Implementatie VIR/BIR 2016

We willen op het gebied van informatiebeveiliging invulling geven aan het gedachtegoed dat is vastgelegd in het Voorschrift Informatiebeveiliging Rijksdienst (VIR) en het normenkader van de BIR (Baseline Informatiebeveiliging Rijksdienst). De belangrijkste gebieden waarbinnen UWV risico’s loopt op het terrein van informatiebeveiliging en privacy zijn:

  • veilige digitale dienstverlening aan de klant, met name via de internetportalen van UWV;

  • veilige gegevensuitwisseling en -deling met andere partijen, zoals gemeenten;

  • adequate interne organisatie (toegang tot systemen, gedrag van medewerkers);

  • implementatie van risicogestuurd beleid per proces/systeem (zoals de uitvoering van risicoanalyses, de omgang met testdata, het stellen van niet‑functionele requirements, de logging en monitoring, de omgang met herstelsoftware en nieuwere versies, en de opslag en het gebruik van informatie in gedeelde domeinen).

In verbeterplannen is per divisie/directie vastgelegd welke maatregelen in 2016 getroffen zullen worden om de IB&P‑risico’s op deze gebieden te beperken. In het kader van risicoanalyse voeren we Business IB&P Requirements Analyses (BIRA’s) uit. De bevindingen daarvan verwerken we in de verbeterplannen. Tot en met augustus 2016 zijn 3 BIRA’s uitgevoerd: op het Elektronisch Archief (EA), de informatievoorziening binnen een stafdirectoraat en de authenticatie bij het werkgeversportaal. Deze authenticatie bij het werkgeversportaal heeft momenteel ook de aandacht van de Autoriteit Persoonsgegevens (AP). We monitoren de uitvoering van de IB&P‑maatregelen uit de verbeterplannen in onze reguliere planning- en controlcyclus. Uit de IB&P‑rapportages blijkt dat alle divisies de uitvoering van de IB&P‑verbeteracties ter hand hebben genomen.