Jaarverslag Bureau Keteninformatisering Werk en Inkomen (BKWI) 2003
Titel: Jaarverslag BKWI 2003 Auteur: BKWI Datum: 10-03-2004
Versie: 1.0 definitief
1.
MANAGEMENTSAMENVATTING....................................................................................4
2.
INLEIDING EN ALGEMEEN BEELD .......................................................................... 10 2.1 2.2 2.3 2.4 2.5
3.
M ISSIE.....................................................................................................................................................................10 TAKEN BKWI........................................................................................................................................................10 ORGANISATIE EN OVERLEGSTRUCTUUR* ........................................................................................................11 UITGANGSPUNTEN WERKWIJZE BKWI............................................................................................................15 HERORIËNTATIE ..................................................................................................................................................15
OMGEVINGSANALYSE ............................................................................................................... 17 3.1 3.2
4.
DE KETEN IN ONTWIKKELING...........................................................................................................................17 DE BESTUURLIJKE CONTEXT VAN HET BKWI...............................................................................................20
VERANDERPROGRAMMA..................................................................................................... 22 4.1 4.2 4.3
5.
INLEIDING..............................................................................................................................................................22 CONTEXT VAN VERANDERPROGRAMMA 2003 ................................................................................................22 OVERZICHT OP HOOFDLIJNEN VAN DE RESULTATEN VAN HET VERANDERPROGRAMMA 2003 ............22
BELEIDSDOELSTELLINGEN .............................................................................................. 25 5.1 5.2 5.3 5.4 5.5
6.
HOOFDDOELSTELLINGEN BKWI.......................................................................................................................25 VOORBEREIDEN EN BEHEREN VAN AFSPRAKEN TUSSEN SUWIPARTIJEN ..................................................25 HET COÖRDINEREN VAN HET BEHEER VAN DECENTRALE VOORZIENINGEN............................................28 HET UITVOEREN VAN HET TECHNISCHE BEHEER *.......................................................................................31 DE SYSTEMEN .......................................................................................................................................................31
BEDRIJFSVOERING ....................................................................................................................... 36 6.1 6.2 6.3 6.4 6.5 6.6 6.7
M EDEDELING........................................................................................................................................................36 BEHEERSOMGEVING .............................................................................................................................................36 RISICO BEOORDELING EN RISICO BEHEERSING................................................................................................37 COMMUNICATIE EN INFORMATIEVOORZIENING............................................................................................37 INTERNE BEHEERSMAATREGELEN....................................................................................................................37 BEWAKING.............................................................................................................................................................38 OVERIG ...................................................................................................................................................................38
7.
JAARREKENING/ACCOUNTANTSVERKLARING .................................... 42
8.
OORDEEL BEVEILIGING SUWINET......................................................................... 64 8.1 8.2 8.3 8.4
9.
A CHTERGROND.....................................................................................................................................................64 DOELSTELLING.....................................................................................................................................................64 REIKWIJDTE VOOR BKWI...................................................................................................................................65 W ERKWIJZE EN RAPPORTERING.......................................................................................................................66 OORDEEL................................................................................................................................................................. 67
9.1
TOELICHTING OP HET OORDEEL...................................................................................................................70
1.
Managementsamenvatting
Met enige trots presenteert het BKWI zijn tweede jaarverslag. Na het pionierachtige eerste jaar is het BKWI thans in een wat meer gestructureerde fase terechtgekomen. Dat wil niet zeggen dat we rustig in de luwte ons werk aan het doen zijn. Allerminst. We hebben in 2003 een sterke ontwikkeling doorgemaakt, waarbij we enkele veranderingen in ons profiel hebben aangebracht. In 2003 hebben we de transitie ingezet van een wat afwachtende organisatie die ‘zijn plek kent’ tussen de ketenpartners, naar een pro-actieve organisatie die zijn collega’s in de keten veel actiever helpt om het belang van een goede ketensamenwerking in te zien. Daarnaast hebben we een heroriëntatie op ons eigen werk uitgevoerd, wat heeft geleid tot een nieuwe organisatiestructuur. Met behulp van deze nieuwe werkwijze denken we beter in staat zullen zijn om de keten te ondersteunen bij het behalen van zijn doelstellingen. Taak Het Bureau Keteninformatisering Werk en Inkomen heeft tot taak de samenwerking en de communicatie tussen de samenwerkende partijen te bevorderen en te faciliteren, zodat de ketenpartners in staat zijn om hun wettelijke taken effectief en efficiënt uit te voeren. Het gaat daarbij om de werkproceskoppelingen en het betrouwbaar, snel en veilig kunnen uitwisselen van actuele gegevens. De scope die BKWI daarbij hanteert strekt zich uit van de processen tot en met de techniek. Het BKWI vervult deze taak door ervoor te zorgen dat de ketenpartners afspraken maken over de gemeenschappelijke werkprocessen, over de gegevensuitwisseling tussen de partijen en over de gemeenschappelijke infrastructuur op basis waarvan gegevensuitwisseling tussen de partijen foutloos, goed beveiligd en snel kan plaatsvinden. Het BKWI bevordert de ontwikkeling en zorgt verder voor het beheer en het onderhouden van de gemeenschappelijke voorzieningen binnen deze infrastructuur. Verder zorgt het BKWI voor de doorontwikkeling van Suwinet. Projecten Ketenprogramma 2003-2004 Hoewel we in 2003 goede voortgang hebben geboekt binnen de projecten, hebben we opnieuw veel energie moeten steken in het expliciteren van projectplannen naar ketenpartners toe. Bij ieder project zijn verschillende partijen betrokken. De afhankelijkheid van deze partijen compliceert het effectief managen van projecten. Vaak ontbreekt het aan een gezamenlijke ambitie en aan een gevoel van urgentie, dat zaken in gezamenlijkheid moeten worden opgepakt. Het BKWI heeft, gezien zijn positie in de keten, geen effectieve instrumenten om de doorgang en voortgang van dergelijke projecten af te dwingen. Dit vloeit voort uit de faciliterende rol die BKWI heeft en de keus het tempo van de opzet en uitvoering van projecten bij de ketenpartners neer te leggen. In 2003 is gewerkt aan het realiseren van de voorlopige jaartranche 2003 en aan de definitieve jaartranche 2003. Met de realisatie van de overlopende activiteiten uit 2002 (voorlopige jaartranche 2003) is een aantal functionele, technische en randvoorwaardelijke projecten rond gegevensuitwisseling tussen CWI, Gemeenten en UWV werden afgerond. Het gaat daarbij om: § Het aansluiten van alle gemeenten op Suwinet Inkijk, § Het inrichten van een meetinstrumentarium om het gebruik van Suwinet Inkijk te monitoren, § Het opleveren van een structurele testomgeving voor ketenbrede testdoeleinden voor Suwinet Inkijk, § Het overdragen van alle relevante onderdelen van de voormalige stichting CVCS, § Het opleveren van onderzoeksrapporten over a) de beleving van medewerkers van CWI, gemeenten en UWV bij het gebruik van Suwinet Inkijk en b) het stroomlijnen van Beroep en opleidinggegevens binnen de keten van Werk en Inkomen.
4
Naast deze uit 2002 doorgeschoven mijlpalen zijn ten behoeve van de voorlopige jaartranche 2003 onder andere de volgende doelstellingen gerealiseerd: § Inrichting van Centraal Meldpunt Ketenwijzigingen met ICT-ondersteuning; § Inkijk op gegevens van de gemeentelijke sociale diensten voor geautoriseerde medewerkers van CWI, UWV en gemeenten; § Doorgevoerde functionele en technische ‘gegevensuitwisseling’-standaard in Suwinet Inkijk, § Uitbreiding van gebruik Suwinet Inkijk tot bijna 19.000 medewerkers; § Gerealiseerde nieuwe overzichten in Suwinet Inkijk voor een vijftal processen bij gemeenten en UWV; § Raadpleegvoorziening op het Verificatie Informatie Systemen (VIS); § Mail-verbinding over een besloten netwerk tussen CWI en het gemeentelijk veld. Enkele mijlpalen die we van de definitieve jaartranche 2003 hebben gerealiseerd zijn: § Beleidsmatige handreikingen en hulpmiddelen voor gemeenten om beveiligings- en privacybeleid te ondersteunen en te monitoren; § Pilot versie van een authenticatievoorziening waarmee directe interactie tussen burgers en de overheid gefaciliteerd kan worden; § 1e lijns ondersteuning bij de implementatie van een CWI-applicatie die binnen de keten ingezet werd; § Handreiking identiteitscontrole voor gebruik van GBA en VIS in ketenverband. Pro-actief in de keten In 2003 hebben we ten behoeve van het Algemeen Keten Overleg (AKO) gerapporteerd dat het vertrouwen binnen de keten groeit, maar dat de resultaten nog wat achterblijven. Om een actieve bijdrage te leveren aan het realiseren van de beoogde resultaten, hebben we in 2003 vaker de confrontatie gezocht als afspraken niet helemaal of niet helemaal goed werden nagekomen. Dit heeft in een aantal gevallen extra gesprekken opgeleverd tussen ons en de ketenpartners, maar aan het eind van 2003 kunnen we concluderen dat onze gewijzigde houding langzaamaan vruchten begint af te werpen. Een aantal projecten en activiteiten is door onze wat meer vasthoudende aanpak sneller en effectiever gerealiseerd dan in het voorgaande jaar het geval zou zijn geweest. We hebben, ondanks het feit dat wij nauwelijks formele bevoegdheden hebben, ons meer geprofileerd met betrekking tot de ketensamenwerking. We hebben de ketenpartners meer aangesproken op hun verantwoordelijkheid door middel van overleg en diverse vormen van rapportage. De ketenpartners reageren hier goed op, waardoor een beter inzicht ontstaat in de meerwaarde van samenwerking. Mede dank zij deze houding van de ketenpartners zijn wij als BKWI in staat om ketensamenwerking steeds beter op de agenda te plaatsen. Het overleg op Raad van Bestuur niveau met de ketenpartners is geïntensiveerd, waardoor eventuele problemen sneller op tafel komen en ook sneller opgelost kunnen worden. De wijziging van Informatie en Proces Keten Overleg (IKO) en (PKO) in de Platform Proces en ICT (PPI) overlegstructuur, heeft duidelijk vruchten afgeworpen. Omdat Proces (Business) en ICT (Ondersteuning) onlosmakelijk met elkaar zijn verbonden, is het logischer het overleg hierover te combineren. Doordat de voorzitter van PPI ook zitting heeft in het AKO, functioneert de afstemming met die vergadering beter, maar is nog voor verbetering vatbaar. Samenwerking binnen de keten De samenwerking met de ketenpartners begint steeds meer vorm te krijgen. Wel blijft het realiseren van voortgang op ketenniveau een proces van lange adem en is het soms zoeken naar de rol die de verschillende ketenpartners en de opdrachtgever innemen. Dit is in potentie een bedreiging voor de keten, omdat de keten niet altijd de tijd wordt gegund om veranderingen in het normale tempo door te voeren. We beseffen dat het voor het BKWI wat makkelijker praten is over het realiseren van
5
voortgang en snelle besluitvorming, dan voor een aantal ketenpartners. Wij zijn een kleine en platte organisatie waarbinnen iedereen full time bezig is met het werken aan de keten. We begrijpen terdege dat de ketenpartners naast het belang van de samenwerking binnen de keten ook andere grote belangen en stevige interne uitdagingen hebben. Juist omdat de ketenpartners ook andere belangen hebben, zullen wij ook in 2004 veel aandacht vragen voor samenwerking binnen de keten en het ontwikkelen ervan, waarbij de win-win situatie als uitgangspunt wordt genomen. In 2003 is de samenwerking met de stichting Routeringsinstituut voor (inter)Nationale Informatie Stromen (RINIS) en de Stichting Inlichtingenbureau (IB) goed geweest. De sfeer binnen de samenwerking met deze partijen was in alle gevallen constructief en gericht op de inhoud. Zo is er goed samengewerkt aan de totstandkoming van een gezamenlijke infrastructuur voor het uitwisselen van berichten in het gemeenschappelijke domein. Daarnaast is een start gemaakt met een proeftuinonderzoek waarin we de toegevoegde waarde van RINIS proberen te koppelen aan de toegevoegde waarde van Suwinet. De Suwinet-infrastructuur beschikt vooral over ‘lijnen’ waarover berichtenverkeer kan plaatsvinden. De RINIS infrastructuur heeft een aantal aanvullende mogelijkheden. Zo is het mogelijk om vast te stellen of berichten daadwerkelijk zijn verzonden en aangekomen en kunnen de formaten van gegevens worden gewijzigd zodat ze geschikt zijn voor gebruik in andere sectoren. In de proeftuin wordt onderzocht in hoeverre de infrastructuren naadloos op elkaar aansluiten. Een ander voorbeeld van geslaagde samenwerking binnen de keten hebben we gezien als neveneffect van de Wet werk en bijstand die begin 2004 werd ingevoerd. Deze wet, die niet was voorzien in het kader van de Suwiwet, heeft vorig jaar een grote impact gehad in de keten. Dit vertaalde zich ook in kansen op het gebied van ketensamenwerking. Door de wet krijgen de gemeenten een nieuw direct belang bij een effectief opererende keten. Dit heeft er toe geleid dat op lokaal niveau nieuwesamenwerkingsinitiatieven ontstonden, die er nog meer op waren gericht te voorkomen dat mensen in de bijstand terecht kwamen. We hebben gezien dat deze samenwerkingsverbanden zich voornamelijk ontwikkelden in plaatsen waar sprake is van bedrijfsverzamelgebouwen (BVG’en). De BVG’en hebben kennelijk een positieve invloed op het ontstaan van ketensamenwerking. Uit de observaties die we hebben gedaan als gevolg van de invoering van de Wet werk en bijstand, concluderen wij dat het verstandig is om dergelijke samenwerkingsverbanden gericht te volgen. Hierdoor kunnen best practices in een vroeg stadium worden herkend. Dergelijke best practices kunnen vervolgens door de ketenpartners op centraal niveau worden overgenomen en uitgerold en in de keten worden ondersteund. Bovendien kunnen we, door lokale samenwerkingsverbanden te volgen, voorkomen dat er een wildgroei aan projecten, activiteiten en lokale afspraken ontstaat die niet meer door de centrale organisaties en de keten als geheel ondersteund kunnen worden. Wat overigens opvalt in de samenwerking binnen de keten is dat er prima wordt samengewerkt zolang het gaat om pure automatiseringsvraagstukken. Zodra het echter gaat over vraagstukken waarbij ook (delen van) het werkproces aan de orde komen, is men binnen de keten nogal terughoudend, voornamelijk op centraal niveau. Dit is jammer omdat een optimale inrichting van de keten niet kan zonder ook delen van de procesgang te onderzoeken. In 2004 zullen wij er hard aan trekken om de ketenpartners te helpen om deze drempel te overwinnen. We stellen bovendien vast dat de afstand tussen BKWI en de medewerkers bij de ketenpartners, die grondige kennis van de primaire werkprocessen hebben, nog te groot is. Dit bemoeilijkt de voortgang met ketenpartners, omdat discussies niet geslecht kunnen worden. Heroriëntatie
6
Het BKWI is enkele jaren terug op de ontwerptafel geboren en vervolgens tot leven gebracht. Hoewel het basisontwerp in beginsel goed was, is de afgelopen jaren duidelijk geworden dat de ideeën van de ontwerptafel niet volledig aansluiten bij de praktijk van alledag. Het BKWI is opgericht om de keten te ondersteunen bij het bereiken van zijn doelstellingen Dat wil zeggen dat het BKWI de keten moet ondersteunen in zijn streven naar werk boven inkomen, het bevorderen van de rechtmatigheid en de doelmatigheid van de uitvoering en het ontwikkelen van een meer klantgerichte dienstverlening. Hiervoor zijn de afgelopen jaren tal van initiatieven ontplooid, standaarden gedefinieerd en technische voorzieningen gerealiseerd. In 2003 hebben wij onderzocht in hoeverre het BKWI, met de inrichting en werkprocessen die het had, voldoende aan zijn ondersteunende taak kon voldoen. We hebben stil gestaan bij de opdracht van BKWI en of we daar als organisatie op de goede manier op zijn ingericht en toegerust. Met deze heroriëntatie hebben we willen bereiken dat we gerichter onze ketenopdracht bereiken, ons minder laten sturen door ad-hoc opportunities, dat we intern effectiever samenwerken, en BKWI beter in de markt zetten. Het heroriënteringsproces heeft geleid tot een voorstel voor een gewijzigde organisatiestructuur. De structuur van het BKWI wordt zowel eenvoudiger als logischer. Wij denken dat we door de nieuwe werkwijze beter in staat zijn de ketendoelstellingen te ondersteunen. De nieuwe structuur wordt gekenmerkt door de afdeling ‘ketenontwikkeling’, de afdeling ‘ontwikkeling producten en diensten’, de afdeling ‘exploitatie’ en het ‘office’. Met de nieuwe structuur verwachten we beter en meer gericht aan onze opdracht te kunnen werken. Bovendien sturen we er op aan om onze projectorganisatie, die volgens afspraak tot op heden voornamelijk uit externen heeft bestaan, te gaan omvormen naar de afdeling ‘ontwikkeling producten en diensten’ waar op projectmatige basis, en door vaste medewerkers, wordt gewerkt aan het realiseren van producten en diensten ter bevordering van de effectiviteit en efficiëntie van de keten. We zullen daarbij nog beter gaan kijken naar welke activiteiten we voor wie ondernemen. Voor ieder project dat we oppakken moet gelden dat hij past binnen onze opdracht en een bijdrage levert aan een beter functionerende keten. De nieuwe structuur is per 1 februari 2004 geëffectueerd. Dit jaarverslag is vanzelfsprekend nog geënt op de oude structuur. Als onderdeel van het heroriënteringsproces voeren we bovendien een evaluatieonderzoek uit naar het functioneren van het BKWI in de afgelopen jaren. Hierover wordt in het eerste kwartaal van 2004 separaat gerapporteerd.
Beleidsdoelstellingen 2003 Ten behoeve van de reguliere activiteiten van het BKWI heeft het jaarplan 2003, dat is goedgekeurd door het Ministerie van SZW, gediend als spoorboekje. De doelstellingen die in het jaarplan 2003 zijn benoemd, zijn in hoge mate gerealiseerd. Systemen De systemen die wij beheren hebben in 2003 zonder uitzondering goed gedraaid. Zowel de beschikbaarheid als de betrouwbaarheid van de systemen was in 2003 hoog. We hebben, als voorzorgsmaatregel, de zomerrelease van Suwinet Inkijk drie maanden uitgesteld, omdat we niet 100% zeker waren hoe de performance van het systeem zou zijn. Deze release is inmiddels succesvol uitgevoerd. Gebruikers hebben hierdoor onder meer een koppeling gekregen met het Verificatie Identificatie Systeem (VIS), waarmee paspoorten en rijbewijzen op geldigheid kunnen worden gecontroleerd. Zo wordt een belangrijke bijdrage aan handhaving geleverd. Het inzicht in het belang van goed functionerende technische voorzieningen binnen de keten is wat ons betreft nog een concreet verbeterpunt. We komen nu nog te vaak tegen dat ergens in de keten (bijvoorbeeld) delen van systemen of servers uitvallen. Bij de ketenpartners zou het besef verder moeten groeien dat, als er ergens een server uitvalt, dit gevolgen heeft voor de 18.000 gebruikers van die voorziening. Als bij een (deel van) een organisatie geen gegevens kunnen worden ingekeken, dan betekent dat ruim 18.000 mensen die gegevens niet kunnen bereiken. Dat levert dus overal in de keten
7
problemen op. Het voorkomen van uitval en het snel herstellen van uitval zal daarom in 2004 een onderwerp zijn waar we ons, in onze communicatie met de ketenpartners, hard voor zullen maken. Beveiliging Op het gebied van beveiliging hebben we in 2003 vooruitgang geboekt. In 2002 presteerden we op dit terrein nog niet naar tevredenheid, voornamelijk omdat we onze documentatie nog niet op orde hadden. Auditors waren daardoor niet in staat om eenduidig vast te stellen in hoeverre we aan de eisen konden voldoen. Ten opzichte van 2002 is een aantal verbeteringen gerealiseerd. Zo is inmiddels de basis gelegd voor een betere documentatie.Tegelijkertijd echter, zijn de normen verhoogd, waardoor het per saldo lijkt alsof geen vooruitgang is geboekt. Bedrijfsvoering In 2003 is ruimschoots aandacht besteed aan de verdere implementatie en beschrijving van administratieve procedures. De ‘uitbesteding’ van de financiële administratie, huisvesting, kantoorautomatisering en de HRM functie aan het CWI, bracht vooral grote voordelen (meeliften op Europese aanbestedingen, gebruik van kortingen die CWI bedingt, lagere eigen apparaatskosten) met zich mee, maar ook een aantal ongemakken (voornamelijk langer lopende procedures). Er is een aanzet gedaan tot een verplichtingenadministratie, die per 1 januari 2004 volledig geïmplementeerd is. Het identificeren en beheersen van risico’s is in toenemende mate onderdeel van de bedrijfsvoering. Voor alle nieuwe informatiesystemen wordt door BKWI een risico-analyse uitgevoerd onder coördinatie van de Security Officer. In 2003 is begonnen met analyse van Suwinet Mail. In 2004 zal een risico-analyse worden gemaakt voor Suwinet als geheel. Jaarverslag Dit jaarverslag voldoet aan de eisen die worden gesteld aan de informatieproducten die het BKWI aan SZW dient te verstrekken op grond van artikel 5.10a van de Regeling SUWI. Het verslag opent met een algemene schets van missie, taken en organisatie van het BKWI (hoofdstuk 2), een analyse van de omgeving (hoofdstuk 3) en een overzicht van het veranderprogramma van het BKWI (hoofdstuk 4). Het jaarverslag is een integrale rapportage waarin het management van het BKWI verantwoording aflegt over: § de uitvoering van het beleid en de geleverde prestaties (regulie re activiteiten, hoofdstuk 5) § de wijze waarop het bedrijf functioneert en ‘in control’ is (bedrijfsvoering, hoofdstuk 6) § de ontvangst en besteding van de middelen (jaarrekening, hoofdstuk 7) De accountantsverklaring bij de jaarrekening is opgenomen in hoofdstuk 7 en in het rapport van bevindingen wordt ingegaan op de doelmatigheid van het BKWI. Het BKWI is op grond van artikel 6.4 van de Regeling SUWI verplicht zich te verantwoorden over de beveiliging van de gegevensverwerking via Suwinet. Het oordeel van de externe EDP-auditor over het BKWI-aandeel in de beveiliging en het beheer van het Suwinet is opgenomen in hoofdstuk 8. De paragrafen in dit jaarverslag die op die verantwoording betrekking hebben, zijn gemarkeerd met een asterisk (*). Het BKWI heeft in samenspraak met het Ministerie een groeipad afgesproken. Dit groeipad is erop gericht ultimo 2005 volledig in overeenstemming met de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI) en VBTB vereisten te voldoen. Onder VBTB proof wordt tevens verstaan een volwaardige mededeling bedrijfsvoering. In 2003 heeft het BKWI een eerste aanzet in de processen gemaakt om realisatie van deze doelstelling mogelijk te maken. De bevindingen van de door het IWI uitgevoerde onderzoek naar de bedrijfsvoering binnen het BKWI worden hierin meegenomen. Hierbij moet aangetekend worden dat voor de realisatie van doelstellingen zoals deze in het ketenoverleg zijn
8
afgesproken BKWI voor de realisatie afhankelijk is van de overige ketenpartners. BKWI heeft van rechtswege en haar positie in de keten geen middelen om realisatie van deze doelstellingen via de ketenpartners af te dwingen. Deze laatste verantwoordelijkheid ligt bij het Ministerie van SZW. Amsterdam 10 maart 2004
9
2.
Inleiding en Algemeen beeld
2.1 Missie Het Bureau Keteninformatisering Werk en Inkomen heeft tot taak de samenwerking en de communicatie tussen de samenwerkende partijen te bevorderen en te faciliteren, zodat de ketenpartners in staat zijn om hun wettelijke taken effectief en efficiënt uit te voeren. Het gaat daarbij om de werkproceskoppelingen en het betrouwbaar, snel en veilig kunnen uitwisselen van actuele gegevens. De scope die BKWI daarbij hanteert strekt zich uit van de processen tot en met de techniek. Het BKWI vervult deze taak door ervoor te zorgen dat de ketenpartners afspraken maken over de gemeenschappelijke werkprocessen, over de gegevensuitwisseling tussen de partijen en over de gemeenschappelijke infrastructuur op basis waarvan gegevensuitwisseling tussen de partijen foutloos, goed beveiligd en snel kan plaatsvinden. Het BKWI zorgt verder voor het beheer en het onderhouden van de gemeenschappelijke voorzieningen binnen deze infrastructuur. Verder zorgt het BKWI voor de doorontwikkeling van Suwinet. Het BKWI heeft een ketenbrede functie en staat ten dienste van alle organisaties in de keten (UWV, CWI, gemeenten, SVB). Het BKWI richt zich vooral op ‘het gemeenschappelijke in de werkprocessen en de eisen die daaraan gesteld worden’. Het BKWI onderscheidt hierbij vier aandachtsgebieden: § Architectuur van de keteninformatisering; § Gegevens en Berichten; § Privacy en Beveiliging; § Beheerprocessen. Op deze gebieden is de dienstverlening van het BKWI gericht. Deze structuur wordt in 2004 aangepast. Zie ook paragraaf 2.4. De missie van BKWI luidt als volgt: het verbeteren van het functioneren van de keten van werk en inkomen door het realiseren en coördineren van het tot stand komen van afspraken en voorzieningen ten behoeve van de werkproceskoppeling en de gegevensuitwisseling in de keten. 2.2 Taken BKWI In het Businessplan van oktober 2001 is aangegeven dat het BKWI een beleidsvormende, een coördinerende, een uitvoerende en een innovatieve taak heeft. Dit leidt tot de volgende kerntaken voor het Bureau Keteninformatisering Werk en Inkomen: 1. Het voorbereiden en beheren van afspraken die tussen de Suwipartijen worden gemaakt op de vier genoemde aandachtsgebieden. Het gaat daarbij onder meer om het maken van afspraken op het gebied van architecturen, (standaardisatie van) gegevens, techniek, beveiliging en privacy. BKWI speelt hierbij een initiërende, voorbereidende en adviserende rol en neemt de gemaakte afspraken in beheer. Onderdeel daarvan is bovendien pro-actieve advisering over gegevensuitwisseling binnen de keten. 2. Het coördineren van het technisch en functioneel beheer van aan Suwinet gerelateerde technische voorzieningen, informatiestromen en werkprocessen aan de zijde van de ketenpartijen. Het BKWI bevordert dat de ketenafspraken worden nagekomen. Het BKWI coördineert daarnaast de implementatie van de gemaakte afspraken door de Suwi-organisaties en coördineert de reguliere activiteiten van deze organisaties op het gebied van de werkproceskoppelingen en gegevensuitwisseling. De uitvoeringsorganisaties zijn zelf verantwoordelijk voor het realiseren en implementeren van de eigen voorzieningen. Het BKWI vervult een coördinatiefunctie bij de afstemming van deze decentrale activiteiten. 3. Het uitvoeren van het technische beheer van Suwinet: het BKWI is verantwoordelijk voor het technische beheer van het centrale deel van Suwinet: een stelsel van technische en
10
organisatorische voorzieningen dat als het ware boven alle bestaande (keten)systemen staat. Dit stelsel van voorzieningen zorgt er voor dat alle partijen ‘op de knooppunten van de dienstverlening’ met elkaar kunnen communiceren. 4. Innovatie: a) het doorontwikkelen van Suwinet en b) het doorontwikkelen van de keten van werk en inkomen. Het BKWI zorgt voor de verdere ontwikkeling van Suwinet én de keten van werk en inkomen door in projectvorm onderzoek uit te voeren, aanpassingen te realiseren en nieuwe faciliteiten te ontwerpen en te bouwen. Het selecteren en prioriteren van projecten vindt plaats in overleg met de ketenpartijen. 2.3 Organisatie en overlegstructuur* Het BKWI is als volgt ingericht :
Di Dire re ctteeur ur B B KW WI
B Beeddri rijfjfssb u reeau au /Q M M
P llaattffoorrm K e te n in fo rm maattis is e rin in g /S SO
G eeddee ee ltteelilijk jk inn e d p aauudditt bbeettrro kkkenn QM = Q Quuaallittyy M Maannaag e m e n t
B BK KW W I IInnffrra sttrru ctu u r S e rvviceess
In e d p -au au d itt bbet etr okkkeenn
P Pro ro jeeccte n buure re a u
N iet et in in eeddpp-a -a u ditit b e trok okkke n
SO O = S e cuur ity O Offffiiceerr
Figuur 1: Organogram BKWI
In de figuur is weergegeven welke onderdelen van BKWI onderwerp van onderzoek zijn in de edpaudit. De resultaten hiervan worden in hoofdstuk 8 besproken. Directie en Bedrijfsbureau De directie en het bedrijfsbureau van het BKWI zijn verantwoordelijk voor respectievelijk de aansturing en de uitvoering van de dagelijkse gang van zaken, waaronder de beveiligingsaspecten. Hieronder vallen zaken als secretariaat en archief, communicatie, HRM, planning en control, financiën en facilitaire zaken. Het Quality Management is belegd bij het hoofd van het Bedrijfsbureau.
11
Platform Keteninformatisering (PK) Het Platform Keteninformatisering is verantwoordelijk voor het bevorderen van ketenbrede afspraken, het stimuleren van de controle op naleving van de afspraken, de ontwikkeling van regelgeving en het voorbereiden en maken van beleids- en adviesstukken, over werkprocessen en gegevensuitwisseling in de keten. Dit geldt zowel voor afspraken over het centrale en decentrale beheer als voor afspraken over de gegevensuitwisseling binnen de Suwiketen. Er worden vier aandachtsgebie den onderscheiden: 1. Architectuur van de keteninformatisering 2. Gegevens en Berichten 3. Privacy en Beveiliging 4. Beheerprocessen Per aandachtsgebied is een domeingroep en een of meer werkgroepen actief. In deze Domein- en Werkgroepen vindt afstemming plaats tussen de specialisten van de ketenpartijen op deze aandachtsgebieden. De Domein- en Werkgroepen hebben als doel om de gemeenschappelijke standaarden, alsmede de kaders voor gemeenschappelijke voorzieningen te beheren en verder te ontwikkelen. Ten behoeve van de inhoudelijke afstemming tussen en voorbereiding op besluitvorming door de ketenpartners biedt de afdeling PK onder meer ondersteuning aan verschillende Domein- en Werkgroepen door deze te faciliteren en voor te zitten. Daarnaast bieden de Keten Informatie Adviseurs (KIA’s) ondersteuning bij het hanteren van de standaarden. BKWI Infrastructuur Services (BIS) BKWI Infrastructuur Services (BIS) is verantwoordelijk voor het beheer van de Centrale componenten van Suwinet en de coördinatie van het ICT-beheer van Suwinet als geheel. Dat beheer omvat het doen functioneren van het Suwinet en de beveiliging van de gegevens die over dat net worden verzonden. De inrichting van de activiteiten die BIS verricht vindt plaats op basis van de uitgangspunten die zijn geformuleerd door het Platform keteninformatisering. Voor centrale, ketenoverkoepelende activiteiten die BIS beheert, worden aanvullende procedures en maatregelen gehanteerd die, waar mogelijk, aansluiten op de voor de Suwinet-partijen geldende afspraken. Er wordt onderscheid gemaakt tussen centraal en decentraal beheer. De kolommen richten eigen beheerorganisaties in voor de decentrale ICT voorzieningen en zij verzorgen de directe ondersteuning van de gebruikers van deze Suwinet-voorzieningen. Zij zijn de klanten van BIS voor de tweedelijnsondersteuning. De centrale ICT voorzieningen worden door BIS beheerd. Ten behoeve van het beheer worden de volgende processen uitgevoerd: 1. ICT-beheerprocessen § Incidentbeheer § Probleembeheer § Wijzigingsbeheer § Configuratiebeheer § Capaciteits- en beschikbaarheidsbeheer 2. Service Level Agreement 3. Beheer toegangsbeveiliging 4. Beheer ketenbrede testomgeving
12
Projectenbureau Het projectenbureau zorgt voor het initiëren van innovaties en het projectmatig (door)ontwikkelingen van de architectuur van de technische voorzieningen en de functionaliteiten.
13
Overlegstructuren In 2003 is een nieuwe overlegstructuur geïntroduceerd, het PPI, als adviserend orgaan voor het Algemeen Ketenoverleg (AKO). Het PPI is de opvolger van het Informatie Ketenoverleg (IKO) en het Processen Ketenoverleg (PKO) en is opgericht vanuit de gedachte dat bij de ontwikkeling van de keten processen en informatisering niet los van elkaar gezien kunnen worden. Het UWV voert voorlopig het voorzitterschap van het PPI. Op tactisch niveau functioneren vier Domeingroepen waar ketenafspraken inhoudelijk worden voorbereid: § Domeingroep Architectuur (DA), met daaronder een Werkgroep Techniek (WgT); § Domeingroep Gegevens en Berichten (DGB), met daaronder een Werkgroep Gegevensbeheer (WGB) en een Werkgroep XML (WGX); § Domeingroep Privacy en Beveiliging (DPB); § Domeingroep ICT Beheerprocessen (DIB).
Figuur 2: overlegstructuren
Naast de Domeingroepen is er een afstemmingsoverleg waar de inhoud, de opzet, de planning en voortgang van de ketenbrede projecten worden besproken. Op operationeel niveau zijn de volgende structurele overleggen ingericht: § Incident Managers Overleg (IMO); § Keten Change Advisory Board (CAB) § Operationele projectoverleggen § leveranciersoverleg met PinkRoccade; § leveranciersoverleg met ABP/CIS.
14
2.4 Uitgangspunten werkwijze BKWI BKWI is een dienstverlenende organisatie die ten behoeve van de keten van werk en inkomen op een pro-actieve manier zijn taken uitvoert. Stelregel van BKWI is dat het succes van de keten van meer afhankelijk is dan van een goed functionerende techniek. Belangrijker nog zijn de samenwerking tussen de ketenpartners, het vertrouwen dat de partners in elkaar hebben en de onderlinge communicatie. In zijn operatie heeft BKWI deze stelregel vertaald naar de volgende uitgangspunten: § Samenwerking: Het BKWI zal in nauwe samenwerking met de Suwi-organisaties en het ministerie van SZW bepalen welke diensten en producten nodig zijn ten behoeve van een juiste ondersteuning van de keten en op welke wijze deze diensten en producten gerealiseerd kunnen worden. Het BKWI respecteert de eigen verantwoordelijkheden van de uitvoeringsorganisaties en het ministerie en zal geen ‘overnemend gedrag’ vertonen. De gegevensuitwisseling in de Suwiketen kan uitsluitend tot stand worden gebracht als partijen goed samenwerken. § Ondersteuning: Het BKWI staat niet ‘boven de partijen’. Het BKWI is geen regelgevend orgaan. De minister stelt, in overleg met de uitvoeringsorganisaties, de regels ten aanzien van de gegevensuitwisseling vast. Het BKWI ondersteunt dit door voorbereidende werkzaamheden uit te voeren, door de regels te concretiseren en het naleven van de regels te bevorderen. Het BKWI heeft derhalve een ondersteunende en faciliterende rol in de keten. § Innovatie: Het BKWI zal in bepaalde opzichten wel ‘voor de partijen uitlopen’. Een van de taken van het BKWI is het verkennen van de technologische ontwikkelingen en het vertalen hiervan in concrete voorstellen voor de verdere ontwikkeling van Suwinet. § Kwaliteit: Om de uitvoeringsorganisaties binnen de Suwiketen maximaal te kunnen ondersteunen, worden hoge eisen gesteld aan de diensten en producten van het BKWI. Het vereiste kwaliteitsniveau stelt ook hoge eisen aan de medewerkers van het BKWI. 2.5 Heroriëntatie Het BKWI is enkele jaren terug op de ontwerptafel geboren en vervolgens tot leven gebracht. Hoewel het basisontwerp in beginsel goed was, is de afgelopen jaren duidelijk geworden dat de ideeën van de ontwerptafel niet volledig aansluiten bij de praktijk van alledag. Het BKWI is opgericht om de keten te ondersteunen bij het bereiken van zijn doelstellingen Dat wil zeggen dat het BKWI de keten moet ondersteunen in zijn streven naar werk boven inkomen, het bevorderen van de rechtmatigheid en de doelmatigheid van de uitvoering en het ontwikkelen van een meer klantgerichte dienstverlening. Hiervoor zijn de afgelopen jaren tal van initiatieven ontplooid, standaarden gedefinieerd en technische voorzieningen gerealiseerd. In 2003 hebben wij onderzocht in hoeverre het BKWI, met de inrichting en werkprocessen die het had, voldoende aan zijn ondersteunende taak kon voldoen. We hebben stil gestaan bij de opdracht van BKWI en of we daar als organisatie op de goede manier op zijn ingericht en toegerust. Met deze heroriëntatie hebben we willen bereiken dat we gerichter onze doelen bereiken, ons minder laten sturen door ad-hoc opportunities, dat we intern effectiever samenwerken, en BKWI beter in de markt zetten. Het heroriënteringsproces heeft geleid tot een voorstel voor een gewijzigde organisatiestructuur. De structuur van het BKWI wordt zowel eenvoudiger als logischer. Wij denken dat we vanuit de nieuwe structuur beter in staat zijn de ketendoelstellingen te ondersteunen. De nieuwe structuur wordt gekenmerkt door de afdeling ‘ketenontwikkeling’, de afdeling ‘ontwikkeling producten en diensten’, de afdeling ‘exploitatie’ en het ‘office’. Met de nieuwe structuur verwachten we beter en meer gericht aan onze opdracht te kunnen werken. Bovendien sturen we er op aan om onze projectorganisatie, die volgens afspraak tot op heden voornamelijk uit externen heeft bestaan, te gaan omvormen naar de afdeling ‘ontwikkeling producten en diensten’ waar op projectmatige basis, en door vaste medewerkers, wordt gewerkt aan het realiseren van producten en diensten ter bevordering van de effectiviteit en efficiëntie van de keten. We zullen daarbij nog beter gaan kijken naar welke activiteiten we voor wie ondernemen. Voor ieder project dat we oppakken moet gelden dat hij past binnen onze opdracht en een bijdrage levert aan een beter functionerende keten. De nieuwe structuur
15
is per 1 februari 2004 geëffectueerd. Dit jaarverslag is vanzelfsprekend nog geënt op de oude structuur. Als onderdeel van het heroriënteringsproces voeren we bovendien een evaluatieonderzoek uit naar het functioneren van het BKWI in de afgelopen jaren. Hierover wordt in het eerste kwartaal van 2004 separaat gerapporteerd. Per 1 februari 2004 wordt de structuur van het BKWI als volgt.
Directeur
Ketenontwikkeling
Ontwikkeling Producten & Diensten
Exploitatie
Figuur 3: organisatie/ processtructuur BKWI 2004
16
Office
3.
Omgevingsanalyse
3.1 De keten in ontwikkeling In 2003 heeft een aantal ontwikkelingen de prestaties van het BKWI beïnvloed. De belangrijkste ontwikkelingen zijn: • • • • •
pro-activiteit in de keten; samenwerking binnen de keten; projecten (ketenprogramma); nieuwe wetgeving en intensivering beleid; overige ontwikkelingen.
Pro-actief in de keten In 2003 hebben we ten behoeve van het AKO gerapporteerd dat het vertrouwen binnen de keten groeit, maar dat de resultaten nog wat achterblijven. Om een actieve bijdrage te leveren aan het realiseren van de beoogde resultaten, hebben we in 2003 wat vaker de confrontatie gezocht als afspraken niet helemaal of niet helemaal goed werden nagekomen. Dit heeft in een aantal gevallen wat extra gesprekken opgeleverd tussen ons en de ketenpartners, maar aan het eind van 2003 kunnen we concluderen dat onze gewijzigde houding langzaamaan zijn vruchten begint af te werpen. Een aantal projecten en activiteiten is door onze wat meer vasthoudende aanpak sneller en effectiever gerealiseerd dan in het voorgaande jaar het geval zou zijn geweest. We hebben, ondanks het feit dat wij nauwelijks formele bevoegdheden hebben, ons meer geprofileerd met betrekking tot de ketensamenwerking. We hebben de ketenpartners meer aangesproken op hun verantwoordelijkheid door middel van overleg en diverse vormen van rapportage. De ketenpartners reageren hier goed op. Men laat zich door het BKWI aanspreken. Mede dank zij deze houding van de ketenpartners zijn wij als BKWI in staat om ketensamenwerking steeds beter op de agenda te plaatsen. Het overleg op Raad van Bestuur niveau met de ketenpartners is geïntensiveerd, waardoor eventuele problemen sneller op tafel komen en ook sneller opgelost kunnen worden. De wijziging van IKO en PKO in de PPI overlegstructuur, heeft duidelijk vruchten afgeworpen. Omdat Proces (Business) en ICT (Ondersteuning) onlosmakelijk met elkaar zijn verbonden, is het logischer het overleg hierover te combineren. Doordat de voorzitter van PPI ook zitting heeft in het Algemeen Ketenoverleg, functioneert de afstemming met die vergadering beter. Samenwerking binnen de keten De samenwerking met de ketenpartners begint steeds meer vorm te krijgen. Wel blijft het realiseren van voortgang op ketenniveau een proces van lange adem en is het soms zoeken naar de rol die de verschillende ketenpartners en de opdrachtgever innemen. Dit is in potentie een bedreiging voor de keten, omdat de keten niet altijd de tijd wordt gegund om veranderingen in het normale tempo door te voeren. We beseffen dat het voor het BKWI wat makkelijker praten is over het realiseren van voortgang en snelle besluitvorming, dan voor een aantal ketenpartners. Wij zijn een kleine en platte organisatie waarbinnen iedereen full time bezig is met het werken aan de keten. We begrijpen terdege dat de ketenpartners naast het belang van de samenwerking binnen de keten ook andere grote belangen en stevige interne uitdagingen hebben. Juist omdat de ketenpartners ook andere belangen hebben, zullen wij ook in 2004 veel aandacht vragen voor samenwerking binnen de keten en het ontwikkelen ervan. Overigens ervaren we de wijze waarop het UWV het voorzitterschap van het PPI invult als zeer positief.
17
In 2003 is de samenwerking met de stichting RINIS en de Stichting IB goed geweest. De sfeer binnen de samenwerking met deze partijen was in alle gevallen constructief en gericht op de inhoud. Zo is er constructief gewerkt aan de totstandkoming van een gezamenlijke infrastructuur voor het uitwisselen van berichten in het gemeenschappelijke domein. Daarnaast is een start gemaakt met een proeftuinonderzoek waarin we de toegevoegde waarde van RINIS proberen te koppelen aan de toegevoegde waarde van Suwinet. De Suwinet-infrastructuur beschikt alleen over ‘lijnen’ waarover berichtenverkeer kan plaatsvinden. De RINIS infrastructuur heeft een aantal aanvullende mogelijkheden. Zo is het mogelijk om vast te stellen of berichten daadwerkelijk zijn verzonden en aangekomen en kunnen de formaten van gegevens worden gewijzigd zodat ze geschikt zijn voor gebruik in andere sectoren. In de proeftuin wordt onderzocht in hoeverre de infrastructuren naar elkaar toe kunnen groeien. Een ander voorbeeld van geslaagde samenwerking binnen de keten hebben we gezien als neveneffect van de Wet werk en bijstand die begin 2003 werd ingevoerd. Deze wet, die niet was voorzien in het kader van de Suwiwet, heeft vorig jaar een grote impact gehad in de keten. Dit vertaalde zich ook in kansen op het gebied van ketensamenwerking. Door de wet kregen de gemeenten een nieuw direct belang bij een effectie f opererende keten. Dit heeft er toe geleid dat op lokaal niveau samenwerkingsverbanden ontstonden, die er op waren gericht te voorkomen dat mensen in de bijstand terecht kwamen. We hebben gezien dat deze samenwerkingsverbanden zich voornamelijk ontwikkelden in steden waar sprake is van bedrijfsverzamelgebouwen (BVG’en). De BVG’en hebben kennelijk een positieve invloed op het ontstaan van ketensamenwerking. Uit de observaties die we hebben gedaan als gevolg van de invoering van de Wet werk en bijstand, concluderen wij dat het verstandig is om dergelijke samenwerkingsverbanden gericht te volgen. Door samenwerkingsverbanden op lokaal niveau te volgen kunnen best practices in een vroeg stadium worden herkend. Dergelijke best practices kunnen vervolgens door de ketenpartners op centraal niveau worden overgenomen en uitgerold en in de keten worden ondersteund. Bovendien kunnen we, door lokale samenwerkingsverbanden te volgen, voorkomen dat er een wildgroei aan projecten, activiteiten en lokale afspraken ontstaat die niet meer door de centrale organisaties en de keten als geheel ondersteund kunnen worden. Wat overigens opvalt in de samenwerking binnen de keten is dat er prima wordt samengewerkt zolang het gaat om pure automatiseringsvraagstukken. Zodra het echter gaat over vraagstukken waarbij ook (delen van) het werkproces aan de orde komen, is men binnen de keten nogal terughoudend, voornamelijk op centraal niveau. Dit is jammer omdat een optimale inrichting van de keten niet kan zonder ook delen van de procesgang te onderzoeken. In 2004 zullen wij er hard aan trekken om de ketenpartners te helpen om deze drempel te overwinnen. We stellen bovendien vast dat de afstand tussen BKWI en de medewerkers bij de ketenpartners, die grondige kennis van de primaire werkprocessen hebben, nog te groot is. Dit bemoeilijkt de voortgang met ketenpartners, omdat discussies niet geslecht kunnen worden. Projecten Ketenprogramma 2003-2004 Hoewel we in 2003 goede voortgang hebben geboekt binnen de projecten, hebben we opnieuw veel energie moeten steken in het expliciteren van projectplannen naar ketenpartners toe. Bij ieder project zijn verschillende partijen betrokken. De afhankelijkheid van deze partijen compliceert het effectief managen van projecten. Vaak ontbreekt het wat aan een gezamenlijke ambitie en aan een gevoel van urgentie, dat zaken in gezamenlijkheid moeten worden opgepakt. Het BKWI heeft, gezien zijn positie in de keten, geen effectieve instrumenten om de doorgang en voortgang van dergelijke projecten af te
18
dwingen. Dit vloeit voort uit de faciliterende rol die BKWI heeft en de keus het tempo van de opzet en uitvoering van projecten bij de ketenpartners neer te leggen. In het voorjaar van 2003 heeft het ministerie in samenwerking met UWV, VNG en CWI op hoofdlijnen een nieuw ketenprogramma opgesteld: Programma Ketenresultaten 2003-2004. Dit programma week op onderdelen zowel qua planning als qua inhoud en rolverdeling af van de voorlopige jaartranche 2003 van het BKWI. De aansturing van het ketenprogramma werd belegd bij het Algemeen Keten Overleg. Het BKWI nam niet deel aan de besluitvorming omtrent dit programma. In de kwartaalrapportages heeft het BKWI gedurende 2003 aangegeven welke consequenties het Programma Ketenresultaten 2003-2004 voor het veranderprogramma van BKWI had. In hoofdlijnen betekende het nieuwe ketenprogramma dat een groot aantal mijlpalen uit de ‘voorlopige jaartranche 2003’ van 2003 naar 2004 verschoof. Een tweede ontwikkeling in de context van het ketenprogramma was het verdwijnen van het Steunpunt Suwi Gemeenten (SSG) begin 2003 en haar opvolger Steunpunt Keten Samenwerking (SKS) medio 2003. Deze twee organisatieonderdelen van het ministerie van SZW zorgden in 2002 en het begin van 2003 voor de benodigde inbreng van en afstemming met het gemeentelijke veld. Door het wegvallen van SSG en SKS en het uitblijven van een goed functionerende opvolger werd de samenwerking met het gemeentelijk domein in algemene zin verstoord. Hierdoor is een aantal mijlpalen niet gehaald. Nieuwe wetgeving en intensivering beleid Begin 2004 is de Wet werk en bijstand ingevoerd. Deze wet, die niet was voorzien in het kader van de SUWIwet, heeft vorig jaar een grote impact gehad op de keten en vooral de gemeenten. Als neveneffect van deze nieuwe wet ontstonden nie uwe kansen op het gebied van ketensamenwerking. Door de wet kregen de gemeenten een direct belang bij een effectief opererende keten. Dit heeft er toe geleid dat op lokaal niveau een grote hoeveelheid samenwerkingsverbanden ontstond die er op waren gericht te voorkomen dat mensen in de bijstand terecht kwamen. We hebben gezien dat deze samenwerkingsverbanden zich voornamelijk ontwikkelden in steden waar sprake is van bedrijfsverzamelgebouwen (BVG), met als koplopers Amsterdam, Nijmegen, Apeldoorn, Hilversum, Gouda en Den Bosch. In 2003 heeft de Staatssecretaris van SZW de ZBO’n bij elkaar geroepen om afspraken te maken over hoogwaardig handhaven. Dit zal in 2004 leiden tot de betrokkenheid bij een aanzienlijk aantal ketenprojecten en ketenactiviteiten, onder meer het experiment A/B routering, dat een alternatief is voor de fasering die thans bij het CWI wordt toegepast en de verkorte WWB-intake waarbij klanten die dicht bij de arbeidsmarkt staan minder gegevens hoeven aan te leveren, zodat meer tijd beschikbaar is voor gesprekken met de klant. Het concept van hoogwaardig handhaven wordt gekenmerkt door vroegtijdige voorlichting, dienstverlening op maat en snelle fraudedetectie. BKWI zal vanuit zijn verantwoordelijkheid een rol spelen op het gebied van proces- en ICT-coördinatie. Overige ontwikkelingen Binnen de keten is in 2003 daarnaast een aantal initiatieven ontplooid die gericht zijn op het verbeteren van de resultaten op het gebied van werk en inkomen. In deze paragraaf noemen we een aantal voorbeelden. Er is een start gemaakt met het project Nationale Authenticatie Voorziening (NAV). Deze voorziening zorgt ervoor dat burgers maar één keer een wachtwoord hoeven te registreren, waarna ze dit, in de internetcontacten met de overheid, bij vele overheidsdie nsten kunnen gebruiken. De eerste proefversie van deze voorziening werd door de samenwerkende partijen binnen zes maanden gerealiseerd. Vanaf januari 2004 kan de voorziening worden getest.
19
Daarnaast is BKWI in samenwerking met de Vrije Universiteit, Robeco, Interpay en Moniforce een project gestart dat zich richt op het analyseren van het gedrag van gebruikers van Suwinet. Dit project, dat volledig door Economische Zaken wordt gefinancierd, heeft als doel een opschaalbare oplossing te realiseren waarmee, door middel van het real time bekijken van de activiteiten van gebruikers, misbruik en fraude kan worden opgespoord en voorkomen. Ook wordt gewerkt aan de ontwikkeling van lokale initiatieven. Doel hiervan is om op basis van een vraag (veelal door een BVG gesteld) een lokale oplossing te realiseren die, bij gebleken succes, landelijk kan worden opgeschaald. Door deze werkwijze te hanteren kunnen we sneller nieuwe initiatieven in de markt zetten. Een voorbeeld van een dergelijk initiatief is het ontwikkelen van een management informatietool voor de BVG’n Amsterdam, Nijmegen en Apeldoorn. Specifiek voor deze BVG’n wordt een tool ontwikkeld, gebaseerd op concepten die landelijk opschaalbaar zijn. Als deze tool succesvol in productie is genomen, kan worden onderzocht hoe we management informatie ketenbreed kunnen inregelen. In samenwerking met de ketenpartners, het Openbaar Ministerie (OM), Agentschap Basisadministratie, Persoonsgegevens en Reisdocumenten (BPR) en Radio Controle Dienst (RCD) is een handreiking opgesteld voor identiteitscontrole, waarbij het gebruik van nieuwe functies van Suwinet (Verificatie Informatie Systemen (VIS) en Landelijk Raadpleegbare Deelverzameling GBA (LRD)) een belangrijke rol spelen. In het eerste kwartaal van 2004 zal de handreiking worden beproefd in verschillende pilots. Daarnaast worden er initiatieven ontplooid op het gebied van onder meer e-intake, elektronische communicatie met de burger en inkijk voor burgers. Vanuit gemeenten komt de vraag om tot betere resultaatmetingen te komen. Als gevolg van de Wet Werk en Bijstand hebben gemeenten de behoefte aan betrouwbare gegevens met betrekking tot onder meer instroom, doorstroom en uitstroom van bijstandscliënten. Hiervoor moeten instrumenten worden ontwikkeld. 3.2 De bestuurlijke context van het BKWI Op grond van artikel 6.3 van de Regeling Suwi is het beheer van de gemeenschappelijke onderdelen van Suwinet opgedragen aan de CWI. Daarbij is bepaald dat de CWI een afzonderlijk en herkenbaar organisatieonderdeel met deze taken belast: het BKWI. Het BKWI staat ten dienste van de partijen in de keten: het UWV, de CWI, gemeenten en de SVB. Voor het slagen van de missie van het BKWI is het van belang dat de ketenpartijen tot afstemming en afspraken komen over keteninformatisering en dat zij de gemaakte afspraken ook daadwerkelijk nakomen. BKWI en de ketenpartijen (uitgezonderd de gemeenten, voor hen geldt een afwijkende systematiek) geven in hun jaarplannen aan op welke manier zij invulling geven aan de wettelijke taken. Op strategisch niveau vindt de afstemming tussen de ketenpartijen plaats in het Algemeen Keten Overleg (AKO), waarin UWV, de CWI, de SVB en de VNG participeren. In het AKO komen de ketenpartners op strategisch niveau tot afstemming over de gegevensuitwisseling en de daarvoor benodigde ICT-ondersteuning en over de gemeenschappelijke werkprocessen in de keten. De minister laat zich bij de aansturing van het BKWI adviseren door het AKO. Het BKWI is geen lid van het AKO. Op tactisch niveau vindt afstemming plaats in het Platform Processen en ICT (PPI). In dit overleg participeren UWV, CWI en Divosa. UWV is voorzitter van dit overleg. BKWI is secretaris van het
20
overleg, maar geen lid. Het IB is toehoorder. Om zijn invloed te doen gelden is het BKWI in zowel het AKO als in het PPI aangewezen op bilaterale afstemming met de leden van deze overleggen. Gezien de opdracht van het BKWI om de samenwerking en de gegevensuitwisseling in de keten te ondersteunen echter, zou het voor de hand liggen dat het BKWI beide ketenoverleggen formeel adviseert. De minister van SZW is verantwoordelijk voor de beoordeling van de jaarplannen, keurt deze goed en stelt op basis daarvan uitvoeringsbudgetten ter beschikking. Het door de minister goedgekeurde jaarplan van BKWI (en jaartranches waar het gaat om implementatieprojecten voor de verdere ontwikkeling van Suwinet) samen met de jaarplannen (en jaartranches) van de Suwipartijen zijn het vertrekpunt voor de uitvoering van taken op het gebied van ketensamenwerking en –informatisering. Bij de concrete invulling en uitvoering daarvan heeft BKWI een coördinerende rol. Het organiseert domeingroepen waarin op verschillende aandachts- en expertisegebieden overleg plaatsvindt tussen de ketenpartijen en is projectleider bij gemeenschappelijke ontwikkel- en realisatieprojecten. In het Ketenoverleg worden maatregelen geformuleerd om de voortgang van projecten te waarborgen. In laatste instantie is het de minister van SZW die de partijen kan dwingen tot het naleven van afspraken. De in de domeingroepen voorbereide voorstellen die betrekking hebben op het wijzigen van Suwinet en de daaraan gerelateerde standaards en normen worden voorgelegd aan de ketenpartijen in het AKO. Het AKO adviseert vervolgens de Minister van SZW, die kan besluiten om de wijzigingen door te voeren in de Regeling Suwi, waarvan de genoemde standaards onderdeel uitmaken. Vanaf dat moment gaat het om wettelijk vastgelegde, en dus bindende afspraken. Het BKWI maakt deel uit van de CWI, maar heeft daarbinnen, vanwege zijn ketenbrede opdracht, een zelfstandige positie. Over de door BKWI geleverde prestaties en de besteding van middelen wordt (formeel door de Raad van Bestuur van de CWI) via de daarvoor vastgestelde formats periodiek verantwoording afgelegd aan de Minister van SZW.
21
4.
Veranderprogramma
4.1 Inleiding Het veranderprogramma 2003 van het BKWI is beschreven in een tweetal documenten: ‘voorlopige jaartranche 2003’ en ‘definitieve jaartranche 2003’. In de voorlopige jaartranche ligt de nadruk op projecten die vanuit 2002 doorlopen in 2003 en die zijn gericht op het bevorderen van de kwaliteit en het gebruik van de bestaande voorzieningen en afspraken. De definitieve jaartranche beschrijft projecten die in 2003 zijn opgestart. Een aantal van deze projecten is onderdeel van het ketenprogramma 20032004, dat in 2003 is opgesteld tussen de ketenpartners. Andere projecten hebben een indirecte relatie met het ketenprogramma of dragen in algemene zin bij aan de doelstellingen van de wet Suwi en de keten van Werk en Inkomen. Gezamenlijk bepalen deze documenten de innovatietaak van het BKWI in 2003. In dit hoofdstuk wordt in hoofdlijnen op het veranderprogramma ingegaan. In bijlage 1 ‘veranderprogramma’ worden de projecten, die onder de noemers voorlopige jaartranche 2003 en definitieve jaartranche 2003 zijn uitgevoerd, uitvoerig besproken. Per project komt hierin achtereenvolgens aan de orde: - achtergrond en doel project - huidige status project - mijlpalen In de bijlage wordt tevens een korte terugkoppeling gegeven over een aantal projecten uit de jaartranche 2002, die niet zijn opgenomen in de voorlopige jaartranche 2003, maar die in het begin van 2003 nog moesten worden afgerond en waarvoor een ‘bestemmingsfonds transformatie 2002’ op de openingsbalans 2002 was opgenomen. De financiële verantwoording voor het veranderprogramma is opgenomen in de jaarrekening van het BKWI (hoofdstuk 7 van dit jaarverslag).
4.2 Context van veranderprogramma 2003 Het veranderprogramma 2003 is in opdracht van het ministerie van SZW opgesteld. Met de ketenpartners is afstemming gezocht via een aantal bestaande overleggen. Het veranderprogramma, dat door BKWI in de vorm van jaartranches werd opgesteld, was tot het voorjaar van 2003 het primaire ketenbrede programma. Aan dit ketenprogramma werd door de ketenpartners gewerkt, in opdracht van het ministerie van SZW. In de lijn van de jaartranche 2002 werden in de ‘voorlopige jaartranche 2003’ ook budgetten voor activiteiten van CWI, Inlichtingenbureau en UWV opgenomen. In 2003 heeft de start van het Programma Ketenresultaten 2003-2004 een behoorlijke invloed gehad op voornamelijk de voorlopige jaartranche 2003. Door de komst van het programma Ketenresultaten 2003-2004 moest de planning van een aantal projecten en het karakter van een aantal projecten worden aangepast. Een andere ontwikkeling binnen de context van het ketenprogramma was het verdwijnen van zowel het Steunpunt Suwi Gemeenten (SSG) als zijn opvolger Steunpunt Keten Samenwerking (SKS). Door het wegvallen van SSG en SKS werd de samenwerking met het gemeentelijk domein in algemene zin verstoord. Hierdoor is een aantal mijlpalen niet gehaald.
4.3 Overzicht op hoofdlijnen van de resultaten van het veranderprogramma 2003 In 2002 is een aantal activiteiten uit de jaartranche 2002 van het BKWI niet uitgevoerd. Voor deze activiteiten is op de openingsbalans van 2003 een ‘bestemmingsfonds transformatie 2002’ opgenomen. In een bijlage bij de ‘voorlopige jaartranche 2003’ is voor de bijbehorende mijlpalen voor deze activiteiten een planning afgegeven.
22
Ook werden in 2002 twee projecten uit de jaartranche 2002 ‘on hold’ gezet, in afwachting van externe ontwikkelingen. Het gaat hier om de projecten F1 Business Informatie Architectuur (SOLL) en F4 Technische Architectuur (SOLL). Deze projecten zijn in de ‘definitieve jaartranche 2003’ alsnog opgenomen en opgestart. Op één mijlpaal na zijn alle resterende mijlpalen uit de jaartranche 2002 binnen het budgettair kader (bestemmingsfonds) afgerond. Het realiseren van een uitwijkvoorziening van de Gemeenschappelijke VerwijsIndex heeft het UWV met instemming van het Platform Processen en ICT uitgesteld tot 31-032004. Feitelijk betekende de afronding van de overlopende activiteiten uit 2002 dat een aantal functionele, technische en randvoorwaardelijke projecten rond gegevensuitwisseling tussen CWI, Gemeenten en UWV werden afgerond. Het gaat daarbij om: § Het aansluiten van alle gemeenten op Suwinet Inkijk, § Het inrichten van een meetinstrumentarium om het gebruik van Suwinet Inkijk te monitoren, § Het opleveren van een structurele testomgeving voor ketenbrede testdoeleinden voor Suwinet Inkijk, § Het overdragen van alle relevante onderdelen van de voormalige stichting CVCS, § Het opleveren van onderzoeksrapporten over a) de beleving van medewerkers van CWI, gemeenten en UWV bij het gebruik van Suwinet Inkijk en b) het stroomlijnen van Beroep en opleidinggegevens binnen de keten van Werk en Inkomen. Een aantal activiteiten uit het project ‘E6 werkproceskoppelingen inzake intake WW, Abw en melden einde uitkering met reden WW en Abw’ dat voor 2002 was begroot en dat tot het realiseren van mijlpalen in 2003 moest leiden heeft weliswaar plaatsgevonden, maar heeft in 2003 om diverse redenen nog niet tot de gewenste resultaten geleid. In bijlage 1 ‘veranderprogramma’ wordt dit nader toegelicht.
4.3.1 Voorlopige jaartranche 2003 De meeste mijlpalen uit de ‘voorlopige jaartranche 2003’ zijn behaald. Sommige met enige vertraging en zeer beperkte budgettaire overschrijding. Welke mijlpalen gerealiseerd zijn staat gedetailleerd beschreven in bijlage 1. Van de gerealiseerde doelstellingen benoemen wij er hier een aantal die grote functionele dan wel technische waarde hebben voor de keten van Werk en Inkomen: § Inrichting van Centraal Meldpunt Ketenwijzigingen met ICT-ondersteuning, § Inkijk op gegevens van de gemeentelijke sociale diensten voor geautoriseerde medewerkers van CWI, UWV en gemeenten, § Doorgevoerde functionele en technische ‘gegevensuitwisseling’-standaard in Suwinet Inkijk, § Uitbreiding van gebruik Suwinet Inkijk tot bijna 19.000 medewerkers, § Gerealiseerde nieuwe overzichten in Suwinet Inkijk voor een vijftal processen bij gemeenten en UWV, § Raadpleegvoorziening op het Verificatie Identiteitsdocumenten Systeem (VIS) § Mail-verbinding over een besloten netwerk tussen CWI en het gemeentelijk veld. Integraal si het BKWI ook bij deze projecten uit de ‘voorlopige jaartranche 2003’ binnen budget gebleven. De verlenging van de doorlooptijd van de projecten door de komst van het ketenprogramma 2003-2004 betekende wel dat met name de kosten voor projectmanagement en projectcoördinerende activiteiten hoger uitvielen dan begroot in de onderliggende projectplannen. Van vier van vijf benoemde projecten uit de ‘voorlopige jaartranche 2003’ staat nog een aantal mijlpalen open. Voor al deze mijlpalen geldt dat BKWI voor de realisatie geheel of gedeeltelijk
23
afhankelijk is van voortgang van activiteiten bij één of meerdere ketenpartners. Deze projecten lopen als onderdeel van het ketenprogramma 2003-2004 dan ook nog door in 2004.
4.3.2 Definitieve jaartranche 2003 De ‘definitieve jaartranche 2003’ bestond uit activiteiten die grotendeels door het BKWI zelfstandig of door beperkte samenwerking met de andere ketenpartners uitgevoerd konden worden. De activiteiten konden bovendien, voor zover relevant, in lijn met het Programma ketenresultaten 2003-2004 geformuleerd en gepland worden. Op één mijlpaal na zijn alle mijlpalen, met een marginale budgettaire overschrijding, gerealiseerd. Alleen het architectuurdocument ten behoeve van gegevensuitwisseling binnen de keten van Werk en Inkomen zal verschuiven naar 2004. Enkele mijlpalen die we in 2003 gerealiseerd hebben zijn: § Beleidsmatige handreikingen en hulpmiddelen voor gemeenten om beveiligings- en privacybeleid te ondersteunen en te monitoren, § Pilot versie van een authenticatievoorzie ning waarmee directe interactie tussen burgers en de overheid gefaciliteerd kan worden, § 1e lijns ondersteuning bij de implementatie van een CWI-applicatie die binnen de keten ingezet werd § Handreiking identiteitscontrole voor gebruik van GBA en VIS in ketenverband. De resultaten op alle mijlpalen worden in de bijlage veranderprogramma behandeld. De meeste mijlpalen zijn gerealiseerd en de activiteiten zijn integraal binnen de budgettaire kaders uitgevoerd. Van het projectbudget 2003 van € 4.655.500,= is € 3.638.601,= benut. De schuld aan het ministerie bedraagt € 1.016.899,=. Deze schuld zal worden aangewend voor de projecten die in 2003 nog niet zijn afgerond (zie bijlage veranderprogramma). Van het bestemmingsfonds ad € 2.891.000,= is € 2.487.713,= besteed. Het restant bedraagt € 403.287,= en dit restant zal in 2004 worden besteed aan de projecten, welke zijn gebudgetteerd uit het bestemmingsfonds, maar nog niet zijn afgerond (zie bijlage veranderprogramma). In 2002 is in totaal € 2.979.754,= uitgegeven aan projecten en in 2003 in totaal € 6.126.314,=.
24
5.
Beleidsdoelstellingen
5.1 Hoofddoelstellingen BKWI De wettelijke taken van het BKWI zijn in artikel 6.3 van Regeling Suwi als volgt omschreven: § de inrichting van een centrale elektronische voorziening; § de inrichting van een gemeenschappelijke faciliteit voor de toegangsbeveiliging; § de ondersteuning van de Suwinet-partijen bij het beheer en gebruik van Suwinet; § het, na overleg met de Suwinet-partijen, doen van voorstellen aan de Minister over de wijziging van deze paragraaf. Met de uitvoering van deze taken levert het BKWI een belangrijke bijdrage aan de realisatie van de beleidsdoelstellingen zoals verwoord inde memorie van toelichting van de Suwi-wet: § werk boven inkomen; § rechtmatigheid van de uitvoering; § doelmatigheid van de uitvoering; § klantgerichte dienstverlening. Het BKWI is niet zelf verantwoordelijk voor de realisatie van deze doelstellingen. Deze verantwoordelijkheid ligt bij het UWV, de CWI en de GSD’en. Het BKWI heeft tot taak om deze organisaties te ondersteunen bij het verwezenlijken van een klantgerichte, doelmatige, rechtmatige en doeltreffende uitvoering. Het BKWI doet dit in zijn reguliere activiteiten door er voor te zorgen dat ketenafspraken tot stand komen, door het beheer van centrale Suwinetvoorzieningen en door de coördinatie van de decentrale activiteiten van de ketenpartners. Verantwoording over de reguliere activiteiten In dit hoofdstuk wordt verslag gedaan van de aard en de omvang van reguliere activiteiten in 2003. Het BKWI heeft ten behoeve van de omschrijving van deze activiteiten een jaarplan opgeleverd (Jaarplan 2003 BKWI, v2.0, 25 september 2002. Het jaarplan heeft betrekking op de volgende kerntaken van het BKWI: 1. Het voorbereiden en beheren van afspraken die tussen de Suwipartijen worden gemaakt 2. Het coördineren van het technische en functioneel beheer van decentrale voorzieningen 3. Het (doen) uitvoeren van het technische beheer van Suwinet 4. Het verzamelen, creëren en beschikbaar stellen van kennis over de keteninformatisering in het algemeen en over de keteninformatisering binnen de keten werk en inkomen in het bijzonder. Het jaarplan is goedgekeurd door het Ministerie van SZW. Het document heeft het spoorboekje voor 2003 gevormd. Over de doelstellingen die in het jaarplan zijn vastgelegd wordt in dit jaarverslag verantwoording afgelegd. Over de vierde kerntaak die in het jaarplan 2003 werd benoemd (het verzamelen, creëren en beschikbaar stellen van kennis) wordt in hoofdstuk 6 gerapporteerd. 5.2 Voorbereiden en beheren van afspraken tussen Suwipartijen Het Platform Keteninformatisering is, zowel met betrekking tot afspraken over het centrale en decentrale beheer als met betrekking tot afspraken over de gegevensuitwisseling binnen de Suwiketen, verantwoordelijk voor: § het bevorderen van ketenbrede afspraken, § het stimuleren van de controle op naleving, § de ontwikkeling van regelgeving en § het voorbereiden en maken van beleids- en adviesstukken, over werkprocessen en gegevensuitwisseling in de keten in overleg met de Suwinet-partijen.
25
Per product/ dienst dat door BKWI wordt geleverd is in het jaarplan 2003 een aantal doelstellingen voor 2003 vastgelegd. Deze worden samengevat in onderstaande tabel. De resultaten per doelstelling worden eveneens vermeld. Diensten en producten Stelselontwerp (*)1
SGR/Suwi-ML (*)
Privacy en beveiligingshandboek
Doelstellingen 2003
Resultaten 2003
- Het ontwerp bevat een - Op 26 juni 2003 is het Plan van aanpak Ontwikkeling overkoepelend raamwerk, Ketenarchitecturen vastgesteld in het PPI. In het plan zijn de een ketenprocesmodel, een vier ketenarchitecturen benoemd en beschreven. Op basis keteninformatiseringsmodel van dit plan zijn de architecturen van de partners verzameld en een technische en is een startnotitie gemaakt (fase 0). Tevens is een plan architectuur, die samen een opgesteld ten behoeve van fase 1 van de uitwerking van de correcte en consistente ketenarchitecturen. Afronding en besluitvorming is voorzien beschrijving geven van voor het eerste kwartaal van 2004. Zie ook paragraaf 1.3.1. Suwinet. van bijlage 1. - Het Stelselontwerp is aan - Ter voorbereiding op fase 2 van de ketenarchitectuur zijn de SZW aangeboden voor thema´s ketenmanagement informatie en het virtueel publicatie in de klantdossier verkend. Staatscourant. - Een geactualiseerde versie van de architectuur voor Meldingen en Inkijk is aangeboden aan en geaccordeerd door het PPI. Op basis van de nieuwe uitgangspunten is een proeftuin Meldingen ingericht. In verband met een lopende discussie over deregulering is er geen aangepaste versie van het Stelselontwerp aangeboden aan SZW voor plaatsing in de Staatscourant. - De aansluitingen ten behoeve van de gegevensuitwisseling in het kader van het convenant CWI-Sociale Dienst Amsterdam zijn gerealiseerd en getest. Het betreft zowel de overdracht van CWI-gegevens naar de sociale dienst, als het verschaffen van informatie vanuit de sociale dienst naar CWI. Begin januari zal een en ander in productie worden genomen. - Het SGR/SuwiML bevat eind - Het SGR/SuwiML bevat alle gegevens en berichten van de 2003 alle gegevens en Abw-intake, de melding ‘einde uitkering Abw met reden’ en berichten die op dat de vooraankondiging WW. De volledige set WW-Intake en de moment worden melding ‘einde uitkering WW met reden’ zijn nog niet uitgewisseld in het kader aangeboden ter modellering. Hetzelfde geldt voor de van de ABW-intake, de WWverkorte Abw-intake. intake en de melding ‘einde - SGR/SuwiML versie 2.0 is in voorbereiding en wordt uitkering met reden’. aangeboden na afronding van bovenstaande onderdelen. Er - Het SGR/Suwi-ML is aan is wel een nieuwe versie van de berichtenstandaard in SZW aangeboden voor voorbereiding, Van de transactiestandaard is een nieuwe publicatie in de versie opgesteld en deze is op 16 december 2003 aan de Staatscourant. WGB aangeboden. - Er is een prioriteitstelling en - Op basis van prioriteitstelling zijn in 2003 aanpassingen fasering opgesteld voor doorgevoerd in de Inkijkberichten (onder meer in verband aanpassingen ten behoeve met VIS en GBA-koppeling), alsmede de wijzigingen in de van het opnemen van NEN. Tevens is een start gemaakt met het modelleren van nieuwe gegevens de Beroepen & Opleidingentabel van CWI. Eind 2003 is gestart met een impactanalyse van de WWB op het SGR/SuwiML. - Beleid is bijgehouden en - Het beveiligingsbeleid is niet gewijzigd. waar nodig bijgesteld - Het beleid is vertaald in een voor de Audit over 2003 - Beleid is vertaald naar vastgesteld Normenkader en Verantwoordingsrichtlijn
1
De diensten die met een (*) zijn gemarkeerd worden door het BKWI omschreven als kritieke succesfactoren.
26
Diensten en producten
Doelstellingen 2003 toetsingscriteria en een draaiboek voor nieuwe toetreders.
Privacy-audit (*)
Ketenbeheerhandboek
Wijzigingsbeheer(* )
Keten SLA (*)
- Alle aangesloten organisaties – ook het BKWI- hebben in 2003 minimaal één privacy-audit uitgevoerd naar het gebruik en beheer van persoonsgegevens die zij via Suwinet verkrijgen. - Er is een standaardmethode en toetsingskader ontwikkeld ten behoeve van het uitvoeren van privacy-audits - Handboek is onderhouden en waar nodig bijgesteld -
Ten aanzien van wijzigingsbeheer zijn afspraken gemaakt die in het IKO zijn bevestigd, zodat het ontwikkelen, testen en implementeren van nieuwe of aangepaste onderdelen van Suwinet gecoördineerd verloopt. BKWI neemt de rol als wijzigingscoördinator op zich
- SLA wordt gemonitord op basis van rapportages Suwidesk - SLA wordt (indien nodig) aangepast voor 2004. - SLA is een actuele en realistische weergave van het gewenste serviceniveau in de keten Leveranciersmana- Er is beleid ontwikkeld dat gement moet voorkomen dat BKWI te lijden krijgt van een te hoge mate van afhankelijkheid van
Resultaten 2003 (conceptversie 0.4). Er is geen draaiboek voor nieuwe toetreders opgesteld, omdat er in 2003 nog geen nieuwe toetreders waren. - Wel is een informatie beveiligingsplan Suwinet opgesteld. - BKWI en de ketenpartners hebben hun EDP-audit over 2002 uitgevoerd op basis van de voorlopige versie 0.3 van het Normenkader en de Verantwoordingsrichtlijn. BKWI heeft op basis van de resultaten van de EDP-audits van de ketenpartijen een samenvattende rapportage opgesteld en aangeboden aan de minister. - De EDP-audit over 2003 is uitgevoerd op basis van Normenkader en Verantwoordingsrichtlijn versie 0.4. Zowel BKWI als de ketenpartners voeren deze audit uit. Na evaluatie zal de standaard waar nodig worden bijgesteld. De resultaten van de audit van BKWI maken integraal onderdeel uit van dit jaarverslag (zie hoofdstuk 8). - Er zijn procedures afgesproken met betrekking tot ketenwijzigingen. De procedures met betrekking tot configuratiemanagement en autorisatiebeheer zijn onderhouden en waar nodig bijgesteld. - De domeingroep ICT beheer (DIB) heeft in 2003 vastgesteld dat de noodzaak tot het ontwikkelen van een ketenbeheer handboek in 2003 geen prioriteit had. Deze activiteit is derhalve verschoven naar 2004. Desondanks is er wel sprake van een aantal procedures die in beheer zijn bij de Domeingroep ICT-beheer. De procedures zijn up to date gehouden en worden één keer per jaar opnieuw in de SLA vastgesteld. - Om vorm te geven aan haar rol als ketenbrede wijzigingscoördinator heeft het BKWI het Centraal Meldpunt Ketenwijzigingen ingericht. Hier worden door alle Suwipartijen wijzigingen met een mogelijke ketenimpact aangemeld. Vervolgens worden de wijzigingen voor advies langs de toepasselijke Domeingroepen geleid, en onder coördinatie van BKWI uitgevoerd. Het BKWI bewaakt de advies- en uitvoeringtermijnen. - In het derde kwartaal is de voorlopige versie van het ketenbrede Releasebeleid vastgesteld. Dit beleid omvat beleidsuitgangs punten, procedures en een releasekalender. - In het derde kwartaal is bovendien gestart met de implementatie van de afgesproken werkwijze, hetgeen geleid heeft tot aanscherping en aanpassing van de afspraken. De hernieuwde afspraken worden in het eerste kwartaal 2004 ter besluitvorming voorgelegd aan het PPI. - De Keten-SLA is vastgesteld en door CWI en IB ondertekend. UWV streeft ernaar om zijn prestatie zodanig te verbeteren dat ook voor deze organisatie per 1 oktober 2004 een handtekening gezet kan worden. - De maandrapportage over het gebruik van Suwinet is aangepast aan de in de SLA afgesproken prestatieindicatoren. - Op basis van rapportages van de Suwidesk worden de afspraken gemonitord en resultaten bijgestuurd. Het BKWI streeft ernaar om zoveel mogelijk te werken met eigen personeel. Daarom zijn in 2003 een functioneel ontwerper, een systeem ontwerper, een gegevensbeheerder en een Security officer in vaste dienst aangenomen. De
27
Diensten en producten
Overlegstructuur
Doelstellingen 2003
Resultaten 2003
aanbieders
afhankelijkheid van externe leveranciers op het gebied van kennis is hiermee tot een minimum beperkt. In de in 2003 afgesloten overeenkomst met de nieuwe leverancier voor de Centrale omgeving zijn voorzieningen getroffen voor het gezamenlijk scholen van personeel, zodat ook daar de kennis optimaal wordt gedistribueerd en daarmee de afhankelijkheid wordt beperkt. Een actuele beschrijving van de overlegvormen en haar deelnemers is beschikbaar via www.bkwi.nl. De procedures maken onderdeel uit van het ketenbrede releasebeheer.
Actuele beschrijving van de overlegvormen, de deelnemers en de procedures
Tabel 1: Doelstellingenmatrix ‘Voorbereiden en beheren van afspraken tussen Suwipartijen’ 2003
5.3 Het coördineren van het beheer van decentrale voorzieningen Suwinet bestaat niet alleen uit de centrale voorzieningen die in beheer zijn bij het BKWI, maar ook uit een aantal decentrale onderdelen die door het UWV, de CWI en het IB worden beheerd (met uitzondering van het applicatiebeheer van de overzichtspagina’s). Om het gegevensverkeer via Suwinet mogelijk te maken, zullen de ketenpartners de gemaakte ketenafspraken moeten implementeren en een aantal voorzieningen moeten beheren. Het BKWI coördineert de implementatie van de gemaakte afspraken door de Suwi-organisaties en coördineert de reguliere activiteiten van de uitvoeringsorganisaties ten behoeve van de gegevensuitwisseling. Het BKWI vervult een intermediairfunctie bij de afstemming van deze decentrale activiteiten. In onderstaande tabel wordt een overzicht gepresenteerd van de doelstellingen die BKWI zich met betrekking tot het coördineren van het beheer van de decentrale voorzieningen heeft gesteld. Daarnaast wordt aangegeven wat de resultaten in 2003 op deze gebieden waren.
Coördinatie decentraal beheer Centraal Meldpunt Ketenwijzigingen (*)
Testcoördinatie (*)
Doelstellingen 2003
Resultaat 2003
- Alle technische en functionele wijzigingen die op de keten betrekking hebben worden bij het centraal meldpunt ketenwijzigingen (CMK) gemeld, geregistreerd en bijgehouden ter ondersteuning van het ketenbrede wijzigingsbeheer - Alle wijzigingen verlopen volgens de afgesproken procedure. Coördineren van de integrale testaanpak door het beheren van de testkalender
Via het extranet van BKWI kunnen alle betrokkenen de ontwikkelingen rond wijzigingen volgen. De CMK-site geeft de gebruiker de gelegenheid wijzigingen te zoeken op onder meer status, aandachtsgebied en ketencomponent. Tevens worden de nog te doorlopen stappen aangegeven. Zie ook paragraaf 1.2.1 van Bijlage 1 en de kop ‘wijzigingsbeheer’ in de tabel van paragraaf 5.2.
28
Het gebruik van de testomgeving is in 2003 vooral vanuit de projecten gecoördineerd. Handicap bij het gebruik van de testomgeving is het feit dat ondanks eerder gemaakte afspraken de set testgegevens niet altijd door alle partijen volgens de geldende specificaties is ingericht. Op voorstel van de domeingroep ICT-beheer is door het MT besloten om de testset te doen opnemen in het Suwigegevensregister en deze door het BKWI centraal te laten beheren en dit voorstel in 2004 aan PPI aan te
bieden. Alle documentatie van de domeingroepen en alle jaarstukken zijn op het BKWI extranet beschikbaar.
Documenteren en beschikbaar stellen ketenafspraken Toetsing jaarplannen ketenpartners
Alle documenten op extranet beschikbaar
Servicedesk (*)
Openingstijden en reactietermijnen conform SLA
Gebruik, Beheer- en incidentrapportages
Maandelijkse rapportages aan beheerders ketenpartners en MT BKWI
De voorgenomen activiteiten van de ketenpartners zijn op elkaar afgestemd en op het beleid m.b.t de keten werk en inkomen
29
Het eerste concept jaarplan 2003 van BKWI is op hoofdlijnen besproken met het strategisch niveau van de ketenpartners. Op basis van de input van de ketenpartners is het plan aangescherpt. Een volgende versie is breed binnen PPI verspreid en d oor de leden becommentarieerd. Suggesties zijn grotendeels overgenomen en teruggekoppeld met de commentatoren. De servicedesk is conform de SLA bereikbaar. Problemen worden in 60% van de gevallen binnen de normtijden opgelost. Zie ook paragraaf 5.5.2. De maandelijkse rapportage over het gebruik van Suwidesk is in de loop van 2003 verder ontwikkeld. Naar aanleiding van vragen van de ketenpartijen is een nieuw format geïntroduceerd met meer informatie.
Coördinatie decentraal beheer Integrale ketenrapportages
Instructiemateriaal
Ketentevredenheid
Doelstellingen 2003
Resultaat 2003
Geïntegreerd overzicht van de - BKWI voert het secretariaat voor het PPI. Uit dien activiteiten van de ketenpartners hoofde stelt ze over de voortgang van het en het BKWI t.b.v IKO, SZW en ketenprogramma maandelijks een IWI voortgangsrapportage op voor het PPI en eens per kwartaal voor het AKO. De inhoud van deze rapportages wordt vooraf afgestemd met partijen. - Op verzoek van partijen en op basis van door hen opgestelde analyses, bereidt BKWI een keten impactanalyse voor op de WWB. - Eens per kwartaal wordt een rapportage aangeboden aan SZW over de voortgang van alle activiteiten. - Eens per kwartaal wordt de rapportage beveiligingsincidenten, na bespreking in de DPB, aangeboden aan het IWI. Coördinatie en gedeeltelijk Het BKWI voert een actief beheer op de demoversie verzorgen van van Suwinet-inkijk en de online help die onderdeel opleidingsmateriaal uitmaakt van de functionaliteit. Hetzelfde geldt voor de documentatie van de gegevens en berichtenstandaards, die op de internetsite van BKWI is gepubliceerd en die software ontwikkelaars in staat stelt om zelfstandig hun producten Suwicompatible in te richten. Onderzoek naar - In het kader van onderzoek naar ketentevredenheid ketentevredenheid uitgevoerd, hebben in 2003 diverse besprekingen inclusief naar tevredenheid over plaatsgevonden met het strategisch management BKWI zelf van de ketenpartners en in de uitvoering, met name op BVG-niveau. Specifiek voor Suwinet Inkijk zijn gebruikersgroepen ingericht. Daarnaast zijn in het najaar BVG trendshops gehouden. - Deze besprekingen en bijeenkomsten hebben geleid tot beter inzicht in de ketenproblematiek en tot concrete ideeën over aanpassingen in de interne organisatie en in de producten en diensten van BKWI. - Omdat de release 2.0 van de inkijkfunctionaliteit in 2003 enige maanden is uitgesteld, is in overleg met de ketenpartners besloten het onderzoek naar de tevredenheid over die functionaliteit in maart/april 2004 uit te voeren in plaats van in 2003.
Tabel 2: Doelstellingenmatrix ‘coördineren van het beheer van decentrale voorzieningen’ 2003
De rol van de domein- en werkgroepen De domein- en werkgroepen zijn samengesteld uit materiedeskundigen van alle ketenpartijen. Ze fungeren als voorbereidend gremium voor besluitvorming in het PPI. In 2003 is de doelgerichtheid van de domein en werkgroepen beoordeeld. Dit heeft onder meer geleid tot een lagere en een beter op de te behandelen onderwerpen passende vergaderfrequentie. De betrokkenheid van de leden van de groepen is goed. Alle partners zijn in de diverse groepen vertegenwoordigd, met uitzondering van de gemeenten. Een spoedige inrichting van het Coördinatiepunt ICT gemeenten kan hier mogelijk verbetering in brengen. De gemeentelijke klankbordgroep Processen en ICT is in 2003 een belangrijk gremium geweest voor inhoudelijke afstemming over ketenprojecten. In Bijlage 2 wordt nader ingegaan op het functioneren van de domein en werkgroepen.
30
Naast de bekende domein- en werkgroepen zijn in 2003 ook expertgroepen actief geweest rond specifieke thema’s: § De expertgroep Identiteitscontrole fungeert als klankbord voor de handreiking Identiteitscontrole. Deze handreiking is klaar voor gebruik in pilots. § De Ronde Tafel Reïntegratie bereidt plannen voor ter verbetering van de gegevensuitwisseling, met name tussen reïntegratiebedrijven en hun publieke opdrachtgevers. Momenteel wordt gezocht naar een beperkt aantal organisaties die op lokaal niveau een pilot voor gegevensuitwisseling willen opstarten. Vanzelfsprekend zijn hier niet alleen de Suwipartners, maar ook Reïntegratiebedrijven bij betrokken. § Ook voor de uitwerking en realisatie van de Nationale Authenticatie Voorziening (NAV) is een expertgroep ingericht. De eerste versie van NAV tijdig opgeleverd. In januari zullen de eerste tests plaatsvinden. De gemeente Enschede zal als eerste gebruiker optreden. Deze voorziening is in principe bedoeld als sleutel voor alle elektronische communicatie tussen burgers en overheid/bedrijfsleven. § Het BVG-overleg tussen Amsterdam, Nijmegen, Apeldoorn, Den Bosch, Hilversum en Gouda fungeert als een expertgroep en heeft als doel ervaringen uit te wisselen over geïntegreerde dienstverlening. BKWI faciliteert dit proces door: o overeenkomsten en verschillen in werkwijzen in beeld te brengen o verzoeken tot nieuwe ICT-voorzieningen te onderzoeken op wenselijkheid en haalbaarheid o realisatie van nieuwe of vernieuwde ICT-voorzieningen te bevorderen
5.4 Het uitvoeren van het technische beheer * Het BKWI zorgt voor het beheer en onderhoud van de centrale ICT-voorzieningen van Suwinet. In de loop van de tijd kan de inhoud van deze taak veranderen, als Suwinet zich verder ontwikkelt. De centrale Suwinet-voorzieningen bestaan in 2003 uit: § Suwi-koppelpunt § Centrale inkijkservers § SuwiMail Server § Applicatieserver Overzichtspagina’s § GBA server § VIS server § Beveiligingspakket § Gebruikersadministratie § Testomgeving, testdata, testprocedures § Website van het BKWI waarop de producten van het BKWI worden aangeboden Het technische beheer van deze voorzieningen is uitbesteed aan ABP-Cis. Met deze partij zijn voor de verschillende diensten SLA’s afgesloten. Het BKWI is zelf verantwoordelijk voor het functionele beheer, het oplossen van incidenten en problemen, de gebruikersondersteuning en het aansturen van de externe leveranciers. 5.5 De systemen De systemen die wij beheren hebben in 2003 zonder uitzondering goed gedraaid. Zowel de beschikbaarheid als de betrouwbaarheid van de systemen was in 2003 hoog. We hebben, als voorzorgsmaatregel, de zomerrelease van Suwinet Inkijk drie maanden uitgesteld, omdat we niet 100% zeker waren hoe de performance van het systeem zou zijn. Deze release is inmiddels succesvol uitgevoerd. Gebruikers hebben hierdoor onder meer een koppeling gekregen met het Verificatie Identificatie Systeem (VIS), waarmee paspoorten en rijbewijzen op geldigheid kunnen worden gecontroleerd. Zo wordt een belangrijke bijdrage aan handhaving geleverd.
31
Het inzicht in het belang van goed functionerende technische voorzieningen binnen de keten is wat ons betreft nog een concreet verbeterpunt. We komen nu nog te vaak tegen dat ergens in de keten (bijvoorbeeld) delen van systemen of servers uitvallen. Bij de ketenpartners zou het besef verder moeten groeien dat, als er ergens een server uitvalt, dit gevolgen heeft voor de 18.000 gebruikers van die voorziening. Als bij een (deel van) een organisatie geen gegevens kunnen worden ingekeken, dan betekent dat 18.000 mensen die gegevens niet kunnen bereiken. Dat levert dus overal in de keten problemen op. Het voorkomen van uitval en het snel herstellen van uitval zal daarom in 2004 een onderwerp zijn waar we ons, in onze communicatie met de ketenpartners, hard voor zullen maken.
5.5.1 Ontwikkeling gebruik Suwinet De gebruikers van Suwinet zijn de medewerkers van het UWV, de CWI en de GSD’en. Daarnaast maken ook de medewerkers van het IB en van het BKWI zelf gebruik van Suwinet. Het aantal gebruikers is een goede graadmeter voor de acceptatie en draagvlak van Suwinet. In onderstaande tabel wordt de groei van het aantal gebruikers van Suwinet duideljik. Per datum 1-01-2003 31-12-2003
CWI 3.777 4.309
UWV 5.110 6.176
GSD’en 2.671 8.303
BKWI 23 43
Totaal 11.581 18.831
Tabel 3: Ontwikkeling van het aantal gebruikers Suwinet
Vooral de gemeentes hebben een stormachtige groei doorgemaakt, een groei die nog steeds niet ten einde is. Ook het gebruik van Suwinet bij CWI en UWV is gegroeid, zij het minder geprononceerd. De verwachting is dat deze trend zich nog zal doorzetten tot een aantal van 22.000 gebruikers zal zijn bereikt. Sinds november 2003 wordt het gebruik van Suwinet-Inkijk gemeten. In Samenwerking met de VU, Robeco en Interpay wordt gewerkt aan een mechanisme waarmee het gebruik van Suwinet real time kan worden gevolgd, en waarmee zonodig real time kan worden ingegrepen. Naar verwachting levert dit in de loop van 2004 een werkend prototype op. Inmiddels is het volgende beeld ontstaan van het gebruik van Suwinet. Op basis van de metingen over de maanden november en december en het gegeven dat zowel het percentage actieve gebruikers als het aantal opvragingen per actieve gebruiker gestegen zijn, valt het totale gebruik over de rapportageperiode te schatten op ruwweg 4 miljoen opvragingen. november BKWI
december
Totaal
1.715
17.566
19.281
CWI
244.908
257.191
502.099
GSD
134.049
104.305
238.354
UWV
242.457
217.072
459.529
Totaal
623.129
596.134
1.219.263
Tabel 4: Aantallen bevragingen door de Suwinetpartijen
5.5.2 Prestatienormen 2003 In het jaarplan 2003 werd een aantal prestatienormen 2003 opgenomen. Deze prestatienormen zijn na overleg met de ketenpartners vastgelegd in de concept keten-SLA (SLA Suwinet-Inkijk Services 1.0). De prestatienormen zijn maatgevend voor de dienstverlening van het BKWI
32
In onderstaande tabel zijn de prestatiegebieden opgenomen, alsmede de prestatienormen en de daadwerkelijke performance in 2003. Prestatiegebied Beschikbaarheid Inkijk Performance inkijk Oplostijden incidenten Openingstijden Suwidesk Beschikbaarheid website BKWI
Prestatienorm 2003 97.5% 95 % <= 15 sec Zie Tabel 7 op werkdagen van 8:30 uur tot 17:00 uur -
Performance 2003 99,3% Zie Tabel 6 60% wordt binnen de norm opgelost 100% 100%
Tabel 5: prestatieindicatoren 2003
Ad Tabel 6 De rapportagetools met betrekking tot gemeten responsetijden zijn nog in ontwikkeling. Tot op heden worden de daadwerkelijk gemeten waarden nog gerapporteerd. De bedoeling is zo snel mogelijk te starten met rapportages toegesneden op de Prestatie Indicatoren zoals deze in de concept KetenSLA zijn vastgelegd. In onderstaande tabel worden de responsetijden gepresenteerd van de maanden augustus tot en met december 2003. augustus september oktober Gemiddelde responsetijd XML services Gemiddelde responsetijd kolompagina's
47,5 3,8
79.8 6.3
174,5 7,3
november december 14.3 2.6
12,1 5,6
Tabel 6: responsetijden in seconden suwinet
Ad Tabel 7 De normen met betrekking tot het oplossen van incidenten zijn als volgt: Prioriteit 1 2
3
Omschrijving Storing: dienst(en) bij meerdere Suwi-partijen niet beschikbaar Storing: dienst(en) bij één Suwi-partij niet beschikbaar Storing: diensten van meerdere Suwi-partijen worden niet volgens de afgesproken normen geleverd Wachtwoord reset: wijzigen van wachtwoord superuser door Suwidesk. Storing: diensten bij één Suwi-partij worden niet volgens de afgesproken normen geleverd Storing: diensten van een Suwi-partij zijn beperkt beschikbaar Vraag over de dienstverlening
Oplostijd 4 uur 8 uur
24 uur
Tabel 7: prestatienormen oplostijden storingen
5.5.3 Doelstellingen jaarplan 2003 In onderstaande tabel wordt een overzicht gepresenteerd van de doelstellingen die BKWI zich met betrekking tot de centrale beheertaak voor 2003 heeft gesteld. Daarnaast wordt aangegeven wat de resultaten in 2003 op deze gebieden waren. Centraal beheer Beheer inkijk (*)
- Doelstelling 2003 - Alle geautoriseerde gebruikers hebben toegang tot inkijk - Performance van de inkijk voldoet aan SLA - Functionaliteit van Inkijk wordt onderzocht
33
Resultaat Wordt aan voldaan, behalve punt twee: De performance van de inkijk voldoet voor alle bronnen aan de SLA behalve voor het UWV. Naar verwachting zal deze partij per 1
Centraal beheer Beheer Gebruikersrollen (*)
Gebruik- en beheerrapportages
Testen
- Doelstelling 2003 - Alle door de afnemers gedefinieerde rollen zijn in de gebruikersadministratie vastgelegd; de bijbehorende bevoegdheden zijn gedefinieerd. - Maandelijkse integrale rapportage aan beheerders, ketenpartners en MT BKWI - Maandelijkse rapportage aan beheerders, keten-partners en MT BKWI over incidenten en oplostijden - Kwartaalrapportage t.b.v. IKO - Uitvoeren en coördineren van testen
Incident-management - Incidenten worden conform de afspraken van (*) SLA (snel en vakkundig) opgelost - Maandelijks overleg (IMO) met suwinetbeheerders van de ketenpartners
Capaciteitsplanning en performancebeheer
Wijzigingsbeheer (*)
Applicatiebeheer overzichtspagina’s (*)
Overleg leveranciers
- Gebruik en performance Suwinet permanent gevolgd - Tool ontwikkeld en geïmplementeerd ten behoeve van de geautomatiseerde analyse van de loggegevens - Alle functionele en technische wijzigingen worden volgens de vastgestelde procedure aangemeld, geanalyseerd en uitgevoerd. - Ongestoorde werking van de bestaande overzichtspagina’s - Ontwerp, bouw, testen en implementeren van 7 nieuwe overzichtspagina’s - Voorbereidende activiteiten uitgevoerd voor specifieke overzichtspagina’s van nieuw aan te sluiten partijen - Periodiek overleg met PinkRoccade en ABPCis over technisch beheer van suwinetvoorzieningen
34
oktober 2004 aan de SLA-normen voldoen. Resultaat Wordt aan voldaan.
Wordt aan voldaan.
Het testen van voorzieningen maakt een integraal onderdeel uit van ieder ontwikkeltraject. Daarnaast wordt de testomgeving ter beschikking gesteld voor partij-eigen projecten zoals bijvoorbeeld het ontwikkelen van de Klantbeeldserver UWV. - Incidenten worden snel en binnen de SLA-normen opgelost. De gecompliceerde structuur van de keten(partners) en de verspreiding van kennis bij de ketenpartners zorgt voor vertraging bij het antwoorden op vragen en het geven van verduidelijking van de oorzaken van incidenten/problemen. - Knelpunten in het ketenbreed beheer worden in het Incident Management Overleg (IMO) door middel van het maken van afspraken snel opgelost. Het IMO is zijn aandacht meer en meer aan het verleggen van het bespreken van individuele incidenten in het begin van het jaar naar het gehele service support spectrum aan het eind van het jaar. Een gevolg hiervan is dat het IMO momenteel de naamgeving van het overleg evalueert. Wordt aan voldaan.
Wordt aan voldaan.
De applicatie overzichtspagina’s is na aanloopproblemen sinds november stabiel in de lucht. Inmiddels zijn voor UWV en gemeentes nieuwe overzichtspagina’s ontwikkeld wat het totaal aantal van drie naar tien overzichtspagina’s heeft gebracht. Wordt aan voldaan.
- Controle op nakomen SLA
Tabel 8: doelstellingenmatrix ‘uitvoeren van het technische beheer’ 2003
35
6.
Bedrijfsvoering
6.1 Mededeling De directie van het BKWI is verantwoordelijk voor de bedrijfsvoering. De Mededeling Bedrijfsvoering is het middel waarmee de directie publiekelijk verantwoording aflegt over de bedrijfsvoering. Als gevolg van de regeringsnota Van Beleidsbegroting tot Beleidsverantwoording (VBTB) besteedt de overheid meer aandacht aan de realisatie van beleidsdoelstellingen en de beheersing van de bedrijfsvoering. In overleg met het Ministerie van Sociale Zaken en Werkgelegenheid is in dit kader in 2002 en 2003 een eerste verantwoordingsmodel opgesteld, dat in toenemende mate wordt aangescherpt. Het is tot nu toe zeer eenvoudig gebleken om prestatie -indicatoren en normen te formuleren met betrekking tot het functioneren van technische voorzieningen zoals Suwinet. Ook het resultaat van projecten (tijdigheid, binnen budget en volgens specificatie) is goed te verantwoorden. Veel moeilijker is het om prestatie -indicatoren en normen vast te stellen op het gebied van meer algemene begrippen zoals doelmatigheid en rechtmatigheid. Hiertoe heeft het BKWI in samenspraak met het Ministerie een groeipad afgesproken. Dit groeipad is erop gericht ultimo 2005 volledig in overeenstemming met de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI) en VBTB vereisten te voldoen. Onder VBTB proof wordt tevens verstaan een volwaardige mededeling bedrijfsvoering. In 2003 heeft het BKWI een eerste aanzet in de processen gemaakt om realisatie van deze doelstelling mogelijk te maken. De bevindingen van de door het IWI uitgevoerde onderzoek naar de bedrijfsvoering binnen het BKWI worden hierin meegenomen. Hierbij moet aangetekend worden dat voor de realisatie van doelstellingen zoals deze in het ketenoverleg zijn afgesproken BKWI voor de realisatie afhankelijk is van de overige ketenpartners. BKWI heeft van rechtswege en haar positie in de keten geen middelen om realisatie van deze doelstellingen via de ketenpartners af te dwingen. Deze laatste verantwoordelijkheid ligt bij het Ministerie van SZW.
6.2
Beheersomgeving
In 2003 is in veel opzichten aandacht besteed aan verbetering van de beheersomgeving. Er heeft een heroriëntatie plaatsgevonden op de organisatiestructuur en er zijn maatregelen genomen om deze effectiever en efficiënter te laten functioneren. Functies zijn duidelijker benoemd en beschreven, taken zijn duidelijker toegewezen, sturing vanuit het Managementteam (MT) is geïntensiveerd. Het MT heeft met hulp van externe begeleiding een ontwikkeling doorgemaakt, waardoor de werkzaamheden beter op elkaar zijn afgestemd. De afdeling Ketenontwikkeling is enerzijds verantwoordelijk voor het ontwikkelen van nieuwe concepten en anderzijds voor een beter gebruik van bestaande producten en diensten, waarvan Suwinet een belangrijk onderdeel is. De afdeling Ontwikkeling Producten en Diensten zorgt dat nieuwe concepten en wijzigingsverzoeken worden vertaald in concrete oplossingen, die na realisatie in beheer worden genomen door de afdeling Exploitatie. Binnen Exploitatie is aandacht voor het dagelijks functioneren van Suwinet ondergebracht in de Suwidesk. Verder is het beheer van standaarden/afspraken hier belegd, evenals de bewaking van de beveiliging (Security Officer). Binnen het beheer wordt gewerkt volgens ITIL-systematiek. Aan besturing en beheersing van de organisatie wordt in algemene zin invulling gegeven middels de jaarplannen (jaartranche projecten en jaarplan), waarin opgenomen de meerjarenplannen, het zgn. ‘stoplichtenoverzicht’ waarin de voortgang van ketenprojecten op de voet wordt gevolgd, een quality assurance beleid waarin MT-leden de inhoud van projectplannen en projectresultaten mede beoordelen. Daarnaast is er afdelingsgericht, projectgericht en beleidsgericht (MT) overleg. Het overleg met
36
ketenpartners is sterk verbeterd sinds de invoering van het Platform Proces en ICT (PPI) als vervanger van de twee overleggen Informatie en Proces Keten Overleggen (IKO) en (PKO). In 2003 is ruimschoots aandacht besteed aan de verdere implementatie en beschrijving van administratieve procedures. De ‘uitbesteding’ van de financiële administratie, huisvesting, kantoorautomatisering en de HRM functie aan het CWI, bracht naast grote voordelen ook een aantal ongemakken met zich mee. In 2003 is een aanzet gedaan tot een verplichtingenadministratie, die per 1 januari 2004 volledig geïmplementeerd is.
6.3
Risico beoordeling en risico beheersing
Het identificeren en beheersen van risico’s is in toenemende mate onderdeel van de bedrijfsvoering. Voor alle nieuwe informatiesystemen wordt door BKWI een risico-analyse uitgevoerd onder coördinatie van de Security Officer. In 2003 is begonnen met analyse van Suwinet Mail. In 2004 zal een risico-analyse worden gemaakt voor Suwinet als geheel. Jaarlijks wordt de Suwinet infrastructuur aan een beveiligingsaudit onderworpen. In de audit komen centrale (BKWI) en decentrale (ketenpartners) componenten aan de orde. De Security Officer van BKWI rapporteert over alle deel-audits aan de Minister. Ondanks het feit dat ten opzichte van 2002 een behoorlijk aantal verbeteringen is gerealiseerd, zijn tegelijkertijd de normen verhoogd, waardoor het per saldo lijkt alsof geen vooruitgang is geboekt. De ketenpartners en het BKWI hebben hiermee het signaal afgegeven dat het beveiligingsbeleid hoog op de agenda staat. Het IWI heeft in 2003 een onderzoek uitgevoerd naar de bedrijfsvoering van het BKWI. Naar aanleiding van de geconstateerde risico’s zijn weliswaar maatregelen genomen, maar daarbij moet wel worden vermeld dat sommige risico’s niet onder controle zijn van het BKWI, omdat men hierbij volstrekt afhankelijk is van de inzet van de afzonderlijke ketenpartners. De uitkomsten van deze beide audits tonen ons duidelijk dat wij gerichtere sturing moeten geven op het verbeteren van de beveiliging. 6.4
Communicatie en informatievoorziening
De maandelijks rapportages over de voortgang van het ketenprogramma aan het Platform Proces en ICT (PPI), hebben een belangrijke signaalfunctie. Naast het feit dat maandelijks wordt gerapporteerd aan de direkt betrokken over de aspecten voortgang en financiën, wordt in de kwartaalverslagen ook aandacht besteed aan de algemene kwaliteitsaspecten en de mate waarin ketenpartners zich inspannen om samenwerking te realiseren. De kwartaalrapportages gaan evenals de jaarrapportage rechtstreeks naar de Tweede Kamer der Staten Generaal. De communicatie aan externe partijen verloopt vooral via de website en de elektronische nieuwsbrief (De Schakel). Voor interne communicatie wordt gebruik gemaakt van de elektronische nieuwsbrief ‘Het 7e zintuig’ en de wekelijkse koffiehoek-bijeenkomst, waarin vooral medewerkers iets over hun werk vertellen en waarin nieuwe ontwikkelingen worden aangekondigd of toegelicht.
6.5
Interne beheersmaatregelen
Alle plannen voor nieuwe activiteiten maar ook de (interne en externe) rapportages, worden formeel vastgesteld door het Management Team dat wekelijks bijeenkomt. Het MT bestaat uit de
37
afdelingshoofden en de directeur. Stukken voor het ketenoverleg worden altijd door het MT aan de ketenpartners aangeboden. Namens het BKWI voert CWI de personele en financiële administraties uit. In 2003 zijn afspraken gemaakt met het CWI over financiële rapportages en rapportages op het gebied van HRM. Deze afspraken hebben nog niet tot het gewenste resultaat geleid, zodat hieraan in 2004 nader aandacht zal worden besteed. Projectdossiers zijn sedert 2002 sterk verbeterd, maar door de hoge mate van digitaal bijhouden zijn de fysieke dossiers regelmatig niet volledig. In 2004 zullen deze ook integraal op papier worden bewaard.
6.6
Bewaking
Bewaking van het beleid is ingevuld door een stelsel van jaarplannen en rapportages, die zowel met ketenpartners als het Ministerie worden doorgesproken en vastgesteld. De jaarlijkse audit van Suwinet is extern belegd, maar de in 2003 aangestelde Security Officer rapporteert t.a.v. ernstige beveiligingsincidenten direct aan de directie van het BKWI. De eerder genoemde maandrapportages geven inzicht in de voortgang van ketenprojecten. De kwartaal- en jaarrapportages geven daarnaast vooral inzicht in de bedrijfsvoering. De conclusie van de jaarlijkse EDP Audit is deels afkeurend, deels beperkend (zie oordeel in hoofdstuk 8 en toelichting in hoofdstuk 9). In 2003 is het normenkader aangescherpt. Dit normenkader is echter nog niet getoetst op de uitvoerbaarheid en is derhalve nog niet definitief. Ook de bedrijfsprocessen zijn nog niet voldoende aan het normenkader aangepast. In het kader van het groeipad waarin BKWI zich nog bevindt zal dit in 2004 ruime aandacht krijgen. De ‘uitbesteding’ van HRM, financiën en huisvesting aan CWI, vereist betere afspraken zodat aansluiting met de systemen van BKWI gegarandeerd kunnen worden. 6.7
Overig
6.7.1 Rechtmatigheid Het BKWI maakt relatief veel gebruik van inhuurkrachten. Omdat het gaat om zeer specialistisch werk is de kans dat deze inhuur door één of enkele bedrijven geleverd kan worden klein. Er is daarom gekozen om uit te gaan van onderhandse gunning, waarbij de volgende procedure is gevolgd: § altijd minimaal drie bedrijven aanschrijven ten behoeve van het doen van een aanbieding; § maximale prijzen hanteren en daaraan hebben vastgehouden; § nooit meer dan 1 medewerker per leverancier per project aannemen; § niet accepteren dat externen andere externen inhuren. 6.7.2 Doelmatigheid In deze paragraaf wordt aan de hand van een aantal indicatoren, een beeld geschetst van de doelmatigheid van het BKWI. Doelmatigheid heeft te maken met twee hoofdvragen: hoe heeft BKWI het sturings- en beheersingsinstrumentarium ingericht, hoe heeft dit gefunctioneerd en welke verbeteringen zijn hierin nog aan te brengen; in hoeverre zijn de doelstellingen gerealiseerd en in welke relatie staat dit tot de gemaakte kosten.
38
De eerste vraag is al in paragraaf 6.2 aan de orde geweest. In deze paragraaf wordt ingegaan op het tweede onderwerp: de resultaten en de kosten van het BKWI in 2003.
Resultaten 2003 In het Jaarplan 2003 en in de “voorlopige” en “definitieve” Jaartranches 2003 is een aantal activiteiten (regulier en projectmatig) voorzien, dat door BKWI moest worden uitgevoerd in 2003. Begrotingen zijn gemaakt aan de hand van algemeen aanvaarde principes en marktconforme tarieven voor bijvoorbeeld inhuur. Reguliere activiteiten De doelstellingen uit het Jaarplan 2003 zijn grotendeels gerealiseerd. • De BKWI-organisatie en de overlegstructuren met de ketenpartners zijn ingericht en functioneren goed. • Er is een stelsel van ketenafspraken tot stand gekomen die de samenwerking en de gegevensuitwisseling in de keten ondersteunen. Hierbij past wel de kanttekening dat de ketensamenwerking langzaam op gang is gekomen. • De Suwinet-voorzieningen zijn in gebruik genomen en functioneren naar behoren. • De voorzieningen zijn beter getuned, waardoor ze meer gebruikers aankunnen. De capaciteit van de systemen wordt echter nog niet volledig benut. Projecten De meeste mijlpalen zijn gerealiseerd en de activiteiten zijn integraal binnen de budgettaire kaders uitgevoerd. De resultaten op alle mijlpalen worden in de bijlage veranderprogramma behandeld. Kosten Het BKWI is binnen de begroting gebleven. Dit geldt zowel voor de reguliere begroting als de projectbegroting. Van het reguliere budget van € 6.116.100.= is € 5.896.565,= benut. Het restant van € 219.535,= komt ter beschikking van het Ministerie van SZW. Van het projectbudget 2003 van € 4.655.500,= is € 3.638.601,= benut. De schuld aan het ministerie bedraagt € 1.016.899,=. Deze schuld zal worden aangewend voor de projecten die in 2003 nog niet zijn afgerond (zie bijlage veranderprogramma). Van het bestemmingsfonds ad € 2.891.000,= is € 2.487.713,= besteed. Het restant bedraagt € 403.287,= dit restant zal in 2004 worden besteed aan de projecten, welke zijn gebudgetteerd uit het bestemmingsfonds, maar nog niet zijn afgerond (zie bijlage veranderprogramma).
39
De doelmatigheid van het BKWI in 2003 is in positieve zin beïnvloed door de volgende factoren: In de reguliere organisatie is gerealiseerd dat 76% van het personeel in vaste dienst is aangenomen; In de projecten wordt overwegend met tijdelijk personeel gewerkt, omdat het ondoelmatig is om voor projectmatige activiteiten vaste medewerkers aan te trekken; Het ziekteverzuim van het BKWI is laag; De kwaliteitscontrole is op managementniveau belegd; Er zijn teambuildingssessies georganiseerd om de samenhang in de organisatie te bevorderen; De kantoorautomatisering wordt geleverd door de CWI. Dit is doelmatig omdat er geen intern personeel voor nodig is; Het financieel beheer is ten dele uitbesteed aan de CWI. Dit drukt de overheadkosten van het BKWI. Er zijn ook verschillende factoren die de doelmatigheid van het BKWI verlagen: De samenwerking in de keten is nog niet optimaal. In 2003 heeft het veel tijd en energie gekost om de ketenpartners op één lijn te krijgen en te houden en om te bewerkstelligen dat de gemaakte afspraken ook daadwerkelijk worden uitgevoerd. Ook is de samenwerking en de gegevensuitwisseling in de keten op operationeel niveau nog niet tot volle wasdom gekomen. De ketenpartners maken nog niet optimaal gebruik van de mogelijkheden die de keten voor werk en inkomen bieden. Het gebruik van de Suwinet-voorzieningen blijft achter bij de prognoses. Ingezette verbeteracties en voornemens voor 2004 inzake doelmatigheid Het programma ketenresultaten 2003-2004 van het ministerie van SZW zal de samenwerking in de keten bevorderen. Dit zal ertoe leiden dat de door BKWI beschikbaar gestelde middelen meer worden gebruikt. In 2004 zal meer van vaste krachten gebruik worden gemaakt in plaats van inhuur. 6.7.3 Sociaal Beleid en HRM Het BKWI wordt gekenmerkt door een open en informele cultuur. Door het BKWI wordt systematisch aandacht besteed aan de ontwikkeling van het BKWI als organisatie en de manier waarop de medewerkers binnen en als vertegenwoordigers van de organisatie functioneren. In 2003 is ten behoeve van organisatie en cultuurontwikkeling een heroriëntatie uitgevoerd op de invulling van de taken van het BKWI. Hierover rapporteerden wij reeds in hoofdstuk 1. Daarnaast is een activiteit gestart om de functie- en competentieprofielen van het BKWI te herijken. Deze activiteit is eind februari 2004 afgerond. Tenslotte is voor alle vaste medewerkers een opleidingsprogramma afgesproken. Uitgangspunt van het HRM-beleid is dat medewerkers één keer per jaar een vakinhoudelijke of een op persoonlijke vaardigheden gerichte cursus volgen. Dit is van belang voor de kwaliteit van onze dienstverlening, maar ook voor de persoonlijke ontwikkeling van de medewerkers. Tijdens de functionerings- en beoordelingsgesprekken komen de te volgen c.q. gevolgde opleidingen ter sprake. Daarnaast voeren we functioneringsgesprekken en beoordelingsgesprekken waarbij ook de ontwikkeling van medewerkers ter sprake komt. Uit deze gesprekken vloeien concrete afspraken voort. Bestede uren in 2003 In 2003 zijn in totaal 70.921 uren besteed. In onderstaande tabel is de verdeling aangegeven tussen bestede uren van vaste medewerkers en ingeleende medewerkers.
40
Uren
2003 Eigen
Directie & Staf Afdeling PK
9697 13527
Afdeling BIS
10762
2135
2094
30735
36080
40841
47%
53%
Projecten Totaal
Inleen 711 7260
Tabel 9: bestede uren BKWI 2003
Op het gebied van ziekteverzuim acteert het BKWI pro-actief. Indicaties voor langdurig verzuim worden onmiddellijk omgezet in gerichte acties om het verzuim te voorkomen. De onderstaande grafiek laat het verloop van het ziekteverzuim zien in 2003. Het gemiddeld ziekteverzuimpercentage bedraagt 5.72%.
10 9 8 7 6
Percentage
5 4 3
Cumulatief
2
au jul gu i s se tus pt em be r ok to no ber ve m de ber ce m be r
jun i
m ei
ap ril
jan ua ri fe br ua ri m aa rt
1 0
Figuur 4: ziekteverzuim BKWI 2003
41
7.
Jaarrekening/accountantsverklaring
Jaarrekening 2003
Pagina
- Balans per 31 december 2003
38
- Staat van baten en lasten over 2003
40
- Kasstroomoverzicht 2003
41
- Toelichting op de jaarrekening - Algemeen
42
- Activiteiten
42
- Sturing en beheersing
42
- Financiering van de activiteiten
43
- Europese Aanbesteding
44
- Algemene grondslagen voor de opstelling van de jaarrekening
45
- Grondslagen voor de waardering van Activa en Passiva
45
- Grondslagen voor de waardering van Baten en Lasten
46
- Toelichting op de balans
47
- Materiële vaste activa
47
- Liquide middelen
48
- Overige vlottende activa
48
- Fondsen
49
- Belastingen en premies sociale verzekeringen
49
- Kortlopende schulden
50
- Niet uit de balans blijkende verplichtingen
50
- Toelichting Toelichting op op de de staat staat van van baten batenen enlasten lasten
51
- Baten
51
- Personeelskosten
51
- Overige bedrijfskosten
52
- Financiële baten en lasten
54
- Vrijval bestemmingsfondsen
54
- Toelichting Toelichting op op de de staat batenvan en baten lasten en vanlasten projecten per financieringsbron
55
- Toelichting Toelichting op opde destaat transformatieprojecten van baten en lasten
56
- Ondertekening
57
- Overige gegevens - Toelichting Bestemming opvan de staat het overschot van batenvan en baten lastenen lasten
57
- Toelichting Gebeurtenissen op dena staat balansdatum van baten en lasten
57
- Accountantsverklaring
58
42
BALANS PER 31 DECEMBER 2003 (voor verwerking voorgestelde bestemming saldo baten en lasten)
ACTIVA
31-12-2003
31-12-2002 EUR
EUR
MATERIËLE VASTE ACTIVA Computers & Software Overige bedrijfsmiddelen Activa in bestelling
Totaal vaste activa
20.277
15.316
113.172
-
-
121.868
133.449
137.184
5.284.233
7.803.874
142.065
118.396
5.426.298
7.922.270
5.559.747
8.059.454
VLOTTENDE ACTIVA
Liquide middelen Overige vlottende activa
Totaal vlottende activa
TOTAAL ACTIVA
43
BALANS PER 31 DECEMBER 2003 (voor verwerking voorgestelde bestemming saldo baten en lasten)
PASSIVA
31-12-2003
31-12-2002 EUR
EUR
FONDSEN Nog te bestemmen middelen
219.535
5.956.455
Bestemmingsfonds projecten
403.287
-
36.326
-
659.148
5.956.455
1.422.258
753.206
71.538
75.686
3.406.803
1.274.107
4.900.599
2.102.999
5.559.747
8.059.454
Bestemmingsfonds (bovenwettelijke) WW
Totaal fondsen
KORTLOPENDE SCHULDEN Crediteuren Belastingen en premies sociale verzekeringen Overige kortlopende schulden
Totaal kortlopende schulden
TOTAAL PASSIVA
44
STAAT VAN BATEN EN LASTEN OVER 2003 Realisatie 2003 EUR
Begroting 2003 EUR
Realisatie 2002 EUR
Baten
Rijksbijdrage regulier
6.116.100
6.116.100
6.972.000
Rijksbijdrage transformatie
3.638.601
4.655.500
6.990.000
9.754.701
10.771.600
13.962.000
Loonkosten eigen personeel
1.019.234
1.035.000
720.265
Kosten extern personeel
1.759.971
2.175.000
1.342.632
126.299
135.000
89.706
Totaal baten
Lasten
Overige personeelskosten Totaal personeelskosten
2.905.504
3.345.000
2.152.603
Afschrijvingskosten
30.321
-
4.518
Huisvestingskosten
360.674
410.000
289.911
8.505.747
9.498.100
5.426.920
Kantoorkosten
56.239
129.500
27.020
Vervoerskosten
7.405
-
13.584
294.050
280.000
156.106
Automatiseringskosten
Overige beheerskosten
Totaal overig beheer
Totaal lasten
Saldo van baten en lasten
Financiële baten en lasten
9.254.436
10.317.600
5.918.059
12.159.940
13.662.600
8.070.662
-2.405.239
-2.891.000
5.891.338
137.061
Overschot baten en lasten (voor vrijval bestemmingsfonds)
Vrijval bestemmingsfonds
Overschot baten en lasten (na vrijval bestemmingsfonds)
65.117
-2.268.178
-2.891.000
5.956.455
2.487.713
2.891.000
-
219.535
45
-
-
5.956.455
KASSTROOMOVERZICHT 2003
2003
2002 EUR
Kasstroom uit operationele activiteiten Overschot baten en lasten
-2.268.178
5.956.455
Vrijval bestemmingsfondsen Vrijval bestemmingsfondsprojecten regulier en transformatie
2.487.713
Totaal saldo baten en lasten
Afschrijvingen Mutatie kortlopende vorderingen Mutatie kortlopende schulden
-
219.535
5.956.455
30.321
4.518
-23.669
-118.396
2.797.600
2.102.999
Mutatie fondsen (exclusief nog te bestemmen bedragen)
-5.516.842
-
Totaal kasstroom uit bedrijfsoperaties
-2.712.590
1.989.121
Investeringen materiële vaste activa
-26.586
-141.702
Totaal kasstroom uit investeringsactiviteiten
-26.586
-141.702
-2.519.641
7.803.874
Kasstroom uit investeringsactiviteiten
Netto kasstroom
Liquide middelen per 1 januari
7.803.874
Liquide middelen per 31 december
5.284.233
7.803.874
-2.519.641
7.803.874
Netto kasstroom
46
-
TOELICHTING OP DE JAARREKENING
ALGEMEEN Het Bureau Keteninformatisering Werk en Inkomen (BKWI) vormt een onderdeel van de CWI-organisatie. Het bureau is sinds 1 januari 2002 operationeel en werkt in opdracht van het ministerie van SZW. Het bureau verleent diensten aan de SUWI-organisaties, die verenigd zijn in het Algemeen Ketenoverleg. Het bureau heeft haar kantoor te Amsterdam. De financiële verantwoording van het BKWI is nader geregeld in de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen d.d. 29 november 2001 (Wet SUWI). Op 24 december 2003 is de laatste toevoeging op deze wet (Regeling SUWI) in de Staatscourant gepubliceerd. Het BKWI is organisatorisch geplaatst binnen CWI. Dit betekent niet dat het BKWI onder de aansturing van de Raad van Bestuur van CWI valt. De Raad van Bestuur van CWI is formeel verantwoordelijk, maar niet materieel. Het BKWI brengt in opdracht van het ministerie van SZW en conform de laatste wijziging in de Regeling SUWI zelfstandig een jaarverslag inclusief een jaarrekening uit.
ACTIVITEITEN Het BKWI zal afspraken die binnen het Ketenoverleg worden gemaakt op het gebied van gegevensuitwisseling voorbereiden en beheren, het technisch beheer van Suwinet uitvoeren, afspraken ten behoeve van het technisch beheer van aan Suwinet gerelateerde faciliteiten aan de zijde van de kolommen coördineren en Suwinet (door)ontwikkelen.
STURING EN BEHEERSING In het kader van het groeipad om te voldoen aan de eisen van VBTB worden de sturing, het beheer en de risicio's nog nader uitgewerkt in de komende jaren.
47
FINANCIERING VAN DE ACTIVITEITEN De activiteiten van de BKWI worden gefinancierd uit de volgende bronnen: 1. Rijksbijdrage van het ministerie van Sociale Zaken en Werkgelegenheid (SZW); 2. Transformatiekostenvergoeding van het ministerie van SZW 3. Bestemmingsfondsen
ad 1: Rijksbijdrage van het ministerie van SZW Bij de invoering van SUWI 2002 is er van uitgegaan dat de financiering door het Rijk wordt gevormd door een lumpsum bijdrage. De Rijksbijdrage wordt door het ministerie van SZW toegekend op basis van een door hen goedgekeurde begroting van het BKWI. ad 2: Transformatiekostenvergoeding van het ministerie van SZW Deze vergoeding wordt toegekend als voorschot. De baten voor transformatieprojecten worden in de Baten & Lasten opgenomen op basis van de werkelijk gemaakte kosten per project. Het saldo van het voorschot en de daarvan afgeboekte baten vormt een schuld aan het ministerie van SZW op de balans. Definitieve toekenning zal eerst plaats vinden nadat de verantwoording aan de door het ministerie van SZW gestelde eisen voldoet. Deze verantwoording wordt opgenomen in het jaarverslag en de jaarrekening. ad 3: Bestemmingsfondsen De bestemmingsfondsen zijn ontstaan uit het positief saldo baten en lasten. Binnen de bestemmingsfondsen is een tweedeling in (bovenwettelijke) WW en transformatieprojecten. De vrijval van deze bestemmingsfondsprojecten kan slechts dan plaatsvinden als er daadwerkelijk kosten op de vooraf bepaalde projecten zijn gemaakt. De vrijval is gemaximeerd tot de daadwerkelijke kosten per project. In overleg met en na goedkeuring van het ministerie van SZW kan het bestemmingsfonds herbestemd worden. De dotatie (bovenwettelijke) WW vindt iedere maand plaats vanuit de op de salarissen ingehouden pseudo premie WW. Gedurende het jaar worden vanuit dit fonds de lasten voortvloeiend uit de toegekende (bovenwettelijke) WW uitkeringen betaald.
48
EUROPESE AANBESTEDING In 2003 is door het BKWI de regelgeving toegepast welke betrekking heeft op Europese aanbesteding. Voorts heeft het BKWI per 1 januari 2002 projecten overgedragen gekregen van het ministerie van SZW. Het BKWI heeft de in dit verband al gesloten overeenkomsten respectievelijk te sluiten overeenkomsten conform de gemaakte afspraken uitgevoerd. In 2003 is de Europese aanbesteding voor het beheer van de Centrale Omgeving afgerond. Het beheer is gegund aan ABP/CIS. In 2003 is tevens gestart met de Europese aanbesteding definitief SUWI-koppelpunt. De publicatie vindt naar verwachting in maart 2004 plaats. Niet alle inkopen zijn in 2003 (volledig) conform de Europese aanbestedingsrichtlijnen tot stand gekomen. Tot een bedrag van € 3 mln zijn externe krachten ingehuurd, waarbij een technische vormfout is gemaakt. De betreffende selectieprocedures zijn conform de Europese aanbestedingsrichtlijnen uitgevoerd. Verzuimd is achteraf in Luxemburg melding te doen van de gevolgde procedure en de uiteindelijk geselecteerde intermediair.
49
ALGEMENE GRONDSLAGEN VOOR DE OPSTELLING VAN DE JAARREKENING De jaarrekening wordt opgesteld met in acht neming van de eisen zoals gesteld in het Model Verantwoording BKWI. Dit houdt onder meer in dat de jaarrekening wordt opgesteld op basis van historische kosten. Voor zover niet anders is vermeld, worden de activa en de passiva opgenomen tegen de nominale waarde.
GRONDSLAGEN VOOR DE WAARDERING VAN ACTIVA EN PASSIVA ACTIVA Materiële vaste activa Op de waarde van de materiële vaste activa wordt afgeschreven volgens het lineaire systeem, gebaseerd op de geschatte economische levensduur. Bij investeringen in de loop van het jaar wordt tijdsgelang afgeschreven. Investeringen die betaald worden vanuit het transformatiebudget worden niet geactiveerd, maar direct in de kosten opgenomen.
Vlottende activa Overige vlottende activa Vlottende activa worden gewaardeerd tegen de nominale waarde onder aftrek van een eventuele voorziening voor oninbaarheid. Deze voorziening wordt bepaald op basis van individuele beoordeling van de vorderingen.
PASSIVA Fondsen Projecten In 2002 zijn door het BKWI een aantal voor de organisatie noodzakelijke projecten gepland, die niet allemaal zijn uitgevoerd. In de Jaarrekening 2002 is hiertoe met toestemming van het ministerie van SZW een bestemmingsfonds gevormd vanuit het exploitatiesaldo. Het resterende deel van het exploitatiesaldo is terugbetaald aan het ministerie van SZW. In 2003 zijn nog steeds niet alle bestemmingsfondsprojecten volledig uitgevoerd. Deze projecten zijn echter wel noodzakelijk voor de bedrijfsvoering van het BKWI in toekomstige jaren en zullen daarom in 2004 alsnog worden afgerond en ten laste van de bestemmingsfondsen worden gebracht. (Bovenwettelijke) WW De dotatie (bovenwettelijke) WW vindt iedere maand plaats vanuit de op de salarissen ingehouden pseudo premie WW. Gedurende het jaar worden vanuit dit fonds de lasten voortvloeiend uit de toegekende bovenwettelijke WW uitkeringen betaald. Het CWI is hierin eigen risicodrager, het BKWI vormt de voorziening. De hoogte van dit fonds wordt in onderling overleg met het ministerie van SZW jaarlijks vastgesteld. In overleg met het ministerie van SZW is bepaald dat dit fonds alleen mag worden aangewend voor aanspraken zoals hiervoor aangegeven.
50
GRONDSLAGEN VOOR DE BEPALING VAN BATEN EN LASTEN Baten en lasten worden toegerekend aan het verslagjaar waarop zij betrekking hebben. In het kader van de bedrijfskosten is het ontvangstmoment van het goed of de dienst bepalend voor de periodetoerekening van de kosten. Tevens worden alle kosten die hun oorsprong vinden voor het einde van het boekjaar en die bekend zijn voor het opmaken van de jaarrekening toegekend aan het betreffende boekjaar, tenzij anders aangegeven. BATEN Rijksbijdrage De reguliere rijksbijdrage wordt in de jaarrekening opgenomen tot maximaal het daarvoor in de Rijksbegroting opgenomen bedrag. De Rijksbijdrage is op het moment van goedkeuring van de begroting door het ministerie van SZW definitief en valt volledig in het betreffende boekjaar. Daarnaast ontvangt BKWI vergoedingen op basis van werkelijk gemaakte transformatiekosten. Vanuit het bestemmingsfonds worden de diverse transformatieprojecten die overgekomen zijn uit het jaar 2002 gefinancierd. Buiten de reguliere Rijksbijdrage, die lump sum wordt toegekend, worden voor alle projecten de baten toegekend op basis van de werkelijk gemaakte kosten per project. Alleen deze baten en lasten hebben betrekking op het boekjaar. Alle baten zijn definitief als ze aan de door het ministerie van SZW gestelde eisen voldoen. Zie voor een uitgebreidere toelichting op de Rijksbijdrage het hoofdstuk "Financiering van de activiteiten" op pagina 43.
51
TOELICHTING OP DE BALANS
Materiële vaste activa Het verloop in het boekjaar is als volgt te specificeren: 2003 Computers en Software EUR
2002
Overige bedrijfsmiddelen EUR
Activa in bestelling EUR
Totaal Activa EUR
19.834
-
121.868
141.702
-
4.518
-
-
4.518
-
15.316
-
121.868
137.184
-
-
121.868
-
-
Investeringen
13.886
12.700
-
26.586
141.702
Afschrijvingen
8.925
21.396
-
30.321
4.518
Boekwaarde 31-12
20.277
113.172
-
133.449
137.185
Aanschafwaarde 31-12
33.720
134.568
-
168.288
141.702
Cumulatieve afschrijvingen
13.443
21.396
-
34.839
4.518
Boekwaarde 31-12
20.277
113.172
-
133.449
137.185
Afschrijvingspercentages
10-25%
Aanschafwaarde 1-1 Cumulatieve afschrijvingen
Boekwaarde 1-1
Leveringen
-121.868
33%
De investeringen die in 2003 gedaan zijn betreffen de aanschaf van nieuw meubilair en personal computers.
52
Totaal Activa EUR
Liquide middelen 31-12-2003 EUR
31-12-2002 EUR
Banken
5.284.122
7.803.775
Kassen
111
99
5.284.233
7.803.874
Totaal liquide middelen
De afname van de liquide middelen met € 2,5 mln wordt onder meer veroorzaakt door de terugbetaling van een deel van het saldo van baten en lasten van 2002. Afgezien van enkele korte termijn deposito's staan de liquide middelen ter vrije beschikking aan de organisatie.
Overige vlottende activa 31-12-2003 EUR
Vooruitbetaalde bedrijfskosten
31-12-2002 EUR
142.065
53.364
Doorberekende kosten
-
2.748
Diverse vorderingen
-
62.284
142.065
118.396
Totaal vlottende activa
De vooruitbetaalde kosten hebben grotendeels betrekking op de huur en services ten behoeve van 2004.
53
Fondsen Nog te bestemmen middelen EUR Stand per 31 december 2002
5.956.455
Verdeling positief saldo baten en lasten 2002
5.956.455-
Terugbetaling Bestemmingsfonds Bestemmingsfonds ministerie Projecten (Bovenwettelijke) van SZW Transformatie WW EUR EUR EUR -
3.051.819
Dotatie tijdens het boekjaar
-
-
Onttrekking tijdens het boekjaar
-
-
Betaling tijdens het boekjaar
-
3.051.819
Stand per 31 december 2003
-
-
-
2.891.000 2.487.713 -
403.287
-
Totaal EUR 5.956.455
13.636
-
22.690
22.690
-
2.487.713
-
3.051.819
36.326
439.613
Het restant van het bestemmingsfonds van € 403.287 zal in 2004 worden besteed aan de projecten welke zijn gebudgetteerd uit het bestemmingsfonds, maar nog niet zijn afgerond (zie bijlage veranderprogramma). De dotatie aan het (bovenwettelijk) WW fonds wordt gevormd door inhouding van pseudo premie WW op het salaris van de medewerkers. Het ministerie van SZW dient nog formele toestemming te geven voor deze dotatie in 2003.
Belastingen en premies sociale verzekeringen 31-12-2003 EUR Af te dragen loonheffing
57.002
Af te dragen BTW
-
31-12-2002 EUR 53.932 2.304
Te betalen pensioenpremie / premies sociale verzekeringen
14.536
19.450
Totaal Belastingen en premies sociale verzekeringen
71.538
75.686
De af te dragen loonheffing is iets gestegen ten opzichte van 2002 in verband met het gestegen aantal vaste medewerkers. De te betalen pensioenpremie per ultimo 2003 is gedaald doordat de betaalde voorschotten in 2003 hoger waren.
54
Overige kortlopende schulden
31-12-2003
31-12-2002 EUR
Vooruitontvangen transformatiegelden ministerie van SZW
EUR
1.016.899
-
Nog te betalen Personeelskosten
106.449
101.510
Extern personeel
182.829
69.799
-
199.091
23.800
21.325
2.037.398
729.578
39.428
152.804
3.406.803
1.274.107
Huurkosten Accountantskosten Automatiserings- en projectkosten Diversen
Totaal overige kortlopende schulden
De kortlopende schulden zijn toegenomen omdat de facturatie met betrekking tot het beheer van de Centrale Omgeving Omgeving en het Netwerk Suwi Koppelpunt over de periode juni tot en met december 2003 pas in januari 2004 heeft plaats gevonden, waardoor een overlopende post noodzakelijk was. Daarnaast is er een schuld aan het ministerie van SZW ontstaan, doordat de transformatiegelden alleen als baten toegekend mogen worden als daar werkelijke kosten tegenover staan. Het schuldsaldo zal in de loop van 2004 verminderen als de onderliggende projecten die in 2003 nog niet zijn afgerond alsnog tot afronding komen. Het betreft een bedrag van € 1.016.899. Zie hiervoor ook de bijlage veranderprogramma in het jaarverslag.
Niet uit de balans blijkende verplichtingen Het BKWI heeft een onderhuurcontract met het CWI dat een jaarlijkse last van € 306.990 met zich mee brengt. Het contract loopt tot 1 maart 2005. De restverplichting vanaf 31 december 2003 bedraagt € 358.155. Het BKWI heeft een Dienstverleningscontract met ABP/CIS ter waarde van € 600.000. Het contract loopt tot 18 februari 2006. De restverplichting vanaf 31 december 2003 bedraagt € 1.283.000.
55
TOELICHTING OP DE STAAT VAN BATEN EN LASTEN Realisatie 2003
BATEN
Begroting 2003
Realisatie 2002
Rijksbijdrage regulier
6.116.100
6.116.100
6.972.000
Rijksbijdrage transformatie
3.638.601
4.655.500
6.990.000
Totaal baten
9.754.701
10.771.600
13.962.000
De reguliere rijksbijdrage wordt op basis van lumpsum toegekend. In de transformatie rijksbijdrage is een bedrag ad € 4,66 miljoen begrepen ten behoeve van keteninformatiseringsprojecten. Over de uitputting per project is een tabel opgenomen in de toelichting op de transformatiekosten. Over de bereikte resultaten wordt in het jaarverslag gerapporteerd. LASTEN Personeelskosten Realisatie 2003 EUR
Loonkosten eigen personeel
Salariskosten
Begroting 2003 EUR
Realisatie 2002 EUR
737.470
531.092
Vakantietoeslag
57.049
70.398
Sociale lasten
81.887
55.348
Pensioenkosten
96.884
51.528
Belaste toelagen
45.944
24.026
Af: doorberekende personeelskosten
-
Totaal loonkosten eigen personeel
-12.127
1.019.234
1.035.000
720.265
1.759.971
2.175.000
1.342.632
126.299
135.000
89.706
2.905.504
3.345.000
2.152.603
Kosten extern personeel Kosten extern personeel en detacheringen Overige personeelskosten Overige personeelskosten en inhoudingen
Totaal personeelskosten
De realisatie van de loonkosten eigen personeel ligt op het niveau van de begroting 2003. Ten opzichte van 2002 is een stijging te zien van € 298.969. Eind 2002 bestond de vaste bezetting uit 18 fte (begroot 23 fte) terwijl dit eind 2003 21 fte (begroot 25 fte) waren. De realisatie van de kosten extern personeel is € 415.029 onder de begroting uit gekomen, maar ten opzichte van de realisatie 2002 gestegen met € 417.339. De invulling van vacatures door vast personeel heeft meer tijd in beslag genomen dan voorzien. Bovendien is in de inwerkperiode het externe personeel gebleven ten behoeve van kennisoverdracht. Door de vrijval van een overlopende post uit 2002 zijn de kosten extern personeel € 150.677 lager dan de oorspronkelijke kosten van 2003. De toename van de overige personeelskosten ten opzichte van 2002 met € 36.593 is te verklaren doordat ten behoeve van de heroriëntatie BKWI meer personeelsbijeenkomsten georganiseerd zijn dan was voorzien. In 2003 bedroeg het gemiddeld aantal werknemers: 18,3. In 2002 was dit aantal 14,4.
56
Overige bedrijfskosten Realisatie 2003 EUR
Begroting 2003 EUR
Realisatie 2002 EUR
3.638.601 2.487.712 1.331.322 674.632 51.344 8.183.611
4.655.500 2.891.000 1.175.000 460.000 54.000 9.235.500
1.906.446 1.073.308 1.634.507 240.502 276.831 5.131.593
286.509 35.627 322.136
262.600 262.600
268.230 27.097 295.327
8.505.747
9.498.100
5.426.920
Automatiseringskosten Projecten spoor 1 en 2 Doorloop Suwinetprojecten 2001 Technisch beheer Suwinet Koppelpunt BKWI specifieke automatiseringsmiddelen (ontwikkelomgeving Suwinet) Totaal automatiseringskosten ten behoeve van Suwinet Organisatiebrede ICT kosten Overige automatiseringskosten Totaal overige automatiseringskosten
Totaal automatiseringskosten
Afschrijvingskosten
30.321
Huisvestingskosten
360.674
410.000
289.911
Kantoorkosten
56.239
129.500
27.020
Vervoerskosten
7.405
Overige beheerskosten
Totaal overige bedrijfskosten
-
4.518
-
13.584
294.050
280.000
156.106
9.254.436
10.317.600
5.918.059
Een belangrijk deel van de automatiseringskosten heeft betrekking op projecten waarin het BKWI ten behoeve van de ketenpartners deelneemt. Per kwartaal legt het BKWI in een afzonderlijke rapportage verantwoording af over de voortgang, de budgetuitputting en de behaalde resultaten van de projecten. In het Jaarverslag 2003 heeft BKWI verantwoording afgelegd per project in de bijlage veranderprogramma van het jaarverslag. Een uitsplitsing van de kosten is opgenomen in de tabel op pagina 56. De kosten voor technisch beheer Suwinet zijn hoger dan begroot, doordat bij de opstelling van de begroting geen rekening is gehouden met de kosten die betrekking hebben op het beheer van het Verificatie informatie Systeem (VIS), omdat in de loop van 2003 is besloten tot invoering hiervan. Bovendien zijn er in 2003 meer kosten gemaakt in verband met de extra werkzaamheden die zijn veroorzaakt door de problemen rond de zomerrelease. Voor kantoorautomatisering (organisatiebrede ICT) geldt dat bij de begroting is uitgegaan van 32 werkplekken, terwijl er in werkelijkheid 40 waren.
57
De huisvestingskosten zijn hoger dan in 2002, omdat het BKWI verhuisd is naar een nieuw pand met meer gehuurde oppervlakte. De kosten vallen in 2003 lager uit dan begroot, omdat de servicekosten bij het maken van de begroting nog niet bekend waren en te hoog zijn ingeschat. De in 2003 gerealiseerde kantoorkosten zijn ten opzichte van 2002 gestegen met € 29.219, maar zijn met € 73.261 ruim onder de begroting gebleven. Bij de begroting is per abuis uitgegaan van kosten voor de aanschaf van meubilair, terwijl dit feitelijk investeringen zijn. Vanwege de stijging van het aantal BKWI medewerkers en de behoefte aan meer flexplekken voor inhuur van externe projectmedewerkers zijn de kantoorkosten twee maal zo hoog als in 2002. Het gemiddeld aantal medewerkers, inclusief externen, bedroeg in 2003 circa 45 personen. De overige beheerskosten liggen in lijn met de begroting van 2003. De stijging ten opzichte van 2002 wordt veroorzaakt doordat de doorbelaste kosten voor financiële, personele, bedrijfsjuridische en ICT diensten vanuit het CWI in 2003 onder overig beheer verantwoord worden.
58
Financiële baten en lasten
Financiële baten Financiële baten
Realisatie 2003 EUR
Begroting 2003 EUR
Realisatie 2002 EUR
137.061
-
65.117
137.061
-
65.117
Realisatie 2003 EUR
Begroting 2003 EUR
Realisatie 2002 EUR
2.487.713
2.891.000
-
2.487.713
2.891.000
-
Vrijval bestemmingsfonds
Vrijval bestemmingsfonds transformatie
Totaal vrijval bestemmingsfondsen
De vrijval van het bestemmingsfonds transformatie betreft de in 2003 werkelijk verantwoorde kosten op deze projecten.
59
TOELICHTING OP DE BATEN EN LASTEN VAN PROJECTEN PER FINANCIERINGSBRON
in Euro's
Regulier
Transformatie 03
Transformatie 02
Totaal
FINANCIERINGSBRON Rijksbijdrage regulier Transformatie 2003 Transformatie 2002 Financiële baten
6.116.100 137.061
3.638.601 -
2.487.713 -
6.116.100 3.638.601 2.487.713 137.061
6.253.161
3.638.601
2.487.713
12.379.475
Loon eigen personeel Loon extern personeel Overige personeelskosten Totaal personeelskosten
1.019.234 1.759.971 126.299 2.905.504
-
-
1.019.234 1.759.971 126.299 2.905.504
Afschrijvingskosten Huisvestingskosten Kantoorkosten Automatiseringskosten Vervoerskosten Overige Beheerskosten Totaal beheerskosten
30.321 360.674 56.239 2.379.433 7.405 294.050 3.128.122
3.638.601 3.638.601
2.487.713 2.487.713
30.321 360.674 56.239 8.505.747 7.405 294.050 9.254.436
TOTAAL LASTEN
6.033.626
3.638.601
2.487.713
12.159.940
EXPLOITATIESALDO
219.535
-
-
219.535
TOTAAL FIN. BRON
LASTEN
De transformatiekosten 2003 en 2002, respectievelijk € 3,6 en € 2,5 mln worden verder toegelicht op projectniveau op pagina 56.
60
TOELICHTING OP DE TRANSFORMATIEPROJECTEN
Bijgaande overzichten geven alleen inzicht in de financiële aspecten van de betreffende transformatieprojecten. Voor een inhoudelijke verantwoording op projectniveau wordt verwezen naar het Jaarverslag 2003.
Transformatie projecten 2003 Naam in Euro's B99 C99 D99 E99 F99 G99
Budget
Kosten
Saldo
Inrichten ketenbreed wijzigingsbeheer Professionaliseren Suwinet Inkijk Services Europese Aanbesteding voor het beheer van Suwinet Inkijk Services Realiseren geautomatiseerde werkproceskoppelingen Realiseren mail binnen keten van Werk en Inkomen via besloten netwerk Projecten definitieve jaartranche
385.500 2.535.000 200.000 600.000 400.000 535.000
387.247 2.005.441 26.106 488.175 189.159 542.472
-1.747 529.559 173.894 111.825 210.841 -7.472
Totaal transformatie 2003
4.655.500
3.638.601
1.016.899
Bestemingsfonds transformatie projecten 2002 Naam in Euro's
Budget
Kosten
Saldo
B012 Inrichting Ketenbreed Wijzigingsbeheer
149.000
149.000
-
C031 C032 C033 C041 C051 C061
Prestaties meten Suwinet Inkijk Services Meten medewerkerstevredenheid Suwinet Inkijk Services Inventariseren Eisen en Wensen Suwinet Inkijk Services (SLR) Statusmeting beveiliging Suwinet Definiëren maatregelen ter verbetering Suwinet Inkijk Services Herzien Keten SLA Suwinet Inkijk Services
100.000 60.000 125.000 15.000 20.000 25.000
97.203 30.277 125.000 8.996 20.000 25.000
2.797 29.723 6.004 -
D011 D021 D041 D051 D061 D091
Europese Aanbesteding beheer Suwinet Vervangen tijdelijk Suwi-koppelpunt Realiseren SuwiML voor Inkijk Migratie CVCS Suwinet-Inkijk Suwinet Inkijk Overige gemeenten Vastst. en realiseren initiële uitwijk-voorzieningen Suwinet Inkijk Services
120.000 45.000 865.000 5.000 115.000 278.000
90.856 45.000 728.835 4.451 115.055 123.633
29.144 136.165 549 -55 154.367
E021 E031 E051 E061
Gegevensuitwisseling CWI-GSD-en korte termijn Onderz. Stroomlijning beroep- en opleidingsgeg. binnen & buiten Suwiketen Onderzoek gegevensuitwisseling in het kader Wiw-regeling Werkproceskopp inz intake Abw & WW & melden einde uitkering met reden
295.000 35.000 50.000 230.000
295.000 35.000 20.000 231.053
30.000 -1.053
F011 F023 F031 F041 F061
Business Informatie Architectuur keten W&I spoor 2 (SOLL) Onderzoek Aansluiten GBA aan keten Werk en Inkomen Onderzoek Beveiligde Meldingen binnen keten Werk en Inkomen Technische Architectuur keten werk en Inkomen spoor 2 (SOLL) Beveiligde mail binnen keten Werk en Inkomen
125.000 125.000 109.000
125.000 109.353 109.000
15.647 -
2.891.000
2.487.713
403.287
Totaal Bestemmingsfonds Transformatie 2002
61
ONDERTEKENING VAN DE JAARREKENING
Amsterdam, 10 maart 2004
Bestuurder
Directeur BKWI
Drs. R. de Groot (bestuursvoorzitter CWI)
Drs. O.M. Kinkhorst
OVERIGE GEGEVENS
Voorstel bestemming van het overschot van baten en lasten Het overschot van baten en lasten staat ter beschikking van het ministerie van SZW.
Gebeurtenissen na balansdatum Er hebben zich geen noemenswaardige gebeurtenissen na balansdatum voorgedaan.
62
ACCOUNTANTSVERKLARING
Opdracht In het kader van de controle, bedoeld in artikel 49, vierde lid, van de Wet structuur Uitvoeringsorganisatie werk en inkomen hebben wij de in deze verantwoording opgenomen jaarrekening 2003, zoals opgenomen op pagina 37 tot en met 58 van het jaarverslag van het Bureau Keteninformatisering Werk en Inkomen (BKWI) te Amsterdam gecontroleerd. De verantwoording is opgesteld onder verantwoordelijkheid van de leiding van het BKWI. Het is onze verantwoordelijkheid een accountantsverklaring inzake de jaarrekening te verstrekken.
Werkzaamheden Bij onze controle hebben wij nagegaan of de jaarrekening voldoet aan de volgende eisen: - Dat de verantwoording is opgesteld overeenkomstig de inrichtingsvoorschriften die in de Wet structuur uitvoeringsorganisatie werk en inkomen en de daarbij behorende uitvoeringsregelingen zijn vastgesteld. - Dat de jaarrekening een getrouw beeld geeft van zowel de baten en lasten over het jaar 2003, als de activa en passiva aan het einde van het jaar. - Dat de in de jaarrekening opgenomen baten en lasten totstandgekomen zijn in overeenstemming met de Wet structuur uitvoeringsorganisatie werk en inkomen, de materiewetten en andere van toepassing zijnde wettelijke regelingen. Onze controle is verricht overeenkomstig de bepalingen in de Wet structuur uitvoeringsorganisatie werk en inkomen, de Regeling structuur uitvoeringsorganisatie werk en inkomen (inclusief het controleprotocol) en in Nederland algemeen aanvaarde richtlijnen met betrekking tot controle opdrachten. Volgens deze richtlijnen dient onze controle zodanig te worden gepland en uitgevoerd, dat een redelijke mate van zekerheid wordt verkregen dat de jaarrekening geen onjuistheden van materieel belang bevat. Een controle omvat onder meer een onderzoek door middel van deelwaarnemingen van informatie ter onderbouwing van de bedragen en de toelichtingen in de jaarrekening. Tevens omvat een controle een beoordeling van de grondslagen voor financiële verslaggeving die bij het opmaken van de jaarrekening zijn toegepast en van belangrijke schattingen die de leiding van het BKWI daarbij heeft gemaakt, alsmede een evaluatie van het algehele beeld van de jaarrekening. Wij zijn van mening dat onze controle een deugdelijke grondslag vormt voor ons oordeel.
Oordeel Wij zijn van oordeel dat de in deze verantwoording opgenomen jaarrekening voldoet aan de hierboven omschreven eisen.
Amstelveen, 10 maart 2004 KPMG Accountants N.V.
63
8.
Oordeel beveiliging Suwinet
8.1 Achtergrond Het Bureau Keteninformatisering Werk en Inkomen (BKWI) is een ondersteunende instelling die ten dienste staat van organisaties in de Suwiketen. Het BKWI verzorgt enerzijds het totstandkomen en vastleggen van afspraken tussen de Suwipartners en anderzijds beheert het BKWI het stelsel aan technische voorzieningen waarmee de Suwipartners gegevens bij elkaar kunnen opvragen en met elkaar kunnen uitwisselen. Deze Suwinet-audit richt zich op deze laatste taak. De beveiliging van de onder het beheer van BKWI vallende Suwinet-bedrijfsprocessen wordt, in 2003 voor de eerste maal, aan de hand van de verantwoordingsrichtlijn EDP-audit beveiliging Suwi en het gemeenschappelijk normenkader (beide versie 0.4) en op basis van het document ‘Minimale eisen Oordeel beveiliging Suwinet 2003’ d.d. 03-12-2003 beoordeeld.
8.2 Doelstelling In de verantwoordingsrichtlijn EDP-audit beveiliging Suwi versie 0.4 d.d. 17-01-2003 is de opdracht als volgt gedefinieerd: Het uitvoeren van een onderzoek naar de opzet, bestaan en werking van het stelsel van maatregelen en procedures, opgenomen in de onder het beheer van BKWI vallende bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken. Het onderzoek leidt tot een oordeel over het stelsel van maatregelen en procedures, opgenomen in de onder het beheer van BKWI vallende bedrijfsprocessen voor het Suwinet en de koppelvlakken gericht op de beveiliging van de gegevensuitwisseling via Suwinet gedurende 2003.
64
8.3 Reikwijdte voor BKWI De figuur uit de Verantwoordingsrichtlijn 0.4 illustreert de reikwijdte van het onderzoek.
CWI
Gemeenten
A
A B
D
D
D
B
D C
D Inlichtingenburea D Bu A
Suwinet DD B
BKWI
A UWV
Suwine tdomei n
De reikwijdte voor de EDP-audit Suwinet BKWI betreft de opzet en het bestaan van het stelsel van maatregelen en procedures gericht op de beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid van de beveiliging van de bedrijfsprocessen onder het beheer van het BKWI met betrekking tot het Suwinet (zie C in het schema) en de bij het BKWI beheerde onderdelen van de koppelvlakken (zie D in het schema). C: Het gestippelde vlak in de afbeelding: de beveiliging van de bedrijfsprocessen die vallen onder het beheer van BKWI. Tot deze bedrijfsprocessen behoren onder andere het beheer van de Suwinet-koppelpunt, het Suwi-Gegevensregister, de Gebruikersadmininstratie. D: Het gestippelde vlak met grijze ondergrond in de afbeelding: de beveiliging van de bedrijfsprocessen in het koppelvlak tussen het onder BKWI ressorterende Suwinet en de bedrijfsprocessen van de Suwinet-partij. Hieronder vallen onder andere de pagina’s en de Suwinet-servers. Het beheer van de beveiliging van dit koppelvlak kan per (ondersteunend) proces of component verschillen.
In het kader van dit onderzoek zijn de maatregelen en procedures die onder de verantwoordelijkheid van het BKWI vallen, beoordeeld. De onder de verantwoordelijkheid van de aangesloten partijen CWI, UWV, gemeenten en Inlichtingenbureau getroffen maatregelen vallen nadrukkelijk buiten de reikwijdte van het onderzoek. In deze EDP-audit beveiliging Suwinet heeft nadrukkelijk geen onderzoek naar de werking van maatregelen en procedures gericht op de beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid van de beveiliging van de bedrijfsprocessen onder het beheer van het BKWI plaats gevonden. De geconstateerde bevindingen ten aanzien van opzet en bestaan van maatregelen en procedures zijn zodanig dat een gedetailleerde beoordeling van de werking op dit moment niet zinvol is.
65
8.4
Werkwijze en rapportering
De voor dit onderzoek benodigde gegevens zijn verkregen door het houden van interviews en het raadplegen van documentatie (Zie bijlage B). Naast huidige bevindingen is aandacht besteed aan de bevindingen uit de audit van 2002. Bij iedere bevinding zijn wij, indien relevant, steeds gestart met het vaststellen of, en zo ja, in welke mate opvolging is gegeven aan de aanbevelingen uit 2002. Wij hebben ons oordeel gebaseerd op de normen die zijn opgenomen in bijlage C van dit rapport. De conclusie en aanbevelingen, zoals vermeld in hoofdstuk 2, zijn afgestemd met de verantwoordelijke BKWI-functionarissen.
66
9.
Oordeel
Opdracht Ingevolge artikel 6.4 Regeling SUWI d.d. 21 december 2001 is aan ons in uw brief van 03 november 2003 (kenmerk 2003/0395) in relatie tot de gegevensuitwisseling via Suwinet opdracht verstrekt voor het uitvoeren van een onderzoek naar de opzet, het bestaan en de werking van het stelsel van maatregelen en procedures, opgenomen in de onder het beheer van BKWI vallende bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken. Het begrip ‘beveiliging’ is nader gepreciseerd met de onderstaande kwaliteitscriteria: • Beschikbaarheid: de mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. • Exclusiviteit: de mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. • Integriteit: de mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is. • Controleerbaarheid: de mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via het Suwinet en het koppelvlak tot het beoogde resultaat hebben geleid. De afbakening van de onder het beheer van BKWI vallende delen van de gegevensuitwisseling binnen het Suwinet is opgenomen in de toelichting bij dit oordeel. Verantwoordelijkheid Het management van BKWI is verantwoordelijk voor het inrichten van dit stelsel van maatregelen en procedures en het daarover afleggen van verantwoording. Het is onze verantwoordelijkheid om een oordeel inzake dit stelsel van maatregelen en procedures te verstrekken en het daarover afleggen van verantwoording. Werkzaamheden De kwaliteitscriteria beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid zijn uitgewerkt in normen. Deze normen zijn uitgewerkt in bijlage 7.3 van de ‘Verantwoordingsrichtlijn EDP-audit beveiliging Suwi’ versie 0.4 d.d. 17-01-2003. De wijze waarop daarmee voor 2003 wordt omgegaan, is opgenomen in de notitie BKWI44 oordeel 2003 v. 1.0 d.d. 03-12-2003. De opzet en het bestaan van het stelsel van maatregelen en procedures in de organisatie van BKWI hebben wij getoetst aan deze normen.
67
Vervolgens is door ons de verantwoording van het BKWI hierover beoordeeld. Deze verantwoording is opgenomen in het ‘Jaarverslag 2003’ van het BKWI, versie 1.0 d.d. 10 maart 2004. Het gaat hierbij om de subparagraaf Beveiliging in de Management Samenvatting over de Beleidsdoelstellingen 2003, en de met een asterix (*) aangegeven paragrafen in het jaarverslag. Het onderzoek is gebaseerd op het kennisnemen van documentatie, het houden van interviews, het beoordelen van de resultaten van de uitgevoerde interne controles en het verrichten van eigen (aanvullende) werkzaamheden. Het onderzoek is zodanig verricht dat de strekking van het oordeel met een hoge mate van zekerheid is onderbouwd. Echter, aangezien het merendeel van de activiteiten binnen het BKWI pas gedurende het jaar 2003 meer inhoud heeft gekregen, heeft geen oordeelsvorming over de werking van de beoordeelde maatregelen kunnen plaatsvinden. Oordeel Op grond van ons onderzoek komen wij tot het volgende oordeel over het stelsel van maatregelen en procedures, opgenomen in de onder het beheer van BKWI vallende bedrijfsprocessen voor het Suwinet en de koppelvlakken gericht op de beveiliging van de gegevensuitwisseling via Suwinet naar de stand per 31 december 2003: Afkeurend. De onderbouwing van dit oordeel is als volgt:
Reikwijdte Suwinet Opzet Bestaan Werking Koppelvlakken Opzet Bestaan Werking Legenda: G = goedkeuring B = beperking
A = afkeuring
Beschikbaar
Kwaliteitscriteria Exclusief Integer
Controleerbaar
A A Niet beoordeeld
B B Niet beoordeeld
A A Niet beoordeeld
B B Niet beoordeeld
A A Niet beoordeeld
B B Niet beoordeeld
A A Niet beoordeeld
B B Niet beoordeeld
Het stelsel van maatregelen voldoet aan de notitie BKWI44 oordeel 2003 v. 1.0 d.d. 03-12-2003. Het stelsel van maatregelen voldoet aan de notitie BKWI44 oordeel 2003 v. 1.0 d.d. 03-12-2003 met uitzondering van de hieronder bij C genoemde aandachtsgebieden. Deze beperking is in de toelichting op het oordeel gem otiveerd. Het stelsel van maatregelen voldoet niet aan de normen zoals vermeld in de notitie BKWI44 oordeel 2003 v. 1.0 d.d. 03-12-2003 Deze afkeuring is in de toelichting op het oordeel gemotiveerd.
Verstrekken aan anderen dan de opdrachtgever Het oordeel, dat uitsluitend mag worden verstrekt in samenhang met de toelichting op dit oordeel, is primair bedoeld voor het verstrekken van het vereiste inzicht aan de Minister van
68
Sociale Zaken en Werkgelegenheid, de Inspectie Werk en Inkomen en de Domeingroep Privacy en Beveiliging (DPB). De Security Officer van het BKWI gebruikt deze versie voor het opstellen van het Totaaloverzicht voor de Minister, de IWI, de DPB en het Ketenoverleg (zie Bijlage XIV Deel I hoofdstuk 3). Den Haag, 10 maart 2004 PricewaterhouseCoopers Accountants N.V., vertegenwoordigd door A.J.M. de Bruijn, RE RA
69
9.1 TOELICHTING OP HET OORDEEL Ter toelichting op het oordeel inzake de beveiliging van de gegevensuitwisseling naar de stand per 31 december 2003 via Suwinet bij BKWI melden wij het volgende: a. Het oordeel naar de stand van 31 december 2003 is gebaseerd op een normenkader dat voor 2003 is onderverdeeld in minimale en overige normen. De minimale normen zijn afgestemd met de Suwipartijen en vormen de cruciale elementen waar de beveiliging van de gegevensuitwisseling via het Suwinet over 2003 aan moet voldoen. De overige normen zijn gerelateerd aan de situatie bij het BKWI. Deze normen en de weging zijn toegelicht in het interne rapport van bevindingen. De samenstelling van het normenkader, de verdeling tussen de categorieën minimaal en overige normen en ook het gewicht dat aan afwijkingen moet worden toegekend, is voor 2003 nog niet definitief vastgesteld. Na de audit over 2003 zal er een evaluatie plaatsvinden en mogelijke aanpassingen in deze elementen doorgevoerd worden. Het gevolg hiervan kan zijn dat de voor 2004 gehanteerde kaders verschillen ten opzichte van die voor 2003. Dit kan mogelijk consequenties hebben voor het oordeel voor het BKWI over 2004 en verdere jaren. b. Het oordeel heeft betrekking op de volgende, onder het beheer van BKWI vallende bedrijfsprocessen voor het Suwinet (vlak C): (Deze tabel is conform bijlage 7.2 van Verantwoordingsrichtlijn 0.4; in de laatste kolom is de verwijzing naar de door ons gebruikte benamingen in het werkplan, conform de normenkaders 0.4, opgenomen): Samenstelling van onder het beheer van BKWI vallende (ondersteunende) processen en componenten die deel uitm aken van het Suwinet (vlak C) Nr Naam (ondersteunend) proces of component (conform bijlage 7.2 van Verantwoordingsrichtlijn 0.4; betreft uitsluitend Inkijk) Processen 28 Suwi-Gegevensregister (SGR) 29 Homepage HTML 30 Homepage XML 31 Overzichtspagina 32 Cache database 33 Gebruikersadministratie 34 35
Gebruikersregister Verslaglegging aantallen en aard i nkijk
36 37 38
Service niveau overeenkomst SLA • Business aspecten • Technische aspecten Controle logging
39 Testdata voor technische tools 40 Testnetwerk KIT 41 Testnetwerk KAT Ondersteunende processen 42 Beveiligingsbeleid Suwinet (basis voor
Werkplan (zie bijlage C bij deze rapportage)
Verwijzing werkplan benaming (conform normenkaders 0.4)
Niet als zodanig benoemd in normenkaders 0.4 Architectuur en Standaarden (4)
Niet als zodanig benoemd in normenkaders 0.4 Logische Toegangsbeveiliging en Beveiligingspakket (12 en 22) Niet als zodanig benoem d in normenkaders 0.4 Logische Toegangsbeveiliging en Beveiligingspakket (12 en 22) Service Level Management (14)
Logische Toegangsbeveiliging en Beveiligingspakket (12 en 22) Gebruikersacceptatietest (3)
Beveiligingsplan artikel 6.2 regeling SUWI (1)
70
1.4.1)
71
43 44
Systeemontwikkeling pagina’s
Systeembeheer pagina’s
45 Systeemonderhoud pagina’s Componenten 48 SUWI koppelpunt (SK) = router • continuïteit • uitwijk 49 Suwinet-servers BKWI firewall Centrale omgeving: 50 • continuïteit 51 • uitwijk 52 Tools capaciteitsbewaking • continuïteit • uitwijk 53 Testomgeving voor centrale omgeving
Architectuur en Standaarden (4) Wijzigingsbeheer (5), Incidentbeheer(6), Probleembeheer (7), Capaciteitsbeheer (8), Configuratiebeheer (9), Continuïteitsbeheer (10), Netwerkbeheer (11), Logische toegangsbeveiliging (12), Fysieke beveiliging (13) en Service Level Management (14) Configuratie- en continuïteitsbeheer (9 en 10) Router (20)
Server (18) Firewall (19) Lokaal netwerk (21)
Capaciteitsbeheer (8)
Gebruikersacceptatietest (3)
c. Het oordeel heeft betrekking op de volgende, onder het beheer van BKWI vallende bedrijfsprocessen voor de koppelvlakken (vlak D): (Deze tabel is conform bijlage 7.1 Verantwoordingsrichtlijn 0.4; in de laatste kolom is de verwijzing naar de door ons gebruikte benamingen in het werkplan opgenomen): Samenstelling van onder het beheer van BKWI vallende (ondersteunende) processen en componenten die deel uitmaken van de koppelvlakken (vlak D) Nr Naam (ondersteunend) proces of component (conform bijlage 7.1 van Verantwoordingsrichtlijn 0.4; betreft uitsluitend beheer door BKWI) Processen 1. Gemeenschappelijke HTML-pagina’s 3. Gemeenschappelijke XML-pagina’s Ondersteunende processen 6. Beveiligingsplan 6.4 lid 2 Regeling SUWI 7. 10. 11. 12. 13. 14. 15.
Change management Incident management Problem management Capaciteitsbewaking Technisch beheer Beheer bedrijfsmiddelen Continuïteit bedrijfsmiddelen
16.
Uitwijk bedrijfsprocessen
17. 18. 19. 20.
Netwerkbeheer Logische beveiliging Fysieke beveiliging Gebruikers acceptatietest
Werkplan (zie bijlage C bij deze rapportage) Verwijzing werkplan benaming (conform normenkaders 0.4)
Architectuur en Standaarden (4) Architectuur en Standaarden (4) Beveiligingsplan artikel 6.2 regeling SUWI (1) Wijzigingsbeheer (5) Incidentbeheer (6) Probleembeheer (7) Capaciteitsbeheer (8) Service Level Management (14) Configuratiebeheer (9) Continuïteitsbeheer en Service Level Management (10 en 14) Continuïteitsbeheer en Service Level Management (10 en 14) Netwerkbeheer (11) Logische toegangsbeveiliging (12) Fysieke beveiliging (13) Gebruikers acceptatietest (3)
d. Bevindingen ter onderbouwing van beperking voor kwaliteitscriterium exclusief en controleerbaar
72
In het oordeel is aangeven dat een beperking voor de goedkeurende strekking geldt voor de hieronder genoemde onderdelen. Hierbij worden de belangrijkste bevindingen van het niet voldoen aan de gestelde normen genoemd.
73
Het betreft de onderdelen: - Het beveiligingsplan artikel 6.2 Regeling Suwi (1). De beperking wordt veroorzaakt door het ontbreken van een risicoanalyse voor Suwinet en het ontbreken van definitieve afspraken ten aanzien van het uitwijkproces. Voor 2004 staat inmiddels het uitvoeren van een integrale risicoanalyse gepland. - De organisatie van de beveiliging (2). De beperking wordt veroorzaakt doordat nog geen inzicht is verkregen op welke manier de relatie tussen kosten voor de informatiebeveiliging en de gekozen maatregelen en risico’s wordt bewaakt. De genoemde onderdelen zijn impliciet in het ontwerp van Suwinet meegenomen maar niet expliciet benoemd. - Architectuur/standaarden (4). De beperking wordt veroorzaakt doordat de Keten SLA nog niet door alle partijen is ondertekend. Daarbij merken wij op dat dit echter buiten de directe invloedsfeer van het BKWI ligt. - Wijzigingsbeheer (5). De beperking betreft het ontbreken van een eenduidige benoeming van taken en verantwoordelijkheden met betrekking tot het proces van wijzigingsbeheer van de Suwidesk in relatie tot het Centraal Meldpunt Ketenwijzigingen. - Configuratiebeheer (9). De beperking wordt veroorzaakt door het feit dat de configuratie managementprocedure niet altijd wordt nageleefd. - Netwerkbeheer (11). De beperking wordt veroorzaakt door het feit dat hiervoor geen vastomlijnde criteria beschikbaar zijn, op basis waarvan de security-officer delen van het Suwinet bij inbreuken op de beveiliging kan (laten) afsluiten. Wel bestaan er afspraken dat , indien de situatie zich voordoet, escalatie plaats vindt waarbij de te nemen stappen afgewogen worden binnen de Domeingroep Privacy en Beveiliging eventueel aangevuld met deskundigheid van betrokken proceseigenaren circa technici. Gepland is in 2004 deze afspraken in een procedure vast te leggen. - Logische toegangsbeveiliging (12). De beperking wordt veroorzaakt door het feit dat medewerkers van de Suwidesk ruime toegangsrechten hebben tot de ontwikkel-, test-, en productieomgeving. - Fysieke beveiliging (13). De beperking wordt veroorzaakt door het feit dat ten aanzien van de fysieke (maar ook de logische) beveiligingsmaatregelen bij de beheerorganisatie ABP/CIS wordt gesteund op het door ABP/CIS vastgestelde beveiligingsbeleid. Dit beleidsdocument is in het bezit van het BKWI maar beschrijft alleen de uitgangspunten van de informatiebeveiliging en geeft geen inzicht in de uitwerking van deze uitgangspunten in concrete maatregelen. - Service Level Management (14). De beperking is ingegeven door het feit de technische beveiligingsnormen niet meetbaar in de SLA vastgelegd zijn, maar wordt doorverwezen naar het beveiligingsbeleid van ABP/CIS. e. Bevindingen ter onderbouwing van afkeuring voor kwaliteitscriteria beschikbaar en integer
In het oordeel is aangeven dat de strekking voor de hieronder genoemde onderdelen afkeurend is. Deze afkeuring heeft betrekking op het niet voldoen aan de volgende minimale normen. Het betreft de onderdelen: a. Continuïteitsbeheer (10). De afkeuring wordt veroorzaakt door het feit dat een continuïteitsbeleid en continuïteitsplan niet in de vorm van documenten beschikbaar zijn. Afspraken over uitwijk zijn in ontwikkeling en in een vergevorderd stadium, maar nog niet definitief gemaakt. -
Gebruikersacceptatietest (3). De afkeuring wordt veroorzaakt door het ontbreken van een eenduidige vastlegging van testresultaten en het standaard opstellen van testplannen. Daarnaast wordt een kolomtest niet formeel afgesloten.
De redenen worden nader toegelicht in de verantwoording van de directeur BKWI.
74
Voor een gedetailleerde vastlegging van alle bevindingen bij het gehanteerde normenkader wordt verwezen naar de bevindingen, risico’s en aanbevelingen zoals opgenomen in bijlage A en het werkprogramma zoals opgenomen in bijlage C. f.
In relatie tot de in het oordeel opgenomen verwijzing naar de ‘Verantwoordings-richtlijn EDP-Audit Beveiliging Suwi’ wordt opgemerkt dat aanvullingen of aanpassingen ten opzichte van de bij die richtlijn behorende normenkaders wordt aanbevolen. Zie hiervoor het advies in bijlage D.
g. In de voorgaande verantwoording(en) is melding gemaakt van een aantal bevindingen dat van invloed was op de strekking van het oordeel. De stand van zaken ten aanzien van deze bevindingen is vermeld in het hoofdstuk Bedrijfsvoering van het jaarverslag BKWI 2003 waarop dit oordeel betrekking heeft. h. Het oordeel is gebaseerd op de volgende uitgangspunten: - De opzet en reikwijdte van de audit zijn uitgewerkt in een plan waarin wordt gemotiveerd welke systemen, procedures et cetera worden betrokken in de audit. - Het onderzoek is zodanig uitgevoerd dat toereikende informatie is verkregen om met een hoge mate van zekerheid te kunnen concluderen dat de beveiliging van de gegevensuitwisseling via Suwinet in alle van materieel belang zijnde opzichten voldoet aan de genoemde kwaliteitscriteria. i. -
Relevant is te onderkennen dat: Het oordeel niet zonder meer geldig is na datum van ondertekening van het oordeel. Het oordeel geen betrekking heeft op de gegevensverwerking door de Suwinet-partijen en daarmee op de inhoud van de gegevens die zijn uitgewisseld via Suwinet. De beoordeling van het kwaliteitscriterium ‘beschikbaarheid’ mede een zekere verwachtingswaarde voor de toekomst inhoudt, dit in tegenstelling tot de andere kwaliteitscriteria die een uitspraak inhouden over feitelijkheden naar de stand per 31 december 2003.
75
10.
BIJLAGEN
BEHORENDE BIJ HET JAARVERSLAG 2003
76
10.
BIJLAGEN ................................................................................................................................................................ 76
10.
BIJLAGE VERANDERPROGRAMMA........................................................................ 78
10.1
STAND VAN ZAKEN PER DEELPROJECT UIT JAART RANCHE 2002 VAN PROJECTEN DIE GEEN ONDERDEEL MEER UITMAKEN VAN ‘VOORLOPIGE ’ JAARTRANCHE 2003 ...............................................................78 10.2 ‘VOORLOPIGE JAARTRANCHE 2003’..................................................................................................................80 10.2.1 Inrichten Ketenbreed Wijzigingsbeheer/Centraal Meldpunt Ketenwijzigingen (B1).................80 10.2.2 Europese aanbesteding voor het beheer van Suwinet inkijk Services (D1 en D2).........................81 10.2.3 Doorontwikkelen Suwinet Inkijk Services (C3c, C5, C6, D6, D 9, E2,E5).....................................83 10.2.4 Realiseren werkproceskoppelingen (E6)..............................................................................................90 10.2.5 Realiseren mail binnen keten van Werk en Inkomen via besloten netwerk (F5)..........................91 10.3 DEFINITIEVE JAARTRANCHE 2003.....................................................................................................................92 10.3.1 Business Informatie Architectuur (SOLL) ..........................................................................................93 10.3.2 Technische Architectuur (SOLL) ..........................................................................................................93 10.3.3 Ondersteuning implementatie van gegevensuitwisseling met behulp van applicatie Digitale Formulieren....................................................................................................................................................................94 10.3.4 Handreiking Indentiteitscontrole (gebruik VIS en GBA)..................................................................95 10.3.5 Realiseren Authenticatie voorziening voor de keten van Werk en Inkomen.................................96 10.3.6 Creëren van bewustzijn bij gemeenten over omgang met cliëntinformatie ....................................96
11. 11.1 11.2 11.3 11.4
BIJLAGE DOMEIN EN WERKGROEPEN ............................................................ 99 DOMEINGROEP A RCHITECTUUR VAN DE KETENPROCESSEN EN KETENINFORMATISERING.................99 DOMEINGROEP GEGEVENS & BERICHTEN EN DE W ERKGROEPEN GEGEVENSBEHEER EN XML. ..........99 DOMEINGROEP PRIVACY & BEVEILIGING......................................................................................................100 DOMEINGROEP ICT BEHEERPROCESSEN ........................................................................................................100
BIJLAGEN BEHORENDE BIJ EDP AUDIT BEVEILIGING SUWINET.....................................................................101 BIJLAGE A BEVINDINGEN, RISICO’S EN AANBEVELINGEN...............................................................................101 BIJLAGE B BESTUDEERDE DOCUMENTATIE EN GEHOUDEN INTERVIEWS...................................................111 BIJLAGE C INGEVULD NORMENKADER ....................................................................................................................113 BIJLAGE D AANBEVELINGEN BIJ HET GEBRUIKTE NORMENKADER VERSIE 0.4 .......................................114
77
10.
Bijlage veranderprogramma
Het veranderprogramma 2003 van het BKWI wordt beschreven in een tweetal documenten: ‘voorlopige jaartranche 2003’ en ‘definitieve jaartranche 2003’. In de voorlopige jaartranche ligt de nadruk op projecten die vanuit 2002 doorlopen in 2003 en die zijn gericht op het bevorderen van de kwaliteit en het gebruik van de bestaande voorzieningen en afspraken. De definitieve jaartranche beschrijft projecten die in 2003 zijn opgestart. Een aantal van deze projecten is onderdeel van het ketenprogramma 2003-2004, dat in 2003 is opgesteld tussen de ketenpartners. Andere projecten hebben een indirecte relatie met het ketenprogramma of dragen in algemene zin bij aan de doelstellingen van de wet Suwi en de keten van Werk en Inkomen. Gezamenlijk bepalen deze documenten de innovatietaak van het BKWI in 2003. In dit hoofdstuk worden de projecten die onder de noemers voorlopige jaartranche 2003 en definitieve jaartranche 2003 zijn uitgevoerd besproken. Per project komt achtereenvolgens aan de orde: - achtergrond project - doel en huidige status project - mijlpalen Deze aspecten worden steeds kort besproken. Over de financiën wordt verantwoording afgelegd door middel van de jaarrekening (hoofdstuk 7 van dit jaarverslag). Alvorens deze projecten te bespreken wordt eerst een korte terugkoppeling gegeven over een aantal projecten uit de jaartranche 2002, die niet zijn opgenomen in de voorlopige jaartranche 2003, maar die in het begin van 2003 nog moesten worden afgerond. 10.1 Stand van zaken per deelproject uit jaartranche 2002 van projecten die geen onderdeel meer uitmaken van ‘voorlopige’ jaartranche 2003 In onderstaande overzicht wordt per project de voortgang op de verschillende (deel)projecten beschreven. Tussen haakjes staat aangegeven met welke titel en onder welk projectcluster het (deel)project in de jaartranche 2002 was opgenomen. Indien in de rapportage over het eerste dan wel tweede kwartaal 2003 reeds gespecificeerd gemeld is dat een project was afgerond zal uitsluitend gemeld worden ‘afgerond’. A5 Ontwik k e le n Suwibre de s tructure le te s to mg e v ing (jaartranche 2002: project A. Afronden doorlopende VO Suwi projecten). Eind maart 2003 heeft UWV ervoor gezorgd dat de testdata in de verschillende componenten van de ketenbrede testomgeving ingevoerd werden. Met deze activiteit werd dit deelproject en het project A uit de jaartranche 2002 definitief afgerond. Omschrijving van mijlpaal in bijlage voorlopige jaartranche 2003 Invoeren testdata in componenten van ketentestomgeving door UWV
Geplande opleverdatum 30-06-2002
Gerealiseerde opleverdatum 15-01-2003
C3 a Pre s tatie s me te n Suwine t Ink ijk Se rv ice s (project C: Opzetten Keten SLA) (jaartranche 2002: project C. Opzetten Keten SLA) Dit project is in januari 2003 afgerond. De meetinstrumenten om de performance van de technische componenten van Suwinet Inkijk te meten zijn conform het projectplan ingericht en de ontsluitingstool voor meetgegevens van Business Objects is geoperationaliseerd. De resultaten die uit de eerste metingen naar voren zijn gekomen zijn in 2003 meegenomen bij de projecten die gericht zijn op het verbeteren van Suwinet Inkijk.
78
Omschrijving van mijlpaal in bijlage voorlopige jaartranche 2003 Eindverslag en afronding project
Geplande opleverdatum 31-01-2003
Gerealiseerde opleverdatum 31-01-2003
C3 b M e te n me de we rk e rte v re de nhe id Suwine t Ink ijk Se rv ice s (project C: Opzetten Keten SLA) Dit project, dat in het eerste kwartaal 2003 is afgerond, heeft veel inzicht gegeven in de tevredenheid van de verschillende doelgroepen bij CWI, UWV en gemeenten en over het gebruik van Suwinet Inkijk binnen deze organisaties. De uitkomsten van het onderzoek zijn in 2003 meegenomen bij de projecten die gericht zijn op het verbeteren van Suwinet Inkijk. Omschrijving van mijlpaal in bijlage voorlopige jaartranche 2003 Eindverslag en afronding project
Geplande opleverdatum 31-01-2003
Gerealiseerde opleverdatum 28-02-2003
D5 M ig ratie CVCS (jaartranche 2002: project D. Verankeren en verbreden standaards en voorzieningen Suwinet) Na de afronding van de juridische overdracht van de technische componenten van stichting CVCS en de Veranderorganisatie SUWI door het ministerie van SZW aan BKWI medio januari 2003, heeft BKWI direct de contracten voor de componenten die nog operationeel waren/zijn met terugwerkende kracht verlengd. Omschrijving van mijlpaal in bijlage voorlopige jaartranche 2003
Geplande opleverdatum
Gerealiseerde opleverdatum
Juridische overdracht VO Suwi van ministerie van SZW naar BKWI Eindverslag
31-01-2003
15-01-2003
31-01-2003
31-01-2003
D6 Aans luite n g e me e nte n o p Suwine t Ink ijk Se rv ice s (jaartranche 2002: project D. Verankeren en verbreden standaards en voorzieningen Suwinet voorlopige jaartranche 2003: Doorontwikkelen Suwinet Inkijk Services) Op 31 maart 2003 is dit project afgerond. 466 gemeenten, met zo’n 5.000 gebruikers, waren op die datum aangesloten op Suwinet Inkijk Services. Van de resterende gemeenten zouden er tien nog snel volgen en hadden 13 gemeenten om verscheidene redenen aangegeven niet tot aansluiting over te kunnen gaan. Gegeven het verplichte karakter van de aansluiting heeft het BKWI het ministerie van SZW hiervan op de hoogte gebracht. De openstaande dossiers zijn overgedragen aan het Inlichtingenbureau. Deze organisatie neemt tevens de 1e lijns helpdeskfunctie voor het gemeentelijke veld op zich. Omschrijving van mijlpaal in bijlage voorlopige jaartranche 2003
Geplande opleverdatum
Gerealiseerde opleverdatum
Alle gemeenten (minus gemeenten zonder Gemnetaansluiting) aangesloten op SIS Eindverslag
31-03-2003
31-03-2003
31-03-2003
31-03-2003
E3 Onde rzo e k naar he t s tro o mlijne n v an B e ro e p e n Ople iding g e g e v e ns (jaartranche 2002: project E. Voorbereiden stelselontwerp 2005) Dit project is in het tweede kwartaal met een seminar afgerond. Tijdens het seminar met de ketenpartners, CWI, UWV, gemeenten en het ministerie van SZW zijn de uitkomsten van het onderzoek bediscussieerd en is vastgesteld dat het gebruik van informatie over beroepen en
79
opleidingen, zoals binnen de keten wordt vastgelegd, beter over de verschillende ketenpartners en ketenprocessen gedistribueerd moet worden. Aangezien met name CWI beschikt over een zeer uitgebreid en ontwikkeld beroepen en opleidingenregister is afgesproken met de Raad van bestuur van CWI dat het register in het kader van het project ‘Professionaliseren Suwinet Inkijk Services‘ via Suwinet inkijk aan de andere ketenpartners beschikbaar gesteld kan worden. Tevens heeft CWI aangegeven het register onder hun regie ook ten behoeve van de ketenpartners door te willen ontwikkelen. Naar aanleiding van bovengenoemde afspraken met CWI is een interface op het register ontwikkeld. Met ‘deze toegang’ kunnen gemeenten het register benaderen en gebruiken op een wijze die aansluit op een aantal werkprocessen rond het reïntegratietrajecten van cliënten. Eind november is de benodigde software gereed gekomen. CWI heeft begin december aangegeven de kwaliteit van elementen uit het register alsnog onvoldoende te vinden om landelijk beschikbaar te stellen. Tussen BKWI en CWI is in dit kader de additionele afspraak gemaakt om eerst een pilot met een aantal gemeenten in te regelen.
Omschrijving van mijlpaal in bijlage voorlopige jaartranche 2003
Geplande opleverdatum
Gerealiseerde opleverdatum
Afrondend seminar Eindverslag
30-06-2003 30-06-2003
30-06-2003 01-07-2003
10.2 ‘Voorlopige Jaartranche 2003’ De voorlopige jaartranche 2003 bestaat uit een aantal projecten die in 2002, als onderdeel van de jaartranche 2002, zijn opgestart, maar die in dat jaar niet zijn afgerond. De nadruk bij deze projecten ligt op het verankeren van de bestaande ketenvoorzieningen en ketenafspraken en bij het bevorderen van de kwaliteit en het gebruik ervan. Het gaat om de volgende projecten: 1. Inrichten ketenbreed wijzigingbeheer (B12) 2. Europese aanbesteding voor het beheer van Suwinet inkijk Services (D1 en D2) 3. Professionaliseren Suwinet Inkijk Services (C3c, C5, C6, D6, D 9, E2,E5) 4. Realiseren geautomatiseerde werkproceskoppelingen (E6) 5. Realiseren mail binnen de keten voor Werk en Inkomen via besloten netwerk (F5) Deze projecten worden in onderstaande paragrafen besproken. 10.2.1 Inrichten Ketenbreed Wijzigingsbeheer/Centraal Meldpunt Ketenwijzigingen 3 (B1 ) Achtergrond Met de start van de Suwiketen is ook het beheer op de keten noodzakelijk geworden. Voor het beheer van de technische componenten (hard- en software) is ketenbreed afgesproken om een procesmatige aanpak te kiezen en het procesmodel ITIL hierbij als hulpmiddel te gebruiken.
2 3
Tussen haakjes wordt de corresponderende projectcode uit jaartranche 2002 weergegeven. Tussen haakjes wordt de corresponderende projectcode uit jaartranche 2002 weergegeven.
80
Naast beheer van hard- en software componenten moeten ook beheerprocessen op het gebied van Werkprocessen en Techniek, Gegevens en Berichten en Privacy en Beveiliging ingericht worden. Deze beheerprocessen moeten niet alleen onderling aansluiten op elkaar, maar ook op de beheerprocessen van de Suwipartijen. Daarnaast is aansluiting nodig op het Suwibrede releasebeleid om een gecontroleerde doorontwikkeling van de keten mogelijk te maken. Doel Het doel van dit project is integraal en consistent (wijzigings)beheer binnen de keten van Werk en Inkomen in te regelen om gecontroleerde vernieuwing van de Suwiketen mogelijk te maken. Ook een helder bes luitvorm ings m odel m aakt onderdeel van dit trajec t uit. Status per 31-12-2003 Door dit project is in het tweede kwartaal van 2003 afgerond en heeft een applicatie opgele verd ten behoeve van de ondersteuning van het ketenbrede wijzigingsbeheer. Met dit softwareprogramma kunnen aarin ketenwijzigingen op ketencomponenten geregistreerd en gemonitord worden. De applicatie is in het tweede kwartaal 2003 overgedragen aan de afdeling BIS. Deze afdeling beheert de applicatie. De coördinatie met betrekking tot de ketenwijzigingen is belegd bij de (nieuwe) afdeling Ketenonwtikkeling. Niet alle mijlpalen van het project waren evenwel gerealiseerd. De resterende mijlpaal had betrekking op de besluitvorming over het uitgewerkte wijzigings- en releasebeleid, zoals dat door BKWI is opgesteld. Het PPI had vastgesteld dat besluitvorming nog niet kon plaatsvinden omdat er nader overleg tussen de specialisten van de verschillende partijen noodzakelijk was. Op 29 augustus is in een themabijeenkomst alsnog overeenstemming bereikt. Tevens is afgesproken dat er doorgewerkt zal worden aan dit groeidocument en dat er eind december 2003 een nieuwe versie zal worden opgesteld. Dit document is eind december opgeleverd (en in het PPI van januari 2004 formeel goedgekeurd). Mijlpalen Binnen dit project zijn ten behoeve van 2003 een aantal mijlpalen onderscheiden. De belangrijkste zijn in onderstaand overzicht opgenomen. Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Procesmodel wijzigingen en releases
15-04-2003
15-04-2003
Uitgewerkt en door AKO geaccordeerd ketenbreed wijzigings- en releasebeheer
05-06-2003
29-08-2003 (akkoord via PPI)
Operationele ICT ondersteuning procesmodel wijzigingen en releases
15-06-2003
27-06-2003
Overdracht Centraal Meldpunt Keteninformatisering naar lijnorganisatie BKWI
01-07-2003
30-06-2003
Eindverslag
01-07-2003
30-06-2003
10.2.2
Europese aanbesteding voor het beheer van Suwinet inkijk Services (D1 en D2)
Achtergrond Een Europese Aanbestedingsprocedure heeft geleid tot een keuze voor ABP/CIS als nieuwe beheerder van de Suwinet inkijkservices. In het eerste kwartaal van 2003 is op basis van de offerte van ABP/CIS een overeenkomst gesloten met betrekking tot het technisch beheer van alle centrale Suwinet-componenten, uitgezonderd het Suwikoppelpunt. Daarnaast is in het eerste kwartaal de migratie van PinkRoccade naar ABP/CIS gerealiseerd.
81
Daarnaast speelde er een vraagstuk rond het Suwikoppelpunt. Door de veranderorganisatie Suwi is in 2001 de keuze gemaakt om een tijdelijk koppelpunt voor alle netwerken binnen het Suwi-veld te realiseren, waarover gegevensuitwisseling plaats kon vinden. Binnen het BKWI bestond in 2002 het plan om voor de realisatie van het definitieve Suwikoppelpunt mee te liften op de Europese Aanbesteding WAN van het UWV. Gedurende 2002 heeft een aantal ontwikkelingen rond netwerk-beheerders inzichtelijk gemaakt dat een andere aanpak wenselijk is. Doel In de eerste maanden van 2003 diende met ABP/CIS een overeenkomst gesloten te worden en moest een migratietraject worden doorlopen ten behoeve van een soepele overdracht van PinkRoccade naar ABP/CIS. Het tweede doel van dit project had betrekking op de realisatie en het beheer van het definitieve Suwikoppelpunt. Om de continuïteit van de dienstverlening maximaal te kunnen garanderen moet een te grote afhankelijkheid van één leverancier, indien mogelijk, voorkomen worden. Om deze reden van continuïteit wordt een redundante uitvoering van de verbindingen van het Suwikoppelpunt gerealiseerd, in plaats van mee te liften op de Europese Aanbesteding WAN van het UWV. Doel was om alle verbindingscomponenten bij twee verschillende leveranciers gerealiseerd te krijgen en in beheer te laten nemen. Status 31-12-2003 Zowel de formele gunning aan ABP/CIS en de juridische afhandeling als de feitelijke migratie van de centrale componenten van Suwinet inkijk was in maart gereed. Inmiddels draaien de centrale componenten alweer enige maanden, zonder noemenswaardige problemen, bij ABP/CIS. De realisatie en het beheer van het definitieve Suwikoppelpunt is in 2003 tijdelijk in de wacht gezet, in afwachting van ontwikkelingen in de markt van netwerk-leveranciers en dienstverleners. Vanwege deze onzekerheid is bij alle voorbereidende werkzaamheden rekening gehouden met een dubbele uitvoering van het Suwikoppelpunt. Eventuele dubbele uitvoering betekent ook dat deze dienstverlening Europees aanbesteed moet worden. In het PPI van 26-09-2003 is tevens aangegeven dat het project pas tot realisatie kan overgaan op het moment dat alle rekencentra van UWV zijn opgehangen in het UWV-WAN. Eerdere migratie maakt aansluiting op de huidige Wide Area Netwerken van de voormalige uitvoeringsinstellingen noodzakelijk en dit brengt allerlei additionele kosten en werkzaamheden met zich mee. Deze keuze uit efficiency-overwegingen betekent dat de feitelijke oplossing pas in 2004 gerealiseerd zal worden. De continuïteit van de dienstverlening wordt door deze keuze overigens nie t in gevaar gebracht, omdat het contract met de huidige dienstverlener gecontinueerd kan worden en er ook op inhoudelijke gronden geen noodzaak tot eerdere migratie is. In augustus is het project weer gestart. De voorbereidingen waren gericht op een eventuele Europese aanbesteding. Daartoe zijn eind december Request for Information (RFI) en Request for Proposal (RFP) specificaties opgeleverd. Deze specificaties kunnen ook gebruikt worden, indien een Europese aanbesteding niet aan de orde zal blijken te zijn. Overigens moet UWV nog aangeven of (naast de infrastructuur van BKWI zelf) ook de delen van de infrastructuur die BKWI met UWV verbinden, in de aanbesteding moeten worden meegenomen. CWI heeft reeds aangegeven dat het deel van de infrastructuur dat CWI met BKWI verbindt meegenomen kan worden in de aanbesteding. Mijlpalen Binnen dit project werd in 2003 een aantal mijlpalen onderscheiden. De belangrijkste zijn in onderstaand overzicht opgenomen.
82
Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Feitelijke migratie beheer centrale componenten
16-02-2003-16-04-2003
16-02-2003
Eindverslag
16-02-2003-16-04-2003
25-03-2003
Ontwikkelen Suwikoppelpunt en implementeren beheer
31-08-2003
Er wordt een nieuwe opleverdatum vastgesteld
Migreren van oud naar nieuw Suwikoppelpunt
31-08-2003
Er wordt een nieuwe opleverdatum vastgesteld
Eindverslag
31-08-2003
Er wordt een nieuwe opleverdatum vastgesteld
10.2.3 Doorontwikkelen Suwinet Inkijk Services (C3c, C5, C6, D6, D 9, E2,E5) Achtergrond In 2002 is een goed inzicht gekregen in de technische en functionele performance van de Suwinet inkijk. Ook is duidelijk geworden hoe de bestaande functionaliteit door de gebruikers gewaardeerd wordt. Op basis van verschillende metingen naar performance en beleving is op hoofdlijnen inzichtelijk gemaakt welke verbeteringen doorgevoerd kunnen c.q. moeten worden om performance en beleving te verbeteren. Doel Het doel van dit project is om op basis van binnen de keten vastgestelde maatregelen, Suwinet Inkijk Services zodanig te verbeteren dat de technische en functionele performance, organisatie en communicatie aansluiten bij de wensen en eisen van de gebruikers. De volgende activiteiten zijn in 2003 gestart door de Suwipartijen om Suwinet Inkijk Services te verbeteren : A. Ve rbe te re n v an de co mmunicatie me t be tre k k ing to t Suwine t Ink ijk Se rv ice s (SIS) De resultaten van het gebruikers-tevredenheidsonderzoek, zoals dat in 2002 is uitgezet, heeft duidelijk gemaakt dat er vanuit het BKWI intensiever en anders gecommuniceerd moet worden over de dienstverlening van SIS. Indien er incidenten, problemen dan wel ontwikkelingen zijn, wil de afnemer hiervan op de hoogte worden gehouden met actuele en volledige informatie. Betere communicatie, ook initieel (gebruikershandelingen), kan ervoor zorgen dat gebruikers effectiever met SIS om zullen gaan en de klanten van de gebruikers beter worden bediend. In 2003 is op een aantal punten de communicatie verbeterd. Zowel naar decentrale beheerders als naar eindgebruikers. Gebruikershandleidingen zijn aangescherpt en breed gecommuniceerd. De communicatie met betrekking tot aard, oorzaak en oplossingen van storingen is uitgebreid. Tevens is een nieuwe huisstijl ontwikkeld die gereed is om in de release van 28 maart 2004 beschikbaar te worden gesteld. B . Ve rbe te re n v an o rg anis atie inzak e SIS Binnen de bedrijfsverzamelgebouwen werken medewerkers van verschillende Suwipartijen op één locatie samen. Bij een dergelijke fysieke vormgeving van de inrichting van de keten van Werk en Inkomen moet duidelijk zijn hoe (gedeeltelijk) gemeenschappelijke functionaliteiten als SIS optimaal ingezet kunnen worden. Het BKWI heeft het gebruik van SIS in relatie tot de bedrijfsverzamelgebouwen geanalyseerd en concrete voorstellen voor de aangesloten Suwipartijen geformuleerd.
83
In juni 2003 zijn er gebruikersgroepen ingeregeld bij gemeenten, CWI en UWV. Deze gebruikersgroepen moeten zorgen voor de juiste aansluiting van Suwinet Inkijk op de processen waarbij dit instrument wordt ingezet. Op basis van diverse sessies van de verschillende gebruikersgroepen zijn allerlei functionele wensen opgenomen voor de releases van Suwinet Inkijk in oktober en met name december. Ook is een aantal beheerprocessen aangescherpt, waardoor incidenten sneller aangemeld worden en daardoor gecommuniceerd kunnen worden naar de gebruikers in het land. C. Ve rbe te re n pe rfo rmance SIS In 2002 is duidelijk geworden dat SIS als ondersteunend instrumentarium bij het uitvoeren van primaire werkprocessen voor alle Suwipartijen noodzakelijk is. Tegelijkertijd is zichtbaar geworden dat de kwaliteit van SIS, in brede zin, aanzienlijk moet verbeteren. Daarom zijn de volgende maatregelen genomen: C. 1 . Ve rbe te re n te chnis che pe rfo rmance SIS Verbeteringen op netwerkniveau De inrichting van meetinstrumentarium op een groot aantal van de centrale en decentrale componenten van SIS verschaft permanent en ‘real time’ inzicht in de performance van deze componenten. Op netwerk-niveau hebben de metingen nog geen zorgwekkende punten gesignaleerd. De beschikbare capaciteit lijkt voldoende voor het huidige en het toekomstige verkeer rond SIS. Wel werd in 2003 het stelselontwerp aangepast en waren enkele beperkte technische wijzigingen op netwerk-niveau noodzakelijk. Hiervoor waren twee redenen: UWV migreert in 2004 van vijf individuele aansluitingen voor de voormalige uitvoeringsinstellingen naar één voor UWV en er zou een ‘directe’ aansluiting van Gemnet op het Suwikoppelpunt komen, door de komst van ABP/CIS als technisch beheerder van de centrale componenten. In 2003 bleken geen aanpassingen noodzakelijk. Ook het additionele verkeer over Suwinet door een toename van het aantal gebruikers levert namelijk op netwerkniveau geen problemen op. Verbeteringen op applicatieniveau De technische metingen in 2002 hebben duidelijk gemaakt dat er op applicatie-niveau de nodige aanpassingen doorgevoerd moesten worden. In het bijzonder op het gebied van de beschikbaarheid en de response-tijden van een aantal decentrale en centrale voorzieningen moesten aanzienlijke verbeteringen behaald worden om de bruikbaarheid van SIS te kunnen waarborgen. De verwachting was dat deze aanpassingen in 2003 niet alleen met relatief eenvoudige hardware-maatregelen, maar ook door complexe softwareverbeteringen gerealiseerd moesten worden. In het voorjaar van 2003 zijn concrete doelstellingen gedefinieerd voor CWI, UWV, BKWI en Inlichtingenbureau. Deze projectdoelstellingen zijn ook vertaald naar een nieuwe concept Service Level Agreement. Deze SLA versie 1.0 is eind augustus voorgelegd aan de domeingroep ICT-beheer. UWV heeft de normen onderschreven, maar heeft tevens aangegeven niet te kunnen voldoen aan de gestelde eisen, met name op het gebied van beschikbaarheid en responsetijden. Eind oktober is in het PPI besloten dat UWV een groeipadonderzoek zou doen naar de vraag wanneer UWV wel kon gaan voldoen aan welke prestatie-indicatoren in de SLA 1.0. Uit dit onderzoek is gebleken dat UWV op 01-10-2004 aan de gestelde eisen kan voldoen. Het PPI van februari 2004 moet bepalen of men met deze vertraging akkoord wil gaan. Dit besluit is mede afhankelijk van de resultaten van een aantal quick-win trajecten bij UWV-Cadans. Deze resultaten worden in februari bekend. Alle overige partijen voldoen aan de nieuwe prestatie-indicatoren.
84
Uitwijkvoorzieningen Bij de inrichting van SIS is niet voor alle componenten rekening gehouden met extreme calamiteiten, die uitwijken naar een andere omgeving noodzakelijk maken. In 2002 is daarom een deelproject gestart rond uitwijkvoorzieningen (D9). Een analyse in het kader van dit deelproject heeft duidelijk gemaakt voor welke voorzieningen welke initiële uitwijkvoorzieningen en procedures gerealiseerd moesten worden. In het verlengde van deze analyse dienden de voorzieningen en procedures ook te worden gerealiseerd en geïmplementeerd. Status per 31-12-2003 In het tweede kwartaal is een drietal noodvoorzieningen gerealiseerd en geoperationaliseerd. Een ‘kopie’ van de applicatie Overzichtpagina’s voor het intake-proces CWI is als noodvoorziening ingericht. Tevens is er een additionele verbinding van GVI naar het SuwiKoppelpunt gelegd en is er een noodvoorziening voor alle centrale voorzieningen. Deze laatste voorzieningen zijn later gerealiseerd dan gepland omdat er bij de beheerder ABP/CIS initieel onvoldoende capaciteit beschikbaar was om deze omgeving in te richten. Richting PPI is in de eerste kwartalen van 2003 aangegeven dat de realisatie aan UWV-zijde vertraging opliep. In PPI van augustus is besloten dat UWV de noodvoorziening van de Gemeenschappelijke VerwijsIndex (GVI) voor 31-03-2004 zal realiseren. Dit betekent dat de geplande mijlpaal (Gerealiseerde noodvoorziening voor GVI) niet tijdig gereed zal zijn. Technische beveiliging SIS Met de implementatie in 2002 van het toegangsbeveiligingspakket als onderdeel van SIS werd een grote stap gezet om SIS op het optimale beveiligingsniveau te krijgen. In 2003 was het realiseren van encryptie van gebruikers- en wachtwoord-informatie een belangrijke doelstelling voor de verdere verbetering van de technische beveiliging van SIS. Een onderzoek naar de wenselijkheid en mogelijkheid van encryptie en andere beveiligingsmaatregelen is eind augustus 2003 afgerond. Een upgrade van het toegangsbeveiligingspakket en het doorvoeren van de beveiliginsgstandaards stond gepland voor eind 2003, maar zal als gevolg van besluitvorming in het PPI, om de release te verplaatsten, pas in maart 2004 gerealiseerd worden. De voorbereidingen voor deze release zijn wel al getroffen. Een onderzoek naar de inrichtingseisen is afgerond en de leverancier heeft additionele software geleverd waardoor een gefaseerde beheersbare migratie mogelijk is. Encryptie van gebruikers- en wachtwoordinformatie is als verbeterpunt aan de domeingroep Privacy en Beveiliging voorgelegd en wordt nu in het eerste half jaar van 2004 gerealiseerd. C.2 . Ve rbe te re n functio ne le pe rfo rmance SIS Verbeteren functionele kwaliteit SIS Verbeteren kwaliteit van de bronnen De kwaliteit van SIS voldeed in 2002 nog niet aan alle eisen die gebruikers hebben om hun taken adequaat uit te kunnen voeren. Een veelgehoorde klacht heeft betrekking op de kwaliteit van de bronnen. De gegevens die getoond worden uit de verschillende bronnen zijn vaak niet volledig, niet juist of niet actueel. De oorzaak van deze vervuiling is divers: de inrichting van processen rond de invoering van gegevens, het gebruik van de bronsystemen en de aanlevering van gegevens door derden leiden allemaal tot ‘kwaliteitsverlies’ van de bronnen. In 2003 moest vanuit verschillende invalshoeken (o.a. proces, ICT) aan dit probleem gewerkt worden.
85
De volgende maatregelen zijn in 2003 genomen. Er is onder coördinatie van BKWI door CWI, UWV en gemeenten een onderzoek uitgevoerd naar de kwaliteit van de bronnen. Uit dit onderzoek, dat eind 2003 beschikbaar is gekomen, blijkt dat het leeuwendeel van het ‘ervaren van kwaliteitsproblemen’ veroorzaakt wordt door de gebrekkige beschikbaarheid van UWV systemen. Hierop is actie ondernomen en er lopen in 2004 verbetertrajecten door. De overige oorzaken liggen met name op het vlak van fouten in de bronsystemen. Hiervoor zullen de ketenpartners in 2004 maatregelen moeten nemen. SuwiML in SIS In het Suwi-domein is een aantal standaards geïntroduceerd dat de gegevensuitwisseling moet vereenvoudigen en het gebruik van de uitgewisselde gegevens moet verhogen. Het gaat hierbij om functionele en technische standaards. Het belang van een gemeenschappelijk Gegevenregister en een bijbehorende technische standaard is onomstreden. Om op dit onderwerp draagvlak te behouden is het van essentieel belang de standaards zo snel mogelijk door te voeren in technische voorzieningen. In 2002 is daarom een deelproject opgestart gericht op het doorvoeren van de SuwiML-standaard in SIS (D4). Een aantal activiteiten in dit kader werd niet in 2002 uitgevoerd en stond daarom voor 2003 geagendeerd. In de release van eind oktober 2003 is de SuwiML ketenbreed doorgevoerd. Dit betekende dat UWV, CWI en BKWI onderdelen van hun programmatuur hebben aangepast dan wel vervangen. Verbeteren uniformiteit van de bronnen SIS bestaat voor eindgebruikers uit kolom- en proces gerelateerde overzichten. De kolomoverzichten tonen van één sofi-nummer alle gegevens die bij één van de Suwipartijen beschikbaar zijn. De procesgerelateerde overzichten laten van één sofi-nummer alleen de gegevens zien die relevant zijn voor een bepaald proces, maar wel van alle Suwipartijen tegelijk. In beide overzichtsvormen moeten gebruikers integraal dezelfde gegevens getoond krijgen. Dit was om meerdere redenen niet het geval. De gegevens in de procesgerelateerde overzichten zijn in algemene zin minder actueel. Dit is voor gebruikers zeer verwarrend en leidt tot fouten. In 2003 stond het verbeteren van de uniformiteit van bronnen daarom hoog op de agenda. BKWI heeft een voorstel opgesteld om uniformiteit tussen de verschillende bronnen te realiseren. Dit voorstel betekent dat de huidige kolomoverzichten vervangen worden door overzichten die door dezelfde bronnen op dezelfde wijze gevoed worden als de procesoverzichten. Het doorvoeren van dit voorstel zal echter pas ingediend worden op het moment dat de beschikbaarheid en responsetijden van de procesgerelateerde overzichten bij UWV op het SLA 0.7. niveau zijn aanbeland. Presentatievormen SIS De huidige presentatievormen van SIS moeten verbeteren om gebruikers op een efficiëntere wijze hun werk te kunnen laten uitvoeren. Enerzijds zal de algemene lay-out veel duidelijker moeten worden, anderzijds zullen er voor de verschillende gebruikersgroepen specifieke procesgerelateerde overzichten ontwikkeld moeten worden. Dit betekent dat gebruikers gegevens getoond krijgen in een lay-out en in een volgorde die aansluit op hun werkproces, waardoor overbodig en tijdrovend zoeken naar gegevens tot het verleden kan gaan behoren. In de release van oktober is een aantal verbetervoorstellen met betrekking tot de lay-out doorgevoerd. Tevens is in deze release een tweetal nieuwe pagina’s voor CWI doorgevoerd, uitkeringsintake WW en uitkeringsintake Abw. In deze release is tevens een pagina ontwikkeld en beschikbaar gesteld voor het logistiek besturingscentrum van de divisie WW van UWV.
86
In december zijn pagina’s doorgevoerd voor de processen rechtmatigheid WW, rechtmatigheid Abw, reïntegratie Abw, reïntegratie WW. Het autoriseren van gebruikers van deze pagina’s faciliteert een nauwkeurigere doelbinding tussen medewerker, organisatie, werkproces en de getoonde gegevens. Het toekennen van autorisaties vindt door de decentrale beheerders bij de ketenpartijen zelf plaats. Verbreden gebruik SIS In januari 2002 is SIS beschikbaar gekomen voor UWV en CWI. In de loop van 2003 is het aantal gebruikers gestegen tot ongeveer 19.000. Dit betekende dat ook alle gemeenten zijn aangesloten. De uitrol bij gemeenten werd in maart 2003 afgerond Met deze stijging tot bijna 19.000 is invulling gegeven aan de doelstelling om 19.000 gebruikers op Suwinet Inkijk aan te sluiten. In het plan was beoogd dit aantal mede met gebruikers van SIOD en SVB te halen, maar is uiteindelijk gerealiseerd door een uitbreiding van het aantal gemeentelijke en UWVgebruikers Aansluiten SVB Naast CWI, UWV en gemeenten wil nog een aantal partijen gebruik maken van SIS, voornamelijk om bestaande papieren uitwisselingen met de genoemde Suwipartijen te vervangen. Voor de processen bij het SVB rond met name vrijwillige verzekerden en internationale detachering wordt momenteel veel informatie via post opgevraagd bij, en ontvangen van het UWV. SIS biedt hier een adequate en kosten- en tijdbesparende oplossing voor. Om aansluiting van de SVB op SIS in 2004 mogelijk te maken zal het wettelijke kader aangepast moeten worden. Tevens zullen geldende privacy-regelingen voor gegevensuitwisseling in de keten van Werk en Inkomen binnen de SVB aangepast moeten worden. Verder zal inbedding van het gebruik van SIS in werkprocessen moeten plaatsvinden en zal een aantal technische voorzieningen geregeld moeten worden door BKWI en SVB. Door BKWI is een voorstel gedaan om SVB aan te sluiten op Suwinet. Het SVB heeft echter aangegeven in 2003 geen gebruik te willen maken van deze mogelijkheid. Aansluiten SIOD Ook vanuit het ministerie van SZW is belangstelling voor inkijk-gegevens. De SIOD moet voor haar opsporingsactiviteiten gegevens van UWV en gemeenten kunnen raadplegen. SIS biedt de mogelijkheid deze gegevens in te kijken. Voor een aansluiting van SIOD zullen grotendeels dezelfde stappen doorlopen moeten worden als bij de SVB, om realisatie mogelijk te maken. Wel zal met name bij het wettelijk kader nadrukkelijker stilgestaan moeten worden aangezien de SIOD nog niet als Suwipartij wordt genoemd. Het BKWI heeft in samenwerking met het ministerie van SZW onderzocht in hoeverre aansluiting van het SIOD mogelijk was gegeven het wettelijk kader. In eerste instantie leek hiervoor slechts beperkt ruimte te bestaan, maar inmiddels is duidelijk geworden dat in 2004 waarschijnlijk alsnog aansluiting gerealiseerd kan worden. Dit is ook zeer wenselijk omdat aansluiting van de SIOD de keten in staat stelt om verschillende vormen van uitkeringsfraude op het spoor te komen. Uitbreiden van SIS Aanvullende gebruikerswensen. SIS is tot stand gekomen op basis van nauwelijks gespecificeerde (gebruikers)wensen. De functionaliteit die in de huidige voorziening aangeboden wordt, werd in bestuurlijke kring initieel vastgelegd op een ‘sigarendoosje’. Deze werkwijze was valide omdat er geen operationele keten was en gegeven deze context was de inschatting van de functionaliteit zeker niet slecht. Toch is inmiddels duidelijk geworden dat er nog wensen en eisen ingevuld moeten worden om gebruikers in staat te stellen hun taken efficiënt te kunnen laten uitvoeren.
87
Een van de wensen van met name gemeentelijke gebruikers heeft te maken met de huidige bronnen die via SIS raadpleegbaar zijn. Gebruikers willen dat er meer gegevens, en ‘logische’ gegevens over gegevens, ontsloten worden uit de bestaande bronnen. Daarnaast bestaat er een valide wens om gegevens uit bronnen te kunnen raadplegen die nog niet ontsloten worden. Er zijn meerdere nieuwe bronnen van Suwipartijen aan te wijzen die gegevens bevatten die voor meerdere partijen waarde hebben. Zoals reeds eerder aangegeven is het beroepen- en opleidingenregister van het CWI voor ketenbreed gebruik via Suwinet Inkijk ontsloten. Hiervoor is een speciale B&O-pagina op basis van werkprocessen bij gemeenten ontwikkeld. Ontsluiten gegevens gemeenten. In het verlengde van de projecten van de Veranderorganisatie Suwi is in 2002 een traject opgestart dat gericht is op het ontsluiten van gegevens van gemeenten. Dit traject moest rond de zomer van 2003 tot een goed einde gebracht worden en diende te resulteren in een inkijkmogelijkheid op een twintigtal gegevens uit gemeentelijke administraties. In oktober zijn ook de gegevensverzamelingen van de 483 gemeenten beschikbaar gekomen via Suwinet Inkijk. Ontsluiten gegevens SVB In 2003 diende ook beoordeeld te worden of gegevens van de SVB via SIS ontsloten kunnen worden. De SVB registreert met name gegevens in het kader van de AOW, ANW en AKW. De AOW- en AKW- gegevens zijn relevant zijn voor de uitvoering van de WWB, en daarmee voor gemeentes en CWI. De Anw-gegevens zijn relevant voor gemeentes nu zij verantwoordelijk zijn gesteld voor de arbeidsintegratie van Anw-gerechtigden. Uit analyses en gesprekken met gebruikersgroepen is in 2003 naar voren gekomen dat het ontsluiten van gegevens van de SVB geen hoge prioriteit heeft. Gebruik derden-bronnen Tot slot hebben gebruikers van verschillende Suwipartijen de behoefte geëxpliciteerd om gegevens uit bronnen van een aantal derden te kunnen bekijken en gebruiken bij het uitvoeren van hun wettelijke taken. In 2003 wordt in dit kader gewerkt aan het ontsluiten van gegevens uit het Verificatie Identificatie Systeem (VIS) van het BKR en aan het real-time beschikbaar krijgen in SIS van GBAgegevens. Door gegevens over valse identiteitsdocumenten via SIS uit VIS toegankelijk te maken zal misbruik van een aantal sociale zekerheidswetten veel beter voorkomen kunnen worden. De real-time inkijk-mogelijkheid op de GBA-gegevens betekent dat bepaalde gegevens die door de LRD geregistreerd worden direct en niet meer na 48 uur beschikbaar komen voor geautoriseerde medewerkers van de Suwipartijen. De Inkijk op VIS is met de release van 22 oktober 2003 gerealiseerd. De interface op de nieuwe landelijke real-time inkijkmogelijkheid op GBA-gegevens is gerealiseerd maar in Inkijk kunnen geen GBA-gegevens direct getoond worden. De reden hiervoor is gelegen in de onbeschikbaarheid van een operationele database met GBA-gegevens. Het agentschap BPR van het Ministerie van Binnenla ndse Zaken is verantwoordelijk voor genoemde database. Ondanks herhaaldelijke escalaties via PPI, AKO en CWI is deze productieomgeving niet tijdig gereed gekomen. Mijlpalen De belangrijkste activiteiten van dit project en zijn deelactiviteiten over 2003 zijn in onderstaand mijlpalenoverzicht geconcretiseerd:
88
Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Verbeteren technische performance SIS: beschikbaarheid functionaliteit groter dan 95%
Zomerrelease (juli 2003)
Verbeteren van technische performance SIS: UWV-Cadans minder dan 30 seconden voor 90% van de bevragingen
Zomerrelease (juli 2003)
Verbeteren van technische performance SIS: beschikbaarheid functionaliteit groter dan 97.5%
Najaarsrelease (november 2003)
Verbeteren van technische performance SIS: Individuele response XML-services kleiner dan 15 seconden voor 95% van bevragingen, samengesteld response overzichtpagina’s kleiner dan 6 seconden voor 98% van bevragingen. Verbeteren van organisatie inzake SIS: Incidentafhandeling 99% van incidenten binnen 3 minuten bekend op Suwidesk Verbeteren van technische performance SIS: Onderzoek naar beveiliging gegevens: encryptie van logginggegevens en beveiliging op gegevensniveau afgerond. Verbeteren van technische performance SIS: Doorgevoerde noodzakelijke beveiligingsmaatregelen Uitbreiden SIS: Doorvoeren inkijk op VIS Uitbreiden SIS: Doorvoeren inkijk op LRD (GBA) Verbeteren van organisatie inzake SIS: Ingeregelde gebruikersgroepen bij gemeenten, CWI en UWV Verbeteren functionele performance SIS: Uitvoeren van onderzoek naar kwaliteit van (aantal) bronnen afgerond. Verbeteren functionele performance SIS: Vastgestelde functionele wijzigingen voor najaarsrelease Uitbreiden van SIS: Vastgestelde functionele wijzigingen voor najaarsrelease Verbeteren functionele performance SIS: Gerealiseerde wijzigingen Uitbreiden van SIS: Gerealiseerde wijzigingen Verbreden en uitbreiden gebruik SIS: 19.000 gebruikers aangesloten op SIS
December 2003
Gerealiseerd in oktober 2003 voor alle gegevens leverende services behalve UWV. Planning UWV staat op 01-10-2004. Gerealiseerd in oktober 2003 voor alle gegevens leverende services behalve UWV. Planning UWV staat op 01-10-2004. Gerealiseerd in oktober 2003 voor alle gegevens leverende services behalve UWV. Planning UWV staat op 01-10-2004. Gerealiseerd in oktober 2003 voor alle gegevens leverende services behalve UWV. Planning UWV staat op 01-10-2004.
4
December 2003
December 2003
Augustus 2003
31-08-2003
November 2003
Zomerrelease
Gepland op 28 maart 2004 (Release Suwinet Inkijk 2.0) 22-10-2003
Zomerrelease
Niet gerealiseerd4
Juli 2003
13-06-2003
15 augustus 2003
31-12-2003
15 augustus 2003
15-08-2003
15 augustus 2003
15-08-2003
Najaarsrelease
11-12-2003
Najaarsrelease
11-12-2003
December 2003
(19-01-2004)
afhankelijk van ontwikkelingen BPR.
89
Verbeteren functionele performance SIS: Doorvoeren van nieuwe lay-out SIS Eindverslag
Najaarsrelease
(11-12-2003)5
31-12-2003
Niet gerealiseerd
10.2.4 Realiseren werkproceskoppelingen (E6) Achtergrond/ Doel In 2002 is een begin gemaakt met het realiseren van geautomatiseerde werkproceskoppelingen en het daarbij behorende berichtenverkeer in de keten voor werk en inkomen. In 2003 werd een vervolg gegeven aan werkzaamheden ten behoeve van een viertal werkproceskoppelingen tussen de bestaande ketenpartijen: intake WW, Intake Abw en melding einde uitkeringen WW en Abw. Als in het kader van de Agenda keten Werk en Inkomen 2003-2004 geautomatiseerde ondersteuning voor andere werkproceskoppelingen gerealiseerd moesten worden, zouden de activiteiten hieromtrent eveneens in het kader van dit project in de definitieve jaartranche 2003 opgenomen worden. Hoewel er in het Programma Ketenresultaten 2003-2004 (ketenprogramma) nog een groot aantal koppelingen is toegevoegd, is binnen het BKWI besloten deze activiteiten binnen de reguliere exploitatie op te pakken. De opzet en de voortgang op dit project is in grote mate beïnvloed door de komst van het ketenprogramma 2003-2004. De rol van het BKWI veranderde impliciet van coördinator tot leverancier van halffabrikaten. De planning van het ketenprogramma verving de planning zoals die in de voorlopige jaartranche was geformuleerd. In dit project participeren naast CWI, UWV en gemeenten ook het Inlichtingenbureau (IB), het CoördinatiePunt gemeenten en BKWI. Dit project loopt als onderdeel van het ketenprogramma 2003-2004 door in 2004. BKWI zal in het kader van dit onderdeel van het ketenprogramma met name halffabrikaten moeten opleveren en de realisatie van een pilot met CWI en de gemeenten Harderwijk en Ermelo moeten coördineren. Status per 31-12-2003 Vooraankondiging WW Op 1 oktober zijn de verschillende betrokken partijen, conform planning, begonnen met het bouwen van de diverse onderdelen om de Vooraankondiging WW elektronisch van CWI naar UWV te verzenden. CWI bouwt aan de software om het bericht te vervaardigen en UWV om het bericht te ontvangen. Binnenkort start UWV bovendien met de routeer- en printfunctionaliteit. Op 15 april 2004 moeten alle componenten gereed zijn voor productie. De uitrol staat gepland tot 01-07-2004. Melding einde uitkering WW met reden Op basis van onderzoek en een aantal gesprekken tussen CWI en UWV is in PPI van 22-08-2003 vastgesteld dat huidige procesgang bij UWV dusdanig is ingericht dat de Meldingen uitkering WW met reden op een te laat stadium in het ketenproces bij CWI binnen kunnen komen om voor CWI van waarde te zijn. In een pilot in Rotterdam Zuid proberen CWI en UWV uit te zoeken in hoeverre uitwisseling van deze berichten toch tot een verbetering van de procesgang kan leiden. Eind december heeft CWI alsnog de gewenste gegevensset aangeleverd aan UWV. Medio februari zullen UWV en CWI deze set vaststellen en dan ook beoordelen of het proces zodanig aangepast kan worden dat deze berichten tijdig aan CWI aangele verd kunnen worden.
5
Gereed om in productie te nemen.
90
Intake Abw De maximale gegevensset voor de intake Abw is opgesteld en in december formeel bekrachtigd. Er blijkt echter tussen CWI en de vertegenwoordigers van gemeenten geen digitale set van gegevens uit de integrale set (maximale set) gedestilleerd te kunnen worden die voor de CWI en alle gemeenten gaat gelden. CWI zal daarom in Service Niveau Overeenkomsten (SNO) met gemeenten ruimte bieden voor een bepaalde mate van gemeentelijke diversiteit. Welke gegevens uit deze gegevensset elektronisch uitgewisseld worden moet per SNO afgesproken worden. In een pilot in Hardewijk wordt door CWI en de gemeenten Hardewijk en Ermelo een voorstel voor deze elektronische set ontwikkeld. Met de leveranciers van de gemeentelijke systemen hebben eerste oriënterende gesprekken plaatsgevonden over hun rol in dit traject. Samen met het ministerie van SZW, het Inlichtingenbureau en het coördinatiepunt gemeenten is bepaald welke rollen iedere partij op zich moet nemen om de totstandkoming van digitale uitwisseling van de Intake Abw tussen CWI en gemeenten vanaf 2004 mogelijk te maken. Melding einde uitkering Abw met reden Op basis van nader inzicht is in PPI van 22-08-2003 vastgesteld dat huidige procesgang bij gemeenten dusdanig is ingericht dat de Meldingen uitkering Abw met reden op een te laat stadium in het ketenproces bij CWI binnen kunnen komen om voor CWI van waarde te zijn. Via de DGB, de domeingroep Gegevens en Berichten, zal de gegevensset begin 2004 alsnog vastgesteld worden. Mijlpalen Ten behoeve van dit project zijn voor 2003 de volgende mijlpalen gedefinieerd: Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Vastgestelde logische berichtspecificaties Vooraankondiging WW Vastgestelde logische berichtspecificaties Melding einde uitkering WW met reden Vastgestelde logische berichtspecificaties intake Abw Vastgestelde logische berichtspecificaties Melding einde uitkering Abw met reden Vastgestelde FO’s CWI inzake 4 koppelingen • Vooraankondiging WW • Melding einde uitkering WW met reden • Intake Abw • Melding einde uitkering Abw met reden
01-07-2003
15-06-2003
01-08-2003
Niet gerealiseerd
15-07-2003
22-12-2003
01-06-2003
23-05-2003
01-10-2003 ntb
01-10-2003 (voor bericht vooraankondiging WW)
ntb ntb
niet gerealiseerd niet gerealiseerd niet gerealiseerd
01-10-2003 ntb
01-10-2003 (voor bericht vooraankondiging WW) niet gerealiseerd
ntb
niet gerealiseerd, agenda 2004 niet gerealiseerd, agenda 2004
Vastgestelde FO’s UWV inzake 2 koppelingen • Vooraankondiging WW • Melding einde uitkering WW met reden Vastgestelde FO’s Gemeenten inzake 2 koppelingen • Intake Abw •
Melding einde uitkering Abw met reden
ntb
10.2.5 Realiseren mail binnen keten van Werk en Inkomen via besloten netwerk (F5) Achtergrond
91
Dit project is gericht op de derde vorm van geautomatiseerde gegevensuitwisseling in de keten voor werk en inkomen: de uitwisseling van meldingen die niet standaard in de werkprocessen voorkomen en ook geen gestructureerde inhoud hebben. Op dit moment vinden verschillende vormen van ad-hoc en ongestructureerde uitwisselingen plaats. Soms via de telefoon, soms via de post en ook vaak via het ‘open’ Internet. Welke cliënt-gegevens uitgewisseld worden is niet duidelijk, maar ook is niet precies duidelijk via welke elektronische transportmiddelen deze uitwisselingen plaatsvinden. Doel Het doel van dit traject is het realiseren van een mailfunctionaliteit waarmee individuele medewerkers en afdelingen van de Suwipartijen op een willekeurige plaats binnen het werkproces van Werk en Inkomen onderling gegevens kunnen uitwisselen via een besloten netwerk. Uitwisseling van gegevens via een besloten netwerk verloopt veiliger en efficiënter dan uitwisseling over een openbaar netwerk. Daarnaast biedt een besloten netwerk archief-, controle-, en beveiligingsmogelijkheden. Bovendien is Mail het een eenvoudig en laagdrempelig medium voor gebruikers. In het ketenprogramma 2003-2004 is het realiseren van dit project ook opgenomen. De mijlpalen weken echter aanzienlijk af dan die het BWKI had beschreven in de voorlopige jaartranche 2003. Het ketenprogramma streeft naar gebruik van Mail door alle ketenpartijen in 2004. In de ‘voorlopige jaartranche 2003’ was het project uitsluitend gericht op de fasen tot en met de technische realisatie van een mailvoorziening over een besloten netwerk. Status 31-12-2003 Een groot aantal van de mijlpalen van de voorlopige jaartranche en het ketenprogramma is gerealiseerd en eind 2003 vond er ook daadwerkelijk mailverkeer plaats van CWI naar een aantal gemeenten. De tijdelijke en definitieve oplossing bij UWV (mailservers van voormalige uvi’s) ondervonden vertraging ten opzichte van de planning van de voorlopige jaartranche, maar verliepen in lijn met de planning van het ketenprogramma. Ook kan het UWV uitsluitend voor het UWV-Gak een tussenoplossing realiseren. Integrale aansluiting van alle partijen zal in 2004 verder gestalte moeten krijgen Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum 25-08-2003 CWI en Gemnet aangesloten
Richtlijnen voor beheer Mail-relayservers aangesloten op Suwinet (UWV: bestaande mailservers van voormalige uvi’s) Oplevering centrale mail-relay server Communicatie naar gebruikers UWV- mail-relayserver aangesloten
15-07-2003 15-08-2003
01-08-2003 15-09-2003 15-12-2003
11-07-2003 12-09-2003 P lanning medio maart 2004
Eindverslag
31-12-2003
Niet gerealiseerd
10.3 Definitieve jaartranche 2003 In deze paragraaf wordt gerapporteerd over de projecten in de definitieve jaartranche. Het gaat hier om projecten die in 2003 zijn opgestart naar aanleiding van het ketenprogramma 2003-2004. Sommige projecten zijn direct onderdeel van dit ketenprogramma, anderen hebben een indirecte relatie of dragen in algemene zin bij aan de doelstellingen van de wet SUWI en de keten van Werk en Inkomen. Daarnaast wordt ingegaan op twee ‘doorlopende’ projecten, die in 2002 ‘on hold’ waren gezet en die in 2003 tot uitvoering werden gebracht.
92
10.3.1 Business Informatie Architectuur (SOLL) (jaartranche 2002: project F. Stelselontwerp 2005: code F1) Achtergrond en doel Eind juni 2003 is in het PPI vastgesteld dat er in ketenverband een ‘minimale architectuur’ voor de keten moet worden ontwikkeld, die zich richt op de werkproceskoppelingen. Daarnaast moet binnen de lijnorganisatie van BKWI ook voor BVG-samenwerkingsverbanden een architectuur ontwikkeld worden en zal er in samenwerking met het ministerie van SZW vanuit een derde invalshoek naar de integrale keten gekeken worden. In afwachting van het Programma Ketenresultaten 2003-2004 was dit project ‘on hold’ gezet. In het ketenprogramma is vastgesteld dat er een ketenarchitectuur moet komen. BKWI heeft de opdracht het tot stand komen van die architectuur te coördineren. Daartoe heeft het BKWI alle architecturen van de ketenpartners verzameld en is een startnotitie gemaakt. Daarnaast is een plan van aanpak opgesteld voor fase 1 van de uitwerking van de ketenarchitecturen. Status per 31-12-2003 De oplevering van het plan van aanpak ten behoeve van fase 1 heeft een maand vertraging opgelopen omdat verschillende Suwipartijen hun architecturen later dan gepland aanleverden en er meer afstemming en onderzoek nodig bleek. Het PPI is akkoord gegaan met deze korte vertraging. In het plan van aanpak zijn ook de overige mijlpalen voor 2003 en 2004 geformuleerd. In de verschillende PPI vergaderingen in het laatste kwartaal van 2003 kon geen overeenstemming bereikt worden over dit plan van aanpak. Uiteindelijk is in het PPI van januari 2004 dit akkoord wel bereikt. Mijlpalen Binnen dit project is voor 2003 de volgende mijlpaal benoemd. Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Opleveren plan van aanpak fase 1 ten behoeve van realiseren ‘Minimale’ ketenarchitectuur.
01-10-2003
01-11-2003
10.3.2 Technische Architectuur (SOLL) (jaartranche 2002: project F. Stelselontwerp 2005: code F4) Achtergrond In afwachting van het ketenprogramma 2003-2004 was ook dit traject als ketenproject ‘on hold’ gezet. Met de komst van het ketenprogramma is duidelijk geworden dat er ook vanuit technische invalshoek, in de lijn van de Business Architectuur, aan de architectuur van de keten van Werk en Inkomen gewerkt moet worden. Doel In dit project wordt (gegevensuitwisseling binnen) de keten van Werk en Inkomen vanuit een technische invalshoek bestudeerd. Op basis van diverse inventarisaties en analyses worden uitgangspunten, kaders en concrete technische keuzes voor het inzetten van technische (infrastructurele) voorzieningen in ketenverband vastgesteld. De uitkomsten bieden onder meer blauwdrukken voor het realiseren van diverse vormen van gegevensuitwisseling in het kader van het ketenprogramma 2003-2004. In 2001 en 2002 is er binnen de VO SUWI en binnen het BKWI, in samenwerking met de ketenpartners, al een aantal uitgangspunten, kaders en concrete technische keuzes ontwikkeld en in het Stelselontwerp vastgelegd. In het verlengde van dit ontwerp zijn er binnen 93
de ketenwerkgroep techniek en de domeingroep Architectuur ook concepten voor ‘Meldingenverkeer’ ontwikkeld. Deze concepten worden in het kader van dit project in een proeftuin beproefd. Op basis van de beproefde resultaten kunnen er enerzijds architectuurkeuzes gemaakt en als standaard vastgesteld worden, anderzijds kunnen de werkproceskoppelingen zoals in het ketenprogramma 2003-2004 met deze beproefde concepten ondersteund worden. Status per 31-12-2003 CWI, UWV en BKWI hebben een proeftuin ontwikkeld en beproefd voor het routeren van ‘Meldingen-verkeer’ van CWI naar UWV. De proef heeft in augustus plaatsgevonden en heeft positieve resultaten opgeleverd. Op basis van deze proef kunnen conceptueel uitspraken gedaan worden over hoe Meldingen-verkeer opgezet moet worden. Deze uitspraken zullen vastgelegd worden in het architectuurdocument. Om de proeftuinfase af te ronden en de implementatievraagstukken in het kader van het ketenprogramma te kunnen beantwoorden zal ook nog een proef met stichting RINIS als transporteur uitgevoerd moeten worden. Deze test zal begin 2004 plaatsvinden in plaats van eind 2003. Vooruitlopend op de test heeft BKWI het PPI verzocht in te stemmen met het gebruik van RINIS als routeerder/ transporteur van de ‘meldingen’ binnen de keten van werk en inkomen. Om het project af te ronden met aanpassingen aan het architectuurdocument, het Stelselontwerp, zijn ook de resultaten van de pilot met Rinis noodzakelijk. Deze resultaten zullen in 2004 beschikbaar komen en vervolgens verwerkt worden. Mijlpalen Ten behoeve van dit project zijn voor 2003 de volgende mijlpalen gedefinieerd: Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Opleveren beproefd concept voor ‘Meldingenverkeer’ Opleveren architectuurdocument voor gegevensuitwisseling binnen de keten van Werk en Inkomen (‘Mail’, ‘Inkijk’ en ‘Meldingen’)
01-09-2003
01-09-2003
01-11-2003
Niet gerealiseerd
10.3.3 Ondersteuning implementatie van gegevensuitwisseling met behulp van applicatie Digitale Formulieren Achtergrond Vooruitlopend op de komst van Sonar, de nieuwe geautomatiseerde ondersteuning van het primaire proces van CWI, beoogt het CWI de verschillende uitwisselingstrajecten met haar ketenpartners zo efficiënt mogelijk te organiseren. In dit kader heeft het CWI in 2002 onderdelen van de applicatie ‘Digitale Formulieren’ ontwikkeld en is het digitaliseren van een groot aantal andere formulieren gepland voor 2003. Introductie van deze applicatie heeft niet alleen grote consequenties voor de CWI, maar ook voor de ‘ontvangende’ ketenpartners. Doel Het doel van dit project was de implementatie en de inbedding in de werkprocessen van de applicatie ‘Digitale Formulieren’ in de keten van Werk en Inkomen succesvol te laten verlopen. In concreto moest een helpdesk ingericht worden met ondersteunend instrumentarium. Daarnaast moest de helpdesk tijdelijk voorzien worden van gekwalificeerde medewerkers. Met de ‘Digitale formulieren’ wordt een aantal koppelingen dat beschreven staat in het ketenprogramma 2003-2004 initieel ondersteund. De inbedding van deze applicatie en haar output is dan ook een tussenresultaat van het ketenprogramma, noodzakelijk om tot een gedragen eindresultaat te komen.
94
Status per 31-12-2003 Dit project is in het 2e kwartaal van 2003 succesvol afgerond. Mijlpalen Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Ingerichte helpdesk ter ondersteuning van implementatie Digitale Formulieren en inbedding in werkprocessen van ketenpartners. Afgeronde overdracht van instrumentarium voor helpdesk aan Inlichtingenbureau ten behoeve van verdere ondersteuning gemeentelijke kolom.
01-02-2003
01-02-2003
01-05-2003
01-05-2003
10.3.4 Handreiking Indentiteitscontrole (gebruik VIS en GBA) Achtergrond Binnen het project Professionaliseren Suwinet Inkijk wordt een Inkijk-voorziening op het Verificatie Identiteitsdocumenten Systeem ontwikkeld. Dit is een onderdeel van de Handreiking Identiteitscontrole. Tevens wordt er in dit project een koppeling en een Inkijkpagina ontwikkeld voor de presentatie van gegevens uit de Landelijke Raadpleegbare Directory, een afslag van de verschillende gemeentelijke basisadministraties. Binnen het ketenprogramma 2003-2004 staat het in gebruik nemen van VIS en ‘GBA’ in de keten als expliciete doelstelling geformuleerd. Dit project geeft dan ook invulling aan de uitvoering van het ketenprogramma. Doel In dit project wordt een document opgesteld waarin beschreven wordt op welke wijze in ketenverband gebruik gemaakt kan worden van deze Inkijk-voorzieningen; een handreiking voor het inbedden van Inkijk op VIS en ‘GBA’ in het ketenproces. Additioneel aan deze doelstelling heeft het ministerie van SZW BKWI verzocht ook de inbedding van het gebruik van VIS in de werkprocessen bij gemeenten te beproeven. Status per 31-12-2003 De concepthandreiking is medio juli 2003 opgeleverd. Deze handreiking zal in diverse pilots, waarbij CWI en gemeenten betrokken zijn, getest worden. De start van deze pilots is voor het gebruik van Inkijk op GBA uitgesteld. Zoals aangegeven bij het project ‘Professionaliseren Suwinet Inkijk’ was de Landelijke Raadpleegbare Directory, die momenteel in opdracht van het ministerie van Binnenlandse Zaken (BiZa) wordt ontwikkeld, niet tijdig beschikbaar. De VIS-pilots waren eind 2003 opgestart bij CWI en gemeenten. Mijlpalen Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Opleveren ten behoeve van gebruik in pilots van een concept handreiking voor gebruik in het ketenproces van VIS en ‘GBA’ via een Inkijk-voorziening. Opleveren definitieve handreiking voor gebruik in het ketenproces van VIS en ‘GBA’ via een Inkijk-voorziening.
01-07-2003
15-07-2003
Najaar 2003
Kan pas na pilots vastgesteld worden.
95
Uitvoeren van pilots bij gemeenten (separaat en ism CWI) om inbedding van gebruik VIS in werkprocessen te toetsen
Najaar 2003
Start afhankelijk van oplevering door agentschap BPR van LRD.
10.3.5 Realiseren Authenticatie voorziening voor de keten van Werk en Inkomen Achtergrond Binnen de publieke sector en ook binnen het domein van Werk en Inkomen bestaat bij de verschillende uitvoerende instellingen de behoefte om cliënten inzicht te verschaffen in de gegevens die over hen geregistreerd staan. Deze registraties zouden zonder tussenkomst van een medewerker van één van deze uitvoeringsinstellingen getoond moeten kunnen worden aan de cliënt zelf. Ook cliënten hebben behoefte aan een dergelijke efficiënte raadpleeg-functionaliteit, maar net als de uitvoeringsinstellingen willen zij wel garanties hebben dat alleen zijzelf hun eigen gegevens kunnen raadplegen (en in de toekomst kunnen muteren). Hoewel de authenticatievoorziening niet als separate doelstelling was verwoord in het ketenprogramma 2003-2004 hebben de ketenpartners, samen met een aantal andere organisaties, in een Manifest wel het belang van dit project benadrukt. Men heeft BKWI gevraagd hierbij initieel een aantal initiatieven voor te nemen. Er is hierover ook afstemming met SZW geweest. Doel Het doel van dit project is het realiseren van een ‘duurzame’, breed inzetbare authenticatievoorziening ten behoeve van de keten van Werk en Inkomen, waarmee vastgesteld kan worden dat een burger is wie hij zegt te zijn. Met behulp waarvan deze voorziening kan de burger toegang kan worden verleend tot overheidsdiensten. Status per 31-12-2003 De mijlpalen voor dit project in 2003 zijn behaald. De pilotversie is ook gereed. Resterend probleem is dat ook voor deze pilot de LRD gebruikt zou worden. Om pilot te kunnen starten zal nu een andere bron ontsloten moeten worden op basis waarvan burgers geauthentiseerd kunnen worden. Begin 2004 zal ook dit geregeld zijn, waarna gedurende 2004 de feitelijke pilot zal plaatsvinden en een eventuele in productie name. Mijlpalen Voor 2003 is een aantal mijlpalen onderscheiden. In de jaartranche 2004 zullen de mijlpalen voor 2004 geconcretiseerd worden.
Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Opleveren functioneel ontwerp authenticatievoorziening Opleveren technisch ontwerp voor een authenticatievoorziening Opleveren van gerealiseerde pilotversie van een authenticatievoorziening.
15-10-2003
15-10-2003
15-11-2003
15-11-2003
31-12-2004
31-12-20036
10.3.6 Creëren van be wustzijn bij gemeenten over omgang met cliëntinformatie Achtergrond
6
Pilotversie is opgeleverd maar nieuwe interface zal ontwikkeld moeten worden.
96
Gegevens over cliënten worden in het kader van de wet SUWI tussen de verschillende Suwipartijen uitgewisseld. Deze cliëntgegevens mogen uitsluitend gebruikt worden voor het uitvoeren van wettelijke taken in het kader van materiewetten en regelingen die onder de wet SUWI vallen. Op technisch niveau is er een aantal voorzieningen ingeregeld om deze doelbinding maximaal te ondersteunen. Op een aantal andere gebieden moeten er echter nog maatregelen genomen worden. Dit project vormt geen direct onderdeel uit van het ketenprogramma 2003-2004, maar is noodzakelijk om de ketendoelstellingen zoals geformuleerd in de wet SUWI te kunnen realiseren; het project vormt een noodzakelijk onderdeel van een aantal trajecten dat gericht is op het realiseren van randvoorwaarden voor gegevensuitwisseling en gegevensgebruik binnen de keten van Werk en Inkomen. Doel Het doel van dit project is het vergroten van het bewustzijn bij gemeenten dat het gebruik van cliëntgegevens aan regels is gebonden. Om wettelijk gebruik van cliëntinformatie in te bedden bij gemeenten moeten wettelijke kaders vertaald worden in gemeentelijk informatiebeleid, moet dit beleid in (primaire) werkprocessen worden verankerd en moeten ook maatregelen in de ondersteunde processen en middelen worden doorgevoerd. Dit project is initieel niet voorzien door het BKWI. Mede op initiatief van het ministerie van SZW en in nauwe samenwerking met het Inlichtingenbureau wordt aan dit project invulling gegeven. Status per 31-12-2003 Binnen de domeingroep Privacy en Beveiliging en de klankbordgroep gemeenten, als vertegenwoordigend lichaam van gemeenten, zijn voorbeelden van rapportages uitgezet over het gebruik van Suwinet Inkijk. Met deze rapportages is de discussie over het integrale informatiebeleid op het gebied van omgang met cliëntgegevens bij gemeenten opgestart. Deze rapportages zijn vervolgens aangepast en zullen in 2004 ingezet gaan worden. Ten behoeve van gemeenten is verder onder andere een handboek informatiebeleid, normenkader, richtlijnen omgang persoonsgegevens, een beveiligingsspel, richtlijnen voor stem en faxverkeer, handleiding wachtwoord, 10 gouden beveiligingsregels en een gedragscode voor email en internet opgeleverd. Al deze producten zullen begin 2004 gebundeld worden tot een totaalpakket en in samenwerking met het Inlichtingenbureau aan gemeenten ter beschikking gesteld worden. In nadere afstemming met het ministerie van SZW zal bepaald worden of er door BKWI dan wel Inlichtingenbureau nog additionele producten opgesteld dan wel acties uitgevoerd moeten worden. Mijlpalen Omschrijving van mijlpaal
Geplande opleverdatum
Werkelijke opleverdatum
Opstellen en verspreiden van concept rapportages verspreid onder DPB en klankbordgroep gemeenten Opleveren van integraal projectplan op basis van onafhankelijk onderzoek en reacties gemeenten Opleveren van concept handreiking voor het opstellen en implementeren van beveiligingsbeleid Opleveren van ondersteunende hulpmiddelen om beveiligingsbeleid te implementeren en te
01-09-2003
01-09-2003
01-11-2003
01-11-2003
31-12-2003
31-12-2003
31-12-2003
31-12-2003
97
monitoren
98
11.
Bijlage Domein en werkgroepen
In deze bijlage worden op hoofdlijnen de activiteiten van de domein en werkgroepen in 2003 besproken 11.1 Domeingroep Architectuur van de ketenprocessen en keteninformatisering De domeingroep Architectuur is in 2003 vrijwel alleen in het kader van het architectuurproject actief geweest. Dat geldt niet voor de werkgroep techniek. Deze werkgroep heeft naast de genoemde aanpassingen in de technische architectuur ook voorbereidingen getroffen voor afspraken over de BVG-infrastructuur. 11.2 Domeingroep Gegevens & Berichten en de Werkgroepen Gegevensbeheer en XML. Domeingroep Gegevens & Berichten (DGB) De domeingroep Gegevens en Berichten (DGB) is in 2003 drie maal bijeengekomen, en er is een schriftelijke afstemming georganiseerd. In 2003 is besloten dat de DGB niet langer volgens een vast vergaderschema bijeenkomt. Vergaderingen worden uitgeschreven als er om besluitvorming gevraagd wordt. Hiermee voorkomen we onnodig beslag op de agenda’s van de leden, en dragen zo bij aan de efficiëntie van de overlegstructuur. De belangrijkste onderwerpen in 2003 waren: § Jaarplan 2004 § De scope en structuur van SGR/SuwiML § Karakterset voor elektronische uitwisseling in het Suwi-domein (vastgesteld op 16 december 2003) § Vaststellen SGR 2.0 (16 december 2003) § Vaststellen SuwiML transactiestandaard V0200 (16 december 2003) § Keteninformatiearchitectuur (vooruitblik op de ontwikkelingen in 2004 en afspraken met het project) Werkgroep Gegevensbeheer (WGB) In 2003 is de werkgroep gegevensbeheer (WGB) twaalf keer bijeengekomen. De agenda bevatte de volgende onderwerpen: § Diverse wijzigingsverzoeken (o.a. B&O, GBA-online en VIS) § Inkijk GSD via IB § Vooraankondiging Aanvraag WW § Aanvraag uitkering Abw § Melding einde uitkering Abw met reden § Kennisgeving CWI – GSD en Kennisgeving CWI – UWV § SGR-tabellen: § actualisering van tabellen § uniformering van tabellen t.b.v. de beschikbaarstelling § Kolom 0 voor identificatie van communicatie-actoren § Vaststelling SGR 2.0 § Suwinet Mail domeinnamen § Metamodel berichtenregister § Impact gewijzigde NEN-normen Werkgroep XML (WGX) In het afgelopen jaar is de Werkgroep XML (WGX) vijf maal bijeengekomen, en er is een schriftelijke/telefonische ronde gehouden. Er is afgesproken dat het WGX in de toekomst alleen ‘event-driven’ overleg zal voeren. Dit betekent dat alleen als een agenda met actuele en noodzakelijke onderwerpen kan worden vastgesteld, een overleg zal worden georganiseerd. Hiermee wordt naar verwachting de effectiviteit en doelgerichtheid van het overleg verhoogd,
99
en wordt tegelijkertijd de tijdsdruk/frequentie verlaagd. De onderwerpen in 2003 waren onder meer: § de SuwiML transactiestandaard § de SuwiML header § de keuze voor een karakterset § de SuwiML berichtstandaard § SuwiML berichtontwikkeling. 11.3 Domeingroep Privacy & Beveiliging Deze domeingroep heeft in 2003 regelmatig vergaderd. Onder de domeingroep is tevens een werkgroep verantwoordingsrichtlijn actief geweest. Naast de genoemde resultaten hebben deze werkgroepen ook de volgende resultaten geboekt: § In het tweede kwartaal is een voorlopige werkwijze afgesproken ten behoeve van beveiligings-incidenten. Deze werkwijze is in gebruik genomen door de Suwidesk. § In het tweede kwartaal is een voorlopige procedure voor de rapportages over logging op Inkijk afgesproken en in gebruik genomen. § In het derde kwartaal zijn de voorbereidingen gestart voor een bewustwordingscampagne beveiliging Suwinet Inkijk voor gebruikers en beheerders. 11.4 Domeingroep ICT beheerprocessen Deze domeingroep heeft in 2003 gemiddeld eens per kwartaal vergaderd. De werkwijze en afstemming met de werkgroepen (IMO en WBO-ICT) is aangescherpt. De domeingroep richt zich op ICTprocessen en de werkgroepen zorgen dat de afgesproken normen worden gehaald. De domeingroep heeft onder meer de volgende resultaten behaald: § Door een Task Force in te richten is de inlogproblematiek rond Suwinet Inkijk opgelost. § De gevolgen van Suwi Mail voor beheer zijn in beeld gebracht
100
Bijlagen behorende bij EDP Audit Beveiliging Suwinet Bijlage A Bevindingen, risico’s en aanbevelingen In deze bijlage zijn de samenvattende bevindingen, risico’s en aanbevelingen per onderwerp van het normenkader opgenomen. Voor de detailbevindingen verwijzen wij naar het ingevulde normenkader in bijlage C dat volledig is afgestemd met alle geïnterviewden binnen BKWI. Voor de structurering van de bevindingen en aanbevelingen hebben wij een figuur uit normenkader 0.5 gebruikt en deze toegespitst op de, conform afspraak, gehanteerde normenkaders 0.4.
Bedrijfsprocessen Suwinet-partijen en BKWI Koppelvlak
Organisatorische as ecten Beheerprocessen Componenten Toepassingen
Organisatorische aspect. 1 Beveiligingsplan 2 Organisatie van de beveiliging 3 Gebruikersacceptatietest 4
Architectuur/ standaarden
Beheerprocessen
Toepassingen
Componenten
5 6 7 8
Wijzigingsbeheer Incidentbeheer Probleembeheer Capaciteitsbeheer
15 16 17
18 19 20 21
9 10 11 12 13 14
Configuratiebeheer Continuïteitsbeheer Netwerkbeheer Log. toegangsbev. Fysieke beveiliging Service level mngt.
101
Inkijk HTML Melding SuwiML Mail
22
Server Firewall Router Lokaal Netwerk Beveiligingspakket
Organisatorische aspecten
1.
Beveiligingsplan
Samenvattende bevinding Het BKWI heeft in het jaar 2003 het beleid van het CWI gevolgd. Bij eventuele afwijkingen is dit beleid aangevuld met BKWI eigen beleid, waarbij de afwijking in eigen procedures gedocumenteerd is. Het beveiligingsplan BKWI is in december 2003 vastgesteld door het MT. Uitgangspunt bij de ontwikkeling van het informatiebeveiligingsplan is de Bijlage XIV Beveiliging Suwinet geweest. Ook is bij de ontwikkeling de betrokkenheid van het bedrijfsbureau en netwerkbeheer gewaarborgd. Het beveiligingsplan is op onderdelen niet volledig. Zo ontbreekt onder andere: een risicoanalyse voor Suwinet integraal; de invulling op het gebied van uitwijk en continuïteit en een financiële paragraaf. Risico Zonder een adequaat geïmplementeerd informatiebeveiligingsbeleid, specifiek voor BKWI activiteiten, worden risico’s gelopen ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Aanbeveling Zorg op korte termijn voor de implementatie van het informatiebeveiligingsplan en zorg voor een additionele financiële paragraaf bij het plan. Leg daarnaast ten behoeve van de invulling van uitwijk en continuïteit in het SLA met ABP/CIS vast dat hieraan jaarlijks in een TPM aandacht wordt besteed. 2.
Organisatie van de beveiliging
Samenvatting bevinding Sinds april 2003 is een interne Security Officer aangesteld. Daarmee is een organisatieeenheid en aanspreekpunt ten aanzien van beveiligingsaspecten gerealiseerd. Daarnaast zijn diverse maatregelen gedefinieerd en deels ook getroffen, zoals Documentclassificatie en Geheimhoudingsverklaring, die bijdragen aan een hoog beschermingsniveau van Suwinet. Tot en met eind 2003 hebben het vastleggen en structureren van processen en procedures en het opstellen van een beveiligingsplan prioriteit gekregen. Vanaf 2004 zal meer aandacht aan de naleving en controle van de gedefinieerde beveiligingsmaatregelen worden gegeven. Risico Het risico is aanwezig dat gedefinieerde beveiligingsmaatregelen en de ingerichte beveiligingsorganisatie niet kritisch beoordeeld blijven worden op toereikendheid van het niveau van beveiliging in het licht van organisatorische en technologische ontwikkelingen. Aanbeveling Wij onderschrijven het voornemen van het BKWI om naast de opzet gedurende 2004 ook substantieel aandacht te schenken aan het bestaan en de werking van voorgenomen maatregelen. Het is daarbij van belang dat bestaande maatregelen kritisch beoordeeld blijven worden tegen organisatorische en technologische ontwikkelingen op beveiligingsgebied. Daarnaast moet nogmaals kritisch gekeken worden naar de onderdelen continuïteit en uitwijk en dient er een financiële onderbouwing onder het plan te komen.
102
3.
Gebruikersacceptatietest
Samenvattende bevinding In opzet en bestaan is een structuur vormgegeven waarmee wijzigingen eerst lokaal bij een aangesloten partij, vervolgens ketenbreed en tenslotte door de betrokken gebruikers worden getest, alvorens deze in productie worden genomen. Een en ander wordt gefaciliteerd door het BKWI. Het proces, de standaarden en formele acceptatie worden door het BKWI in een testdossier vastgelegd. De manier waarop testen en testresultaten worden gedocumenteerd is niet eenduidig. Risico Door het ontbreken van een eenduidige richtlijn ten aanzien van de vastlegging van de testopzet, testwerkzaamheden en testresultaten bestaat het risico dat geen adequaat audit trail van het testproces wordt vastgelegd waardoor review van de testwerkzaamheden op een later tijdstip niet naar behoren kan worden uitgevoerd. Aanbeveling Wij bevelen aan een richtlijn te ontwikkelen ten behoeve van een eenduidige vastlegging van het testproces. 4.
Architectuur en standaarden
Samenvattende bevinding Er is een Keten SLA opgesteld maar deze is niet door alle partijen ondertekend. Daarnaast wordt ook dit jaar het normenkader niet uniform toegepast en getoetst. Standaardisatie tussen de Ketenpartijen is nog niet volledig doorgevoerd. Hetgeen echter niet volledig binnen de invloedsfeer van het BKWI valt. Wel wordt door de betrokken partijen gewerkt met geaccepteerde technologie binnen een gesloten netwerk via vaste lijnen en een vast aanspreekpunt voor het beheer van het netwerk en eventuele incidenten. Risico Door het ontbreken van ketenbrede consensus over de in te richten architectuur en gebruik van standaarden bestaat het risico van gebruik van conflicterende technologie of een niet adequaat te beveiligen en beheren omgeving. Aanbeveling Bereik op zo kort mogelijke termijn overeenstemming over de te gebruiken architectuur. Leg daartoe de eisen aan de architectuur vast in een architectuurdocument, waar het Keten SLA op aan dient te sluiten. Beheerprocessen
5.
Wijzigingsbeheer
Samenvattende bevinding Ten aanzien van wijzigingen zijn twee organisaties betrokken binnen het BKWI. Het Centraal Meldpunt Ketenwijzigingen (CMK) en de Suwidesk. De Suwidesk voert wijzigingen door, handelt BKWI interne wijzigingen af en meldt eventuele ketenoverschrijdende wijzigingen aan het CMK. Het CMK bestaat uit vertegenwoordigers van alle partijen en heeft een faciliterende rol ten aanzien van de vastlegging, communicatie en analyse van wijzigingen. De uitvoering belegt zij vervolgens bij de Suwidesk of bij een project. De relatie tussen het CMK en
103
Suwidesk is niet formeel gedefinieerd en de verantwoordelijkheden ten opzichte van elkaar zijn niet helder benoemd. Risico Door de bestaande onduidelijkheid van verantwoordelijkheden binnen het proces van wijzigingsbeheer is het risico aanwezig dat een overzicht van de door te voeren wijzigingen ontbreekt en dat benodigde wijzigingen niet of gedeeltelijk worden doorgevoerd waarbij aspecten van integriteit en continuïteit in het geding zijn. Aanbeveling Benoem de taken en verantwoordelijkheden ten aanzien van het wijzigingsbeheer eenduidig. Geef daarbij aan wat tot de verantwoordelijkheid van het CMK behoort en wat de verantwoordelijkheden van de Suwidesk zijn. Geef aan wat onder gezamenlijke verantwoordelijkheid valt en beschrijf de manier waarop deze gezamenlijke verantwoordelijkheid in onderlinge wisselwerking kan worden gerealiseerd in een procesbeschrijving. 6.
Incidentbeheer
Samenvattende bevinding Incidentbeheer is belegd binnen BIS, namelijk bij de Suwidesk. De registratie en het 'volgen' van incidenten vindt plaats in de tool Assyst. Wekelijks wordt de status van lopende incidenten in het Suwidesk-overleg besproken. Maandelijks volgt ten aanzien van de incidenten een rapportage voor externen, te weten 'Suwinet Inkijk Services'. Maandelijks zijn er ongeveer 60 tot 80 incidenten. De rol van de Security Officer is niet expliciet benoemd binnen de incidentprocedure. Risico Naast het risico van het onterecht beschikken over gegevens is voor het BKWI ook een afbreukrisico aanwezig gezien het maatschappelijk belang van de organisatie wanneer de informatiebeveiliging niet toereikend is. Aanbeveling Overwegende de mate van vertrouwelijkheid van de gegevens en het voor BKWI geldende afbreukrisico voor de organisatie bevelen wij aan als onderdeel van de incidentbeoordeling de impact van het incident ten aanzien van informatiebeveiliging te toetsen. Daarbij kan de Security Officer een rol vervullen. 7.
Probleembeheer
Samenvattende bevinding Ten aanzien van probleembeheer is een procedure opgesteld. Deze is echter niet of slechts gedeeltelijk in de organisatie ingebed. Mede oorzaak hiervan is de heersende onduidelijkheid ten aanzien van de inrichting van het proces van wijzigingsbeheer. Risico Ontbreken van alignment tussen verschillende operationele processen brengt het risico met zich mee dat problemen gaan zwerven binnen de organisatie en niet belegd zijn waardoor het organiseren van een structurele oplossing niet wordt vormgegeven. Aanbeveling Implementeer de aanbevelingen zoals aangegeven bij wijzigingsbeheer, sluit het probleembeheer op deze procedure aan.
104
8.
Capaciteitsbeheer
Samenvattende bevinding Ketenpartijen zijn zelf verantwoordelijk voor het capaciteitsbeheer van de decentrale omgevingen. Voor de centrale omgeving is BKWI verantwoordelijk. Hierbij steunt het BKWI op de rapportages van ABP/CIS en wordt er in de Stuurgroep Capaciteit, waarin ook medewerkers van ABP/CIS zitting nemen, op basis van deze rapportage en op basis van toekomstverwachtingen de toereikendheid van de huidige capaciteit besproken. Risico Geen. Aanbeveling Geen. 9.
Configuratiebeheer
Samenvattende bevinding De CMDB met betrekking tot Suwinet is in beheer bij BKWI, Suwidesk. Periodieke controle op een juiste en volledige registratie vindt niet plaats. Het wijzigingsformulier bevat een verwijzing naar het betreffende Configuratie Item van de CMDB, maar de procedure Wijzigingsbeheer verwijst niet naar de procedure Configuratiebeheer op welke manier de CMDB wordt bijgewerkt naar aanleiding van een wijziging. Bij aanschaf van nieuwe apparatuur wordt niet met standaard criteria gewerkt waar nieuwe apparatuur aan moet voldoen, per aanschaf worden passende criteria geformuleerd. Ten aanzien van de SLA met ABP is er geen clausule opgenomen met betrekking tot geheimhouding en zijn de afspraken ten aanzien van Uitwijk onvolledig. Er worden binnen het BKWI drie CMDB's bijgehouden op verschillende organisatorische niveaus en met een verschillend detailniveau. De Suwidesk CMDB is leidend en deze wordt gevuld vanuit de overdracht van de wijzigingen. De andere configuratie databases zijn losstaand en gelden niet als CMDB. De taak van Configuratie Manager is beschreven. Risico Het risico is aanwezig dat door het niet altijd naleven van de configuratie management procedure de CMDB niet up to date is. Tevens bestaat het risico dat de losstaande databases uit de pas lopen ten opzichte van de Suwidesk CMDB. Aanbeveling Waarborg de uitvoering van de configuratie managementprocedure en bewaak dat de losstaande databases in de pas lopen met de Suwidesk CMDB. 10.
Continuïteitsbeheer
Samenvattende bevinding In de concept SLA met ABP zijn continuïteitsafspraken ten aanzien van het centrale Suwinet deel geformuleerd. Afspraken met betrekking tot uitwijk Suwinet zijn echter onvolledig. Er is tot op heden geen risicoanalyse uitgevoerd voor het integrale Suwinet, deze staat echter voor 2004 gepland. Het beheer van de server in huis (de server waarop onder andere Powerdisigner, de ontwikkelomgeving en Assyst draait) valt onder verantwoording van de Suwidesk. De kantoor automatisering valt onder de SLA van Cap Gemini Ernst & Young.
105
Risico Door het ontbreken van eenduidige afspraken met betrekking tot uitwijk loopt de organisatie risico's ten aanzien van de continuïteit van de dienstverlening. Aanbeveling Maak in de SLA met ABP/CIS de afspraken ten aanzien van de uitwijk van Suwinet naar Maastricht definitief en leg vast dat hieraan in de jaarlijks TPM voldoende aandacht wordt besteed. 11.
Netwerkbeheer
Samenvattende bevinding Het BKWI ontleent zijn bestaansrecht aan het beschikbaar stellen en beveiligen van het netwerk. Een risicoanalyse voor het Suwinet integraal heeft nog niet plaatsgevonden. Deze staat echter voor het jaar 2004 gepland. Hierbij wordt verder opgemerkt dat ten tijde van het ontwerp van Suwinet rekening is gehouden met bepaalde risico’s en knelpunten alleen zijn afspraken hieromtrent destijds niet formeel vastgelegd. Risico Onbekende risico's doen zich voor zodra aanpassingen, uitbreidingen op het Suwinet plaatsvinden. Aanbeveling Voer op korte termijn een integrale risicoanalyse uit zodat eventuele passende maatregelen tijdig genomen kunnen worden en zodat het netwerk beschikbaar en beveiligd blijft. Leg op basis van deze risicoanalyse criteria aan op basis waarvan de security officer delen van het Suwinet kan laten afsluiten. 12.
Logische toegangsbeveiliging
Samenvattende bevinding Aan elke Suwi-partij worden door BKWI een à twee hoofdbeheerders toegangsrechten toegekend die verantwoordelijk zijn voor de verdere uitgifte van toegangsrechten tot Suwinet aan de eigen gebruikers op individueel niveau. Als minimale eis is opgenomen dat het aantal inlogpogingen is beperkt tot 3. Dit getal 3 is gebaseerd op bijlage XIV bij de Regeling Suwi. Het project C5 heeft verzocht het aantal inlogpogingen te verhogen tot 5. In de DPB d.d. 4 juni 2003 is geadviseerd dit aantal, gedurende een periode van een half jaar, te verhogen tot 5 pogingen. In de DPB d.d. 12 februari 2004 is deze periode met nogmaals een jaar verlengd. Select Access, een programma van Baltimore, draait centraal op het Suwinet en decentraal bij de Suwipartijen voor de logische toegangsbeveiliging. Het beheer op het Suwinet is onderdeel van de afspraken met ABP/CIS. Het beheer van de gedeelten die bij de Ketenpartijen draaien is belegd bij BKWI. Het Suwinet is een netwerk waarop nu één applicatie draait, Suwinet-Inkijk. Er kunnen alleen gegevens opgevraagd worden. Mogelijkheden om gegevens te wijzigingen of andere toepassingen van bewerking zijn op deze omgeving niet aanwezig. Ten tijde van de audit loopt er een project inzake logging. Dit project is bezig met de afstemming tussen de Ketenpartijen om logging en de rapportage hierover in te regelen. Medewerkers van Suwidesk hebben ruime toegang tot de ontwikkel-, test-, en productieomgeving. De werkzaamheden van de Suwideskmedewerkers worden gelogd door de Consul applicatie validator.
106
Risico Door het beschikbaar stellen van functies en gegevens aan medewerkers die uit het oogpunt van hun functie deze toegangsrechten niet nodig hebben wordt onnodig risico gelopen ten aanzien van de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens. Aanbeveling Wij bevelen aan de rechten van beheerders te beperken tot die functies binnen het systeem die beheerders uit oogpunt van hun functie nodig hebben. De toegang tot de verschillende omgevingen kan daarbij wellicht worden verdeeld over meerdere personen, zodat één persoon niet toegang heeft tot alle omgevingen. Tevens bevelen wij aan het aantal inlogpogingen weer tot drie te beperken. 13.
Fysieke beveiliging
Samenvattende bevinding De fysieke beveiliging van het BKWI-pand wordt in de CWI-audit fysieke beveiliging meegenomen. De gang waarop het BKWI zich bevindt heeft een aparte ingang met een afgesloten deur. De afgesloten serverruimte waar het BKWI-netwerk draait is een daarvoor ingerichte ruimte, zonder ramen met airco en een zwevende vloer. De beheerder en hoofd bedrijfsbureau hebben een sleutel van deze ruimte. Back-ups worden opgeslagen in een brandkast die niet in deze omgeving staat. Aan de fysieke beveiliging van de omgevingen bij ABP/CIS is ruim aandacht geschonken. Zo heeft ABP/CIS een security policy opgesteld waar de beveiliging aan moet voldoen. De fysieke beveiligingsmaatregelen betreffen onder andere toegang, screening personeel, verzekeringen en controle op de uitvoering van het beleid. De security policy 'Informatiebeveiligingsbeleid ABP/Loyalis versie 2.0 d.d. 1 mei 2003' is gestaafd op overkoepelende uitgangspunten. Specifiek voor BKWI getroffen maatregelen zijn hierin niet opgenomen. Risico De overkoepelende security policy van ABP/CIS sluit niet optimaal aan bij de doelstellingen, criteria van het BKWI. Aanbeveling Wij adviseren om bij ABP/CIS aan te dringen op een specifiek op de behoefte van BKWI toegesneden policy. 14.
Service Level Management
Samenvattende bevinding Voor het waarborgen van de continuïteit en functionaliteit van de centrale omgeving Suwinet Inkijk en de werkzaamheden ten behoeve van de initiële inrichting voor begin en ontvlechting na beëindiging van de overeenkomst is tussen BKWI en ABP een SLA overeengekomen waar gedetailleerde afspraken en verantwoordelijkheden tussen beide partijen zijn vastgelegd.. Belangrijkste aandachtsgebieden betreffen de uitwijkprocedure, de beschrijving van de hardware en software op de uitwijklocatie en de vaststelling of het securitybeleid auditproof is. Het beheer van de kantoorautomatisering is onderdeel van de SLA tussen het CWI en Cap Gemini Ernst & Young. Op het moment van de audit zijn acties opgestart om de kantoorautomatisering (KA) onder eigen beheer te brengen. Risico Geen
107
Aanbeveling 1 Neem als onderdeel van de SLA een paragraaf op waarin wordt overeengekomen om periodiek, bijvoorbeeld jaarlijks, een TPM op te stellen met betrekking tot het beheer van de omgeving zoals operationeel bij ABP. Aanbeveling 2 Neem kennis van de door ABP op basis van de security policy opgestelde procedures en protocollen en stel vast dat deze voldoen aan de door het BKWI gestelde eisen van beheer. Toepassingen
15.
Inkijk HTML
Samenvattende bevinding Een risicoanalyse voor Suwinet Inkijk wordt in 2004 uitgevoerd. Tijdens gesprek met Jan Hoogenbosch is vastgesteld deze norm niet geheel duidelijk is. Risico Door het ontbreken van een integrale risicoanalyse bestaat het risico dat de getroffen maatregelen niet voldoende aansluiten bij de actuele situatie en toekomstige veranderingen. Aanbeveling Voer op een zo kort mogelijke termijn een risicoanalyse uit zodat het beheerskader hierop aansluiting kan vinden.
16.
Melding SuwiML
Samenvattende bevinding Niet van toepassing. Melding is nog niet in productie. In de voorbereiding is geen analyse uitgevoerd van de beveiligingsrisico's. Risico
Niet van toepassing. Aanbeveling Niet van toepassing.
17.
Mail
Samenvattende bevinding Suwinet Mail is ten tijde van de audit voor twee gemeenten en het CWI in productie gegaan. Er is een risicoanalyse Suwinet Mail versie 20 oktober 2003 beschikbaar. Hierin is de algemene conclusie opgenomen: “Suwinet Mail in zijn huidige opzet voldoet niet aan de wettelijke eisen van betrouwbaarheid, in termen van integriteit en vertrouwelijkheid”. Ook de beschikbaarheid van Suwinet Mail kan in de huidige opzet niet gegarandeerd worden. De insteek van deze risico-analyse was echter zeer breed. Vastgesteld is in een aanvullende risicoanalyse dat het realiseren van Suwinet Mail een verbetering is ten opzichte van de huidige situatie voor diverse kwaliteitsaspecten. Risico Geen. Aanbeveling Geen. 108
Componenten
18.
Server
Samenvattende bevinding In de SLA met ABP zijn afspraken geformuleerd ten aanzien van de beschikbaarheid van de servers. Tevens zijn de noodzakelijke maatregelen genomen om deze beschikbaarheid te waarborgen. Risico Geen. Aanbeveling Geen. 19.
Firewall
Samenvattende bevinding De toegang tot Suwinet bij de aangesloten partijen is beveiligd met een firewall. Deze firewall is in beheer van de betreffende partij. Risico Geen. Aanbeveling Geen.
20.
Router
Samenvattende bevinding De routers zijn eigendom van BKWI, worden beheerd door ABP en de connectie tussen de routers en de centrale omgeving wordt door KPN verzorgd. Risico Geen. Aanbeveling Geen. 21.
Lokaal netwerk
Samenvattende bevinding Het beschikbaar maken en houden van het lokale netwerk en de bescherming tegen ongeautoriseerde toegang tot Suwinet is de core business van BKWI. Er wordt gebruikgemaakt van specifiek toegewezen IP-ranges en er wordt enkel gebruikgemaakt van vaste lijnen. Risico Geen. Aanbeveling Geen.
109
22.
Beveiligingspakket
Samenvatting bevindingen Het huidige geïnstalleerde beveiligingspakket voldoet aan de gestelde normen maar kunnen worden aangescherpt. In april 2004 wordt een nieuwe versie van het beveiligingspakket uitgerold. Aanbeveling Wij bevelen aan de verleende toegang periodiek te controleren op juistheid, waarbij de norm wordt gehanteerd dat gebruikers alleen over de functies kunnen beschikken die ze uit oogpunt van hun rol in de organisatie nodig hebben om hun taak naar behoren uit te kunnen voeren.
110
Bijlage B Bestudeerde documentatie en gehouden interviews
Ontvangen en bestudeerde documentatie Nr
Omschrijving
Datum
1
Bevindingen audit BKWI 2002 def
2
Agenda Domeingroep Privacy en Beveiliging
20-11-2003
3
AKO 43 verantwoordingsrichtlijn beveiliging
26-11-2003
4 5
Bijlage 6, Definitie PB incident Bijlage 9, Verantwoordingsrichtlijn, Conceptversie 03
3-1-2003
6
Bijlage XIV Beveiliging Suwinet 11.0
Concept
7
bkwi44 oordeel 2003 v.1.0
8
CMK-versie-en_releasekalender_2004-Q1-def.zip
9
Conceptnotulen DPB
10
Configuratiebeheer v 2.0
11
Document Classificatie versie 1.3 Doelbinding gebruik Suwinet door de ketenpartijen UWV en GSD bij gebruik Suwinet vs2.doc
12
20-3-2003
3-12-2003 21-8-2003 5-5-2003 17-9-2003 Concept
13
Gebruik van Suwinet Mail
14
Geheimhoudingsverklaring BKWI.doc
15
Handreiking Suwinet mail v1.0
3-9-2003
16
Incidentbeheer con 1.2 .doc
9-4-2003
17
Incidentrapportage 2002
10-6-2003
18
Incidentrapportage 2003
10-6-2003
19 20
Maandrapportage Suwinet Inkijk Services oktober Oordeel audit BKWI 2002 (wodata/bkwi24)
21
OverdrachtsdocBKWIBISa5
22
Overzicht bedrijfsmiddelen Suwinet (wordt online bekeken)
23
Privacy en beveiligingsrapportage Suwidesk Week 36-40.pdf
24
Probleembeheer con 1.1
25
Procedure aanpassen testdata v0.2
30-9-2002
26
Procedure aanvraag logging gegevens
24-6-2003
27 28
Procedure gebruik Ketenbrede Testomgeving Quick Scan beveiliging BKWI A'dam v1.0
27-5-2002 10-6-2002
29
Regeling SUWI
30
Risicoanalyse Suwinet Mail 2003, C. Hilhorst
1-12-2003
31 32
Risicoanalyse Suwinet Mail 2003, DPB Samenvattende rapportage Audits, Versie 1.0
13-11-2003 2-6-2003
33
SLA Exploitatie Suwinet Inkijk v1.0
34
SLR Suwi Koppelpunt 2003-oktober
35
SLR Suwinet Inkijk 2003-oktober
36
Spoedeisendetest processchema
Concept
20-10-2003 Geen 1-3-2003
9-4-2003
3-1-2002
31-3-2003 20-11-2003
111
37 38
Studie Suwinet Inkijk Quality Assurance (Jan Hoogenbosch) Verantwoordingsrichtlijn Suwinet Kruisjeslijst 18.2 bij bijl.XIV
39
Verantwoordingsrichtlijn Suwinet Normenkaders 0.5
40
Verantwoordingsrichtlijn Suwinet Normenkaders 0.6 Memo
12-9-2003
41
Verantwoordingsrichtlijn Suwinet Normenkaders Versie 0.4
15-7-2003
42
Verantwoordingsrichtlijn Suwinet Versie 0.4
17-1-2003
43
Verantwoordingsrichtlijn Suwinet Versie 0.5
1-9-2003
44 45
Voorstel Rollen in Suwinet-Inkijk 1.8 Wet SUWI d.d. 5 juli 2001 - Kst54640
46
Wijzigingsbeheer con 1.2 (in bewerking)
47
Concept voorstel afspraken Suwinet audit 2003 (minimale eisen)
48
Oordeel beveiliging Suwinet 2003 (def. minimale eisen document)
3-12-2003
49
Jaarverslag 2003 BKWI Versie 1.0
10-3-2004
Concept
10-12-2003 5-7-2001
Geïnterviewde medewerkers BKWI Naam Alexander Hielkema Daan Wijnmaaler Eduard Renger Elke Buis Evert Jan Rietbergen Jan Breeman Jan Hoogenbosch Julia Essers Paul Balk
Nog te ontvangen 9-7-2003
Functie Medewerker Suwidesk Hoofd CMK Projectleider Suwi Mail Medewerker Suwidesk Hoofd BIS Security Officer Ontwikkelmedewerker Hoofd Bedrijfsbureau Beheerder Testomgeving
112
15-4-2003
Bijlage C Ingevuld normenkader Zie bijgevoegd overzicht met alle detail bevindingen per norm zoals reeds afgestemd met alle geïnterviewden.
113
Bijlage D Aanbevelingen bij het gebruikte normenkader versie 0.4 Het gehanteerde normenkader was ten tijde van deze audit nog in ontwikkeling. Zoals afgesproken hebben wij tijdens deze audit de punten genoteerd ter aanbeveling voor een nieuwe versie van het normenkader. In het ingevulde normenkader van bijlage C hebben wij deze punten ook reeds aangegeven. Deze punten betreffen: Algemeen Het normenkader is ons inziens erg uitgebreid. Er zitten verschillende dubbelingen in en sommige normen zijn niet concreet genoeg waardoor het moeilijk is tot een oordeel te komen. In Bijlage C is aangegeven om welke normen het specifiek gaat. Nog onvoldoende duidelijk komt naar voren welke onderwerpen (bijvoorbeeld beveiligingsplan, wijzigingsbeheer et cetera) van het normenkader voor welke objecten (bijvoorbeeld vlak C, D et cetera.) beoordeeld dienen te worden. Ook hier vindt nu ons inziens nog dubbel werk plaats en blijkt daarnaast dat bepaalde onderwerpen bij geen van de objecten daadwerkelijk aan bod komen. De te hanteren betrouwbaarheidsindicatie (essentieel, belangrijk en wenselijk) en termen als non-conformiteit en deficiëntie ten behoeve van een transparante oordeelsvorming moeten in overeenstemming worden gebracht met de zogenaamde minimale eisenlijst die ondertussen is opgesteld in overleg tussen de betrokken partijen. Een gemis is het feit dat in het voorgeschreven format niet expliciet de opvolging van de bevindingen van het voorgaande jaar aan de orde komt. Terwijl juist hieruit kan worden afgelezen welke inspanningen de organisatie heeft geleverd. Incidentbeheer Het verdient aanbeveling om niet alleen bij het proces van Wijzigingsbeheer, maar ook bij het proces van Incidentbeheer de security-officer te betrekken in het geval de informatiebeveiliging in het geding is. Netwerkbeheer Aan de getroffen maatregelen van beveiliging ten aanzien van netwerkbeheer ligt geen risicoanalyse ten grondslag. Het verdient aanbeveling een risicoanalyse uit te voeren ten aanzien van de beveiliging en beschikbaarheid van Suwinet en de uitvoering hiervan ook als norm op te nemen.
Inkijk via HTML-pagina Het verdient aanbeveling de normen ten aanzien van dit onderdeel te heroverwegen of te concretiseren. Tijdens de uitvoering van de audit bleek dat met name norm één en norm vijf specificering behoeven. Melding via Suwi-ML pagina Het verdient aanbeveling de normen ten aanzien van dit onderdeel te heroverwegen of te concretiseren. Tijdens de uitvoering van de audit bleek dat met name norm één specificering behoeft.
114
