SVB ICT-ontwikkelingen nader belicht

Dit meldt het kabinet in zijn periodieke Stand van uitvoering sociale zekerheid. Maatschappelijke weerbaarheid, continuïteit van IT-dienstverlening en de vernieuwing van IT-systemen vormen in toenemende mate een urgente opgave. Dit gaat gepaard met risico’s, waarvoor een duurzame oplossing moet worden gevonden. Een belangrijke oplossingsrichting, waar vol op wordt ingezet, is om systemen minder afhankelijk te maken van specifieke technologieën of leveranciers. De SVB is gestart met de marktconsultatie van een Europese aanbesteding voor haar infrastructuur. Als onderdeel van het sourcingsbeleid en het leveranciersmanagement monitort de SVB de continuïteit van de dienstverlening van partijen die diensten leveren aan de SVB. Het borgen van de dienstverlening van de SVB aan mensen staat hierin voorop.

Aanbesteding IT-dienstverlening 

Met de aanbesteding van IT-dienstverlening zorgt de SVB ervoor dat de afhankelijkheid van één IT-leverancier wordt verminderd en dat de SVB en in bepaalde omstandigheden snel en eenvoudig kan draaien op verschillende infrastructuren of cloud-omgevingen. Hiermee wordt het landschap gemoderniseerd en beter ingericht om cyberaanvallen te kunnen afweren. De SVB zet daarnaast bij een nieuwe aanbesteding in op vereenvoudiging van haar systemen, bijvoorbeeld door het aantal platforms drastisch te verminderen. Deze aanpassingen zijn nodig om de continuïteit en wendbaarheid van de dienstverlening op peil te houden.

Modernisering AA-systeem 

Via het programma Modernisering AA werkt de SVB aan het toekomstbestendig maken van het AA-systeem. Het AA-systeem is het kernsysteem voor de uitvoering van de belangrijkste regelingen van de SVB op het sociaal domein, zoals de AOW en de kinderbijslag. Dit programma is nodig om de onderhoudbaarheid en continuïteit van het AA-systeem voor de komende 10 jaar te waarborgen en daarmee bij te dragen aan vernieuwing en wendbaarheid van de dienstverlening. Verwacht wordt dat het programma zal doorlopen tot eind 2027 (voorheen 2026). De vertraging wordt onder andere veroorzaakt doordat het systeem complexer blijkt dan vooraf ingeschat. Ook is gekozen om de programmaactiviteiten over een iets langere termijn te spreiden om daarmee de impact op de reguliere dienstverlening te verkleinen. De SVB bekijkt ook alternatieven binnen en buiten het programma om de doorontwikkeling van het systeem voort te kunnen zetten. 

De voortgang van de IT-vernieuwing en in het bijzonder modernisering AA blijft een punt van aandacht. In de Kamerbrief van 27 februari 202416 is de Tweede Kamer geïnformeerd over het onderzoek van het Adviescollege ICT-toetsing (AcICT) naar het programma modernisering AA. Naar aanleiding van dit advies heeft de SVB besloten om de scope van het programma te beperken en de slagvaardigheid te vergroten. Procesverbetering en projecten om de dienstverlening toekomstbestendig te maken worden buiten het programma Modernisering AA georganiseerd. 

IT-voortbrengingsprocessen 

Naast de modernisering van het AA-systeem werkt de SVB ook vanuit andere IV-initiatieven aan de verbetering en borging van de continuïteit en wendbaarheid en veiligheid van IT. Bijvoorbeeld door de verdere verbetering van dienstverlening aan mensen en een betere ondersteuning van medewerkers in de dienstverlening door IT. Tegelijkertijd werkt de SVB aan het verbeteren van haar voortbrengingsprocessen en tooling hierbij.

Deze modernisering gebeurt aan de hand van een roadmap. Voorbeelden zijn de vervanging van het Identity & access managementsysteem, of het IT-service managementsysteem. Tevens wordt er een sourcingstraject voorbereid om te komen tot een nieuwe ICT-infrastructuuromgeving van de dienstverlening van de SVB.

Digitale veiligheid Digitale veiligheid en cybersecurity vragen om blijvende aandacht. De SVB heeft als doel om voor de meest kritieke processen het volwassenheidsniveau van minimaal 3 (uit 5) te behalen conform het Capability Maturity Model. Hiervoor is een meerjarenroadmap opgesteld en is er ter ondersteuning van de lijn het programma Digitale Veiligheid de SVB opgestart. De SVB werkt momenteel ook aan de aanpassingen van het beleidskader, ter voorbereiding op de NIS 2-richtlijnen.

Artificiële Intelligentie (AI)

De SVB heeft het ethisch verantwoord gebruik van data hoog in het vaandel staan. Ook als het gaat om het gebruik van data bij AI-toepassingen. De SVB hanteert daarbij op dit moment een terughoudend beleid en staat het gebruik van generatieve AI (zoals ChatGPT) nog niet toe. Tegelijkertijd wil de SVB de kansen kunnen benutten die deze nieuwe technologie met zich meebrengt. Door middel van experimenten in aparte testomgevingen wordt bekeken welke toepassingsgebieden kansrijk zijn en wordt onderzoek gedaan naar de toepasbaarheid van bestaande toetsingskaders, processen en governance om deze technologie goed in te zetten. Dit moet leiden tot eerste implementatie van toepassingen in 2025. Uit de experimenten blijkt dat er ook veel aandacht moet worden besteed aan de kennis en kunde van de medewerkers. Opgedane kennis wordt Rijksbreed gedeeld en er wordt bij een aantal experimenten actief samengewerkt met onder andere het UWV. De leerpunten uit de experimenten en de implementatie van de Europese AI-verordening worden door de SVB gebruikt het algoritmebeleid te actualiseren, om op verantwoorde wijze deze technologie binnen de SVB in te kunnen zetten.

Ontwikkeling ICT-kosten

De toenemende vraag naar digitale dienstverlening, de toegenomen veiligheidseisen als gevolg van geopolitieke ontwikkelen, maar ook strengere (kwaliteits-)eisen, zorgen voor een structurele stijging van de (onderhouds)kosten van ICT van publieke dienstverleners. Uitblijven van investeringen kan ertoe leiden dat de continuïteit van de systemen en daarmee de dienstverlening aan de mensen op de langere termijn onder druk zal komen te staan. Het ministerie van SZW en de SVB onderzoeken hoe de ontwikkeling van run- en changekosten verlopen. Voor 2025 en 2026 hebben wij de SVB additionele middelen toegekend voor extra IT-kosten.

Datalekken SVB

In de periode 1 januari tot en met 31 oktober 2024 hebben zich bij de SVB 855 datalekken met een beperkte impact voorgedaan en zijn er 11 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Er hebben zich geen datalekken voorgedaan met grote impact.

Datalekken UWV

In de periode van 1 januari tot en met 31 oktober heeft UWV 769 datalekken bij de AP gemeld. In vrijwel alle gevallen betrof het datalekken met persoonsgegevens van één persoon waarbij de mogelijke risico’s beperkt zijn. In deze periode hebben zich vier datalekken voorgedaan met grote impact, waarvan drie datalekken eerder in de Stand van de uitvoering van juni 2024 zijn gemeld. Dit betreft de datalekken bij de hack op het videoplatform, de CV’s op Werk.nl en het incident met de postbestelbus. Dubbele aangiftes na faillissementen in de Loonaangifteketen In april 2024 is een incident met dubbele aangiftes in de Loonaangifteketen aan het licht gekomen. UWV heeft hiervan eerst een voorlopige melding bij de AP gedaan en in juli 2024 een definitieve melding. Sinds april 2023 zijn door het out of support raken van een applicatie bij de Belastingdienst sommige aangiftes van inhoudingsplichtigen na een faillissement verkeerd (dubbel) verwerkt. Hierdoor kon mogelijk een fictief hoger inkomen ontstaan in de Polisadministratie, met mogelijke gevolgen voor bijvoorbeeld toeslagen en uitkeringen. De gevolgen voor uitkeringsgerechtigden bij UWV waren beperkt. De getroffen mensen zijn persoonlijk geïnformeerd en de Belastingdienst brengt de gevolgen met hen in kaart. Op basis van deze uitkomsten informeert UWV de afnemers van polisgegevens. Een nieuwe applicatie van de Belastingdienst is sinds 1 oktober live, die de dubbelingen in de aangiftes herstelt.

Totaalrapportage beveiliging Suwinet

Voor het uitwisselen van gegevens maken UWV, de SVB en gemeenten gebruik van Suwinet. Verder nemen DUO, CAK, IND, Dienst Justis en de Nederlandse Arbeidsinspectie via Suwinet gegevens af. De Totaalrapportage over de informatiebeveiliging van Suwinet over 2023 zenden wij uw Kamer als bijlage bij deze Stand van de uitvoering mee. In de rapportage wordt gerapporteerd over 14 normen die gericht zijn op een vertrouwelijke omgang met de ontsloten persoonsgegevens. Een voorbeeld van een norm is dat medewerkers niet meer toegangsrechten hebben dan strikt noodzakelijk voor de uit te voeren taken.

Voor de gemeenten geldt dat 76% van de gemeenten aan alle normen voldoet voor de opzet en het bestaan van de getroffen beveiligingsmaatregelen. Over 2022 lag dat percentage op 78,6%. Er is daarmee sprake van een lichte daling bij gemeenten. Voor de zeven niet-gemeentelijke organisaties geldt dat net als in 2022 geen van de organisaties voldoet aan alle normen. Kanttekening hierbij is dat de nietgemeentelijke organisaties zich naast de opzet en het bestaan ook verantwoorden over de werking van de beveiligingsmaatregelen. Per saldo is sprake van een zorgelijk beeld over de borging van de algehele veiligheid rond de inzet van het Suwinet. Evaluatie van het toezicht op het Suwinet wijst uit dat het toepassen van het zogenoemde Interventieprotocol GeVS/Suwinet bijdraagt aan het beveiligingsniveau. Het protocol wordt voortgezet. Verder zal via gerichte communicatie de bewustwording over de door de afnemers te treffen beveiligingsmaatregelen worden versterkt en gaan gemeenten ook verantwoording afleggen over de werking van maatregelen. Gegevens worden ook via andere voorzieningen dan het Suwinet uitgewisseld en verder verwerkt. Voor een passende beveiliging en gelijk speelveld zet het ministerie van SZW daarom in op het maken van overheidsbrede afspraken over een integrale benadering van het toezicht op informatiebeveiliging.