Office
Afdeling Ketenontwikkeling (KO) De afdeling Ketenontwikkeling fungeert als frontoffice. Deze afdeling heeft als taak ervoor te zorgen dat de ketenpartners goed op de hoogte blijven van reeds bestaande producten en diensten van BKWI en deze zo optimaal mogelijk gebruiken. Verder ontwikkelt de afdeling Ketenontwikkeling ideeën voor nieuwe producten en diensten die de samenwerking in de keten kunnen verbeteren. Afdeling Ontwikkeling producten en diensten (OPD) De afdeling Ontwikkeling Producten en Diensten (OPD) zet de diverse ideeën om in concrete producten en diensten en zorgt voor het initiëren van innovaties en het projectmatig (door)ontwikkelen van de architectuur van de technische voorzieningen en de functionaliteiten. Afdeling Exploitatie De afdeling Exploitatie is de backoffice. Deze afdeling houdt zich bezig met het beheer van Suwinet en de diverse standaarden. Dat beheer omvat het doen functioneren van het Suwinet en de beveiliging van de gegevens die over dat net worden verzonden. Er wordt onderscheid gemaakt tussen centraal en decentraal beheer. De kolommen richten eigen beheerorganisaties in voor de decentrale ICT voorzieningen en zij verzorgen de directe ondersteuning van de gebruikers van deze Suwinetvoorzieningen. Zij zijn de klanten van Exploitatie voor de tweedelijnsondersteuning. De centrale ICT voorzieningen worden door Exploitatie beheerd. Ten behoeve van het beheer worden de volgende processen uitgevoerd: 1.
ICT-beheerprocessen • Incidentbeheer • Probleembeheer • Wijzigingsbeheer • Configuratiebeheer • Capaciteits- en beschikbaarheidsbeheer
8
2. 3. 4.
Service Level Agreement Beheer toegangsbeveiliging Beheer ketenbrede testomgeving
Afdeling Office De afdeling Office is verantwoordelijk voor communicatie en de interne ondersteuning van het gehele BKWI. Hieronder vallen zaken als secretariaat en archief, communicatie, HRM, planning en control, financiën en facilitaire zaken. Het Quality Management is belegd bij het hoofd van Office. Overlegstructuren Overlegstructuur Suwiketen
Strategisch
Algemeen Keten Overleg (AKO)
Platform Processen & ICT (PPI)
Operationeel
Tactisch
BKWI
Klankbordgroep ICT + Processen
Domeingroep Gegevens & Berichten (DGB)
Domeingroep Architectuur
Werkgroep Techniek (WgT)
Werkgroep XML (WGX)
Domeingroep Privacy & Beveiliging (DPB)
Werkgroep Gegevens Beheer (WGB)
Werkgroep Privacy (WGP)
Keten Change Advisory Board (Keten CAB)
Domeingroep ICT Beheer (DIB)
Afstemmings Overleg Projecten
Werkgroep Verantwoordings richtlijn (WGV)
Keten Overleg Service Support (KOSS)
Operationele Project Overleggen
Het PPI is het adviserend orgaan voor het Algemeen Ketenoverleg (AKO). Op tactisch niveau functioneren vier Domeingroepen waar ketenafspraken inhoudelijk worden voorbereid: • Domeingroep Architectuur (DA), met daaronder een Werkgroep Techniek (WgT); • Domeingroep Gegevens en Berichten (DGB), met daaronder een Werkgroep Gegevensbeheer (WGB) en een Werkgroep XML (WGX); • Domeingroep Privacy en Beveiliging (DPB) met daaronder de Werkgroep Privacy (WGP) en de Werkgroep Verantwoordingsrichtlijn (WGV); • Domeingroep ICT Beheerprocessen (DIB). Naast de Domeingroepen is er een afstemmingsoverleg waar de inhoud, de opzet, de planning en voortgang van de ketenbrede projecten worden besproken. Op operationeel niveau zijn de volgende structurele overleggen ingericht: • Ketenoverleg Service Support (KOSS); • Keten Change Advisory Board (Keten CAB) • Operationele projectoverleggen • leveranciersoverleg met PinkRoccade; • leveranciersoverleg met ABP/CIS
9
2.4
Uitgangspunten werkwijze BKWI
BKWI is een dienstverlenende organisatie die ten behoeve van de keten van werk en inkomen op een pro-actieve manier zijn taken uitvoert. Stelregel van BKWI is dat het succes van de keten van meer afhankelijk is dan van een goed functionerende techniek. Belangrijker nog zijn de samenwerking tussen de ketenpartners, het vertrouwen dat de partners in elkaar hebben en de onderlinge communicatie. In zijn operatie heeft BKWI deze stelregel vertaald naar de volgende uitgangspunten: Samenwerking Het BKWI zal in nauwe samenwerking met de Suwi-organisaties en het ministerie van SZW bepalen welke diensten en producten nodig zijn ten behoeve van een juiste ondersteuning van de keten, en op welke wijze deze diensten en producten gerealiseerd kunnen worden. Het BKWI respecteert de eigen verantwoordelijkheden van de uitvoeringsorganisaties en het ministerie en zal geen ‘overnemend gedrag’ vertonen. De gegevensuitwisseling in de Suwiketen kan uitsluitend tot stand worden gebracht als partijen goed samenwerken. Ondersteuning Het BKWI staat niet ‘boven de partijen’. Het BKWI is geen regelgevend orgaan. De minister stelt, in overleg met de uitvoeringsorganisaties, de regels ten aanzien van de gegevens uitwisseling vast. Het BKWI ondersteunt dit door voorbereidende werkzaamheden uit te voeren, door de regels te concretiseren en het naleven van de regels te bevorderen. Het BKWI heeft derhalve een ondersteunende en faciliterende rol in de keten. Innovatie Het BKWI zal in bepaalde opzichten wel ‘voor de partijen uitlopen’. Een van de taken van het BKWI is het verkennen van de technologische ontwikkelingen en het vertalen hiervan in concrete voorstellen voor de verdere ontwikkeling van Suwinet. Kwaliteit Om de uitvoeringsorganisaties binnen de Suwiketen maximaal te kunnen ondersteunen, worden hoge eisen gesteld aan de diensten en producten van het BKWI. Het vereiste kwaliteitsniveau stelt ook hoge eisen aan de medewerkers van het BKWI.
2.5
De bestuurlijke context van het BKWI
Op grond van artikel 6.3 van de Regeling Suwi is het beheer van de gemeenschappelijke onderdelen van Suwinet opgedragen aan de CWI. Daarbij is bepaald dat de CWI een afzonderlijk en herkenbaar organisatieonderdeel met deze taken belast: het BKWI. Het BKWI staat ten dienste van de partijen in de keten: het UWV, de CWI, gemeenten en de SVB. Voor het slagen van de missie van het BKWI is het van belang dat de ketenpartijen tot afstemming en afspraken komen over keteninformatisering en dat zij de gemaakte afspraken ook daadwerkelijk nakomen. BKWI en de ketenpartijen (uitgezonderd de gemeenten, voor hen geldt een afwijkende systematiek) geven in hun jaarplannen aan op welke manier zij invulling geven aan de wettelijke taken. Op strategisch niveau vindt de afstemming tussen de ketenpartijen plaats in het Algemeen Keten Overleg (AKO), waarin UWV, de CWI, de SVB en de VNG participeren. In het AKO komen de ketenpartners op strategisch niveau tot afstemming over de gegevensuitwisseling en de daarvoor benodigde ICT -ondersteuning en over de gemeenschappelijke werkprocessen in de keten. De minister laat zich bij de aansturing van het BKWI adviseren door het AKO. Het BKWI is geen lid van het AKO. Op tactisch niveau vindt afstemming plaats in het Platform Processen en ICT (PPI). In dit overleg participeren UWV, CWI en Divosa. Divosa is voorzitter van dit overleg. BKWI is secretaris van het overleg, maar geen lid. Het IB is toehoorder. Om zijn invloed te doen gelden is het BKWI in zowel het AKO als in het PPI aangewezen op bilaterale afstemming met de leden van deze overleggen. Gezien de opdracht van het BKWI om de samenwerking en de gegevensuitwisseling in de keten te ondersteunen echter, zou het voor de hand liggen dat het BKWI beide ketenoverleggen formeel adviseert.
10
De minister van SZW is verantwoordelijk voor de beoordeling van de jaarplannen, keurt deze goed en stelt op basis daarvan uitvoeringsbudgetten ter beschikking. Het door de minister goedgekeurde jaarplan van BKWI (en jaartranches waar het gaat om implementatieprojecten voor de verdere ontwikkeling van Suwinet) samen met de jaarplannen (en jaartranches) van de Suwipartijen zijn het vertrekpunt voor de uitvoering van taken op het gebied van ketensamenwerking en -informatisering. Bij de concrete invulling en uitvoering daarvan heeft BKWI een coördinerende rol. Het organiseert domeingroepen waarin op verschillende aandachts - en expertisegebieden overleg plaatsvindt tussen de ketenpartijen en is projectleider bij gemeenschappelijke ontwikkel- en realisatieprojecten. In het Ketenoverleg worden maatregelen geformuleerd om de voortgang van projecten te waarborgen. In laatste instantie is het de minister van SZW die de partijen kan dwingen tot het naleven van afspraken. De in de domeingroepen voorbereide voorstellen die betrekking hebben op het wijzigen van Suwinet en de daaraan gerelateerde standaards en normen worden voorgelegd aan de ketenpartijen in het AKO. Het AKO adviseert vervolgens de Minister van SZW, die kan besluiten om de wijzigingen door te voeren in de , waarvan de genoemde standaards onderdeel uitmaken. Vanaf dat moment gaat het om wettelijk vastgelegde, en dus bindende afspraken. Het BKWI maakt deel uit van de CWI, maar heeft daarbinnen, vanwege zijn ketenbrede opdracht, een zelfstandige positie. Over de door BKWI geleverde prestaties en de besteding van middelen wordt (formeel door de Raad van Bestuur van de CWI) via de daarvoor vastgestelde formats periodiek verantwoording afgelegd aan de Minister van SZW.
11
3.
Ontwikkeling van de keten
In dit hoofdstuk beschrijven we op hoofdlijnen de activiteiten en de resultaten van het BKWI op het gebied van Ketenontwikkeling.
3.1 Bevorderen gebruik Suwinet-Inkijk en inventariseren van functionele wijzigingen Suwinet-Inkijk zien we als een belangrijk product van het BKWI. Het wordt door een grote groep gebruikers als gebruiksvriendelijk en erg bruikbaar gewaardeerd. Het aantal gebruikers is in 2004 wederom toegenomen. Het onder de aandacht brengen van de mogelijkheden van Suwinet-Inkijk én de verbetering van Suwinet-Inkijk waren in 2004 belangrijke speerpunten voor het BKWI. Daarvoor werden de volgende activiteiten ondernomen: • Workshops Suwinet-Inkijk op regionale ketendagen; • Start Marketingplan Suwinet-Inkijk: Kennis maken met de klant • Houden van gebruikersgesprekken en faciliteren gebruikersgroepen; • Ontwikkelen Suwinet-Inkijk scan; • Start onderzoek naar nieuwe bronnen/nieuwe partijen. • Uitbrengen reeks notities: Kansen pakken met Suwinet-Inkijk • Samenwerking met Inlichtingenbureau en CP-ICT Workshop Suwinet-I n k i j k o p r e g i o n a l e k e t e n d a g e n Tijdens de regionale ketendagen in maart 2004 zijn er workshops gegeven over de functionaliteiten en gebruiksmogelijkheden van Suwinet-Inkijk. De opkomst bij deze workshops was bevredigend te noemen; verdeeld over een 6-tal workshops namen er totaal ongeveer 60 mensen deel. Door de interactieve opzet van de workshop was de betrokkenheid van de deelnemers groot. De positieve beoordeling achte raf in de evaluatieformulieren bevestigde die betrokkenheid en het nut van de inzet zoals flyers over de mogelijkheden van Suwinet-Inkijk en een demofilm. Naar aanleiding van de workshops gaven een groot aantal locaties (45) aan verdere informatie over Suwinet-Inkijk te willen en met het BKWI een lokale scan te willen houden op het gebruik van SuwinetInkijk. Ook in de gebruikersgesprekken nadien is de behoefte van een lokale Suwinet-Inkijk-scan meerdere malen geopperd, reden voor het BKWI om dit in 2005 verder uit te werken en te operationaliseren. Om de promotie van Suwinet-Inkijk verder te vergemakkelijken worden de in 2004 ontwikkelde producten, zoals flyer, stand en demo-film verder geprofessionaliseerd. Start Marketingplan Suwinet-Inkijk: Kennis ma ken met de klant BKWI heeft zich ten doel gesteld dat eind 2005 80 % van alle potentiële gebruikers ook echt frequent en naar tevredenheid gebruik maken van Suwinet-Inkijk. In het tweede kwartaal 2004 is daartoe de beschikbare informatie over het gebruik van Suwinet-Inkijk nauwkeuriger in beeld gebracht. Daarbij is ook gekeken naar de diversiteit van gebruikers en potentiële gebruikers. Het globale beeld is dat de markt voor Suwinet-Inkijk bestaat uit 24.500 potentiële gebruikers, waarvan 18 % bij CWI, 33 % bij UWV en 49 % binnen gemeenten. 98 % van de potentiële gebruikers hebben toegang tot Suwinet-Inkijk. Niet aangesloten gebruikers zitten nog vooral bij gemeenten. Respectievelijk 64 % (CWI), 42 % (UWV) en 37 % (gemeenten), gebruiken de voorziening actief. Vanwege het gemis aan mogelijkheden om het gebruikersgedrag elektronisch te kunnen meten en om de gebruiksmogelijkheden van Suwinet-Inkijk lokaal te verhelderen is in 2004 gestart met het voeren van gebruikersgesprekken. In totaal werden er in 2004 meer dan 120 gebruikersgesprekken gevoerd met CWI-, UWV- en GSD-medewerkers. Ook tijdens deze sessies is de behoefte van een lokale Suwinet-Inkijk-scan meerdere malen geventileerd. In 2005 zal dan ook een Suwinet-Inkijk-scan
12
ontwikkeld worden waarmee mogelijkheden tot verbetering van het gebruik kunnen worden onderzocht en in de vorm van een adviesrapportages aangeboden kunnen worden aan de betreffende locaties.
13
H o u d e n v a n g e b r u i k e r s g e s p r e k k e n e n f a c i l i te r e n G e b r u i k e r s g r o e p e n Om het gebruik van Suwinet-Inkijk te bevorderen heeft het BKWI zoals eerder aangegeven in 2004 meer dan 120 gesprekken gevoerd met medewerkers (voor het overgrote deel gebruikers van Suwinet-Inkijk) van de ketenpartners. Deze gebruikersgesprekken waren toegespitst op het beter leren kennen van de Suwinet-Inkijkgebruikers (de medewerkers van de ketenpartners die gebruik maken van Suwinet-Inkijk) en het in kaart brengen van de toepassing(smogelijkheden) van Suwinet-Inkijk in de werkprocessen van de ketenpartners. De bevindingen uit deze gespreksronden zijn verwerkt in een rapportage, die het BKWI heeft aangeboden aan de ketenpartners. Aan het PPI is vervolgens een voorstel voor vervolgacties gepresenteerd. In dit voorstel zijn de gevraagde verbeteringen uitgewerkt en is in het bijzonder aandacht besteed aan de kwaliteit van gegevens en aan opleiding en instructie. Ook is een voorstel gedaan ten aanzien van de doorontwikkeling van Suwinet-Inkijk, in lijn met de voornemens in het Ketenprogramma 2005-2006. Concreet bevat het actieplan activiteiten om Suwinet-Inkijk nader onder de aandacht te brengen en zodoende het gebruik toe te doen nemen, waarbij gedacht kan worden aan quick-scans op lokaal niveau, handreikingen, opleiding/instructie en informatieoverdracht, zoals de mogelijkheden van Suwinet-Inkijk en best practices. Ten tweede worden acties benoemd om wensen en verbeterpunten te kunnen realiseren. Naast het houden van gebruikersgesprekken faciliteert het BKWI ook de Suwinet-Inkijk gebruikersgroepen van de ketenpartners: • Gebruikersgroep Suwinet-Inkijk UWV Bij het UWV is de gebruikersgroep steviger in de centrale organisatie verankerd doordat de afdeling Processen en Systemen (P&S) van het UWV de taak op zich heeft genomen om SuwinetInkijk functioneel te gaan beheren. Dit betekent dat de gebruikersgroep door deze afdeling wordt gezien als adviesorgaan. Dit heeft er in 2004 toe geleid dat wensen en eisen die vanuit de gebruikersgroep worden geuit, door de afdeling P&S worden getoetst op impact en wenselijkheid. Deze nieuwe rol van de gebruikersgroep is samen met de afdeling P&S van het UWV verder ingevuld zodat dit een waardevolle bijdrage kan leveren aan de verbetering en ontwikkeling van Suwinet-Inkijk. In het gebruikersoverleg is o.a. de uitfasering van de kolompagina’s UWV aan de orde geweest en de vervanging in de vorm van de overzichtspagina’s in Suwinet-Inkijk. De gebruikersgroep Suwinet-Inkijk UWV heeft in 2004 4 maal een overleg gehad. • Gebruikersgroep GSD De plaats van de gebruikersgroep GSD binnen het gemeentelijke domein begint steeds helderder te worden. Met de komst van het CP-ICT Gemeenten heeft deze gebruikersgroep aan kracht gewonnen. Aandachtspunten waren de wens tot het inkijken op de LRD gegevens en het uitfaseren van de kolompagina's UWV. Verder stonden de uitbreidingsmogelijkheden van Suwinet-Inkijk (ontsluiten van gegevens van de RDW, KvK en BKR) prominent op de agenda. De algemene indruk was dat de focus voor de verdere ontwikkeling van Suwinet-Inkijk op de juiste onderwerpen wordt gelegd. Afstemming vond in een 4-tal bijeenkomsten in 2004 plaats. • Gebruikersgroep CWI Ook met de gebruikersgroep van het CWI is het afgelopen jaar constructief en zinvol over de ontwikkeling van Suwinet-Inkijk overlegd. Door middel van een presentatie hebben we daar getoond wat de toegevoegde waarde van BKWI voor de gebruikersgroep is. Bij de bijeenkomsten van de gebruikersgroep zijn onder andere de bevindingen uit de gebruikersgesprekken aan de orde gekomen. Op basis van deze besprekingen is er een prioriteitenlijst samengesteld. Deze is meegenomen in de besprekingen met CWI Functioneel Beheer. De bezoeken die het BKWI aan CWI-locaties brengt worden afgestemd met CWI centraal. Ontwikkelen Suwinet-Inkijk scan Op basis van de constatering dat het gebruik van Suwinet-Inkijk nog niet optimaal is, én de vragen die vanuit het veld steeds vaker rijzen, wordt er een Suwinet-Inkijk-scan ontwikkeld. Deze scan moet locaties en/of regio’s helpen inzicht te geven in het huidige gebruik en in de mogelijkheden die er verder nog zijn ten aanzien van Suwinet-Inkijk. Als resultaat van de scan moet er een adviesrapport opgeleverd kunnen worden die het lokale gebruik van Suwinet-Inkijk effectiever en efficiënter kan maken.
14
Start onderzoek naar Nieuwe bronnen/ partijen (via ABZ) In het 2004 is door het BKWI een onderzoek gestart naar de mogelijkheden voor het ontsluiten van nieuwe bronnen, o.a. via een private partij ABZ. Het onderzoek richtte zich in eerste aanleg op gegevens van de Rijksdienst voor het Wegverkeer (RDW), het Bureau Kredietregistratie (BKR) en het Kadaster. Conclusie van het onderzoek is dat deze bronnen in beginsel meerwaarde bieden voor de ketenpartners en dat ontsluiting via Suwinet-Inkijk mogelijk is. De rapportage werkt daarnaast een aantal overwegingen uit over de vraag voor wie en onder welke randvoorwaarden eventuele gegevensontsluiting moet plaatsvinden. Deze rapportage is bedoeld als discussienotitie voor standpuntbepaling van CWI, UWV en gemeenten en zal betrokken worden in de voorbereiding van de ICT-ambitie in het nieuwe ketenprogramma 2005-2006. Uitbrengen reeks notities: Kansen pakken met Suwinet-Inkijk Het BKWI is gestart met het uitgeven van een reeks notities met als centraal thema Kansen pakken met Suwinet. Het doel van deze reeks is inzicht te geven in de wijze waarop Suwinet-Inkijk nog beter kan worden benut om de effectiviteit, rechtmatigheid en doelmatigheid in de keten van Werk en Inkomen te bevorderen. Inmiddels zijn er twee notities verschenen: “De mogelijke inzet van Suwinet bij fraudebestrijding in de keten van Werk en inkomen.” en “Gebruik van het Basis Bedrijven Register in de keten van Werk en Inkomen.” Samenwerking met Inlichtingenbureau en CP -ICT In het afgelopen jaar is er met het Inlichtingenbureau en met het CP-ICT gesproken over ieders acties richting de markt en hoe we elkaar daarbij kunnen verstreken. Er is een aantal praktische afspraken gemaakt: • klantcontacten en –bezoeken worden in beeld gebracht en (beter) en er zijn afspraken gemaakt over het g ezamenlijk gebruiken van klantgegevens. • er moet meer inzicht komen in de meerwaarde van de verschillende producten afzonderlijk en in relatie tot elkaar. Dit heeft geleid tot samenwerking bij de benadering van gemeenten, onder andere bij de gemeentedagen e n bij een verkenning (op locatie) van de relatie tussen Samenloopapplicatie en Suwinet-Inkijk. • de beleidsdoelen voor 2005 worden op MT -niveau uitgewisseld.
3.2
Verkennen en aanjagen (nieuwe ketenvoorzieningen)
B e v o r d e r e n B V G -vorming Door intensiever te gaan samenwerken ontstaat al snel een vraag naar nieuwe ICT-instrumenten. BKWI onderzoekt voortdurend welke behoefte er leeft bij de partners op lokaal niveau en stemt dit af op landelijk niveau. Een en ander is ondergebracht in het project ‘BVG’s in Beeld’ Bij dit project zijn de visie, het beleid en de aanpak van zes in het oog springende BVG’s in beeld gebracht. Het gaat daarbij om Amsterdam, Apeldoorn, Den Bosch, Gouda, Hilversum en Nijmegen. Deze inventarisatie heeft geleid tot: • • • • • •
Een objectief beeld v an de stand van zaken en werkwijzen in de onderzochte BVG’s; Een overzicht van in de BVG’s gebruikte werkmethodieken: de gereedschapskist; Een presentatie als leidraad om een BVG in beeld te brengen: de Ketenspiegel; De ontwikkeling van de BVG monitor rond de stand van zaken van de lokale BVG ontwikkeling zodat een landelijk beeld beschikbaar komt; De organisatie van expertgroepen zodat de transfer van ervaring, kennis en informatie rond BVG vorming bevorderd wordt; Instrument voor het bepalen van bemiddelbaarheid
De gereedschapskist De gereedschapskist is gebaseerd op in de praktijk bewezen voorbeelden en bestaat uit een kaartenbak met geïnventariseerde werkmethodieken die in de praktijk hun waarde blijken te hebben. De Ketenspiegel
15
De Ketenspiegel helpt partners op lokaal en centraal niveau om inzicht te krijgen en keuzes te maken in de gezamenlijke dienstverlening. Kenmerkende overeenkomsten en verschillen in visie, beleid en aanpak van een aantal in het oog springende BVG’s is in beeld gebracht. Rond de Spiegel is op de Ketendagen in maart een workshop georganiseerd. Daar bleek veel belangstelling te bestaan voor het uitwisselen van ervaringen over de manier waarop Suwidoelen beter kunnen worden bereikt op BVG-niveau. In de loop van het jaar zijn diverse activiteiten ondernomen om de Ketenspiegel verder te ontwikkelen en te verfijnen. Door het testen van de Spiegel en het teruggeven van het spiegelbeeld komt er een beeld van de inhoudelijke profilering van een aantal lokale BVG’s beschikbaar. In 2005 zal invulling worden gegeven aan geautomatiseerde verwerking en publicatie van de gegevens. BVG’s die de Spiegel hebben ondergaan trekken de conclusie dat het een effectief instrument is om specifieke kenmerken van een BVG met elkaar in beeld te krijgen. Een oproep voor vrijwilligers voor de spiegel heeft in korte tijd veel vragen en reacties opgeleverd. Ook krijgen we regelmatig spontane meldingen van vragen over BVG-vorming. Hieruit komt dus duidelijk naar voren dat er een grote behoefte is aan ondersteuning bij BVG-vorming. Inhoudelijk blijkt tussen de BVG’s grote overeenstemming te bestaan over de te bereiken resultaten. Zo vinden alle onderzochte BVG’s dat met de klant voornamelijk over werk gesproken moet worden en dat inkomen (rechtmatigheid) nu teveel domineert. Er blijkt veel belangstelling te bestaan voor het uitwisselen van ervaringen over de manier waarop deze doelen beter kunnen worden bereikt in BVGverband. Instrument voor het bepalen van bemiddelbaarheid In samenwerking met de gemeente Apeldoorn en CWI Apeldoorn is er een elektronisch instrument ontwikkeld voor een experiment met het onderscheiden van klantstromen in een zogenaamde A- en Broute. Het instrument, bevat een vragenlijst die door de klant (werkzoekende) op een klant-PC kan worden ingevuld. Het resultaat hiervan wordt vervolgens besproken in een gesprek tussen werkzoekende en adviseur. Het instrument zal, als uit een lokale evaluatie blijkt dat het instrument daadwerkelijk het uitvoeringsproces ondersteund, door BKWI breder beschikbaar worden gesteld. Dit project wordt inhoudelijk onder meer afgestemd met het CWI project A-B-route. Ketenregister Beroepen, Opleidingen & Competenties (BO&C) In 2003 heeft het BKWI als onderdeel van het ketenprogramma een onderzoek naar de wenselijkheid en mogelijkheid om binnen de Suwiketen een gestandaardiseerde registratie van Beroepen en Opleidingsgegevens te houden uitgevoerd. In 2004 heeft dit onderzoek een vervolg gekregen. Uit het onderzoek, een workshop en veelvuldige gesprekken door het BKWI met de ketenpartijen bleek dat er voldoende inhoudelijke argumenten waren om de ontwikkeling van een B&Oketen(referentie)register ter hand te nemen. Een door het BKWI ontwikkelde “B&O-tool”, die de B&Ogegevens van CWI via Suwinet-Inkijk kan ontsluiten op een voor de ketenpartners bruikbare ondersteunende wijze, staat nagenoeg gereed. Deze tool kan begin 2005 beschikbaar worden gesteld aan de ketenpartners. Er bestaat binnen de keten behoefte aan ontsluiting van specifiek door het CWI reeds gebruikte B&Ogegevens. Het toewerken naar een keten-referentieregister B&O wordt ondanks het bestaan van een aantal mogelijke drempels, als zeer waardevol bestempeld. Een gezamenlijk B&O-register biedt de kans eenzelfde taal te gaan spreken en eenduidig informatie uit te wisselen over reïntegratiemogelijkheden en reïntegratietrajecten. De aanvulling van het register met competenties wordt noodzakelijk geacht, maar de ontwikkeling hiervan zal de nodige tijd in beslag nemen. De informatie uit de workshops en de gesprekken met de deskundigen in het veld zijn gebruikt om een concept adviesbeleidslijn te formuleren voor het CWI. Verder is het resultaat van de gespreksronden dat in het ketenprogramma een passage is opgenomen met betrekking tot de functie van het B&Oregister als authentieke bron. Hierbij is tevens geopperd verdere uitbreiding van de gegevens met competentie en belasting/belastbaarheidskenmerken op nut en noodzaak te onderzoeken. Op basis van de diverse gesprekronden in 2004 is er daarnaast vanuit enkele lokale initiatieven het verzoek gekomen om (onderdelen van) het B&O-register ter beschikking te stellen ten behoeve van de eigen werkomgeving. Hierover vond in 2004 afstemming met het CWI en de vraagstellers plaats.
16
Ook het instrumentarium binnen werk.nl heeft op onderdelen de belangstelling van de ketenpartijen gekregen. Het BKWI heeft dit nader geïnventariseerd aan de hand van een eerste vraagverkenning en zal de resultaten gebruiken om in 2005 tot verdere concretisering te komen in de ontwikkeling van ondersteunend keteninstrumentarium of anderszins de ontwikkeling van een keten referentieregister B&O.
17
Keten prestatieindicatoren en lokale managementinformatie Het BKWI heeft bij de ontwikkeling van het Ketenprogramma 2005 meegewerkt aan een nadere definiëring en uitwerking van de KPI’s (Keten Prestatie Indicatoren) voor het ketenprogramma. Gestart wordt met het meetbaar en inzichtelijk maken van een ketenpreventie- en ketenuitstroomquote. Het BKWI faciliteert de ketenpartners bij de ontwikkeling van deze landelijke ketenprestatieindicatoren. Via een werkgroep KPI’s, bestaande uit een vertegenwoordiging van de afzonderlijke ketenpartners , wordt gestuurd op de besluitvorming, methodiek en operationalisering van prestatieindicatoren voor de keten in 2005. In 2004 zijn daarvoor de eerste concepten van definiëring en methodiekontwikkeling aangepakt. Ook op lokaal BVG-niveau bestaat behoefte aan de ontwikkeling van managementinformatie, omdat de huidige informatievoorziening ontoereikend is om de effecten van de samenwerking transparant te maken. De behoefte aan de ontwikkeling van managementinformatie en doorstroomgegevens van klanten zijn ook geuit vanuit het project ketenarchitectuur fase 1. Beide signalen zijn voor BKWI de aanleiding geweest om na te denken over een mogelijke aanpak van de ontwikkeling van ketenbrede managementinformatie. Daartoe zijn een aantal verkennende gesprekken gevoerd (onder andere met CWI en CBS) en is er een lokale pilot, op verzoek van het BVG-Nijmegen, gestart in het BVG Nijmegen. Op basis van een bredere vraag zijn voorbereidingen getroffen om het aantal pilots in 2005 uit te breiden op een aantal locaties en gegeven de specifieke lokale vragen deze ook met specifieke oplossingsrichtingen te ondersteunen. Van hieruit moet meer inzicht ontstaat in de feitelijke behoefte en oplossingsrichtingen (operationeel, tactisch en strategisch) van sturings-, beheersings- en toezichtinformatie op lokaal ketenniveau. Sonar in de keten Met de komst van Sonar, het nieuwe automatiseringssysteem van het CWI, beschikt de keten over een systeem dat geschikt is voor elektronische berichtenuitwisseling tussen CWI, Sociale Diensten en het UWV. Het BKWI speelt een actieve rol bij het ontwikkelen van de koppelingen van Sonar naar de ketenpartners. We zien Sonar als een kans om de ketensamenwerking een goede imp uls te geven. Om die reden is ook een ketendemo over Sonar ontwikkeld. Daarin worden de volgende aspecten van Sonar in de samenwerking in de keten belicht: • ontwikkelde koppelingen tussen CWI en ketenpartners; • het geautomatiseerd uitwisselen van gegevens; • het inlezen van beschikbare gegevens uit de verschillende bestanden Het BKWI begeleidt de implementatie van Sonar bij de ketenpartners. In het ontwikkelde actieplan wordt geprobeerd een reëel beeld te schetsen van de mogelijkheden die Sonar biedt in de samenwerking en wat ervoor nodig is om de voordelen (op termijn) te pakken. Ook wordt er geprobeerd een situatie te creëren waarin GSD en CWI-vestigingen naar eigen wens een implementatietraject kunnen vormgeven. Cliënten Begeleidingssys t e e m . Bij veel gemeenten die bezig zijn met het inrichten van een BVG ontstaat de vraag hoe de klantstromen zo efficiënt mogelijk kunnen worden opgevangen. Deze vraag heeft betrekking op telefonie, multichanneling en de inrichting van de publieksruimten (beursvloer). Ook bij de reeds ingerichte BVG’s is men niet tevreden omtrent de ontvangst van klanten en de begeleiding van de klant binnen het gebouw. Het BKWI inventariseert de ontwikkeling op dit terrein bij de verschillende ketenpartners en onderzoekt de wenselijkheid en mogelijkheid van een Cliënten Begeleidingssysteem.
3.3
Verkennen vraag in specifieke ketens binnen domein W&I
Jongeren Jongeren vormen politiek een specifieke groep. Op lokaal niveau zien we ook vaak dat de gezamenlijke aanpak van jongeren als vliegwiel dient voor de bredere samenwerking. Om inzicht in het speelveld en de dominante problematiek te krijgen en de mogelijke bijdrage van BKWI hierin, is er
18
een verkenningsrapport opgesteld. Er lijkt zich een drietal mogelijkheden voor te doen waarbij een bijdrage van BKWI zou kunnen leiden tot enerzijds een lokale verbetering van de efficiency en anderzijds een voorbeeldfunctie voor bredere toepasbaarheid. Reïntegratie Op basis van gesprekken met enkele gemeenten en reïntegratiebedrijven is een stappenplan opgesteld om te komen tot uitwisseling van gegevens tussen gemeenten en reïntegratiebedrijven. Ook is contact gelegd met UWV over ‘lopende’ pilots en de reïntegratiebranche. Hoewel de noodzaak van een structurele aanpak van reïntegratie wordt onderschreven, bestaat er in het werkveld een grote(re) behoefte aan tastbare resultaten in de vorm van “quick wins” en/of “pilots” waarin meerdere reïntegratiepartners zijn betrokken. Dat de ervaring met en het inzicht in het thema reïntegratie bij ketenpartners is toegenomen komt onder andere tot uiting in het feit dat dit als een van de vijf ambities van het “vervolg ketenprogramma” is vastgesteld. Arbeidsadviseur Ten behoeve van de invoering van de onafhankelijk Arbeidsadviseur heeft het BWKI in 2004 aan de hand van een beperkte informatieanalyse, een eerste aanzet gemaakt voor de wijze waarop het Suwinet-Inkijk deze Arbeidsadviseurs in hun informatiebehoefte zouden kunnen gaan ondersteunen. Een verdere uitwerking en verdieping van mogelijke oplossingen heeft nog niet kunnen plaatsgevonden.
19
4.
Ontwikkeling Producten en Diensten (Projecten)
4.1
Inleiding
In dit hoofdstuk wordt gerapporteerd over de realisatie van zowel de transformatieprojecten als de reguliere projecten. De transformatieprojecten en de bijbehorende mijlpalen staan gespecificeerd in de versie 0.1 van de ‘Voorlopige jaartranche 2004 BKWI’. Daarnaast zijn werkzaamheden uitgevoerd die vermeld staan in de bijlage ‘Resterende projecten 2003’ bij de bovengenoemde jaartranche . De uitgevoerde werkzaamheden in het kader van de reguliere projecten passen binnen de kaders van de vier hoofdgroepen aan activiteiten zoals deze in de Voorlopige jaartranche 2004 zijn gespecificeerd. Op 3 juni is de BKWI Jaartranche 2004 aangeboden aan het ministerie van SZW. In onderling overleg met het ministerie is afgesproken geen voorlopige en separate definitieve Jaartranche op te stellen, maar beide beoogde tranches te integreren tot één. In nauwe samenwerking met de ketenpartners is in het afgelopen jaar invulling gegeven aan de uitvoering van de vijf transformatieprojecten uit de Jaartranche. De meeste activiteiten hebben plaatsgevonden rond het project ‘Realiseren geautomatiseerde werkproceskoppelingen’. Het behalen van de doelstellingen uit de jaartranche 2004 stond het afgelopen jaar centraal, maar ook nieuwe ontwikkelingen mochten, konden en werden niet genegeerd. Alle doelstellingen uit de jaartranche zijn behaald. Daarnaast zijn additionele resultaten behaald. Het wordt steeds duidelijker dat het BKWI niet alleen een rol heeft als ontwikkelaar van kolomoverstijgende ketenproducten en ketendiensten, maar tevens de integrale voortgang van projecten van ketenpartners moet borgen. Immers, de uitrol van Sonar brengt intensieve afstemming met gemeenten en hun pakketleveranciers met zich mee. Het BKWI heeft zich een pro-actieve en soms zelfs sturende rol aangemeten om ketenprojecten tot tijdig tot een goed einde te brengen. Deze spanning levert naast de nodige spanningen ook resultaat op: in 2004 werden alle doelstellingen uit het trancheplan behaald.
4.2
Transformatieprojecten
Project/Mijlpaal
Geplande opleverdatum
Gerealiseerde opleverdatum
In productie nemen release 2.0.
27-03-2004
27-03-2004
Gerealiseerde noodvoorziening voor GVI
31-03-2004
01-05-2004
Verbeteren van technische performance SIS doorgevoerde noodzakelijke beveiligingsmaatregelen
31-03-2004
27-03-2004
Verbeteren functionele performance SIS: doorvoeren van nieuwe lay-out SIS
31-03-2004
27-03-2004
In productie nemen release 2.1.
26-06-2004
Mijlpaal verwijderd
Gerealiseerde noodvoorziening voor GVI
31-03-2004
01-06-2004
In productie nemen release 2.2.
30-09-2004
27-09-2004
Doorvoeren van nieuwe beveiligingsstandaards
31-08-2004
29-03-2004 (centraal) decentraal nog niet
In productie nemen release 2.3.
31-12-2004
27-12-2004
Doorvoeren van nieuwe beveiligingsstandaards
31-08-2004
29-03-2004
Aansluiten SIOD
30-11-2004
26-09-2004 (technisch gereed)1
1.
Professionaliseren Suwinet Inkijk
1 Alle BKWI-werkzaamheden zijn conform planning afgerond. 20
2.
Realiseren geautomatiseerde werkproceskoppelingen
Vastgesteld projectplan voor koppelingen CWIGemeenten
15-02-2004
20-02-2004
Vastgesteld projectplan voor 2-tal thema’s CWI-UWV: reïntegratieadvies en kennisgevingen
01-05-2004
01-05-20042
Vastgestelde logische en technische berichtspecificaties voor alle koppelingen tussen CWI en Gemeenten
20-04-2004
20-04-20043
Vastgestelde logische en technische berichtspecificaties voor tweetal thema’s CWI-UWV: reïntegratieadvies en kennisgevingen
15-06-2004
15-06-2004
Integraal in productie genomen geautomatiseerde koppeling (end-to-end oplossing) Vooraankondiging WW
31-05-2004
31-05-2004
Vastgesteld ketenbreed implementatieplan voor alle koppelingen tussen CWI en Gemeenten
01-08-2004
22-09-20044
Afgerond onderzoek naar mogelijkheden voor oplossingen in het kader van doorstroom WW naar WWB
01-07-2004
27-09-20045
UWV- mail-relayserver aangesloten
15-03-2004
15-03-2004
Ingeregelde rapportages over gebruik van Mail
01-07-2004
30-09-20046
Afgerond onderzoek naar wenselijkheid en mogelijkheid van het ontwikkelen van een gemeenschappelijk adressenboek
31-10-2004
30-09-2004
Doorgevoerde additionele beveiligingsmaatregelen op centrale componenten
31-12-2004
27-12-2004
Afgerond onderzoek naar wenselijkheid en mogelijkheid van het ontwikkelen van een gemeenschappelijk adressenboek
31-10-2004
15-09-2004
31-03-2004
13-07-2004
3.
4.
Realiseren mail binnen de keten voor Werk en Inkomen via besloten netwerk
Business Informatie Architectuur keten W&I spoor 2 (SOLL)
Opgeleverde structuur voor gemeenschappelijke referentie- architectuur geconsolideerd uit kolomarchitecturen (bekrachtigd door PPI) 5.
Technische Architectuur keten W&I spoor 2 (SOLL)
1. Professionaliseren Suwinet Inkijk 2
Binnen BKWI is een projectgroep geaccordeerd. Ketenbrede stuurgroep moet in eerstvolgende vergadering nog formele stempel afgeven. 3 Exclusief de koppelingen die door het PPI ‘on hold’ zijn gezet (koppelingen rond de IOAW en ‘Melding einde uitkering WWB met reden’). 4 Binnen BKWI geaccordeerd. 5 Besluitvorming in PPI- vergadering. 6 BKWI heeft format voor rapportages ontwikkeld en logt gebruikgegevens waarmee rapportages opgesteld kunnen worden.
21
De doelstellingen voor dit project zijn in 2004 behaald. Suwinet-Inkijk is uitgebreid en verbeterd. Inmiddels is Inkijk voor ongeveer 25.000 gebruikers een zeer belangrijke informatiebron bij hun dienstverlening aan cliënten en andere primaire processen. In het ketenprogramma 2005 is SuwinetInkijk ook weer genoemd. De primaire focus bij het doorontwikkelen van Inkijk in 2005 zal liggen op het ontsluiten en aanbieden van werkgerelateerde informatie. Ketenreleases In ketenverband is besloten geen release 2.1. door te voeren. BKWI had voor deze release wel een aantal technische verbeteringen gepland, deze verbeteringen zijn daarom in augustus met een tussenrelease ingevoerd. Eind september is de Ketenrelease 2.2 succesvol in productie gegaan. Deze release bevatte een aantal functionele wijzigingen en meerdere technische verbeteringen. Alle werkzaamheden (uitgezonderd de acceptatietesten) waren bij BKWI belegd. De gehele release is uitgevoerd conform de afgesproken route uit het ketenbrede releasebeleid. Ketenrelease 2.3 is eind december succesvol in productie genomen. De belangrijkste wijziging in deze release vormde het uitfaseren van de kolom-Inkijk van UWV. Dit betekent dat alle benodigde UWV-gegevens nu via de overzichtpagina’s te raadplegen zijn. De kolompagina’s waarop gegevens van de individuele voormalige uitvoeringsinstellingen geregistreerd stonden, zijn nu niet meer te bekijken. Parallel aan de ketenrelease heeft het UWV aan een groot aantal van haar medewerkers een nieuwe rol toegekend. Met deze rol kunnen ze andere overzichtpagina’s bekijken die speciaal voor hun functie zijn ontwikkeld. De introductie van deze rollen leidde tot een enorme toename van het technische verkeer waardoor ook capaciteitsproblemen ontstonden. Deze problemen zijn verholpen met een tijdelijke oplossing en zullen in het eerste kwartaal definitief opgelost worden. Aansluiten SIOD In samenwerking met het ministerie van SZW en SIOD wordt gewerkt aan het aanpassen van het wettelijke kader dat noodzakelijk is om gegevens van CWI, UWV en gemeenten via Suwinet aan de SIOD te leveren. Het initiatief bij dit onderdeel ligt in handen van het ministerie, inmiddels is het wettelijk kader door de Tweede Kamer goedgekeurd en ligt dit voor besluitvorming bij de Eerste Kamer. Voor de technische aansluiting is gekozen voor een aansluiting van de SIOD via SZWnet en Gemnet op het Suwikoppelpunt. Beide verbindingen zijn reeds aangesloten. Om de SIOD ook gebruik te laten maken van gegevens uit de landelijke deelverzameling van de Gemeentelijke Basis Administraties zoals die via Suwinet-Inkijk worden getoond heeft de SIOD een aanvraagprocedure bij BPR opgestart. Ontsluiten 2ZW 2ZW registreert en ‘vertaalt’ allerlei wets-, beleids en aanvullende informatie over sociale zekerheid, gezondheidszorg, wonen en bepaalde juridische aangelegenheden. Deze informatie hebben gemeenten, maar naar alle waarschijnlijkheid ook CWI en UWV, nodig om hun klanten adequaat te bedienen. Samen met CP-ICT en de gemeente Hilversum is de informatiebehoefte in beeld gebracht en kan gewerkt worden aan ontsluiting via Suwinet Inkijk.
Doorvoeren van nieuwe beveiligingsstandaards* Met het uitfaseren van de kolom-pagina’s van UWV vervalt de noodzaak om vijf decentrale enforcers (beveiligingscomponenten) bij UWV te installeren. De doelstellingen rond het doorvoeren van beveiligingsstandaards voor 2004 zijn daarmee behaald.
2. Realiseren geautomatiseerde koppelingen De ambities van het BKWI rond de elektronische ketenberichten tussen CWI en Gemeenten enerzijds en CWI en UWV anderzijds zijn in 2004 succesvol ingevuld. Dit betekent niet dat alle benoemde werkproceskoppelingen ook geautomatiseerd in productie zijn genomen. Het primaat van de werkzaamheden voor deze uiteindelijke doelstellingen ligt immers bij de genoemde ketenpartners. In 2005 resteert er dan ook nog een groot aantal activiteiten, met name rond de aanpassingen van gemeentelijke systemen en de uitrol van de verschillende gerealiseerde ketencomponenten bij ruim 470 gemeenten. Bovendien zal in 2005 een oplossing voor ongestructureerde informatie ingeregeld moeten worden.
22
Rond de koppelingen tussen CWI en GSD’s is wederom duidelijk geworden dat het realiseren van rechtstreekse systeemkoppelingen tussen uitvoerende Suwipartijen geen sinecure is. Inmiddels is bij een veel gebruikt gemeentelijk systeem, GWS4all van Centric, een koppeling met SONAR van CWI gemaakt. In 2005 zullen de overige gemeentelijke systemen aangepast moeten worden en zullen de elektronische berichten incrementeel tussen CWI en gemeenten in productie worden genomen. Om de implementatie te laten slagen zal er veel capaciteit van BKWI, maar ook van het Inlichtingenbureau, CWI, CP-ICT en individuele gemeenten ingezet worden. Er zal tijdig aan de ketenpartners en het ministerie worden aangegeven of de beschikbare capaciteit voldoende is om de werkproceskoppelingen tot stand te brengen. Bij de uitrol naar gemeenten is de verwachting dat de doorlooptijd minimaal 4 maanden per gemeente zal beslaan en dat er per week maximaal twee clusters van gemeenten die bij een CWI-vestiging horen, uitgerold kunnen worden. Dit betekent dat dit traject in ieder geval doorloopt tot en met het eerste kwartaal van 2006, maar mogelijk ook nog in het tweede kwartaal. Het realiseren van elektronisch berichtenverkeer tussen CWI en UWV is relatief eenvoudiger aangezien de uitvoering van de te koppelen werkprocessen slechts bij twee uitvoerende organisaties, UWV en CWI, is belegd. Dit betekent dat er uitsluitend centrale systemen aangepast moeten worden, en vooral dat er één landelijke implementatie doorgevoerd kan worden. De voortgang van het uitvoeren van de koppelingen tussen CWI en UWV heeft door de grote ontwikkeldruk aan de CWI-zijde enige vertraging opgelopen. Deze vertraging heeft met name gevolgen voor het ontwikkeltraject. De datum waarop de koppelingen in productie moeten zijn genomen, die door het PPI zijn gesteld op 1 juli 2005 loopt nog geen gevaar. Voor de koppelingen tussen CWI en UWV rond de thema’s ‘ Kennisgeving status cliënt ’ en ‘Reïntegratie’ zijn de vastgestelde berichtspecificaties door de WGB beoordeeld op comptabiliteit met de SuwiML-standaard. Dit heeft tot enkele aanpassingen geleid. De Vooraankondiging WW tussen CWI en UWV is na de succesvolle in productiename in het tweede kwartaal, nu ook te voorzien van SSL-beveiliging,waarmee de berichten versleuteld verstuurd kunnen gaan worden. De resultaten van de analyses rond de doorstroom van cliënten met een UWV-uitkering naar de WWB zijn gerapporteerd aan het PPI. Ketenbreed zal aangehaakt worden op een door het UWV geïnitieerde pilot rond dit thema,.
3. Realiseren Mail binnen keten van Werk en Inkomen over besloten netwerk* Rond het thema Mail waren er voor BKWI drie doelstellingen gedefinieerd in de jaartranche 2004. Voor zover deze doelstellingen relevant bleken, zijn ze in 2004 ook afgerond. Het doorvoeren van een technische beveiligingsmaatregel, het doorvoeren van SSL, bleek nauwelijks toegevoegde waarde te hebben en werd daarom niet uitgevoerd. Deze keuze is eind 2004 aan de Domeingroep Privacy en Beveiliging ter validatie voorgelegd. Begin 2005 wordt het voorstel in deze domeingroep behandeld. Ook het realiseren van het gemeenschappelijke adresboek zal in 2005 geagendeerd worden en onderdeel worden van het project Doorontwikkelen Suwinet Inkijk. In 2004 zijn UWV GAK, UWV Cadans en GUO naar de UWV mailserver gemigreerd, waardoor al het verkeer tussen deze UWV-afdelingen en CWI over het besloten Suwinet loopt. De uitrol van gerealiseerde besloten mail bij gemeenten verloopt naar de mening van BKWI te traag. BKWI heeft in het PPI dan ook voorgesteld bij de communicatie over en de uitrol van de elektronische ketenberichten de relatie en waarde van de besloten Mail te benadrukken en in de aan te bieden referentie werkinstructies te benoemen. Uit een onderzoek naar de mogelijkheden van een gezamenlijk adressenboek of gebruikersadministratie, heeft het BKWI een pragmatische oplossing gedestilleerd waarbij gebruik
23
wordt gemaakt van de gebruikersadministratie van Suwinet-Inkijk. Het zal in 2005 onderdeel worden van het project Doorontwikkelen Suwinet Inkijk.
4. Business Informatie Architectuur keten W&I spoor 2 (SOLL) Het ketendenken wint aan terrein. Het bewustzijn van gemeenschappelijke doelstellingen en onderlinge afhankelijkheid maakt samenwerking steeds natuurlijker. Dit betekent ook dat individuele architecturen van ketenpartners steeds meer in de context van elkaar worden gepositioneerd en ontwikkeld. De geformuleerde doelstellingen voor 2004 zijn voor het grootste deel behaald. De referentie-architectuur voor toekomstige ontwikkeling wordt in april 2005 definitief opgeleverd. Het ontwikkelen en onderhouden van een referentiearchitectuur voor de keten van Werk en Inkomen heeft zich ontwikkeld tot een gemeenschappelijke reguliere werkzaamheid van architecten van de verschillende ketenpartners. Begin 2004 zijn de architecturen van de ketenpartners naast elkaar gelegd en zijn overeenkomsten en verschillen in beeld gebracht. Heersende beleidsuitgangspunten zijn in beeld gebracht, alsmede de hoofdprocessen en producten/diensten van de ketenpartners. Daarnaast is een architectuur ontwikkeld voor de werkproceskoppelingen. Ook kwamen nieuwe ketenvraagstukken in beeld, zoals de ontwikkeling van ketenbrede managementinformatie en het elektronische klantdossier. Deze zogenoemde fase 1 is door een kerngroep en gespecialiseerde werkgroepen afgerond en door het PPI goedgekeurd. Voor wat betreft de werkproceskoppelingen zijn de generieke eisen in afstemming met de realisatieprojecten benoemd. Ieder onderdeel van de ketenarchitectuur is in fase 1 afgesloten met een inventarisatie van onderwerpen die in de vervolgfase dienen te worden uitgewerkt, het betreft hier onder andere het elektronisch klantdossier en de ketenbrede managementinformatie. De voorbereidingen voor fase 2 hebben parallel plaatsgevonden aan de voorbereidingen voor het Ketenprogramma 2005.
5. Technische Architectuur keten W &I spoor 2 (SOLL) Als onderdeel van de integrale referentiearchitectuur is in 2004 ook gewerkt aan de technische architectuur. Een architectuur waarbij het accent ligt op het uitwisselen van informatie. In 2004 zijn alle benoemde doelstellingen voor de Technische Architectuur gerealiseerd. In 2005 zal het ‘reguliere onderhoud’ zich in projectverband primair focussen op een gemeenschappelijke ‘blauwdruk’ voor infrastructurele oplossingen in bedrijfsverzamelgebouwen. Medio oktober zijn met succes de laatste proeven voor Meldingenverkeer binnen Suwi en tussen Suwi en derden met gebruik van RINIS technologie uitgevoerd. De resultaten zijn in het PPI van november besproken, maar zullen in februari nog een keer op agenda geplaatst worden om afspraken over implementatie te maken. Resterende activiteiten 2003 Vervangen tijdelijk Suwikoppelpunt In het kader van de vervanging van het Suwikoppelpunt is een integraal netwerkonderzoek geïnitieerd en afgerond. In dit onderzoek is met name gekeken of de gemeentelijke sector op netwerk niveau in voldoende mate geëquipeerd is om alle beoogde gegevensuitwisselingen op de juiste wijze te faciliteren. CP-ICT heeft een oplossing ontwikkeld die de beoogde uitbreiding van gegevensuitwisseling tussen gemeenten en de overige ketenpartners moet garanderen. BKWI zal een financiële bijdrage leveren aan deze oplossing die van belang is voor CWI, UWV en het gemeentelijk veld. Dit onderzoek was initieel niet gepland voor dit project maar is gezien eerdere ervaringen rond het uitrollen van Mail en Inkijk wel noodzakelijk. Budgettair viel het onderzoek binnen de financiële kaders van het project. Met de ketenpartners is nader afgestemd in welke mate zij betrokken willen zijn bij de aanbesteding, door UWV is er een officiële machtiging aangeleverd. De enige discussie die nu nog geslecht moet
24
worden voordat er aanbesteed kan worden is hoe de nieuwe rekencentra van UWV en CWI aangesloten gaan worden.
4.3
Reguliere projecten
Suwinet-Inkijk In de rapportage over het derde kwartaal was over het project Professionaliseren Suwinet-Inkijk aangegeven dat de applicatie gereed was gemaakt voor gebruik door de SIOD en dat ook de aansluiting op het Suwikoppelpunt is gerealiseerd. De wet SUWI die aangepast moest worden om gegevens van CWI, UWV en gemeenten via Suwinet aan de SIOD te leveren is door de Staten Generaal goedgekeurd. Momenteel werkt het ministerie aan een AMvB die aan de Kamer voor bekrachtiging zal worden aangeboden. Een functionele analyse heeft duidelijk gemaakt dat de SIOD vanuit een werkgeversinvalshoek gegevens van verzekerden in Suwinet-Inkijk wil raadplegen. Het UWV heeft formeel aangegeven zonder wettelijke basis niet op het verzoek in te kunnen gaan. Momenteel vinden er gesprekken tussen ministerie van SZW en UWV plaats om tot de gewenste regelgeving te komen. Met het ministerie van SZW en het ministerie van Economische Zaken heeft ook overleg plaatsgevonden over het ontsluiten van BBR ten behoeve van de Sociale Zekerheidssector. In de jaartranche 2005 zal ontsluiting van deze werkgevergegevens een plaats krijgen. Begin februari zal een pilot rond het gebruik van 2ZW-informatie via Suwinet-Inkijk starten. Ook deze pilot zal in de jaartranche 2005 opgenomen worden. In januari zal er een speciale release van 2ZW opgeleverd worden waarin de gegevens zijn opgenomen. B e v e i l i g i n g s p r o d u c t e n v o o r g e m e e n t e n* Het afgelopen jaar is in het eerste kwartaal gewerkt aan een probleembelevings- en implementatieplan voor de beveiligingsproducten voor gemeenten die in 2003 zijn ontwikkeld. Het BKWI heeft het Inlichtingenbureau en het CP-ICT gevraagd of er in de opgeleverde producten nog lacunes dan wel fouten zitten. Om te voorkomen dat de producten niet gebruikt gaan worden, is in samenspraak met deze twee organisaties het genoemde plan opgesteld. De feitelijk implementatie is een taak van individuele gemeenten en bij de communicatie richting gemeenten zal BKWI uitsluitend een faciliterende rol vervullen (ten behoeve van CP-ICT en IB). De door het BKWI ontwikkelde Kluis met referentie beveiligingdocumentatie en hulpmiddelen voor implementatie, is gereed en wordt inmiddels door CP-ICT, Inlichtingenbureau, BKWI en EGEM aan individuele gemeenten gepresenteerd en beschikbaar gesteld. Ook is er voor de gemeenten een servicenummer opengesteld bij het Inlichtingenbureau. In het kader van fraudepreventie hebben er verkennende gesprekken plaats gevonden met het UWV dat een ketenbreed (inclusief SIOD en Arbeidsinspectie) traject leidt. Deze gesprekken hadden als onderwerp het gebruik van Suwinet voor gegevensuitwisseling. Ketenbrede beheerprocessen en afspraken Voor de nieuwe gegevensuitwisselingen met behulp van Inkijk, Meldingen en Mail zullen ook prestatie-indicatoren en beheer- en wijzigingsprocedures tussen de Suwipartijen gemaakt moeten worden. BKWI heeft het voortouw genomen om alle benodigde afspraken in een nieuwe Keten SLA vast te leggen. Deze SLA bevat afspraken voor de nieuwe gegevensuitwisselingen met behulp van Inkijk, Meldingen en Mail. Nieuwe Authenticatievoorziening/Overheids Toegangs Voorziening De nieuwe authenticatievoorziening is verder beproefd en doorontwikkeld. Tijdens een congres in oktober is de nieuwe naam voor deze voorziening bekend gemaakt: DigiD. Door de enorme belangstelling voor dit product zowel bij de ketenpartners als bij gemeenten, zijn ook de inspanningen die verricht moet worden om DigiD te implementeren enorm toegenomen. Gebruikswensen vanuit met
25
name pilotgemeente Enschede en het CWI zijn met andere potentiële gebruikers afgestemd en hebben hun beslag gekregen in een nieuwe softwareversie. Deels waren deze wensen ingegeven door het feit dat een voor DigiD belangrijke AMvB pas in september/oktober beschikbaar was. De afgelopen maanden is hard gewerkt aan de communicatie omtrent DigiD. Ook de overdracht van de voorziening naar de Belastingdienst per 1 januari 2005 bracht veel extra werk met zich mee. In het laatste kwartaal zijn twee releases van DigiD opgeleverd en is de overdracht naar de belastingdienst gerealiseerd. De kosten voor de nieuwe releases zijn door het ministerie van Binnenlandse Zaken vergoed aan het BKWI. Wet Walvis en polisadministratie Op 1 januari 2006 zal de nieuwe polisadministratie bij UWV een feit zijn. Dit betekent onder meer dat deze administratie een aantal van de gegevens die in Suwinet Inkijk getoond worden moet gaan leveren. Binnen BKWI is een analyse uitgevoerd op het ontwerp van de polisadministratie in vergelijking tot het UWV-dossier dat in inkijk wordt getoond. Op basis van deze analyse zijn afspraken gemaakt met UWV om te borgen dat medewerkers in de keten in ieder geval deze gegevens ook in de toekomst kunnen blijven raadplegen. Tevens heeft het BKWI samen met de polisorganisatie van UWV geïnitieerd dat CWI en andere belanghebbenden ook gaan analyseren welke additionele gegevens ze nog uit de polisadministratie zouden willen gebruiken. Aansluiten SVB op de keten van Werk en Inkomen Naar aanleiding van besluitvorming in het PPI en in lijn met een schriftelijke opdracht van het ministerie van SZW is er een traject opgestart met SVB, CP-ICT Gemeenten en Inlichtingenbureau om te beoordelen welke gegevensuitwisselingen tussen SVB en de huidige ketenpartners op welke wijze uitgewisseld moeten gaan worden. Uit de analyse die medio september is opgeleverd is duidelijk geworden dat voor de informatieuitwisselingen tussen SVB en gemeenten geen dienstverlening van het BKWI noodzakelijk is. De analyse ten behoeve van uitwisseling tussen SVB enerzijds en UWV en CWI anderzijds is nog niet afgerond. Op managementniveau is er hernieuwd contact gezocht met de SVB. Aansluiting op Suwinet is in verband met fraudepreventie in algemene zin, maar ook van onder andere de uitvoering van de WWB specifiek gewenst.. Ketenprogramma 2005 Vanuit de afdeling OPD is de jaartranche 2005 opgesteld. Met deze jaartranche geeft het BKWI invulling aan haar bijdrage aan de uitvoering van het ketenprogramma 2005. Deze jaartranche is geaccordeerd door het MT van BKWI. Momenteel stemt het MT de jaartranche af met de directies van (vertegenwoordigers van) de ketenpartners. Uiteindelijk zal de jaartranche voor inhoudelijke accordering worden voorgelegd aan het Algemeen Keten Overleg. WWIK Op verzoek van het ministerie van SZW heeft het BKWI meegedacht en geholpen bij het realiseren van een tijdelijke en een definitieve oplossing voor de landelijke registratie van WWIKuitkeringsverbanden. Vanaf medio januari zal de huidige programmatuur bij BKWI draaien en zal ook een medewerker van CWI gehuisvest worden. Medio 2005 moet er een definitieve oplossing gereed zijn waardoor de werkzaamheden, die CWI uitvoert, vervallen.
26
5.
Beleidsdoelstellingen
5.1
Hoofddoelstellingen BKWI
De wettelijke taken van het BKWI zijn in artikel 6.3 van als volgt omschreven: • de inrichting van een centrale elektronische voorziening; • de inrichting van een gemeenschappelijke faciliteit voor de toegangsbeveiliging; • de ondersteuning van de Suwinetpartijen bij het beheer en gebruik van Suwinet; • het, na overleg met de Suwinetpartijen, doen van voorstellen aan de Minister over de wijziging van deze paragraaf. Met de uitvoering van deze taken levert het BKWI een belangrijke bijdrage aan de realisatie van de beleidsdoelstellingen zoals verwoord inde memorie van toelichting van de Wet SUWI: • werk boven inkomen; • rechtmatigheid van de uitvoering; • doelmatigheid van de uitvoering; • klantgerichte dienstverlening. Het BKWI is niet zelf verantwoordelijk voor de realisatie van deze doelstellingen. Deze verantwoordelijkheid ligt bij het UWV, de CWI en de GSD’en. Het BKWI heeft tot taak om deze organisaties te ondersteunen bij het verwezenlijken van een klantgerichte, doelmatige, rechtmatige en doeltreffende uitvoering. Het BKWI doet dit in zijn reguliere activiteiten door er voor te zorgen dat ketenafspraken tot stand komen, door het beheer van centrale Suwinetvoorzieningen en door de coördinatie van de decentrale activiteiten van de ketenpartners. In dit hoofdstuk wordt verslag gedaan van de aard en de omvang van reguliere activiteiten ten aanzien van de exploitatie van Suwinet in 2004. Deze exploitatie bestaat uit de volgende twee taken: • het uitvoeren en coördineren van het technische en functionele beheer van Suwinetvoorzieningen; • het voorbereiden en beheren van ketenafspraken.
5.2 Uitvoeren en coördineren technisch/functioneel beheer voorzieningen Suwinet* Het BKWI zorgt voor het beheer en onderhoud van de centrale ICT-voorzieningen van Suwinet. In de loop van de tijd kan de inhoud van deze taak veranderen, als Suwinet zich verder ontwikkelt. De centrale Suwinet-voorzieningen bestaan in 2004 uit: • Suwi-koppelpunt • Centrale inkijkservers • SuwiMail Server • Applicatieserver Overzichtspagina’s • GBA server • VIS server • Beveiligingspakket • Gebruikersadministratie • Testomgeving, testdata, testprocedures • Website van het BKWI waarop de producten van het BKWI worden aangeboden Het technische beheer van deze voorzieningen is uitbesteed aan ABP-Cis. Met deze partij zijn voor de verschillende diensten SLA’s afgesloten. Het BKWI is zelf verantwoordelijk voor het functionele beheer, het oplossen van incidenten en problemen, de gebruikersondersteuning en het aansturen van de externe leveranciers. Suwinet bestaat niet alleen uit de centrale voorzieningen die in beheer zijn bij het BKWI, maar ook uit een aantal decentrale onderdelen die door het UWV, de CWI en het IB worden beheerd (met
27
uitzondering van het applicatiebeheer van de overzichtspagina’s). Om het gegevensverkeer via Suwinet mogelijk te maken, zullen de ketenpartners de gemaakte ketenafspraken moeten implementeren en een aantal voorzieningen moeten beheren. Het BKWI coördineert de implementatie van de gemaakte afspraken door de Suwi-organisaties en coördineert de reguliere activiteiten van de uitvoeringsorganisaties ten behoeve van de gegevensuitwisseling. Het BKWI vervult een intermediairfunctie bij de afstemming van deze decentrale activiteiten.
Ontwikkeling gebruik Suwinet-Inkijk De gebruikers van Suwinet zijn de medewerkers van het UWV, de CWI en de GSD’en. Daarnaast maken ook de medewerkers van het IB en van het BKWI zelf gebruik van Suwinet. Het aantal gebruikers is een goede graadmeter voor de acceptatie en draagvlak van Suwinet. SuwinetMeldingen is in september gestart. Maand januari februari maart april mei juni juli augustus
Aantal gebruikers 19.988 20.161 20.181 20.811 21.416 21.925 22.475 22.907
Maand januari februari maart april mei juni juli augustus
Aantal raadplegingen 1.120.000 1.380.000 1.400.000 297.182 274.751 345.195 747.283 680.614
september oktober november
23.334 23.904 24.279
september oktober november
557.457 510.802 582.623
december
24.889
december
568.155
Maand januari februari maart april mei juni juli augustus
Aantal meldingen n.v.t. n.v.t. n.v.t. n.v.t. n.v.t. n.v.t. n.v.t. n.v.t.
september oktober november
35.840 36.329 42.605
december
48.244
Toelichting aantal Raadplegingen De infrastructuur van Suwinet-Inkijk en de gebruikte beveiligings- en rapportagesoftware is in de loop van 2004 geëvolueerd. Zo zijn er nieuwe overzichtspagina’s gekomen op Suwinet-Inkijk. Ook heeft de beveiligingssoftware een upgrade gekregen die niet op alle decentrale bronnen van UWV is doorgevoerd. Daardoor ontbreken met ingang van 1 april 2004 de hits op de kolompagina’s in de rapportage. Beschikbaarheid
28
In onderstaande tabel worden per maand de gemiddelde beschikbaarhe idspercentages aangegeven. Voor de volledigheid zijn ook de VIS - en GBA-pilot percentages opgenomen, deze zijn echter pas sinds maart van start gegaan.
29
Partij
jan
BKWI Homepage CWI UWV GVI UWV Bouw UWV Cadans UWV Gak UWV Guo UWV Uszo GSD-Inkijk VIS GBA Gemiddel d
Partij
feb
mrt
apr
mei
juni
100% 99% 99%
100% 99% 83%
100% 100% 100%
100% 100% 99%
98% 98% 93%
100% 98% 100%
99%
83%
100%
99%
93%
100%
96% 98% 99% 99% 100%
77% 81% 83% 83% 100%
94% 99% 99% 100% 98% 100% 100%
99% 99% 99% 99% 100% 92% 100%
93% 96% 98% 98% 98% 98% 98%
100% 100% 100% 100% 100% 100% 100%
99%
88%
99%
99%
96%
100%
juli
aug
sept
okt
nov
dec
BKWI Homepage CWI UWV GVI
100% 100% 100%
100% 100% 100%
100% 100% 100%
100% 100% 100%
99% 99% 98%
99% 99% 99%
UWV Bouw
100%
100%
100%
100%
98%
99%
UWV Cadans UWV Gak UWV Guo UWV Uszo GSD-Inkijk VIS GBA Gemiddel d
100% 99% 100% 100% 100% 100% 100%
99% 99% 100% 100% 100% 100% 100%
100% 99% 100% 100% 97% 100% 100%
100% 100% 100% 100% 100% 99% 91%
98% 98% 98% 97% 99% 99% 99%
99% 99% 99% 99% 99% 99% 98%
100%
100%
100%
99%
98%
99%
Responsetijden In onderstaande tabellen wordt aangegeven hoeveel hits er per onderdeel werden geteld, welk percentage daarvan binnen de norm viel, en wat de gemiddelde responsetijd was. Over de eerste drie maanden zijn geen cijfers bekend aangezien de responsetijden pas sinds april gemeten kunnen worden. Voor de volledigheid zijn ook de VIS- en GBA-pilot cijfers opgenomen.
CWI
Maand apr mei jun jul aug sep okt nov dec
UWV
% binnen norm 100% 100% 100% 100% 100% 100% 100% 100% 100%
Gem. responsetijd
# hits 180.840 157.447 197.178 209.258 204.265 237.683 236.475 291.764 169.500
% binnen norm
0,9 0,8 0,7 0,7 0,6 0,6 0,6 0,6 0,6
30
32% 87% 85% 96% 91% 94% 93% 99% 100%
# hits 174.462 149.092 194.817 202.618 197.525 220.299 223.143 275.484 160.830
Gem. responsetijd 26,4 12,2 11,7 8,0 8,3 7,2 7,7 6,7 6,7
GSD Maand apr mei jun jul aug sep okt nov dec
GBA
% binnen norm
Gem. responsetijd
# hits
100% 100% 100% 100% 100% 100% 100% 100% 100%
100.857 89.890 111.797 120.106 119.859 134.186 149.438 190.008 108.617
% binnen # hits norm 1,2 1,2 1,2 1,2 1,2 1,3 1,4 1,5 1,3
100% 83% 100% 100% 100% 99% 98% 98% 99%
Gem. responsetijd
3.582 4.394 4.347 4.574 25.594 34.892 53.321 161.819 89.364
0,9 2,9 4,1 4,6 1,1 1,5 4,1 6,1 3,5
VIS Maand apr mei jun jul aug sep okt nov dec
% binnen norm
Gem. responsetijd
# hits
99% 97% 100% 100% 100% 100% 93% 100% 100%
1.095 872 875 553 521 1.150 1.148 876 216
2,3 1,9 2,4 3,7 2,6 1,7 2,3 2,5 3,1
Homepage
Maand apr mei jun jul aug sep okt nov dec
5.3
% binnen norm 100% 100% 100% 100% 100% 100% 100% 100% 100%
Inkijk # hits 8.964.072 6.262.128 6.555.960 6.538.845 8.789.050 10.792.871 10.671.093 12.650.496 7.925.258
Gem. responsetijd
% binnen # hits norm
0,4 0,3 0,4 0,3 0,3 0,3 0,3 0,3 0,3
100% 100% 100% 100% 100% 100% 100% 97% 100%
2.610.029 1.944.315 2.301.866 2.373.716 2.302.141 2.850.337 2.772.099 3.156.114 1.916.568
Gem. responsetijd 2,4 1,8 2,0 1,7 1,7 1,4 1,5 1,7 1,5
Voorbereiden en beheren van afspraken tussen Suwipartijen
5.3.1 ICT-beheer Doelstellingen 2004 Het monitoren en rapporteren over het (technisch) beheer van de ICT-producten en -diensten. Hierbij
31
moet vooral gedacht worden aan de afspraken die hierover zijn gemaakt en beschreven in de Keten SLA versie 1.0. Resultaten 2004 • Keten SLA/DAP Hoewel de partijen al volgens de in 2003 opgestelde Service Level Agreement (Keten SLA) werkten, was de overeenkomst nog niet formeel ondertekend. Na een besluit van het PPI is in oktober de SLA Suwinet-Inkijk Services 1.0 alsnog met beperkte wijzigingen ondertekend. In afwachting van de ondertekening is in 2004 ook al gestart met voorbereidingen voor versie 2.0 van de SLA. In deze versie zijn onder andere afspraken en normen over Suwinet-Mail en Suwinet-Meldingen toegevoegd. Door deze gewijzigde scope is de nieuwe naam Keten SLA Suwinet 2.0 geworden. Naar verwachting zal deze versie begin 2005 worden ondertekend. Als aanvulling op de Keten SLA is er ook een concept Dossier Afspraken & Procedures (Keten DAP) opgesteld waarin een uitwerking van de gemaakte afspraken en procedures omtrent de dienstverlening is opgenomen. Het beheer van de Keten SLA ligt bij de Domeingroep ICT Beheer en het beheer van de Keten DAP ligt bij het Keten Overleg Service Support. Ook de Keten DAP zal naar verwachting begin 2005 worden ondertekend. Sinds een aantal maanden neemt ook het Coördinatiepunt ICT-gemeenten (CP-ICT) deel aan de Domeingroep. Bij de Keten SLA is CP-ICT geen partij maar bij de Keten DAP wel. • Managementsrapportage Begin 2004 was de managementrapportage op basis van de prestatienormen in de Keten SLA gereed. Eind van het jaar is de rapportage geëvalueerd. Een verbeterde versie van de rapportage is in ontwikkeling. • Ketenbreed wijzigings- e n r e l e a s e b e h e e r Het BKWI heeft een ketenbreed wijzigingsbeheer ingericht en ondersteunt en coördineert het tweewekelijkse Keten Change Advisory Board (CAB). In het Keten CAB zitten vertegenwoordigers van de Business en ICT van de Suwipartners. Het voorzitterschap is belegd bij het CWI. Ook de CMKcoördinator maakt sinds augustus deel uit van deze vergadering. In de loop van 2004 is de aanpak van het overleg gewijzigd. Sinds september wordt meer en gerichter aandacht besteed aan de inhoud en besluitvorming ten aanzien van belangrijke wijzigingen, dan aan de wijzigingen die buiten de planning zijn gekomen. Dit tot tevredenheid van de leden van het overleg. Onderwerpen die onder andere aan de orde zijn gekomen zijn: • • •
De planning van wijzigingen en uitloop daarvan Hoe om te gaan met niet aangemelde wijzigingen met ketenimpact De evaluatie Uitvoeringsafspraken Ketenbreed Wijzigingsbeheer door WRC
Via de Wijzigings- en Releasecommissie (WRC) is het releasebeleid hernieuwd en vastgelegd in het document ‘Uitvoeringsafspraken Ketenbrede wijzigingen en releases’. Het releasebeleid is eind januari in het PPI goedgekeurd. In 2004 is de WRC een aantal keren bijeengekomen, in september was de laatste keer. Tijdens deze laatste vergadering is het Ketenbreed wijzigingsbeheer geëvalueerd. Op basis van de bevindingen is een evaluatierapport opgesteld voor het management en het Keten CAB. Het CMK heeft een aantal verbeteracties in gang gezet, zoals het aanbrengen van meer structuur in het overleg van het Keten CAB en het stroomlijnen van de communicatie tussen betrokkenen bij het doorvoeren van een wijziging. Ook is begin augustus is een nieuwe versie van de CMK-applicatie geïmplementeerd. De applicatie heeft een nieuwe lay-out gekregen, is gebruiksvriendelijker gemaakt (overzichtelijker) en heeft betere navigatiemogelijkheden. Daarnaast is het indienen van een wijziging is nu nog completer en eenvoudiger geworden via de aangepaste button in de menubalk. Ook is het “Voortraject” van ketenbreed wijzigingsbeheer ingericht. Wijzigingen zijn sindsdien onderverdeeld in Voorgenomen veranderingen, Ketenwijzigingen en ketencomponentwijzigingen. Het inzicht in
32
wijzigingen op de verschillende niveaus van het “dakpanmodel” en de analyse van wijzigingen in breder verband zijn hiermee verbeterd.
33
Voorgenomen Verandering (VV)
Ketenwijzigingen (KW)
Ketencomponentwijzigingen (KCW)
Kwar -taal
Nieuw
Totaal afgesloten
Openstaand
Nieuw
Geregistreerd en gerelateerd aan VV
Totaal afgesloten
Totaal openstaand
Nieuw
1 2 3 4
5 6 1 -
0 4 2 -
0 0 15 14
15 15 7 5
8 6 1 1
0 16 5 6
0 0 40 39
29 45 14 25
Geregistreerd en gerelateerd aan KW 16 30 3 15
Totaal afgesloten
Afgesloten en gerelateerd aan KW en VV
Openstaand
22 104 19 19
4 4 3 3
0 0 30 41
Gemiddelde doorlooptijd Voorgenomen verandering in maanden 6,05 Gemiddelde doorlooptijd Ketenwijziging in maanden 3,31 Gemiddelde doorlooptijd Ketencomponentwijziging in maanden 4,71
5.3.2 SGR/SuwiML Doelstellingen 2004 Het BKWI zal ervoor zorgen dat SGR/Suwi-ML compleet is. Eind 2004 zal het SGR/SuwiML alle gegevens en berichten bevatten die op dat moment worden uitgewisseld in het kader van de ABWintake, de WW-intake en mogelijk ook de melding ‘einde uitkering met reden’. Het actuele SGR/SuwiML is aan SZW aangeboden voor publicatie in de Staatscourant (o.g.v art. 6.3 bis sub d van de Regeling SUWI). In 2004 zullen in ieder geval het reïntegratieadvies en de kennisgeving ter hand worden genomen. Ten behoeve van het opnemen van andere nieuwe gegevenssets in SGR/SuwiML moeten de ketenpartners onderling afstemmen welke fasering en prioriteitsstelling ter zake wordt gehanteerd. Het BKWI zal in deze een coördinerende rol op zich nemen. Resultaten 2004 Op het terrein van SGR/SuwiML zijn de reguliere beheeractiviteiten uitgevoerd. Specifiek werd aandacht gegeven aan de afronding van de definitieve versie van SGR 2.0. Deze versie is door de DGB vastgesteld en vervolgens aan het Ministerie van SZW aangeboden om formeel te worden vastgesteld. Het Ministerie zal de vaststelling hiervan in de eerstvolgende wijziging van de Regeling SUWI opnemen. Aansluitend op het definitieve SGR 2.0 is het SuwiML-Basisschema versie 2.0 geproduceerd. In de tweede helft van 2004 is met name aandacht besteed aan de analyse en beoordeling van wijzigingsverzoeken van SGR. De wijzigingsverzoeken omvatten de wijzigingen van structuur in het gegevensmodel van SGR en de introductie van nieuwe gegevenssets. Deze wijzigingsverzoeken zijn afkomstig van de nieuw gedefinieerde ketenberichten. In het kader van tabellenbeheer streeft BKWI naar een geautomatiseerde wijze van beschikbaar stellen van de codetabellen. Om dit te verwezenlijken is een voorstel gemaakt. Aansluitend hiervan wordt het SuwiML-basisschema versie 2.0 zodanig ingericht, zodat dit concept ook in het SuwiMLbasisschema toegepast kan worden. Vanuit de werkgroep Gegevens & Berichten is in 2004 een uitgebreide bijdrage geleverd aan:
34
• het project “Realisatie elektronische werkproceskoppelingen tussen CWI en GSD”: o ontwikkeling van concept ketenberichten ten behoeve van de elektronische communicatie tussen CWI en GSD o beoordeling en advies op de ingediende wijzigingsverzoeken o bijstelling op logische berichtdefinities en berichtschema’s op basis van wijzigingsverzoeken o oplevering van de voor SONAR-pilot Harderwijk gehanteerde logische berichtdefinities en berichtschema’s • het project “Realisatie elektronische werkproceskoppelingen tussen CWI en UWV”: o ontwikkeling van concept ketenberichten behoeve van de elektronische communicatie tussen CWI en UWV o bijstelling op logische berichtdefinities en berichtschema’s op basis van wijzigingsverzoeken o oplevering van logische berichtdefinities, hiërarchische berichtspecificaties en berichtschema’s op basis van de overeengekomen afspraken In 2004 is de WGB regelmatig bijeengekomen. Naast de reguliere overleggen heeft de WGB ook een aantal keer afstemmingsoverleg gehad met de leden van projectgroepen. Daarbij wordt veel aandacht besteed aan de procedurele en inhoudelijke afstemming tussen de leden van WGB en leden van de projectgroepen in het kader van de behandeling van wijzigingsverzoeken van SGR. Daarnaast speelt de berichtmodellering een toenemende rol bij het definiëren van berichtspecificaties ten opzichte van gegevensmodellering. In de toekomst zal hier meer aandacht worden besteed.
5.3.3 Privacy en beveiliging* Doelstellingen 2004 Het BKWI zal ook in 2004 bevorderen dat de aangesloten organisaties een EDP-audit uitvoeren naar het gebruik en het beheer van persoonsgegevens die zij via Suwinet verkrijgen. Het is de bedoeling dat de aangesloten organisaties minimaal éénmaal per jaar een EDP-audit uitvoeren op basis van een gemeenschappelijk normenkader en verantwoordingsrichtlijn. Het BKWI voert voor zijn eigen activiteiten ook een EDP-audit uit en coördineert de uitvoering van de audits bij de afnemers. Het BKWI heeft voor 2004 de volgende speerpunten op het gebied van Privacy en Beveiliging geformuleerd: • het vervaardigen van een informatiebeveiligingsplan voor Suwinet; • melding en escalatie van privacy- en beveiligingsincidenten; • opstellen en ingebruikname van “Verantwoordingsrichtlijn EDP-audit Beveiliging Suwinet”; • opstellen en jaarlijks toetsen van “Normenkader EDP-audit Beveiliging Suwinet”; • verfijnen van de autorisatierollen; • verbeteren van generieke aansluitvoorwaarden; • stimuleren van privacy- en beveiligingsbewustwording. Resultaten 2004 Op het aandachtsgebied privacy e n beveiliging is conform de planning in het Jaarplan 2004 een aantal beleidsdocumenten vastgesteld die een nadere invulling geven aan het Privacy en Beveiligingsbeleid van het BKWI en de ketenpartners. Zo is zowel het beveiligingsbeleid vastgesteld alsmede de voorschriften ten aanzien van privacy- en beveiligingsparagrafen. Ook is de incidentprocedure vastgesteld en is er een voorstel voor het inrichten van risicobeheer gedaan. In het tweede kwartaal is de samenvattende rapportage over de EDP-audits over 2003 van de ketenpartijen en van het BKWI opgeleverd. In het derde kwartaal heeft een pre-audit plaats gevonden op basis van het vastgestelde Suwinet-Normenkader en is actie ondernomen ten aanzien van de bevindingen uit deze pre-audit. Intussen zijn verbeteringen aangebracht naar aanleiding van de bevindingen van de audit van 2003 en van de pre-audit.
35
Daarnaast zijn voor alle aan Suwinet aangesloten partijen rapportages over de aard en omvang van het gebruik van Suwinet beschikbaar gekomen, waarbij de mogelijkheid wordt geboden om meer gedetailleerde rapportages op te vragen waar het gebruik de aandacht trekt. Ter ondersteuning van de werkzaamheden van de Domeingroep Privacy en beveiliging is een werkgroep Privacy in het leven geroepen. De werkgroep Verantwoordingsrichtlijn heeft de Verantwoordingsrichtlijn EDP-audit Suwinet en het Suwinet-Normenkader opgeleverd en deze documenten zijn vastgesteld. Op het door BKWI beheerde gedeelte van Suwinet is een penetratietest gehouden. Voornaamste conclusies: • Suwinet is niet van buiten het Suwidomein te benaderen, maar voor gebruikers van binnen dit domein is het mogelijk de werking van Overzichtspagina’s negatief te beïnvloeden. • De grootste kwetsbaarheid van Suwinet is gelegen in het zo genoemde 'Social Engineering'. Hierbij kunnen te goeder (of te kwader) trouw Suwinet-gegevens in handen komen van derden. Ten aanzien van de onderkende kwetsbaarheden zijn maatregelen getroffen, maar ondanks alle maatregelen is het risico van social engineering niet weg te nemen. De komende periode zal worden getest of de geïmplementeerde maatregelen afdoende effect hebben. De benoemde kwetsbaarheden hebben heeft niet daadwerkelijk geleid tot schending van privacy of compromittering van de beveiliging . Er zijn enkele beveiligingsincidenten gemeld ten aanzien van: • het ontbreken van enforcers (beveiligingscomponenten) op een server. • de gebruikersadministratie software Deze incidenten en ook de benoemde kwetsbaarheden uit de penetratietests hebben voor zover bekend niet geleid tot een daadwerkelijke schending van privacy of compromittering van de beveiliging.
36
6.
Bedrijfsvoering
6.1
Mededeling bedrijfsvoering
De directie van het BKWI is verantwoordelijk voor de bedrijfsvoering. De mededeling bedrijfsvoering is het middel waarmee de d irectie publiekelijk verantwoording aflegt over de bedrijfsvoering, in relatie tot het VBTB gedachtegoed van de rijksoverheid. Deze rapportage is een uitzonderingsrapportage en is opgezet volgens het COSO-raamwerk.
6.1.1 Beheersomgeving In 2004 is zoveel mogelijk aansluiting gezocht met het Centraal Raamwerk voor Interne Beheersing CWI, met als doel om tot een volwaardige Mededeling Bedrijfsvoering te komen. Het BKWI is formeel onderdeel van het CWI maar heeft ook duidelijk eigen taken en verantwoordelijkheden die ook geheel andere risico’s met zich meebrengen dan voor de totale CWI-organisatie gelden. Daarom is door BKWI zelfstandig een algemene risicoanalyse gemaakt, op basis waarvan deze Mededeling mede tot stand is gekomen. Aan besturing en beheersing van de organisatie wordt met name invulling gegeven door: jaarplannen (jaarplan regulier en jaartranche); projectvoortgangsoverzichten (zgn. stoplichtoverzichten); kwartaal- en jaarverslagen; een quality assurance beleid waarin MT-leden de inhoud van plannen en resultaten mede beoordelen; afdelingsgericht, projectgericht en beleidsgericht overleg; overleg met ketenpartners over doelen en resultaten van ketensamenwerking. In 2004 is een verplichtingenadministratie volledig geïmplementeerd waarvoor al in 2003 een eerste aanzet is gegeven. Administratieve procedures rond inhuur zijn aangescherpt. Er wordt aangesloten bij de Europese aanbesteding van inhuur van personeel door de CWI organisatie, omdat BKWI zelf formeel geen aanbestedende dienst is. Deze aanbesteding zal begin 2005 zijn afgerond.
6.1.2 Risico beoordeling en risico beheersing* In 2004 is door het MT BKWI een algemene risicoanalyse uitgevoerd op het primair proces. Risico’s die buiten de invloedsfeer van het BKWI liggen en risico’s die al in hoge mate zijn afgedekt met beheersmaatregelen, zijn wel beoordeeld maar niet nader geanalyseerd . Uit de analyse komen 5 belangrijke risicogebieden en bijbehorend e door BKWI te nemen maatregelen naar voren: -
Uitblijven van voortgang in de ketensamenwerking zal uiteindelijk leiden tot organisatorische ingrepen in het stelsel en imagoschade voor de betrokken partijen. BKWI heeft een signaalfunctie en rapporteert tijdig over de voortgang aan de ketenpartijen en de Minister via het AKO zodat risico’s voor de gehele keten verkleind worden
-
Het niet waarmaken van verwachtingen brengt imagoschade en verminderd gebruik van voorzieningen met zich mee. Er zal begin 2005 worden onderzocht op welke punten niet aan de verwachtingen wordt voldaan en er zal een verbeterplan worden opgesteld.
-
Door het niet melden van wijzigingen in de keten ontstaan grote uitvoeringsrisico’s. Uitvoeringsrisico’s die ontstaan door het niet melden van wijzigingen worden beperkt door betere inrichting van het Centraal Meldpunt Ketenwijzigingen;
37
-
Als voorzieningen die alleen maar via Suwinet beschikbaar zijn, niet worden gebruikt of inefficiënt worden gebruikt, ontstaat imagoschade en schade doordat kansen voor kostenbesparing niet worden benut. Verbeterde inzet van dit soort middelen stelt hoge eisen aan de competenties van het BKWIpersoneel (vakkennis, communicatie). Wij sluiten in 2005 aan bij het initiatief van het CWI t.a.v. competentieontwikkeling. Daarnaast worden in 2005 POPgesprekken gevoerd met het BKWI-personeel.
-
Slechte lokale samenwerking betekent minder effectieve toeleiding naar werk en financiële schade voor de gemeenten. Uiteindelijk leidt slechte samenwerking tot inefficiënt gebruik van middelen, imagoschade van de ketenpartners en stelselherzieningen. Vermindering van risico’s door competentieontwikkeling en het bieden van ICT-oplossingen die lokaal de samenwerking verbeteren (blauwdruk BVG-infrastructuur).
De genoemde risico’s zullen nooit volledig kunnen worden afgedekt omdat het BKWI voor haar prestaties in hoge mate afhankelijk is van de inzet van de afzonderlijke ketenpartners. In 2005 zal de risico analyse ook buiten het primair proces worden uitgevoerd. In 2004 heeft het IWI enkele onderzoeken uitgevoerd t.a.v. BKWI en BKWI-producten/diensten, waarover is gerapporteerd aan de Minister van SZW: Jaarverslag IWI; Rapport gebruikswaarde Suwinet-inkijk; Rapport beveiliging Suwinet bij gemeenten. Deze rapportages hebben niet geleid tot nieuwe beheersmaatregelen (er waren al wel beheersmaatregelen in dit kader genomen op eigen initiatief). In het begin van 2004 heeft een onderzoek plaatsgevonden naar de positionering van BKWI binnen de keten, waarbij de ketenpartijen zijn geïnterviewd over de plaats, de rol en effectiviteit van deze organisatie. De uitkomsten van dit onderzoek gaven geen aanleiding tot aanvullende beheersmaatregelen. Halverwege het jaar is door een externe auditor een pre-audit gehouden m.b.t. de beveiliging van Suwinet, waarbij het door de ketenpartijen vastgestelde normenkader als uitgangspunt is genomen. Op basis van deze pre -audit is de procedure voor opbouw van het testdossier aangescherpt, is er een penetratietest op Suwinet uitgevoerd, is de ondertekening van de keten SLA afgerond en is het beveiligingsbeleid van onze belangrijkste leverancier getoetst aan de eigen baseline.
6.1.3 Interne beheersmaatregelen In 2004 zijn de afspraken met CWI over de financiële dienstverlening, de huisvesting en HRM verder aangescherpt. Er werd op financieel gebied nog een schaduwadministratie bijgehouden, maar deze zal per 1 januari 2005 worden opgeheven. De ingevoerde verplichtingenadministratie heeft geholpen een beter inzicht te krijgen in de financiële positie van het BKWI. Vanaf 2005 zullen ook vorderingen op derden in deze administratie worden meegenomen. Om risico’s op invordering van sociale premies en belasting bij inhuur van zelfstandigen te voorkomen, wordt een VAR-verklaring gevraagd bij de Belastingdienst.
6.1.4
Informatie en communicatie
Aan de interne informatievoorziening is het afgelopen jaar veel aandacht besteed. Er is geen aanleiding op dit terrein aanvullende beheersmaatregelen te nemen.
38
6.1.5 Bewaking Een heroriëntatie van het BKWI heeft in 2004 geleid tot aanpassingen in de organisatiestructuur. Om voldoende focus te verkrijgen op de eigen taken heeft een functiewaarderingsonderzoek plaatsgevonden aan de hand van nieuwe en meer adequate functiebeschrijvingen van het personeel. De wijzigingen welke hieruit voortvloeiden hebben inmiddels hun beslag gekregen. Er zijn ook op dit gebied geen redenen voor het nemen van aanvullende beheersmaatregelen.
6.2
Doelmatigheid
In algemene zin kan gesteld worden dat een organisatie doeltreffend en efficiënt opereert indien de met de opdrachtgever gemaakte afspraken en daarbij behorende prestaties op tijd en binnen de afgesproken budgettaire kaders worden gerealiseerd. Enerzijds hebben wij gekeken naar de doelmatigheid van projecten en anderzijds is een beoordeling gemaakt van het belangrijkste produkt van het BKWI binnen de reguliere activiteiten: Suwinet. Over de projecten van BKWI kan redelijk eenvoudig worden aangegeven of doelmatig is gewerkt. Aan de bewaking van de voortgang, de kosten en de kwaliteit van deze projecten wordt immers veel aandacht besteed. De afhankelijkheid van ketenpartners doet daar eigenlijk niets aan af, omdat je bij aanpassing van de projectdoelstellingen door de opdrachtgever ervan uit mag gaan dat er een nieuwe situatie is ontstaan met nieuwe afspraken die vervolgens weer op doelmatigheid moeten worden bewaakt. Belangrijke beheersmaatregel in dit kader zijn de zgn. ‘stoplichtoverzichten’ die niet alleen de aard van een probleem aangeven maar ook de veroorzaker ervan. Het BKWI voldoet in hoge tot zeer hoge mate aan de gemaakte afspraken en heeft haar werkzaamheden tot nu toe binnen het aan haar toegekende budget gerealiseerd. Daarnaast is met aanvullend budget vanuit het Ministerie van BZK en een bijdrage van de zgn. Manifestpartijen, ook een belangrijke prestatie geleverd door de oplevering in p roductie van een nationale authenticatie voorziening (DigiD), waarmee overheidsdienstverlening aan burgers kan worden gefaciliteerd. In 2005 zullen CWI, SVB en UWV van deze voorziening gebruik gaan maken. Om de doelmatigheid van onze reguliere activiteiten te kunnen aangeven, is van het in omvang en impact belangrijkste product van BKWI, Suwinet, onderzocht in hoeverre doelmatigheid kon worden afgeleid van productiecijfers, kwaliteitsindicatoren en gemaakte kosten. Het idee hierachter is dat het leveren van steeds meer resultaat bij gelijkblijvende of hogere kwaliteit tegen gelijkblijvende of steeds lagere kosten, een indicator vormen van een toenemende of een afnemende doelmatigheid. Uit het hiernavolgende overzicht kan opgemaakt worden dat in de jaren 2002-2004 de productie op Suwinet fors is toegenomen. Uit het gedeelte met kwaliteitsindicatoren kan opgemaakt worden dat het netwerk stabieler is geworden, dat het aantal gegevensbronnen en overzichtspagina’s is toegenomen en dat er beter wordt aangesloten op de specifieke informatiebehoefte van medewerkers (meer rollen). De kosten laten tegelijkertijd een duidelijk neergaande trend zien.
39
2002
2003
2004
productie: aantal aangesloten organisaties aantal eindgebruikers Suwinet Inkijk Inkijk opvragingen (alleen XML) gestructureerde meldingen (berichten) ongestructureerde mailberichten
400 11.581 500.000 0 0
420 18.831 4.000.000 0 0
425 24.889 7.138.591 163.018 107.983
kwaliteit: uptime BKWI infrastructuur M performance BKWI infra (in sec) verstoringen toe te schrijven aan BKWI aantal gegevensbronnen aantal rollen (soorten) eindgebruikers aantal overzichtspagina's
99,04% 3 93 2 2 3
99,30% 3 84 3 13 3
99,66 3 46 5 65 13
kosten: kosten infrastructuur hosting kosten infrastructuur verbindingen kosten personeel helpdesk e.d. licentiekosten overige kosten 5% incl. ontwikkelomgeving totale kosten
€ € € € € €
1.564.000 240.500 309.021 70.000 109.176 2.292.697
€ € € € € €
1.256.000 675.000 631.233 75.000 131.862 2.769.095
M kosten per gebruiker Inkijk per jaar M kosten per opvraging/mail/melding
€ €
198 4,59
€ €
147 0,69
40
€ 1.258.000 € 640.000 € 614.838 € 80.000 € 129.642 € 2.722.480 € €
109 0,37
7.
Jaarrekening/accountantsverklaring
Jaarrekening 2004 Bureau Keteninformatisering Werk en Inkomen
41
INHOUD Jaarrekening 2004
Pagina
-
Balans per 31 december 2004
39
-
Staat van baten en lasten over 2004
41
-
Kasstroomoverzicht 2004
42
-
Toelichting op de jaarrekening - Algemeen
43
- Activiteiten
43
-
Sturing en beheersing
43
-
Financiering van de activiteiten
44
- Europese Aanbesteding
45
- Algemene grondslagen voor de opstelling van de jaarrekening
46
-
Grondslagen voor de waardering van Activa en Passiva
46
-
Grondslagen voor de waardering van Baten en Lasten
46
- Toelichting op de balans
47
- Materiële vaste activa
47
- Liquide middelen
48
- Overige vlottende activa
48
- Fondsen
49
-
Belastingen en premies sociale verzekeringen
49
-
Kortlopende schulden
50
-
Niet uit de balans blijkende verplichtingen
50
- Toelichting Toelichting op op de de staat staat van vanbaten batenen enlasten lasten
51
- Baten
51
-
Personeelskosten
51
-
Overige bedrijfskosten
52
-
Financiële baten en lasten
53
-
Onttrekking bestemmingsfondsen
53
- Toelichting Toelichting op op de de staat batenvan en lasten baten en vanlasten projecten per financieringsbron
54
- Toelichting Toelichting op op de de staat transformatieprojecten van baten en lasten
55
-
Ondertekening
56
-
Overige gegevens
56
- Voorstel Voorstel saldo saldo van baten en lasten
56
Accountantsverklaring
57
-
42
BALANS PER 31 DECEMBER 2004 (voor verwerking voorgestelde bestemming saldo baten en lasten)
ACTIVA
31-12-2004
31-12-2003 EUR
EUR
MATERIËLE VASTE ACTIVA Computers & Software
43.231
20.277
Overige bedrijfsmiddelen
96.296
113.172
139.527
133.449
2.001.737
5.284.233
247.159
142.065
2.248.896
5.426.298
2.388.423
5.559.747
Totaal vaste activa
VLOTTENDE ACTIVA
Liquide middelen Overige vlottende activa
Totaal vlottende activa
TOTAAL ACTIVA
43
BALANS PER 31 DECEMBER 2004 (voor verwerking voorgestelde bestemming saldo baten en lasten)
PASSIVA
31-12-2004
31-12-2003 EUR
EUR
FONDSEN Nog te bestemmen middelen
18.571
219.535
Bestemmingsfonds projecten
15.359
403.287
Bestemmingsfonds (bovenwettelijke) WW
68.869
36.326
102.799
659.148
1.082.506
1.422.258
-
71.538
1.203.118
3.406.803
2.285.624
4.900.599
2.388.423
5.559.747
Totaal fondsen
KORTLOPENDE SCHULDEN Crediteuren Belastingen en premies sociale verzekeringen Overige kortlopende schulden
Totaal kortlopende schulden
TOTAAL PASSIVA
44
STAAT VAN BATEN EN LASTEN OVER 2004 Realisatie 2004 EUR
Begroting 2004 EUR
Realisatie 2003 EUR
Baten
Rijksbijdrage regulier
6.705.000
6.705.000
6.116.100
1.590.092
1.750.000
3.638.601
Rijksbijdrage transformatie 2003
737.896
1.016.899
-
Subsidie Min. Van Binnenlandse Zaken
420.000
-
-
Overige baten
115.000
-
-
9.567.988
9.471.899
9.754.701
Loonkosten eigen personeel
1.190.694
1.235.000
1.019.234
Kosten extern personeel
1.563.925
1.625.000
1.759.971
Rijksbijdrage transformatie 2004
Rijksbijdrage transformatie
Totaal baten
Lasten
Overige personeelskosten
102.667
160.000
126.299
2.857.286
3.020.000
2.905.504
Afschrijvingskosten
53.464
45.000
30.321
Huisvestingskosten
313.198
350.000
360.674
6.387.857
6.076.186
8.505.747
Kantoorkosten
43.556
40.000
56.239
Vervoerskosten
12.542
-
7.405
316.533
344.000
294.050
Totaal overig beheer
7.127.150
6.855.186
9.254.436
Totaal lasten
9.984.436
9.875.186
12.159.940
Saldo van baten en lasten
-416.448
-403.287
-2.405.239
Financiële baten en lasten
47.091
Totaal personeelskosten
Automatiseringskosten
Overige beheerskosten
Saldo baten en lasten (voor vrijval bestemmingsfonds)
-369.357
Vrijval bestemmingsfonds
387.928
Saldo baten en lasten (na vrijval bestemmingsfonds)
18.571
45
-
-403.287 403.287
-
137.061
-2.268.178
2.487.713
219.535
KASSTROOMOVERZICHT 2004
2004
2003 EUR
Kasstroom uit operationele activiteiten Overschot baten en lasten
-369.357
-2.268.178
387.928
2.487.713
Vrijval bestemmingsfondsen Vrijval bestemmingsfonds
Totaal saldo baten en lasten
18.571
219.535
Afschrijvingen
53.464
30.321
-105.095
-23.669
-2.614.975
2.797.600
Mutatie kortlopende vorderingen Mutatie kortlopende schulden Mutatie fondsen (exclusief nog te bestemmen bedragen)
-574.920
Totaal kasstroom uit bedrijfsoperaties
-5.516.842
-3.241.526
-2.712.590
Investeringen materiële vaste activa
-59.541
-26.586
Totaal kasstroom uit investeringsactiviteiten
-59.541
-26.586
-3.282.496
-2.519.641
Liquide middelen per 1 januari
5.284.233
7.803.874
Liquide middelen per 31 december
2.001.737
5.284.233
-3.282.496
-2.519.641
Kasstroom uit investeringsactiviteiten
Netto kasstroom
Netto kasstroom
46
TOELICHTING OP DE JAARREKENING
ALGEMEEN Het Bureau Keteninformatisering Werk en Inkomen (BKWI) vormt een onderdeel van de CWI-organisatie. Het bureau is sinds 1 januari 2002 operationeel en werkt in opdracht van het ministerie van SZW. Het bureau verleent diensten aan de SUWI-organisaties, die verenigd zijn in het Algemeen Ketenoverleg. Het bureau heeft haar kantoor te Amsterdam. De financiële verantwoording van het BKWI is nader geregeld in de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen d.d. 29 november 2001 (Wet SUWI). Op 21 juli 2004 is de laatste toevoeging op deze wet (Regeling SUWI) in de Staatscourant gepubliceerd. BKWI is organisatorisch geplaatst binnen CWI. Dit betekent niet dat BKWI onder de aansturing van de Raad van Bestuur van CWI valt. De Raad van Bestuur van CWI is formeel verantwoordelijk, maar voert niet de dagelijkse leiding.
ACTIVITEITEN BKWI bereidt afspraken voor die binnen het Ketenoverleg worden gemaakt op het gebied van gegevensuitwisseling en beheert deze. Voorts voert BKWI het technisch beheer van Suwinet uit en ontwikkelt Suwinet door. BKWI coördineert de afspraken ten behoeve van het technisch beheer van de aan Suwinetgerelateerde faciliteiten van de ketenpartners.
STURING EN BEHEERSING In het kader van het groeipad om te voldoen aan de eisen van VBTB worden de sturing, het beheer en de risicio's verder uitgewerkt en afgerond in 2005.
47
FINANCIERING VAN DE ACTIVITEITEN De activiteiten van BKWI worden gefinancierd uit de volgende bronnen: 1. 2. 3. 4.
Rijksbijdrage regulier van het ministerie van SZW Rijksbijdrage transformatiekostenvergoeding van het ministerie van SZW Bestemmingsfondsen Overige baten - subsidie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)
ad 1:
Rijksbijdrage regulier van het ministerie van SZW Op basis van artikel 45 lid 1 van de wet SUWI komen de uitvoeringskosten van BKWI ten laste van de door het ministerie van SZW toegekende rijksbijdrage welke is gebaseerd op de door BKWI ingediende begroting. De bijdrage wordt ontvangen voor het uitvoeren van de wettelijke taken. De rijksbijdrage wordt geheel als bate verantwoord in het boekjaar waarop deze betrekking heeft.
ad 2:
Rijksbijdrage transformatiekostenvergoeding van het ministerie van SZW De vergoeding voor transformatieprojecten wordt toegekend als voorschot. De baten voor transformatieprojecten worden verantwoord op basis van de werkelijk gemaakte kosten per project. Het saldo van het voorschot en de daarvan afgeboekte baten vormt een schuld aan het ministerie van SZW. Definitieve toekenning zal eerst plaats vinden nadat de verantwoording aan de door het ministerie van SZW gestelde eisen voldoet. Deze verantwoording is opgenomen in het jaarverslag en de jaarrekening.
ad 3:
Bestemmingsfondsen De bestemmingsfondsen zijn ontstaan uit het positieve saldo van baten en lasten van voorgaande jaren. De bestemmingsfondsen zijn onderverdeeld in de twee categorieën: transformatieprojecten en (bovenwettelijke) WW. - De onttrekking aan het bestemmingsfonds transformatieprojecten is toegestaan voor de in het boekjaar gemaakte projectkosten op de door het Ministerie van SZW goedgekeurde projecten. - De dotatie van het bestemmingsfonds (bovenwettelijke) WW vindt iedere maand plaats vanuit de op de salarissen ingehouden pseudo premie WW. De onttrekkingen bestaan uit de betalingen inzake toegekende (bovenwettelijke) WW uitkeringen.
ad 4:
Overige baten - subsidie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) BKWI heeft in 2004 het project Nationale Authenticatie Voorziening (DigiD) verricht. Voor dit project heeft het ministerie van BZK een subsidie verstrekt van EUR 420.000. Het product DigiD is op 1 januari 2005 overgedragen aan de Belastingdienst.
48
EUROPESE AANBESTEDING BKWI dient te voldoen aan de geldende Europese aanbestedingsrichtlijnen. De daadwerkelijke aanbestedende dienst is CWI als zelfstandig bestuursorgaan. In 2004 is in overleg met de ketenpartners besloten dat BKWI de Europese aanbesteding van de kosten van het beheer van het SUWI-Koppelpunt zal verzorgen. De publicatie van deze Europese aanbesteding zal in 2005 plaatsvinden. Niet alle inkopen zijn in 2004 evenals in 2003 (volledig) conform de Europese aanbestedingsrichtlijnen tot stand gekomen. Tot een bedrag van € 3,5 miljoen is extern ICT-personeel ingehuurd waarbij de procedures niet conform de Europese aanbestedingsrichtlijnen zijn uitgevoerd. Hierbij is verzuimd achteraf in Luxemburg melding te doen van de gevolgde procedure en de uiteindelijk geselecteerde leverancier CWI en BKWI zijn in 2004 gestart met de voorbereiding van de Europese aanbesteding van de inhuur van de ICT-personeel. De publicatie van deze Europese aanbesteding zal in 2005 plaatsvinden.
49
ALGEMENE GRONDSLAGEN VOOR DE OPSTELLING VAN DE JAARREKENING De jaarrekening is opgesteld met inachtneming van de eisen zoals gesteld in de Wet SUWI artikel 49 en daar waar mogelijk in overeenstemming met het Burgerlijk Wetboek 2, Titel 9. Tenzij anders vermeld, worden activa en passiva opgenomen voor de nominale waarde. De bedragen zijn opgenomen in euro's, tenzij anders is vermeld.
GRONDSLAGEN VOOR DE WAARDERING VAN ACTIVA EN PASSIVA ACTIVA Materiële vaste activa De materiële vaste activa worden gewaardeerd tegen historische kostprijs verminderd met cumulatieve afschrijvingen of tegen lagere realiseerbare waarde. Afschrijvingen geschieden lineair op basis van de geschatte levensduur. Deze bedraagt voor computers en hardware 3 jaar en voor de overige bedrijfsmiddelen 4 tot 10 jaar. Over investeringen gedurende het boekjaar wordt naar tijdsgelang afgeschreven. De activering van investeringen is gebaseerd op de financieringsstructuur van BKWI en niet op bedrijfseconomische principes. De investeringen die gefinancierd worden vanuit het transformatiebudget worden niet geactiveerd. Vlottende activa Overige vlottende activa Op de vorderingen worden noodzakelijke geachte voorzieningen voor oninbaarheid in mindering gebracht. Het risico op oninbaarheid wordt op basis van individuele vorderingsposten beoordeeld.
PASSIVA Fondsen De fondsen zijn gevormd ter financiering van specifiek gedefinieerde doelen en/of projecten en mogen uitsluitend hiervoor worden aangewend. Fondsen mogen slechts worden herbestemd na goedkeuring door het ministerie van SZW. Nog te bestemmen middelen De nog te bestemmen middelen betreft het saldo van baten en lasten (na vrijval bestemmingsfonds) van het lopend jaar. Het ministerie van SZW besluit over de bestemming van deze middelen. Bestemmingsfonds projecten transformatie Het bestemmingsfonds projecten transformatie betreft niet uitgeputte transformatiegelden uit 2002 voor projecten zoals goedgekeurd door het ministerie van SZW. Aan het bestemmingsfonds projecten 2002 worden de kosten voor de uitvoering van de benoemde transformatieprojecten onttrokken. De transformatieprojecten zijn conform de Regeling SUWI op projectniveau verantwoord in de toelichting op de jaarrekening. (Bovenwettelijke) WW De medewerkers van BKWI zijn in dienst van CWI. CWI is eigen risicodrager voor de (bovenwettelijke) WW. Voor de financiering van toekomstige (bovenwettelijke) WW risico's heeft BKWI een bestemmingsfonds gevormd vanuit de inhoudingen van de wettelijke pseudo WW premie op de salarissen.
GRONDSLAGEN VOOR DE BEPALING VAN BATEN EN LASTEN Baten en lasten worden toegerekend aan het boekjaar waarop zij betrekking hebben. Dit houdt onder andere in dat bedrijfskosten worden verantwoord op het moment van levering van het goed of de verrichting van de dienst. Voor een gedetailleerde beschrijving van de verantwoording van de baten wordt verwezen naar de toelichting op de financiering van de activiteiten.
50
TOELICHTING OP DE BALANS
Materiële vaste activa Het verloop in het boekjaar is als volgt te specificeren: 2004
2003
Totaal Activa
Totaal Activa
Computers en Software EUR
Computers en Software EUR
Overige bedrijfsmiddelen EUR
Aanschafwaarde 1-1
-
33.720
134.568
168.288
141.702
Cumulatieve afschrijvingen
-
13.443
21.396
34.839
4.518
Boekwaarde 1-1
-
20.277
113.172
133.449
137.184
Investeringen
-
47.482
12.059
59.541
26.586
Afschrijvingen
-
24.528
28.936
53.464
30.321
Boekwaarde 31-12
-
43.231
96.296
139.527
133.449
Aanschafwaarde 31-12
-
81.202
146.628
227.829
168.288
Cumulatieve afschrijvingen
-
37.971
50.332
88.303
34.839
Boekwaarde 31-12
-
43.231
96.296
139.527
133.449
Afschrijvingspercentages
10-25%
33%
EUR
10-25%
De investeringen die in 2004 gedaan zijn betreffen de aanschaf van drie werkplekken met personal computers en uitbreiding c.q. vervanging. ten behoeve van het technisch beheer Suwinet.
51
EUR
Liquide middelen 31-12-2004 EUR
31-12-2003 EUR
Banken
2.001.498
5.284.122
Kassen
239
111
2.001.737
5.284.233
Totaal liquide middelen
De afname van de liquide middelen met € 3 mln. wordt onder meer veroorzaakt door de betaling van de kosten over geheel 2003 aan ABP/CIS ten bedrage van € 1,2 mln., alsmede de betaling van de kosten van UWV en CWI over 2003 ten bedrage van. € 1,1 mln. De betalingen hebben in het 1e kwartaal 2004 plaats gevonden. Afgezien van enkele korte termijn deposito's staan de liquide middelen ter vrije beschikking aan de organisatie.
Overige vlottende activa 31-12-2004
31-12-2003 EUR
Vooruitbetaalde bedrijfskosten Diverse vorderingen
Diverse vorderingen Overige vorderingen en overlopende 13330 activa
Totaal vlottende activa
152.147
142.065
95.012
-
247.159
142.065
De vooruitbetaalde kosten hebben grotendeels betrekking op de huur en servicekosten voor het komend jaar. De vorderingen hebben grotendeels betrekking op de bijdrage van de Manifestgroep aan het reguliere project DigiD.
52
EUR
Fondsen Nog te bestemmen middelen EUR Stand per 31 december 2003
219.535
Verdeling positief saldo baten en lasten 2003
-219.535
Dotatie tijdens het boekjaar
-
219.535
18.571
Onttrekking tijdens het boekjaar
-
Betaling tijdens het boekjaar
-
Stand per 31 december 2004
Terugbetaling ministerie van SZW EUR
Bestemmingsfonds (Bovenwettelijke) WW EUR
403.287
-
Totaal EUR
36.326
659.148
-
-
-
-
-
-387.928
-
-387.928
-
-
-219.535
-219.535
18.571
Bestemmingsfonds Projecten Transformatie EUR
-
15.359
32.543
51.114
68.869
102.799
Het saldo baten en lasten staat ter beschikking van het ministerie van SZW. Het restant van het bestemmingsfonds van € 15,359,= is na herijking in het 3e kwartaal van 2004 toegedeeld aan de projecten welke zijn gebudgetteerd uit het bestemmingsfonds 2003, maar nog niet zijn afgerond (zie bijlage veranderprogramma). De dotatie aan het (bovenwettelijk) WW fonds wordt gevormd door inhouding van de wettelijke pseudo WW premie op het salaris van de medewerkers. Het ministerie van SZW dient nog formele toestemming te geven voor deze dotatie in 2004.
Belastingen en premies sociale verzekeringen 31-12-2004 EUR
31-12-2003 EUR
Af te dragen loonheffing
-
57.002
Te betalen pensioenpremie / premies sociale verzekeringen
-
14.536
-
71.538
Totaal Belastingen en premies sociale verzekeringen
De loonheffing, pensioenpremie en premies sociale verzekeringen zijn bij de salarisbetaling van december ingehouden en vóór 31 december 2004 afgedragen aan CWI.
53
Overige kortlopende schulden
31-12-2004
31-12-2003 EUR
Vooruitontvangen transformatiegelden ministerie van SZW
EUR
438.911
1.016.899
Nog te betalen Personeelskosten
97.507
106.449
Extern personeel
78.519
182.829
Accountantskosten
27.400
23.800
468.253
2.037.398
92.528
39.428
1.203.118
3.406.803
Automatiserings- en projectkosten Diversen
Totaal overige kortlopende schulden
De kortlopende schulden zijn ten opzichte van 2003 sterk afgenomen, omdat de facturatie met betrekking tot het beheer van de Centrale Omgeving en het Netwerk SuwiKoppelpunt in 2004 maandelijks heeft plaatsgevonden. Hierdoor hoefde slechts voor één maand een verplichting te worden opgenomen. Bovendien zijn de kosten van het UWV voortvloeiend uit het Ketenprogramma 2003/2004 al aan het eind van het 4e kwartaal 2004 betaald. De schuld aan het ministerie van SZW betreft de nog te verrichten dan wel af te ronden transformatieprojecten. Het schuldsaldo is in de loop van 2004 sterk verminderd doordat onderliggende projecten die in 2003 nog niet waren afgerond alsnog tot afronding zijn gekomen in 2004. In de vooruitontvangen transformatiegelden van € 438.911,= is € 105.033,= bestemd voor het project D099 Europese aanbesteding beheer Suwinet Inkijk Services. Dit project zal naar verwachting in 2005 worden afgerond. Voor de inhoud van dit project wordt verwezen naar het jaarverslag.
Niet uit de balans blijkende verplichtingen BKWI heeft een onderhuurcontract met CWI dat een jaarlijkse last van circa € 315.000,= met zich mee brengt. Het contract loopt tot 1 maart 2005. De restverplichting vanaf 31 december 2004 bedraagt € 78.300,=. BKWI heeft een Dienstverleningscontract met ABP/CIS ter waarde van € 840.000,=. Het contract loopt tot 18 februari 2006. De restverplichting vanaf 31 december 2004 bedraagt € 980.000,=.
54
TOELICHTING OP DE STAAT VAN BATEN EN LASTEN Realisatie 2004
BATEN Rijksbijdrage regulier
Begroting 2004
Realisatie 2003
6.705.000
6.705.000
6.116.100
1.590.092
1.750.000
3.638.601
Rijksbijdrage transformatie 2003
737.896
1.016.899
-
Subsidie Min. Van Binnenlandse Zaken
420.000
-
-
Overige baten
115.000
-
-
9.567.988
9.471.899
9.754.701
Rijksbijdrage transformatie 2004
Rijksbijdrage transformatie
Totaal baten
De activiteiten van CWI worden in Nederland verricht. Een toelichting over de toerekening van de baten is te vinden bij "Financiering van de activiteiten" en "Grondslagen voor de waardering van baten en lasten". De rijksbijdrage transformatie is ten behoeve van keteninformatiseringsprojecten. In de toelichting op de transformatiekosten is een overzicht opgenomen van de uitputting per project. Over de bereikte resultaten wordt in het jaarverslag gerapporteerd. De overige baten hebben betrekking op de bijdrage van de Manifestgroep in de kosten van het project DigiD.
LASTEN Personeelskosten Realisatie 2004 EUR
Loonkosten eigen personeel
Salariskosten
Begroting 2004 EUR
Realisatie 2003 EUR
1.054.236
775.000
737.470
71.947
80.000
57.049
Sociale lasten
126.141
140.000
81.887
Pensioenkosten
167.865
180.000
96.884
55.769
60.000
45.944
-285.264
-
-
1.190.694
1.235.000
1.019.234
Vakantietoeslag
Belaste toelagen Af: doorberekende personeelskosten
Totaal loonkosten eigen personeel
Kosten extern personeel Kosten extern personeel en detacheringen
1.563.925
Overige personeelskosten
1.625.000
1.759.971
-
Overige personeelskosten en inhoudingen
Totaal personeelskosten
102.667
160.000
126.299
2.857.286
3.020.000
2.905.504
De realisatie van de loonkosten eigen personeel ligt op het niveau van de begroting 2004. Ten opzichte van 2003 is een stijging te zien van € 171.460,=, als gevolg van de toename van het aantal werknemers. Eind 2004 bestond de vaste bezetting uit 25,6 fte (begroot 30 fte) terwijl dit eind 2003 21 fte (begroot 25 fte) waren. De doorberekende personeelskosten betreft de personeelskosten (exclusief sociale lasten) die zijn gemaakt in het kader van reguliere projecten en zijn verantwoord onder de automatiseringskosten. In 2004 bedroeg het gemiddeld aantal werknemers: 24,5. In 2003 was dit aantal 18,3.
55
Overige bedrijfskosten Realisatie 2004 EUR
Begroting 2004 EUR
Realisatie 2003 EUR
Automatiseringskosten Projecten 2003-2004 Doorloop Suwinetprojecten 2002 Technisch beheer, incl. licenties Suwinet Netwerk, incl. Koppelpunt Koppelpunt BKWI specifieke automatiseringsmiddelen (ontwikkelomgeving Suwinet) Totaal automatiseringskosten ten behoeve van Suwinet
2.327.988 387.928 1.281.318 604.519 101.201 4.702.954
2.766.899 403.287 1.200.000 410.000 124.000 4.904.186
3.638.601 2.487.712 1.331.322 674.632 51.344 8.183.611
Organisatiebrede ICT kosten Ontwikkelkosten Totaal overige automatiseringskosten
156.871 1.528.032 1.684.903
172.000 1.000.000 1.172.000
286.509 35.627 322.136
Overige automatiseringskosten
Totaal automatiseringskosten
6.387.857
6.076.186
8.505.747
Afschrijvingskosten
53.464
45.000
30.321
Huisvestingskosten
313.198
350.000
360.674
Kantoorkosten
43.556
40.000
56.239
Vervoerskosten
12.542
-
7.405
316.533
344.000
294.050
7.127.150
6.855.186
9.254.436
Overige beheerskosten
Totaal overige bedrijfskosten
Een belangrijk deel van de automatiseringskosten heeft betrekking op projecten waarin BKWI ten behoeve van de ketenpartners deelneemt. Per kwartaal legt het BKWI in een afzonderlijke rapportage verantwoording af over de voortgang, de budgetuitputting en de behaalde resultaten van de projecten. BKWI legt verantwoording af per project in het jaarverslag. In de toelichting op de transformatiekosten is een overzicht opgenomen van de uitputting per project. De kosten voor technisch beheer van zowel de Centrale Omgeving als het Suwi-Koppelpunt zijn hoger dan begroot, doordat in 2004 een groot aantal additionele werkzaamheden zijn uitgevoerd, die tevens hebben geleid tot een verhoging van de maandelijkse beheerkosten. Onder "Ontwikkelkosten" worden eveneens de reguliere projecten die BKWI in 2004 heeft uitgevoerd opgenomen inclusief de doorbelaste personeelskosten € 285.264,=. Voor deze projecten was € 1.000,000,= begroot. De totale uitgave hiervan bedraagt € 1.528.032,=. Eén van de reguliere projecten betrof de ontwikkeling van DigiD, waarvoor een subsidie van € 420.000,= is ontvangen van het ministerie van BZK. Bovendien is een bijdrage van € 115.000,= ontvangen van de Manifestgroep. De kosten van de overige reguliere projecten bedragen derhalve € 993.032,=.
56
Financiële baten en lasten Realisatie 2004 EUR Financiële baten
Financiële baten en lasten
Financiële baten
Begroting 2004 EUR
Realisatie 2003 EUR
47.091
-
137.061
47.091
-
137.061
Vrijval bestemmingsfonds Realisatie 2004 EUR Vrijval bestemmingsfonds
Totaal vrijval bestemmingsfondsen
Begroting 2004 EUR
EUR
387.928
403.287
2.487.713
387.928
403.287
2.487.713
De vrijval van het bestemmingsfonds transformatie betreft de in 2004 werkelijk verantwoorde kosten op deze projecten, zoals nader toegelicht in het overzicht op pagina 55.
57
Realisatie 2003
TOELICHTING OP DE BATEN EN LASTEN VAN PROJECTEN PER FINANCIERINGSBRON
in Euro's
Regulier
bestemming
Transformatie 04
Transformatie 03
Totaal
BATEN Rijksbijdrage regulier Transformatie 2004 Transformatie 2003 Subsidie Min. Binnenlandse Zaken Overige baten Financiële baten
6.705.000 420.000 115.000 47.091
-
1.590.092 -
737.896 -
6.705.000 1.590.092 737.896 420.000 115.000 47.091
TOTAAL BATEN
7.287.091
-
1.590.092
737.896
9.615.079
Loon eigen personeel Loon extern personeel Overige personeelskosten Totaal personeelskosten
1.190.694 1.563.925 102.667 2.857.286
-
-
-
1.190.694 1.563.925 102.667 2.857.286
Afschrijvingskosten Huisvestingskosten Kantoorkosten Automatiseringskosten Vervoerskosten Overige Beheerskosten Totaal beheerskosten
53.464 313.198 43.556 3.671.941 12.542 316.533 4.411.234
387.928 387.928
1.590.092 1.590.092
737.896 737.896
53.464 313.198 43.556 6.387.857 12.542 316.533 7.127.150
7.268.520
387.928
1.590.092
737.896
9.984.436
-
387.928 387.928
-
-
387.928 387.928
18.571
-
-
-
18.571
LASTEN
TOTAAL LASTEN Onttrekking uit: Bestemmingsfonds Totaal uit bestemmingsfonds
EXPLOITATIESALDO
58
TOELICHTING OP DE TRANSFORMATIEPROJECTEN
Bijgaande overzichten geven alleen inzicht in de financiële aspecten van de betreffende transformatieprojecten. Voor een inhoudelijke verantwoording op projectniveau wordt verwezen naar het Jaarverslag 2004.
Transformatie projecten in 2004 Naam in Euro's C099 D091 D099 E099 F011 F041 F099
Budget
Kosten
Saldo
Professionaliseren Suwinet Inkijk Services Vastst. en realiseren initiële uitwijk-voorzieningen Suwinet Inkijk Services Europese Aanbesteding voor het beheer van Suwinet Inkijk Services Realiseren geautomatiseerde werkproceskoppelingen Business Informatie Architectuur keten Technische Architectuur keten werk en Inkomen Realiseren mail binnen keten van Werk en Inkomen via besloten netwerk
1.284.741 154.367 193.818 1.011.825 200.000 64.594 260.841
1.261.058 154.367 13.785 1.003.918 143.331 42.945 96.512
23.683 180.033 7.907 56.669 21.649 164.329
Totaal transformatiekosten in 2004
3.170.186
2.715.916
454.270
Naam in Euro's
Budget
C099 D091 D099 F041
Professionaliseren Suwinet-Inkijk Service Vastst. en realiseren initiële uitwijk-voorzieningen Suwinet Inkijk Services Europese Aanbesteding voor beheer Suwi Technische Architectuur keten werk en Inkomen Totaal projecten bestemmingsfonds
C099 D099 E099 F099
C099 E099 F011 F041 F099
Kosten
Saldo
205.182 154.367 29.144 14.594 403.287
205.182 154.367 13.785 14.594 387.928
15.359 15.359
Professionaliseren Suwinet-Inkijk Service Europese Aanbesteding voor beheer Suwi Realiseren geautomatiseerde werkproces Realiseren mail binnen keten Werk en Inkomen Totaal projecten transformatie (doorschuif 2003)
529.559 164.674 111.825 210.841 1.016.899
529.559 111.825 96.512 737.896
164.674 114.329 279.003
Professionaliseren Suwinet-Inkijk Service Realiseren geautomatiseerde werkproces Business Informatie Architectuur keten Technische Architectuur keten werk en Inkomen Realiseren mail binnen keten Werk en Inkomen Totaal projecten vorderingen transformatie 2004 (toezegging)
550.000 900.000 200.000 50.000 50.000 1.750.000
526.317 892.093 143.331 28.351 1.590.092
23.683 7.907 56.669 21.649 50.000 159.908
Totaal Transformatiekosten in 2004
3.170.186
2.715.916
454.270
59
ONDERTEKENING VAN DE JAARREKENING
Amsterdam, 28 februari 2005
Bestuurder
Directeur BKWI
Drs. R. de Groot (bestuursvoorzitter CWI)
Drs. O.M. Kinkhorst
OVERIGE GEGEVENS
Voorstel saldo van baten en lasten Het overschot van baten en lasten staat ter beschikking van het ministerie van SZW.
60
ACCOUNTANTSVERKLARING
Opdracht In het kader van de controle, bedoeld in artikel 49, vierde lid, van de Wet structuur Uitvoeringsorganisatie werk en inkomen hebben wij de in deze verantwoording opgenomen jaarrekening 2004, zoals opgenomen op pagina 37 tot en met 57 van het jaarverslag van het Bureau Keteninformatisering Werk en Inkomen (BKWI) te Amsterdam gecontroleerd. De verantwoording is opgesteld onder verantwoordelijkheid van de leiding van BKWI. Het is onze verantwoordelijkheid een accountantsverklaring inzake de jaarrekening te verstrekken.
Werkzaamheden Bij onze controle hebben wij nagegaan of de jaarrekening voldoet aan de volgende eisen: -
Dat de verantwoording is opgesteld overeenkomstig de inrichtingsvoorschriften die in de Wet structuur uitvoeringsorganisatie werk en inkomen en de daarbij behorende uitvoeringsregelingen zijn vastgesteld.
-
Dat de jaarrekening een getrouw beeld geeft van zowel de baten en lasten over het jaar 2004, als de activa en passiva aan het einde van het jaar.
-
Dat de in de jaarrekening opgenomen baten en lasten totstandgekomen zijn in overeenstemming met de Wet structuur uitvoeringsorganisatie werk en inkomen, de materiewetten en andere van toepassing zijnde wettelijke regelingen.
Onze controle is verricht overeenkomstig de bepalingen in de Wet structuur uitvoeringsorganisatie werk en inkomen, de Regeling structuur uitvoeringsorganisatie werk en inkomen (inclusief het controleprotocol) en in Nederland algemeen aanvaarde richtlijnen met betrekking tot controle opdrachten. Volgens deze richtlijnen dient onze controle zodanig te worden gepland en uitgevoerd, dat een redelijke mate van zekerheid wordt verkregen dat de jaarrekening geen onjuistheden van materieel belang bevat. Een controle omvat onder meer een onderzoek door middel van deelwaarnemingen van informatie ter onderbouwing van de bedragen en de toelichtingen in de jaarrekening. Tevens omvat een controle een beoordeling van de grondslagen voor financiële verslaggeving die bij het opmaken van de jaarrekening zijn toegepast en van belangrijke schattingen die de leiding van BKWI daarbij heeft gemaakt, alsmede een evaluatie van het algehele beeld van de jaarrekening. Wij zijn van mening dat onze controle een deugdelijke grondslag vormt voor ons oordeel.
Oordeel Wij zijn van oordeel dat de in deze verantwoording opgenomen jaarrekening voldoet aan de hierboven omschreven eisen.
Amstelveen, 28 februari 2005 KPMG Accountants N.V.
61
8.
Oordeel beveiliging Suwinet
1 1.1 1.2 1.3 1.4 2 2.1 2.2 A A.1 A.2 A.3 A.4 B B.1 B.2
Inleiding Achtergrond Doelstelling Reikwijdte voor BKWI Werkwijze en rapportering Oordeel en toelichting Oordeel Toelichting op het oordeel Bevindingen, risico’s en aanbevelingen Organisatorische aspecten Beheerprocessen Toepassingen Componenten Bestudeerde documentatie en gehouden interviews Ontvangen en bestudeerde documentatie Geïnterviewde medewerkers BKWI
62
1
Inleiding
1.1 Achtergrond Het Bureau Keteninformatisering Werk en Inkomen (hierna: BKWI) is de ondersteunende instelling die ten dienste staat van organisaties in de Suwiketen. Het BKWI verzorgt enerzijds het totstandkomen en vastleggen van afspraken tussen de Suwipartijen en anderzijds beheert het BKWI het stelsel aan technische voorzieningen waarmee de Suwipartijen gegevens bij elkaar kunnen opvragen en met elkaar kunnen uitwisselen. Deze audit richt zich op deze laatste taak. De beveiliging van de onder het beheer van BKWI vallende Suwinet-bedrijfsprocessen wordt aan de hand van de ‘Verantwoordingsrichtlijn EDP-audit beveiliging Suwi’, het daarin opgenomen normenkader versie 1.0 d.d. 29 oktober2004 en op basis van het document ‘Voorstel Minimale Normen versie 1.0’ d.d. 22 september 2004 beoordeeld. 1.2 Doelstelling In de verantwoordingsrichtlijn EDP-audit beveiliging Suwi versie 1.0 d.d. 29 oktober 2004 is de opdracht als volgt gedefinieerd : Het uitvoeren van een onderzoek naar de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen, opgenomen in de onder het beheer van BKWI vallende bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensuitwisseling via het Suwinet. Het onderzoek leidt tot een oordeel over het stelsel van maatregelen en procedures, opgenomen in de onder het beheer van BKWI vallende bedrijfsprocessen voor het Suwinet en de koppelvlakken gericht op de beveiliging van de gegevensuitwisseling via Suwinet. Het oordeel 2004 heeft, conform het gestelde in de goedkeuringsbrief 2004 van de Minister van SZW, betrekking op de opzet en het bestaan van het stelsel van maatregelen en procedures per 31 december 2004. Voor het verantwoordingsjaar 2005 zal ook de werking meegenomen worden in het oordeel. 1.3 Reikwijdte voor BKWI Voor de reikwijdte van het onderzoek is een drietal documenten leidend: enerzijds is versie 1.0 van de verantwoordingsrichtlijn EDP-audit beveiliging Suwi ter hand genomen en anderzijds zijn voor de specifieke reikwijdte met betrekking tot het verantwoordingsjaar 2004 de documenten ‘Voorstel Minimale Normen versie 1.0’ en ‘PPI 2004 060 Memo DPB aanlevering Verantwoordingsrichtlijn[1]’. De definitie voor Suwinet die hierbij gehanteerd wordt, is: ‘het beschikbaar stellen van de infrastructuur voor gegevensuitwisseling tussen aanleverende en afnemende systemen’. De uit de verantwoordingsrichtlijn overgenomen figuur illustreert de reikwijdte van het onderzoek. De reikwijdte van dit onderzoek is daarbij beperkt tot de vlakken B en C.
63
Kijkend naar de verantwoordingsrichtlijn en de specifieker omschreven scope in het document ‘Voorstel Minimale Normen’ betreft de reikwijdte voor de EDP-audit Suwinet BKWI de opzet en het bestaan van het stelsel van maatregelen en procedures gericht op de exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid van de beveiliging van de bedrijfsprocessen onder het beheer van het BKWI met betrekking tot het Suwinet (zie C in het schema) en de bij het BKWI beheerde onderdelen van de koppelvlakken (zie B in het schema). B: In dit gebied (de koppelvlakken) vallen alle bedrijfsprocessen en systemen alsmede de ondersteunende processen en systemen die specifiek voor de gegevensuitwisseling met Suwinet zijn ontwikkeld, zoals bijvoorbeeld de inkijkpagina’s en de Suwinet-servers die bij de verschillende partijen staan. Het beheer van de beveiliging van dit koppelvlak kan per organisatorisch aspect, beheerproces, toepassing of component verschillen. In het kader van dit onderzoek zijn de maatregelen en procedures die onder de verantwoordelijkheid van het BKWI vallen, beoordeeld. C: In dit gebied bevinden zich de centrale processen en systemen die nodig zijn voor de gegevensuitwisseling via Suwinet en die niet integraal aan een van de Suwi-partijen zijn toe te wijzen. Het beheer van dit centrale domein ligt bij het BKWI en zijn in het kader van dit onderzoek beoordeeld. De onder de verantwoordelijkheid van de aangesloten partijen CWI, UWV, gemeenten en Inlichtingenbureau getroffen maatregelen vallen nadrukkelijk buiten de reikwijdte van het onderzoek. In deze EDP-audit beveiliging Suwi heeft nadrukkelijk geen onderzoek naar de werking van maatregelen en procedures gericht op de exclusiviteit, integriteit, beschikbaarheid en controleerbaarheid van de beveiliging van de bedrijfsprocessen onder het beheer van het BKWI plaats gevonden. Eventueel geconstateerde bevindingen ten aanzien van belemmeringen om een oordeel te kunnen geven over de werking vanaf 1 januari 2005 zijn als aanbeveling in de bijlage bij dit oordeel opgenomen. 1.4 Werkwijze en rapportering De voor dit onderzoek benodigde gegevens zijn verk regen door het houden van interviews en het raadplegen van documentatie. De bevindingen met betrekking tot de audit 2004 zijn afkomstig uit twee onderzoeksperioden, te weten: pre-audit 2004, uitgevoerd in de periode juli en augustus 2004; audit 2004, uitgevoerd in de periode november 2004 – januari 2005. Tijdens de pre -audit is tevens aandacht besteed aan de bevindingen uit de audit 2003. Bij iedere bevinding zijn wij, indien relevant, steeds gestart met het vaststellen of, en zo ja, in welke mate opvolging is gegeven aan de aanbevelingen uit 2003. Daarnaast is de stand van zaken opgemaakt en zijn acties uitgezet als voorbereiding op de audit aan het einde van het jaar 2004. Wij hebben ons oordeel gebaseerd op de normen die zijn opgenomen in de Vera ntwoordingsrichtlijn. De conclusies en aanbevelingen, ter onderbouwing van ons oordeel, zijn afgestemd met de verantwoordelijke BKWI-functionarissen.
2
Oordeel en toelichting
2.1
Oordeel
2.1.1 Opdracht Ingevolge artikel 6.4 Regeling SUWI d.d. 21 december 2001 is aan ons in brief van 26 juli 2004 (kenmerk 2004/0332) in relatie tot de beveiliging van de gegevensuitwisseling via Suwinet opdracht verstrekt voor het uitvoeren van een onderzoek naar de opzet en het bestaan van het stelsel van procedures en maatregelen, opgenomen in de onder het beheer van het BKWI vallende bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken.
64
Het begrip ‘beveiliging’ is nader gepreciseerd met de onderstaande kwaliteitscriteria: • Beschikbaarheid: de mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. • Exclusiviteit: de mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. • Integriteit: de mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is. • Controleerbaarheid: de mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via het Suwinet en het koppelvlak tot het beoogde resultaat hebben geleid. De afbakening van de onder het beheer van het BKWI vallende delen van de gegevensuitwisseling binnen het Suwinet is opgenomen in de toelichting bij dit oordeel. 2.1.2 Verantwoordelijkheid Het management van het BKWI is verantwoordelijk voor het inrichten van dit stelsel van procedures en maatregelen en het daarover afleggen van verantwoording. Het is onze verantwoordelijkheid om een oordeel inzake dit stelsel van procedures en maatregelen en de verantwoording daarover te verstrekken. 2.1.3 W e r k z a a m h e d e n De kwaliteitscriteria beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid zijn uitgewerkt in normen. Deze normen zijn opgenomen in het Suwinet-Normenkader (bijlage D van de verantwoordingsrichtlijn EDP-audit beveiliging Suwinet versie 1.0 d.d. 29 oktober 2004). De wijze waarop daarmee voor 2004 wordt omgegaan, is opgenomen in het document ‘Voorstel Minimale Normen versie 1.0’ d.d. 22 september 2004 en het document ‘PPI 2004 060 Memo DPB aanlevering Verantwoordingsrichtlijn[1]’ d.d. 11 oktober 2004. De opzet van het stelsel van procedures en maatregelen in de organisatie van het BKWI hebben wij naar de stand per 31 december 2004 getoetst aan deze normen. Vervolgens is door ons de verantwoording hierover beoordeeld zoals die is vermeld in het Jaarverslag BKWI over het jaar 2004 d.d. 28 februari 2005. Het gaat hierbij om de subparagraaf privacy en beveiliging in de Management Samenvatting en de relevante passages in de met een asterix (*) aangegeven paragrafen in het jaarverslag. Het onderzoek is gebaseerd op het kennisnemen van documentatie, het houden van interviews, het beoordelen van de resultaten van de uitgevoerde interne controles en het verrichten van eigen (aanvullende) werkzaamheden. Het onderzoek is zodanig verricht dat de strekking van het oordeel met een hoge mate van zekerheid is onderbouwd. 2.1.4 O o r d e e l Op grond van ons onderzoek k omen wij tot het oordeel dat het stelsel van procedures en maatregelen, opgenomen in de onder het beheer van het BKWI vallende bedrijfsprocessen voor het Suwinet en de koppelvlakken gericht op de beveiliging van de gegevensuitwisseling via Suwinet naar de stand per 31 december 2004 voldoet aan de normen met uitzondering van een niet-materieel onderdeel van de onderzoeksobjecten beveiligingsplan, service level management, continuïteitsbeheer en testen. Daarnaast zijn wij van mening dat de maatregelen en procedures op 31 december 2004 zodanig van kwaliteit zijn dat over 2005 een oordeel over de opzet, het bestaan én de werking kan worden gegeven. 2.1.5 V e r s t r e k k e n a a n a n d e r e n d a n d e o p d r a c h t g e v e r Het oordeel, dat uitsluitend mag worden verstrekt in samenhang met de toelichting op dit oordeel, is primair bedoeld voor het verstrekken van het vereiste inzicht aan de Minister van Sociale Zaken en Werkgelegenheid, de Inspectie Werk en Inkomen en de Security Officer van de eigen organisatie. Deze zal een publieke versie inbrengen in de Domeingroep Privacy en Beveiliging.
65
De Security Officer van het BKWI gebruikt deze versie voor het opstellen van het totaaloverzicht over de beveiliging van Suwinet voor de Minister, de Inspectie Werk & Inkomen, de Domeingroep Privacy & Beveiliging en het Ketenoverleg (zie Bijlage XIV Deel hoofdstuk 3). Den Haag, 28 februari 2005 PricewaterhouseCoopers Accountants N.V., vertegenwoordigd door A.J.M. de Bruijn RE RA
66
2.2 Toelichting op het oordeel Ter toelichting op het oordeel inzake de beveiliging van de gegevensuitwisseling naar de stand per 31-12-2004 via Suwinet bij het BKWI melden wij het volgende: a. In onderstaande tabel is per onderwerp uit het Suwinet-Normenkader de uitkomst van de beoordeling van het stelsel van pro cedures en maatregelen toegelicht. De uitkomsten van deze beoordeling hebben, rekening houdend met de diverse wegingsfactoren, geleid tot het samenvattende oordeel zoals vermeld onder punt 1. Tevens is ter vergelijking de status vermeld van het verantwoordingsjaar 2003.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
STATUS INFORMATIEBEVEILIGING SUWINET BIJ BKWI Onderwerp Beveiligingsplan artikel 6.4 Regeling SUWI Organisatorische aspecten Architectuur / Standaarden Service Level Management Capaciteitsbeheer Continuïteitsbeheer Configuratiebeheer Incidentbeheer Probleembeheer Wijzigingsbeheer Testen Netwerkbeheer Logische toegangsbeveiliging Fysieke beveiliging Suwinet-Inkijk Suwinet-Meldingen Suwinet-Mail Toegangbeveiligingspakket Server Netwerk Koppelingen / koppelpunten (Router en Firewall)
2004
2003
Voldoende effectieve procedures en maatregelen getroffen Procedures en maatregelen getroffen maar gedeeltelijk geïmplementeerd Geen of vrijwel geen procedures en maatregelen getroffen Suwinet-mail en Suwinet-Meldingen zijn vorig jaar niet beoordeeld. Dit jaar zijn beide onderdelen wel getoetst maar nog niet in het oordeel meegenomen, conform het document ‘PPI 2004 060 Memo DPB aanlevering Verantwoordingsrichtlijn[1]’ d.d. 11 oktober 2004. Appendix A bevat per onderwerp de samenvatting van de bevindingen van de EDP-auditor over de mate waarin de getroffen procedures en maatregelen zijn gerealiseerd en welke risico’s mogelijk nog bestaan. Die bevinding is samengevat via een kleurencode. Deze kleurencode is bepaald aan de hand van de uitkomsten van de beoordeling van de individuele normen waaruit een onderwerp is samengesteld en is, evenals de oordeelsvorming het geval is, mede gebaseerd op het professional judgment van de EDP-auditor. Deze bevindingen vormen een element bij de oordeelsvorming door de EDP-auditor. b. Ter toelichting op het oordeel melden wij het volgende: Het oordeel heeft betrekking op de volgende, onder het beheer van het BKWI vallende organisatorische aspecten, beheerprocessen, componenten en toepassingen voor het Suwinet en de koppelvlakken, waarbij Suwinet-Mail en Suwinet-Meldingen wel zijn getoetst aan de norm, maar niet meegenomen zijn in het oordeel:
67
c.
In het oordeel is aangegeven dat voldaan wordt aan de norm met uitzondering van een nietmaterieel onderdeel van de onderzoeksobjecten beveiligingsplan, service level management, continuïteitsbeheer en testen. Deze uitzonderingen worden veroorzaakt door onderstaande bevindingen en zijn nader toegelicht in de verantwoording van de directeur van het BKWI. • • • •
d.
Beveiligingsplan – Het beveiligingsplan dient met betrekking tot continuïteitsaspecten bijgewerkt te worden in overeenstemming met de huidige situatie. Service level management – Ten aanzien van Suwinet-Meldingen en Suwinet-Mail zijn geen afzonderlijke SLA’s opgesteld. Continuïteitsbeheer – Het ontbreken van een continuïteitsplan als zodanig. Testen – Het ontbreken van een template voor de dossiervoering van het testproces.
In het oordeel is voor geen van de onderdelen aangegeven dat niet voldaan wordt aan de norm.
e. In relatie tot de in het oordeel opgenomen verwijzing naar de Verantwoordingsrichtlijn EDP-audit Suwinet hebben geen aanvullingen of aanpassingen ten opzichte van de bij die richtlijn behorende normen plaatsgevonden. f.
In de voorgaande verantwoording(en) is melding gemaakt van een aantal bevindingen dat van invloed was op de strekking van het oordeel. De stand van zaken ten aanzien van deze bevindingen is vermeld in de verantwoording van het management waarop dit oordeel betrekking heeft.
g. •
Het oordeel is gebaseerd op de volgende uitgangspunten: De opzet en reikwijdte van de EDP-audit zijn uitgewerkt in een plan waarin wordt gemotiveerd welke systemen, procedures et cetera worden betrokken in de EDP-audit. Het onderzoek is zodanig uitgevoerd dat toereikende informatie is verkregen om met een hoge mate van zekerheid te kunnen concluderen dat de beveiliging van de gegevensuitwisseling via Suwinet in alle van materieel belang zijnde opzichten voldoet aan de genoemde kwaliteitscriteria.
•
h. • • •
Relevant is te onderkennen dat: Het oordeel niet zonder meer geldig is na datum van ondertekening van het oordeel. Het oordeel geen betrekking heeft op de gegevensverwerking door de Suwi-partijen en daarmee op de inhoud van de gegevens die zijn uitgewisseld via Suwinet. De beoordeling van het kwaliteitscriterium ‘beschikbaarheid’ mede een zekere verwachtingswaarde voor de toekomst inhoudt, dit in tegenstelling tot de andere kwaliteitscriteria die een uitspraak inhouden over feitelijkheden naar de stand per 31 december 2004.
68
9.
Bijlagen behorende bij de EDP-audit
A
Bevindingen, risico’s en aanbevelingen
In deze bijlage zijn de samenvattende bevindingen, risico’s en aanbevelingen per onderwerp van het normenkader opgenomen. Voor de detailbevindingen verwijzen wij naar het ingevulde normenkader dat volledig is afgestemd met alle geïnterviewden binnen het BKWI. A.1
O r g a ni s a t o r i s c h e a s p e c t e n
A.1.1
Beveiligingsplan artikel 6.4 Regeling SUWI
Samenvattende bevinding Het BKWI beschikt over een Informatiebeveiligingsdocument ‘BKWI Baseline Informatiebeveiliging versie 1.1 d.d. 30 augustus 2004’ waarin de uitgangspunten, eisen en maatregelen ten aanzien van de informatiebeveiliging zijn vastgelegd met als doelstelling op een correcte, adequate en controleerbare manier invulling te geven aan de informatiebeveiliging binnen het BKWI. In het document, dat als beveiligingsplan voor het BKWI wordt gehanteerd, worden de te toetsen onderwerpen uit de verantwoordingsrichtlijn benoemd en uitgewerkt en wordt verwezen naar een separaat document Beveiligingsbeleid BKWI waarin het aan de baseline ten grondslag liggende beleid is beschreven. Versie 1.0 van het Beveiligingsbeleid BKWI is vastgesteld op 15 maart 2004. Continuïteit staat beschreven in de Baseline. Echter, de inbedding van de hier genoemde maatregelen in de organisatie is nog niet op alle punten verwezenlijkt. Risico Zonder een adequaat geïmplementeerd informatiebeveiligingsbeleid, specifiek voor BKWI activiteiten, worden risico’s gelopen ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Aanbeveling Werk het beveiligingsplan op het punt van continuïteit bij en zie toe op de implementatie hiervan in de organisatie. Zorg daarbij voor een controleerbare vastlegging van in de BKWI Baseline Informatiebeveiliging beschreven maatregelen, zodanig dat de werking van de maatregelen over een periode kan worden vastgesteld. A.1.2
Organisatorische aspecten
Samenvatting bevinding Per 1 februari 2004 is de organisatiestructuur van BKWI aangepast. De volgende afdelingen worden onderscheiden: 1. Ketenontwikkeling (KO) 2. Ontwikkeling Producten en Diensten (OPD) 3. Exploitatie 4. Office. De afdeling Ketenontwikkeling fungeert als frontoffice en heeft als taak ervoor te zorgen dat de ketenpartners goed op de hoogte blijven van reeds bestaande producten en diensten van BKWI en deze zo optimaal mogelijk gebruiken. Verder ontwikkelt de afdeling Ketenontwikkeling ideeën voor nieuwe producten en diensten die de samenwerking in de keten kunnen verbeteren. De afdeling Ontwikkeling Producten en Diensten (OPD) zet de diverse ideeën om in concrete producten en diensten. De afdeling Exploitatie is de backoffice. Deze afdeling houdt zich bezig met het beheer van Suwinet en de diverse standaarden (bijvoorbeeld het SGR). De afdeling Office tenslotte is verantwoordelijk voor communicatie en de interne ondersteuning van het gehele BKWI. Sinds april 2003 is een Security Officer aangesteld. De functie van Security Officer is belegd binnen de afdeling Exploitatie. Daarmee is een aanspreekpunt ten aanzien van beveiligingsaspecten gerealiseerd. De
69
functie van Security Officer is beschreven en zijn diverse maatregelen getroffen ten behoeve van de uitvoering van zijn specifieke rol uit t.a.v. de beveiliging van Suwinet.
70
Risico Geen. Aanbeveling Geen. A.1.3
Architectuur en Standaarden
Samenvattende bevinding Ontwerpdocumenten worden opgesteld conform het Stelselontwerp Suwinet, het SGR en de onderliggende set van afspraken en documenten en worden aan deze richtlijnen en standaarden getoetst. Daarnaast zijn werkgroepen actief die het voldoen aan de architectuur en standaarden bewaken. De Domeingroep Gegevens en Berichten (DGB), bewaakt de samenhang tussen het Suwi gegevensregister (SGR) en SuwiML op beleidsmatig niveau. Twee werkgroepen, de Werkgroep Gegevensbeheer en de Werkgroep XML, met ieder hun eigen logisch van elkaar te ondersche iden specialisme, dragen zorg voor de operationele ontwikkel-, beheer- en onderhoudsactiviteiten. Risico Geen. Aanbeveling Geen. A.2
Beheerprocessen
A.2.1
Service Level Management
Samenvattende bevinding Er is een Keten SLA opgesteld en ondertekend door de partijen UWV, CWI, Inlichtingenbureau en BKWI waarin afspraken en wederzijdse verantwoordelijkheden tussen de partijen zijn benoemd met betrekking tot Suwinet-Inkijk, Suwinet-Mail en Suwinet-Meldingen. Voor Suwinet-Meldingen en SuwinetMail zijn specifieke DAP's (Dossier Afspraken & Procedures) in ontwikkeling die onderdeel zullen worden van de Keten SLA. Verder zijn twee SLA’s opgesteld tussen ABP/CIS en het BKWI met betrekking tot het beheer van het Suwinet Koppelpunt en Suwinet Inkijk en is een SLA actief tussen CWI, BKWI en Cap Gemini met betrekking tot het beheer van het netwerk voor de kantoorautomatisering. BKWI en ABP/CIS zijn overeengekomen dat ABP/CIS voor 2005 een verklaring van hun auditor over de samenhang van beveiligingsbeleid en uitvoering overlegt. Ook is de SLA uitgebreid waarbij als belangrijkste uitbreiding de clausules met betrekking tot uitwijk kunnen worden genoemd. Voor Suwinet-Mail en Suwinet-Melding zijn nog geen afzonderlijke SLA’s met ABP/CIS opgesteld. Wel is tijdens het periodieke overleg afgesproken dat voor deze producten dezelfde afspraken gelden als voor Suwinet-Inkijk. Met betrekking tot de genoemde SLA’s worden maandelijks verantwoordingsrapportages opgesteld en beschikbaar gesteld aan de betrokken partijen. Het Suwinet-Normenkader is onverkort van toepassing, ook indien tot uitbesteding van (delen van) diensten wordt overgegaan. Zo heeft de Security Officer de security policy van ABP/CIS doorgenomen en geconcludeerd dat deze standaard policy voldoet aan de eisen van BKWI. Risico Het risico is aanwezig dat het gebruik van Suwinet-Mail en Suwinet-Meldingen specifieke eisen en randvoorwaarden stelt aan het technische beheer van deze toepassingen die niet onder de SLA Suwinet-Inkijk zijn inbegrepen. Aanbeveling
71
Breng de specifieke eisen voor het Technisch beheer van Suwinet-Mail en Suwinet-Meldingen in kaart en sluit, indien hiervoor aanleiding is, op termijn afzonderlijke SLA’s af met ABP/CIS waarin deze specifieke afspraken en verantwoordelijkheden worden vastgelegd.
A.2.2
Capaciteitsbeheer
Samenvattende bevinding Ketenpartijen zijn zelf verantwoordelijk voor het capaciteitsbeheer van de decentrale omgevingen. Voor de centrale omgeving is BKWI verantwoordelijk. Hierbij steunt het BKWI op de rapportages van ABP/CIS en wordt er in de Stuurgroep Capaciteit, waarin ook medewerkers van ABP/CIS zitting nemen, op basis van deze rapportage en op basis van toekomstverwachtingen de toereikendheid van de huidige capaciteit besproken. In het normenkader wordt als norm het beschikken over een capaciteitsplan genoemd. Een capaciteitsplan als zodanig is niet aanwezig bij het BKWI. In de vorm van actieve monitoring op beschikbaarheid en aan de hand van de SLR Suwinet Koppelpunt wordt de belasting van het Suwinet gemonitoord. Verder is in de vorm van het softwarepakket Packeteer de mogelijkheid aanwezig om bandbreedte specifiek aan gegevenstromen toe te kennen. Risico Geen. Aanbeveling Geen. A.2.3
Continuïteitsbeheer
Samenvattende bevinding In de SLA met ABP/CIS zijn continuïteitsafspraken ten aanzien van het centrale Suwinet deel geformuleerd. Daarbij zijn het afgelopen jaar afspraken met betrekking tot de uitwijk naar Maastricht vastgesteld en toegevoegd. Het beheer van de server in huis valt onder verantwoording van de Suwidesk en de kantoorautomatisering valt onder de SLA van Cap Gemini. Het BKWI beschikt niet over een continuïteitsbeleid document als zodanig. De Baseline (hoofdstuk 11) beschrijft globaal de aspecten van continuïteitbeheer. Ook beschikt het BKWI niet over een continuïteitsplan document als zodanig. Het BKWI heeft bepaald welke infrastructurele componenten dubbel uitgevoerd (zullen) worden en welke niet. Deze keuzen zijn vastgelegd in een prioriteringsdocument. Deze informatie is meegenomen bij het opstellen van de SLA-Exploitatie waarin afspraken ten aanzien van de continuïteit zijn vastgelegd. Risico Doordat reeds aanwezige maatregelen ten aanzien van continuïteitsbeheer niet zijn verankerd in een continuïteitsbeleid en continuïteitsplan is het risico aanwezig dat leemtes bestaan in het proces van continuïteitsbeheer. Aanbeveling Breid de paragraaf Continuïteit in de Baseline Informatiebeveiliging uit met een beschrijving van de getroffen maatregelen ten aanzien van de genoemde aspecten zoals de procedure U itwijk, zodat met deze paragraaf een continuïteitsplan is gedocumenteerd. A.2.4
Configuratiebeheer
Samenvattende bevinding De Suwidesk beheert de ketenbrede CMDB in de vorm van een Excel sheet. Zowel de SLR Centrale Omgeving Suwikoppelpunt als de SLR Centrale Omgeving Suwinet Inkijk BKWI beschrijven de wijzigingen in de CMDB over de periode van rapporteren.
72
Naast een ketenbrede CMDB in Excel worden door CMK en de Suwidesk binnen de applicatie Assyst CMDB's bijgehouden. CMK registreert daarbij de CI op een hoog niveau waarbij kan worden gedacht aan wetten tot aan servers. Suwidesk registreert de CI's op een lager, gedetailleerder niveau. Hierbij kan worden gedacht aan disks binnen servers etc. Wijzigingen vanuit de keten worden doorgegeven naar CMK en Suwidesk indien van toepassing. Voor het actueel houden van de ketenbrede CMDB is de Suwidesk afhankelijk van de ketenpartijen voor wat betreft de wijzigingen in de configuratie bij de betreffende ketenpartij. In de jaarkalender zijn twee momenten opgenomen om de controle op de feitelijke situatie met de geregistreerde CMDB gegevens uit te voeren. De taak en rol van Configuratie Manager is beschreven en beschikbaar binnen de organisatie. De procedure Configuration Management is beschikbaar. Risico Het risico is aanwezig dat de CMDB’s in Assyst uit de pas lopen ten opzichte van de Suwidesk CMDB. Aanbeveling Controleer periodiek dat de registratie in Assyst overeenkomt met de ketenbrede CMDB in Excel. A.2.5
Incidentbeheer
Samenvattende bevinding De procedure Incidentbeheer is vastgesteld en beschikbaar. De procedure beschrijft het proces van incidentbeheer en bevat een werkinstructie ten aanzien van het gebruik van Assyst om het incident te registreren. De procedure is uitgebreid met een richtlijn voor privacy en beveiligingsincidenten. De Security Officer heeft toegang tot Assyst en beoordeelt de geregistreerde incidenten aanvullend op deze aspecten.
De openstellingstijd van de servicedesk is vastgelegd in de Keten-SLA. Maandelijks wordt in de managementrapportage Suwinet Inkijk Services gerapporteerd over het aantal geregistreerde incidenten, de routeertijd incidenten van Suwidesk naar Servicedesk en het percentage incidenten opgelost binnen de normtijd. De procedure is belegd binnen Exploitatie, namelijk bij de Suwidesk. Risico Ten aanzien van het incidentbeheer nemen beveiligingsincidenten een belangrijke plaats in. Naast het risico van het onterecht beschikken over gegevens is voor het BKWI ook een afbreukrisico aanwezig gezien het maatschappelijk belang van de organisatie wanneer de informatiebeveiliging niet toereikend is. Aanbeveling Zie toe op een controleerbare vastlegging van de betrokkenheid van de Security Officer. Leg bijvoorbeeld de momenten waarop de registratie van incidenten wordt gecontroleerd door de Security Officer vast, samen met de resultaten van de controle. A.2.6
Probleembeheer
Samenvattende bevinding Ten aanzien van probleembeheer is een procedure opgesteld. Versie 1.0 is per d.d. 18-03-2004 vastgesteld door het MT. In de procedure is voorzien in de relatie ten opzichte van de processen Incidentbeheer en Wijzigingsbeheer. Risico Geen. Aanbeveling Geen.
73
A.2.7
Wijzigingsbeheer
Samenvattende bevinding Binnen BKWI zijn twee wijzigingsprocedures van kracht. Een interne Wijzigingsprocedure versie 1.1, voor het laatst vastgesteld op 20 maart 2002 en een Ketenbrede wijzigingsprocedure: 'Wijzigings- en releaseproces CMK versie 1.0’. Deze laatste procedure beschrijft het proces en de verschillende activiteiten en verantwoordelijke partijen. Het document is in het PPI ingebracht en goedgekeurd.
De uitvoering van Ketenbrede wijzigingen vallen onder de verantwoordelijkheid van het CMK. De domeingroepen bepalen of een wijziging voldoet aan de ketenstandaarden, de keten-CAB keurt een wijziging goed aan de hand van acceptatiecriteria en testresultaten en de functioneel beheerder/gebruiker accepteert de gerealiseerde wijziging. Indien na analyse en realisatie de wijziging in productie wordt genomen wordt deze in een release ingepland. Het functioneel ontwerp wordt door de ketenpartijen in het afstemmingsoverleg besproken waarna de functioneel beheerder per partij het functioneel ontwerp zullen accorderen. Alle wijzigingen worden vooraf in het gebruikersoverleg besproken. Risico Geen. Aanbeveling Geen. A.2.8
Testen
Samenvattende bevinding In opzet en bestaan is een structuur vormgegeven waarmee wijzigingen eerst lokaal bij een aangesloten partij, vervolgens ketenbreed en tenslotte door de betrokken gebruikers worden getest, alvorens deze in productie worden genomen. Dit proces wordt gefaciliteerd door het BKWI. De standaarden, resultaten en formele acceptatie worden door het BKWI in een test-dossier vastgelegd. Ten behoeve van een eenduidige vastlegging van de testwerkzaamheden is een stand aardinrichting van het testdossier in ontwikkeling. Risico Door het ontbreken van een eenduidige richtlijn ten aanzien van de vastlegging van de testopzet, testwerkzaamheden en testresultaten bestaat het risico dat geen adequaat audit trail van het testproces wordt vastgelegd waardoor review van de testwerkzaamheden op een later tijdstip niet naar behoren kan worden uitgevoerd. Aanbeveling Wij onderschrijven de ontwikkeling van een template voor de standaardinrichting van het testdossier ten behoeve van een eenduidige vastlegging van het testproces. A.2.9
Netwerkbeheer
Samenvattende bevinding Het BKWI ontleent zijn bestaansrecht aan het beschikbaar stellen en beveiligen van het netwerk. Een risicoanalyse voor het Suwinet integraal heeft niet plaatsgevonden. Het BKWI heeft hiervan afgezien omdat met het Stelselontwerp Suwinet, het SGR en de onderliggende set van afspraken en documenten het kader is gegeven waarbinnen het BKWI opereert. Ten aanzien van vernieuwingen en wijzigingen wordt ten opzichte van deze documenten getoetst. Daarnaast vindt bij wijzigingen een impact-analyse plaats met betrekking tot de huidige situatie. Voor onderdelen van het Suwinet worden specifieke risicoanalyses uitgevoerd. Voorbeelden hiervan zijn de risicoanalyse op Mail en d e Penetratietest die onlangs is uitgevoerd. Zodra de resultaten van een
74
dergelijke test zijn opgeleverd, wordt hiervan een analyse gemaakt en worden de nodige acties uitgezet. In diverse rapportages worden belangrijke indicatoren ten aanzien van netwerkbeheer gerapporteerd en geanalyseerd. Ook ten aanzien van het monitoren van het netwerk op inbreuken van buitenaf zijn maatregelen getroffen. Risico Geen. Aanbeveling Geen.
75
A.2.10 L o g i s c h e t o e g a n g s b e v e i l i g i n g Samenvattende bevinding Aan elke Suwi-partij worden door BKWI één à twee hoofdbeheerders toegangsrechten toegekend die verantwoordelijk zijn voor de verdere uitgifte van toegangsrechten tot Suwinet aan de eigen gebruikers op individueel niveau. Als minimale eis is opgenomen dat het aantal inlogpogingen is beperkt tot 3. Dit getal 3 is gebaseerd op bijlage XIV bij de Regeling Suwi. Het project C5 heeft verzocht het aantal inlogpogingen te verhogen tot 5. In de DPB d.d. 4 juni 2003 is geadviseerd dit aantal, gedurende een periode van een half jaar, te verhogen tot 5 pogingen. In de DPB d.d. 12 februari 2004 is deze periode met nogmaals een jaar verlengd. Select Access, een programma van Baltimore, draait centraal op het Suwinet en decentraal bij de Suwipartijen ten behoeve van de logische toegangsbeveiliging. Het beheer op het Suwinet is onderdeel van de afspraken met ABP/CIS. Het beheer van de gedeelten die bij de Ketenpartijen draaien is belegd bij BKWI. In 2004 is een autorisatiematrix is opgesteld. Het BKWI autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van de procedure 'Beheer BKWI autorisaties Versie 1.0 d.d. 20-10-2004'. Deze procedure is vastgesteld door het hoofd Exploitatie. In de procedure is aandacht voor de te doorlopen stappen bij aanvraag/wijziging van autorisaties en de controle op de uitgegeven autorisaties. Naar aanleiding van de aanbeveling uit de audit 2003 zijn de autorisaties van BKWI tegen het licht gehouden en naar aanleiding hiervan geschoond. Risico Door het beschikbaar stellen van functies en gegevens aan medewerkers die uit het oogpunt van hun functie deze toegangsrechten niet nodig hebben wordt onnodig risico gelopen ten aanzien van de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens. Aanbeveling Wij bevelen aan periodiek en controleerbaar aan de hand van vastleggingen erop toe te zien de rechten van beheerders beperkt zijn tot die functies binnen het systeem die beheerders uit oogpunt van hun functie nodig hebben. Aangezien het BKWI beschikt over een beperkt aantal medewerkers, zal voornamelijk een adequate controle op het juiste gebruik van de verleende toegangsrechten uitkomst moeten bieden. De toegang tot de verschillende omgevingen kan daarbij wellicht worden verdeeld over meerdere personen, zodat één persoon niet toegang heeft tot alle omgevingen. Tevens bevelen wij aan het aantal inlogpogingen weer tot drie te beperken. A.2.11 F y s i e k e b e v e i l i g i n g Samenvattende bevinding De etage waarop het BKWI zich bevindt is afgesloten en alleen toegankelijk voor medewerkers van het BKWI. De ruimte waarin de lokale BKWI server is opgesteld is een afsluitbare, daarvoor ingerichte ruimte, zonder ramen met airco en een zwevende vloer. De beheerder en hoofd bedrijfsbureau hebben een sleutel van deze ruimte. Back-ups worden opgeslagen in een brandkast die niet in deze ruimte staat. Aan de fysieke beveiliging van de omgevingen bij ABP/CIS is ruim aandacht geschonken. Zo heeft ABP/CIS een security policy opgesteld waar de beveiliging aan moet voldoen. De fysieke beveiligingsmaatregelen betreffen onder andere toegang, screening personeel, verzekeringen en controle op de uitvoering van het beleid. De genoemde maatregelen zijn niet expliciet benoemd in de SLA's. In 2005 wordt een TPM met betrekking tot het beveiligingsbeleid van ABP/CIS afgegeven. In het kader van deze TPM kunnen de fysieke beveiligingsmaatregelen worden vastgesteld. Verder heeft de Security Officer, in opvolging van de aanbevelingen van de audit uit 2003, de security policy van ABP/CIS doorgenomen en geconclud eerd dat deze standaard policy voldoet aan de eisen van BKWI.
76
De fysieke beveiligingsmaatregelen van Cap Gemini, de beheerder van de servers voor de kantoorautomatisering, zijn niet beoordeeld en dienen in de beoordeling van de beveiliging van het CWI worden meegenomen. Risico Geen. Aanbeveling Geen. A.3
Toepassingen
A.3.1
Suwinet-Inkijk
Samenvattende bevinding Het Stelselontwerp Suwinet, het Suwinet gegevensregister en de Architectuur Suwinet-Inkijk zijn randvoorwaarde en uitgangspunt bij de ontwikkeling van Suwinet Inkijk. Het voldoen aan deze richtlijnen wordt mede bewaakt in de Domeingroep Gegevens en Berichten. Ten aanzien van Suwinet Inkijk wordt voor alle aangesloten partijen dezelfde techniek (Suwi-ML) toegepast. De kolompagina's van UWV, die in HTML werden aangeleverd zijn volledig uitgefaseerd. Tot en met januari 2005 zal nog ondersteuning worden verleend met betrekking tot HTML maar dat daarna alleen nog met XML gewerkt wordt. In het voorjaar van 2004 is een nieuwe verbinding gemaakt door koppeling met het GBA. Het toegangsbeheer wordt voor gebruikers door de partijen zelf uitgevoerd en bewaakt. Het BKWI geeft de beheerders bij de aangesloten partijen toegang en de eigen BKWI medewerkers. Hiervoor is procedure Beheer BKWI-autorisaties Suwinet beschikbaar. Risico Geen. Aanbeveling Geen. A.3.2
Suwinet-M e l d i n g e n
Samenvattende bevinding Suwinet-Meldingen maakt gebruik van de Suwinet-infrastructuur, waarvoor een SLA is opgesteld met ABP/CIS. Verder zijn de afspraken voor Suwinet-Meldingen vastgelegd in de Keten-SLA. De eindgebruikers maken gebruik van Suwinet-Meldingen via verschillende applicaties zoals Digiforms en Sonar voor het verzenden en TPV (Tonen Printen Vooraankondiging) en TPK (Tonen Printen Kennisgeving) voor het ontvangen. Toegang tot deze applicaties wordt verkregen aan de hand van een persoonlijk toegangsaccount met wachtwoord. De Suwi-partij is in deze verantwoordelijk voor het invulling geven aan de decentrale gebruikersorganisatie. Risico Een niet eenduidig vastgesteld beleid met betrekking tot het verlenen van toegang tot applicaties brengt risico’s ten aanzien van de betrouwbaarheid en beschikbaarheid van de gegevens met zich mee. Aanbeveling Het BKWI kan een coördinerende en sturende rol spelen met betrekking tot het inrichten van de toegangsbeveiliging bij de Suwi-partijen van applicaties waarmee Suwinet-Meldingen worden aangemaakt en verstuurd.
77
A.3.3
Suwinet-Mail
Samenvattende bevinding Er zijn richtlijnen ten aanzien van het gebruik van Suwinet Mail opgesteld. Hierin wordt aangesloten op het beleid ten aanzien van gegevensuitwisseling zoals dat gold voordat elektronisch werd uitgewisseld. Veel van de getroffen beveiligingsmaatregelen hebben niet specifiek betrekking op Suwinet-Mail maar zijn onderdeel van de beveiligingsmaatregelen zoals vastgelegd in de SLA Suwinet Koppelpunt met ABP/CIS. Verder zijn de afspraken voor Suwinet-Mail vastgelegd in de Keten-SLA. Risico Geen. Aanbeveling Norm 1 van het onderdeel Suwinet-Mail uit het normenkader refereert aan de architectuur van SuwinetMeldingen. Suwinet-Mail en Suwinet-Meldingen hebben echter geen enkele relatie onderling en dienen volledig gescheiden te worden gezien. De norm dient aangepast te worden naar de situatie geldig voor Suwinet-Mail. A.3.4
Toegangsbeveiligingspakket
Samenvatting bevindingen Het huidige geïnstalleerde beveiligingspakket voldoet aan de gestelde normen. Vanaf april 2004 wordt gewerkt met versie 5.1 van het toegangsbeveiligingspakket - Select Access. Versie 6.0 is sinds oktober 2004 beschikbaar maar BKWI gaat hier vooralsnog niet op over. Risico Geen. Aanbeveling Geen. A.4
Componenten
A.4.1
Server
Samenvattende bevinding In de SLA met ABP/CIS zijn afspraken geformuleerd ten aanzien van de beschikbaarheid van de servers. Tevens zijn de noodzakelijke maatregelen genomen om deze beschikbaarheid te waarborgen. Als norm wordt gesteld dat de Suwinet-servers, buiten logbestanden, geen gegevens van Suwipartijen bevatten. Daar waar gegevens op servers tijdelijk bewaard worden (cache), mag dit alleen gedurende een vooraf afgesproken periode, afgestemd met de Suwi-partij welke eigenaar van de gegevens is. De servers bevatten wel tijdelijke opslag van gegevens van Suwinetpartijen. Dit is onderdeel van de architectuur die door de partijen is onderschreven, maar niet expliciet is afgestemd. Risico Geen. Aanbeveling Geen. A.4.2
Netwerk
Samenvattende bevinding
78
Het beschikbaar maken en houden van het lokale netwerk en de bescherming tegen ongeautoriseerde toegang tot Suwinet is de core business van BKWI. Er wordt gebruik gemaakt van specifiek toegewezen IP-ranges en er wordt enkel gebruikgemaakt van vaste lijnen. Naast het Suwinet zijn binnen het BKWI twee netwerken te onderscheiden. In de eerste plaats een lokaal net werk voor de kantoorautomatisering. Dit netwerk is onderdeel van het netwerk van het CWI en valt ook onder het beheer van Cap Gemini, de beheerder van het CWI-netwerk, op basis van een SLA. Daarnaast heeft de Suwidesk (afdeling Exploitatie) een netwerk in eigen beheer met ongeveer 8 gebruikers, los van het KA netwerk en het ontwikkelnetwerk. Dit netwerk heeft een verbinding met Suwinet. De reden om dit netwerk naast het KA netwerk operationeel te houden ligt in het feit dat applicaties in gebruik op het KA netwerk door beheerder Cap Gemini gecertificeerd dienen te worden, waarmee aanzienlijke bedragen zijn gemoeid. Dit netwerk wordt ook gebruikt als testomgeving voor het BKWI en wordt BKWI Test omgeving (BTO) genoemd. Het KA netwerk is fysiek gescheiden van het netwerk dat toegang geeft tot Suwinet. Risico Geen. Aanbeveling Geen. A.4.3
Koppelingen / koppelpunt (Router en Firewall)
Samenvattende bevinding De toegang tot Suwinet voor de aangesloten partijen is beveiligd met een firewall in beheer bij ABP/CIS. Ook de toegang tot de lokale netwerken van de partijen is beveiligd met een firewall. Deze firewalls zijn in beheer van de betreffende partij. De routers zijn eigendom van BKWI, worden beheerd door ABP/CIS en de connectie tussen de routers en de centrale omgeving wordt door KPN verzorgd. In de maandelijkse rapportage Centrale Omgeving Suwinet-Koppelpunt wordt gerapporteerd over het aantal security hits per aangesloten partij. Risico Geen. Aanbeveling Geen.
79
B
Bestudeerde documentatie en gehouden interviews
B.1
Ontvangen en b estudeerde documentatie
Nr
Omschrijving
Datum
1
WGV0258 Verantwoordingsrichtlijn edp-audit Beveiliging Suwinet 1.0
29-10-2004
2
Voorstel Minimale Normen versie 1.0
22-09-2004
3
Geheimhoudingsverklaring BKWI (hard copy)
4
Maandrapportage Suwinet Inkijk Services september Regeling SUWI
5 6
Baseline informatiebeveiliging BKWI versie 1.1 (versie 1.0 is goedgekeurd). In versie 1.1 zijn huisstijl en mobiele computers toegevoegd.
10-2004 3-1-2002 30-08-2004
7
Ook aanwezig en ingezien is het Handboek BKWI versie 5 van 14-10-04 hierin zit onder andere Gedragscode ten aanzien van internet en e-mail in. DPB conceptverslag DPB0206
21-10-2004.
8
Overleg Gebruikersgroep
15-09-2004
9
Verslag GSD gebruikersbijeenkomst
14-09-2004
10
Keten DAP versie 0.3
09-12-2004
11
Keten SLA Suwinet versie 1.4
06-12-2004
12
SLA Suwinet-Inkijk Services versie 1.0
19-10-2004
13
Rapportages over de maand september: Suwi Koppelpunt september Suwinet Inkijk BKWI september BKWI gebruik Suwinet Inkijk september Alle Ketenpartijen Gebruik Suwinet Inkijk september Procedure Uitwijk versie 1.1
23-08-2004
14 15
Configuratiebeheer versie 2.0 Overzicht CMDB 3.4-in ontwikkeling Incidentbeheer definitief versie 1.3
05-05-2004
Probleembeheer versie 2.0 Overzicht Known Errors Wijzigingsbeheer versie 1.2
16-08-2004
20-10-2004
20
Procedure beheer BKWI-autorisaties Suwinet versie 1.0 en de controle van afgelopen september Interpretatie en afspraken omtrent eisen Architectuur Meldingen versie 4
21
Autorisatiematrix Suwinet
22
Notulen overleg BSK juni en november
23
PPI 2004 060 Memo DPB aanlevering Verantwoordingsrichtlijn[1]
16 17 18 19
06-04-2004
15-04-2004
80
03-06-2003
11-10-2004
B.2
Geïnterviewde medewerkers BKWI
Naam Alexander Hielkema Eduard Renger Evert Jan Rietbergen Jan Breeman Jan Hoogenbosch Julia Essers
Functie Coördinator servicesupport Projectleider Suwinet Mail en Meldingen Hoofd Exploitatie Security Officer Projectleider Hoofd Office
81