Kamerbrief SONAR

06-10-2020

Minister Koolmees meldt dat tekortkomingen in SONAR worden aangepakt. SONAR is het systeem dat UWV gebruikt om mensen van werk naar werk te kunnen begeleiden.

In de Stand van de Uitvoering van juni 2019 heb ik uw Kamer geïnformeerd over het systeem ‘SONAR’. Dit systeem wordt door UWV gebruikt voor arbeidsbemiddeling en is essentieel om mensen van werk naar werk te kunnen begeleiden. Zoals al aan uw Kamer is gemeld, heeft UWV geconstateerd dat het systeem tekortkomingen kent op het gebied van informatiebeveiliging en privacy (IB&P). Daarnaast is het systeem verouderd en kent het op functioneel gebied beperkingen. Daarom heeft UWV in een eerder stadium al maatregelen ter verbetering getroffen en zet UWV op de lange termijn in op vervanging van het systeem. Om een volledig inzicht te krijgen in de tekortkomingen is een externe privacy audit uitgevoerd. Bijgaand stuur ik u het eindrapport toe. Samen met UWV vind ik het van groot belang om de aanbevelingen uit de externe audit zo goed mogelijk te implementeren. Daarom heeft UWV het project SONAR IB&P opgezet, waarbij in drie fases maatregelen worden genomen om het systeem te verbeteren en met prioriteit te vervangen. In deze brief informeer ik u over deze maatregelen. De werkzaamheden aan SONAR ter verbetering van de IB&P hebben geen gevolgen voor de dienstverlening aan klanten. Met name in de huidige crisistijd is het van belang dat klanten op een voortvarende en effectieve manier van werk naar werk worden geholpen.

Systeem SONAR

De kernactiviteiten van het UWV-WERKbedrijf bestaan uit arbeidsbemiddeling en re-integratie. SONAR is een klantregistratiesysteem dat gebruikt wordt door in totaal ruim 16.000 personen, namelijk de adviseurs van UWV en door een deel van de adviseurs van de gemeenten en SW-bedrijven voor de matching van klanten en potentiële werkgevers. Het systeem bevat gegevens als NAW, BSN, nationaliteit, opleidingsniveau, CV en belastbaarheid. Als centraal systeem is SONAR gekoppeld aan verschillende andere systemen die ondersteunen bij de arbeidsbemiddeling, zoals werk.nl, waar werkzoekenden en werkgevers elkaar kunnen vinden.

SONAR is geïmplementeerd in 2005 en is niet ontwikkeld en ingericht met toepassing van het principe privacy by design. De architectuur van het systeem is erop gericht om tussen de gebruikers gegevens op een efficiënte manier te delen om arbeidsbemiddeling op een landelijke schaal te bewerkstelligen. De afgelopen jaren is de aandacht voor informatiebeveiliging en privacy gegroeid. Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er steeds meer aandacht voor de risico’s voor de privacy die hierbij kunnen ontstaan. In de loop der tijd zijn er daarom stappen ondernomen om verbeteringen in de beveiliging aan te brengen. Een voorbeeld is het project Autorisatie Segmentering Gemeenten, waarbij de autorisaties van gemeentelijke gebruikers zijn beperkt. Nog niet alle risico’s zijn hiermee weggenomen. De komst van de Algemene verordening gegevensbescherming (AVG) heeft de aandacht voor de risico’s versterkt, en incidenten omtrent datalekken maakten duidelijk dat informatiebeveiliging beter geborgd moet worden. Een maatregel die hierop volgde, was dat de mogelijkheid om gegevens uit het systeem te exporteren is ingeperkt.

Maatregelen

UWV heeft aangegeven de bevindingen die in het rapport en de daarbij behorende vertrouwelijke deelrapporten(1) opgesomd staan uitermate serieus te nemen en met prioriteit aanvullende maatregelen te nemen om de risico’s verder te mitigeren. Daarom is naar aanleiding van het rapport het project SONAR IB&P opgezet. Het project ziet op drie verschillende onderwerpen, namelijk mens, proces en techniek.

Maatregelen op korte termijn (tot en met maart 2021)

Op de korte termijn wordt een aantal reeds geplande verbeteringen versneld opgestart. Zo wordt een meer geautomatiseerd systeem van logging en monitoring op mutaties en raadplegingen versneld ingevoerd. Hierdoor worden de risico’s op onrechtmatig gebruik van gegevens verminderd, omdat door dit inzicht medewerkers kunnen worden aangesproken als zij gegevens inzien die zij niet nodig hebben. Ook wordt de mogelijkheid om het systeem op te schonen verbeterd. Dat wil zeggen dat gegevens van burgers die niet meer in het gegevensbestand thuishoren, bijvoorbeeld omdat wettelijke bewaartermijnen zijn verstreken, daadwerkelijk verwijderd worden. Verder worden de wachtwoorden gereset. Daarnaast wordt versneld ingezet op het internaliseren van het belang van privacy bij medewerkers. Informatiebeveiliging en privacy worden bijvoorbeeld onderdeel van monitoringgesprekken met managers en in HRMgesprekken met medewerkers. Ook zal er een netwerk van adviseurs met kennis van informatiebeveiliging en privacy worden opgezet ter ondersteuning van het lokale management.

Maatregelen op middellange termijn (tot eind 2022)

Op de middellange termijn worden nieuwe technische maatregelen geïntroduceerd. De belangrijkste maatregel die UWV zal doorvoeren betreft het aanscherpen en beter documenteren van autorisaties in SONAR. Door een fijnmaziger autorisatiemodel te implementeren kan een meer proportionele toegang tot gegevens bewerkstelligd worden, waarbij niet iedere medewerker alle gegevens kan inzien zonder dat dit noodzakelijk is voor de uitvoering van diens taak. UWV werkt daarnaast aan de technische mogelijkheid om medewerkers alleen toegang te geven tot klantgegevens in de eigen regio. Belangrijk criterium hierbij is en blijft dat werkzoekenden van buiten de regio gevonden kunnen worden als er een voor hen geschikte vacature bekend wordt. Voor landelijke arbeidsbemiddeling blijft een brede, regio-overstijgende toegang noodzakelijk. Voorgaande betekent een inperking van toegangsrechten voor gebruikers die niet belast zijn met landelijke arbeidsbemiddeling en voor zover dit niet noodzakelijk is voor de uitvoering van wettelijke taken. Een derde voorbeeld is de implementatie van risicomanagementtooling om beter grip te krijgen op de risico’s. De acties op de middellange termijn worden nog nader uitgewerkt door UWV.

Maatregelen op lange termijn

Zoals eerder genoemd wordt SONAR op de lange termijn vervangen omdat niet alle aanbevelingen die in het kader van de externe audit zijn gedaan, kunnen worden overgenomen in het huidige systeem. Dat komt omdat de technische mogelijkheden om het systeem aan te passen beperkt zijn. Deze vervanging kan realistisch gezien niet voor 2025 gerealiseerd worden, omdat anders de continuïteit van de dienstverlening van UWV in gevaar kan komen. De vervanging zal gefaseerd verlopen, waardoor risico’s die technisch gezien in SONAR niet kunnen worden verholpen al eerder gemitigeerd zullen worden.

Afsluitend

De verbetering van SONAR blijft de komende tijd een belangrijk aandachtspunt. Hoewel met de maatregelen een aantal grote risico’s geadresseerd en aangepakt wordt, zullen er restrisico’s overblijven. Ik zal uw Kamer bij de Stand van de Uitvoering van december 2020 verder informeren over de uitwerking van de maatregelen op middellange termijn en de resterende risico’s.

de Minister van Sociale Zaken
en Werkgelegenheid,

W. Koolmees

Voetnoten

(1) De vier onderliggende deelrapporten zijn, gelet op het detailniveau waarop technische tekortkomingen worden gesignaleerd, niet geschikt om voor eenieder openbaar te maken omdat deze informatie mogelijk misbruikt kan worden door derden.

Bekijk hier het Privacy & informatiebeveiligingsonderzoek SONAR


bron: Rijksoverheid

Van onze partners

Persoonsgegevens in faillissement

→ Lees meer

Inzage- en verwijderingsverzoeken onder de AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer