Brief regering : ICT-systeem SONAR bij UWV

26 448 Structuur van de uitvoering werk en inkomen (SUWI)

Nr. 714 BRIEF VAN DE MINISTER VAN SOCIALE ZAKEN EN WERKGELEGENHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 oktober 2020

In de Stand van de Uitvoering van juni 2019 heb ik uw Kamer geïnformeerd over het
systeem «SONAR» (Bijlage bij Kamerstuk 26 448, nr. 625). Dit systeem wordt door UWV gebruikt voor arbeidsbemiddeling en is essentieel om
mensen van werk naar werk te kunnen begeleiden. Zoals al aan uw Kamer is gemeld, heeft
UWV geconstateerd dat het systeem tekortkomingen kent op het gebied van informatiebeveiliging
en privacy (IB&P). Daarnaast is het systeem verouderd en kent het op functioneel gebied
beperkingen. Daarom heeft UWV in een eerder stadium al maatregelen ter verbetering
getroffen en zet UWV op de lange termijn in op vervanging van het systeem. Om een
volledig inzicht te krijgen in de tekortkomingen is een externe privacy audit uitgevoerd.
Bijgaand stuur ik u het eindrapport toe1. Samen met UWV vind ik het van groot belang om de aanbevelingen uit de externe audit
zo goed mogelijk te implementeren. Daarom heeft UWV het project SONAR IB&P opgezet,
waarbij in drie fases maatregelen worden genomen om het systeem te verbeteren en met
prioriteit te vervangen. In deze brief informeer ik u over deze maatregelen. De werkzaamheden
aan SONAR ter verbetering van de IB&P hebben geen gevolgen voor de dienstverlening
aan klanten. Met name in de huidige crisistijd is het van belang dat klanten op een
voortvarende en effectieve manier van werk naar werk worden geholpen.

Systeem SONAR

De kernactiviteiten van het UWV-WERKbedrijf bestaan uit arbeidsbemiddeling en re-integratie.
SONAR is een klantregistratiesysteem dat gebruikt wordt door in totaal ruim 16.000
personen, namelijk de adviseurs van UWV en door een deel van de adviseurs van de gemeenten
en SW-bedrijven voor de matching van klanten en potentiële werkgevers. Het systeem bevat gegevens
als NAW, BSN, nationaliteit, opleidingsniveau, CV en belastbaarheid. Als centraal
systeem is SONAR gekoppeld aan verschillende andere systemen die ondersteunen bij
de arbeidsbemiddeling, zoals werk.nl, waar werkzoekenden en werkgevers elkaar kunnen
vinden.

SONAR is geïmplementeerd in 2005 en is niet ontwikkeld en ingericht met toepassing
van het principe privacy by design. De architectuur van het systeem is erop gericht om tussen de gebruikers gegevens
op een efficiënte manier te delen om arbeidsbemiddeling op een landelijke schaal te
bewerkstelligen. De afgelopen jaren is de aandacht voor informatiebeveiliging en privacy
gegroeid. Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er
steeds meer aandacht voor de risico’s voor de privacy die hierbij kunnen ontstaan.
In de loop der tijd zijn er daarom stappen ondernomen om verbeteringen in de beveiliging
aan te brengen. Een voorbeeld is het project Autorisatie Segmentering Gemeenten, waarbij
de autorisaties van gemeentelijke gebruikers zijn beperkt. Nog niet alle risico’s
zijn hiermee weggenomen. De komst van de Algemene verordening gegevensbescherming
(AVG) heeft de aandacht voor de risico’s versterkt, en incidenten omtrent datalekken
maakten duidelijk dat informatiebeveiliging beter geborgd moet worden. Een maatregel
die hierop volgde, was dat de mogelijkheid om gegevens uit het systeem te exporteren
is ingeperkt.

Maatregelen

UWV heeft aangegeven de bevindingen die in het rapport en de daarbij behorende vertrouwelijke
deelrapporten2 opgesomd staan uitermate serieus te nemen en met prioriteit aanvullende maatregelen
te nemen om de risico’s verder te mitigeren. Daarom is naar aanleiding van het rapport
het project SONAR IB&P opgezet. Het project ziet op drie verschillende onderwerpen,
namelijk mens, proces en techniek.

Maatregelen op korte termijn (tot en met maart 2021)

Op de korte termijn wordt een aantal reeds geplande verbeteringen versneld opgestart.
Zo wordt een meer geautomatiseerd systeem van logging en monitoring op mutaties en
raadplegingen versneld ingevoerd. Hierdoor worden de risico’s op onrechtmatig gebruik
van gegevens verminderd, omdat door dit inzicht medewerkers kunnen worden aangesproken
als zij gegevens inzien die zij niet nodig hebben. Ook wordt de mogelijkheid om het
systeem op te schonen verbeterd. Dat wil zeggen dat gegevens van burgers die niet
meer in het gegevensbestand thuishoren, bijvoorbeeld omdat wettelijke bewaartermijnen
zijn verstreken, daadwerkelijk verwijderd worden. Verder worden de wachtwoorden gereset.
Daarnaast wordt versneld ingezet op het internaliseren van het belang van privacy
bij medewerkers. Informatiebeveiliging en privacy worden bijvoorbeeld onderdeel van
monitoringgesprekken met managers en in HRM-gesprekken met medewerkers. Ook zal er
een netwerk van adviseurs met kennis van informatiebeveiliging en privacy worden opgezet
ter ondersteuning van het lokale management.

Maatregelen op middellange termijn (tot eind 2022)

Op de middellange termijn worden nieuwe technische maatregelen geïntroduceerd. De
belangrijkste maatregel die UWV zal doorvoeren betreft het aanscherpen en beter documenteren
van autorisaties in SONAR. Door een fijnmaziger autorisatiemodel te implementeren
kan een meer proportionele toegang tot gegevens bewerkstelligd worden, waarbij niet
iedere medewerker alle gegevens kan inzien zonder dat dit noodzakelijk is voor de
uitvoering van diens taak. UWV werkt daarnaast aan de technische mogelijkheid om medewerkers
alleen toegang te geven tot klantgegevens in de eigen regio. Belangrijk criterium
hierbij is en blijft dat werkzoekenden van buiten de regio gevonden kunnen worden
als er een voor hen geschikte vacature bekend wordt. Voor landelijke arbeidsbemiddeling
blijft een brede, regio-overstijgende toegang noodzakelijk. Voorgaande betekent een
inperking van toegangsrechten voor gebruikers die niet belast zijn met landelijke
arbeidsbemiddeling en voor zover dit niet noodzakelijk is voor de uitvoering van wettelijke
taken. Een derde voorbeeld is de implementatie van risicomanagementtooling om beter
grip te krijgen op de risico’s. De acties op de middellange termijn worden nog nader
uitgewerkt door UWV.

Maatregelen op lange termijn

Zoals eerder genoemd wordt SONAR op de lange termijn vervangen omdat niet alle aanbevelingen
die in het kader van de externe audit zijn gedaan, kunnen worden overgenomen in het
huidige systeem. Dat komt omdat de technische mogelijkheden om het systeem aan te
passen beperkt zijn. Deze vervanging kan realistisch gezien niet voor 2025 gerealiseerd
worden, omdat anders de continuïteit van de dienstverlening van UWV in gevaar kan
komen. De vervanging zal gefaseerd verlopen, waardoor risico’s die technisch gezien
in SONAR niet kunnen worden verholpen al eerder gemitigeerd zullen worden.

Afsluitend

De verbetering van SONAR blijft de komende tijd een belangrijk aandachtspunt. Hoewel
met de maatregelen een aantal grote risico’s geadresseerd en aangepakt wordt, zullen
er restrisico’s overblijven. Ik zal uw Kamer bij de Stand van de Uitvoering van december
2020 verder informeren over de uitwerking van de maatregelen op middellange termijn
en de resterende risico’s.

De Minister van Sociale Zaken en Werkgelegenheid,
W. Koolmees