ICT werknemers- en volksverzekeringen

Maat: px
Weergave met pagina beginnen:

Download "ICT werknemers- en volksverzekeringen"

Transcriptie

1 ICT werknemers- en volksverzekeringen Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

2 R02/07, juli 2002 ISSN ISBN Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

3 Inhoud 1 Inleiding 5 2 Werknemersverzekeringen General computer controls Functievervulling EDP-audit Organisatie van informatiebeveiliging Toegangsbeveiliging (logische- en fysieke toegangsbeveiliging) Wijzigingsbeheer (change- en problem-management, testen) Operationele werkzaamheden Continuïteit (backup/recovery, uitwijk en fysieke beveiliging) Conclusie Actuele ontwikkelingen en verbetermaatregelen Beoordeling maatregelen bij ICT-dienstverleners Dienstenniveaubeheer Gak SFB UOSV GUO Cadans USZO Conclusie Actuele ontwikkelingen en verbetermaatregelen Gegevensbeheer Gak SFB UOSV GUO Cadans USZO Conclusie Actuele ontwikkelingen en verbetermaatregelen Slotconclusie werknemersverzekeringen 19 3 Volksverzekeringen General computer controls Conclusie Actuele ontwikkelingen en verbetermaatregelen Dienstenniveaubeheer Conclusie Actuele ontwikkelingen en verbetermaatregelen Gegevensbeheer 23 Lijst van afkortingen 24 Publicaties van de Inspectie Werk en Inkomen 25 3 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

4

5 1 Inleiding Op basis van risicoanalyse is door de Inspectie van Werk en Inkomen (IWI) bij de voormalige uitvoeringsinstellingen (Gak Nederland B.V., Cadans Uitvoeringsinstelling B.V., GUO Uitvoeringsinstelling B.V., USZO B.V. en SFB Uitvoeringsorganisatie Sociale verzekeringen N.V.) en de Sociale Verzekeringsbank (SVB) over 2001 onderzoek verricht naar: de algemene maatregelen die noodzakelijk zijn om de betrouwbaarheid en de continuïteit van de gegevensverwerking te kunnen waarborgen (general computer controls); het uitbesteden van Informatie- en communicatietechnologie (ICT)-diensten aan derden (dienstenniveaubeheer); de getroffen maatregelen rond het gegevensbeheer. In dit katern zijn de belangrijkste bevindingen en conclusies van deze onderzoeken opgenomen. In het hoofdrapport De sociale verzekeringen in 2001 heeft op basis van deze onderzoeken een beoordeling plaatsgevonden waarbij de beheersing van ICT als geheel centraal staat. In dit katern worden de onderzoeksresultaten van IWI in een meer uitgewerkte vorm gepresenteerd. Hierbij zijn behalve de bevindingen en conclusies met betrekking tot de genoemde aandachtsgebieden over het onderzoeksjaar 2001 tevens de actuele ontwikkelingen en verbetermaatregelen opgenomen. Bij de oordeelsvorming over 2001 is IWI uitgegaan van de maatregelen die de voormalige uitvoeringsinstellingen in het onderzoeksjaar hadden getroffen. Door de invoering van de wet Structuur Uitvoering Werk en Inkomen per 1 januari 2002 heeft de inventarisatie van actuele ontwikkelingen en verbetermaatregelen zich voor de werknemersverzekeringen gericht op het Uitvoeringsinstituut Werknemersverzekeringen (UWV). De onderzoeken naar de general computer controls en het dienstenniveaubeheer zijn een vervolg op onderzoeken waarover het voormalige College van toezicht sociale verzekeringen in het rapport De sociale verzekeringen in 2000 heeft gerapporteerd. De rapportage van het onderzoek gegevensbeheer als onderdeel van dit katern heeft zich met name gericht op de verbetermaatregelen die in 2001 door de voormalige uitvoeringsinstellingen zijn getroffen. De SVB is bij de onderzoeken gegevensbeheer nog niet betrokken. Inmiddels zijn met de SVB afspraken gemaakt over een rapportage gegevensbeheer met betrekking tot het verslagjaar Voor de volks- en werknemersverzekeringen worden door IWI in het algemeen dezelfde werkprogramma s uitgevoerd. Wel heeft IWI over 2001 nog een verschillende methodiek van rapporteren gehanteerd. Bij de volksverzekeringen staat de integrale oordeelsvoming meer centraal. De rapportage van IWI richt zich in eerste instantie op de oordelen die binnen de SVB zelf worden afgegeven. Bij de werknemersverzekeringen wordt meer ingegaan op de verschillende deelaspecten die per aandachtsgebied kunnen worden onderkend. Hierdoor heeft IWI per aandachtsgebied van de general computer controls zelfstandig een conclusie geformuleerd. IWI is bezig de wijze van onderzoek en rapportering over de verschillende uitvoeringsorganen vanaf 2002 verder te uniformeren. Hierbij baseert IWI zich op een controleaanpak die is geënt op de methodiek van Control objectives for information related technology (Cobit). Gedurende 2002 zal de uitvoering van de controle conform deze methodiek verder gestalte krijgen. Hierdoor zal ook een verdere uniformering in de wijze van rapportering en oordeelsvorming worden bereikt. Om dit te realiseren is door IWI inmiddels overleg met de verschillende uitvoeringsorganen geïnitieerd. Bij de beoordeling van de general computer controls wordt reeds enige jaren gebruik gemaakt van een conclusie waarbij drie categorieën worden gehanteerd. Bij de beoordeling van het dienstenniveaubeheer is bij Gak als pilot eveneens van deze drie categorieën gebruik gemaakt. Bij de overige uitvoeringsinstanties is dit model over 2001 nog niet gehanteerd. IWI streeft ernaar een uniform beoordelingsmodel vanaf 2002 verder in te voeren. De bevindingen en conclusies met betrekking tot ICT kunnen gevolgen hebben voor de rechtmatigheid van de geïnde premies en verstrekte uitkeringen. In dit katern wordt deze relatie verder niet behandeld, in het katern rechtmatigheid wordt hierop verder ingegaan. 5 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

6

7 2 Werknemersverzekeringen 2.1 General computer controls General computer controls omvatten de toepassingsonafhankelijke ( algemene ) maatregelen binnen de automatiserings- en gebruikersorganisatie die van belang zijn voor de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. Bij de beoordeling van de general computer controls worden door IWI beoordelingscriteria gehanteerd die zijn gebaseerd op het studierapport Normatieve maatregelen voor de geautomatiseerde gegevensverwerking van het Nederlands instituut van registeraccountants. Hierbij worden de volgende objecten beoordeeld: Functievervulling Electronic Data Processing (EDP)-audit; Organisatie van de informatiebeveiliging; Toegangsbeveiliging (logische- en fysieke toegangsbeveiliging); Wijzigingsbeheer (changemanagement, incidentmanagement, problemmanagement, testen); Continuïteit (backup & recovery, uitwijk en fysieke beveiliging); Operationele werkzaamheden. Bij het onderzoek wordt aangesloten bij de beoordelingen die door de EDP-auditors van de betreffende uitvoeringsinstelling worden uitgevoerd. Hierbij worden per aandachtsgebied van de general computer controls de belangrijkste bevindingen in een nota van bevindingen EDPaudit opgenomen en wordt een conclusie geformuleerd. Deze conclusies zijn ingedeeld in de volgende drie categorieën: voldoende: de genomen maatregelen binnen het aandachtsgebied voldoen in het algemeen aan de daaraan te stellen eisen; beperkt: de genomen maatregelen binnen het aandachtsgebied voldoen op een aantal onderdelen niet aan de daaraan te stellen eisen; onvoldoende: de genomen maatregelen binnen het aandachtsgebied voldoen niet aan de te stellen eisen. Indien onvoldoende informatie beschikbaar is voor de oordeelsvorming is dit in de conclusie weergegeven. De conclusies uit de nota s van bevindingen EDP-audit zijn in onderstaande paragrafen van deze rapportage overgenomen. Naar aanleiding van bevindingen en onderzoeken in voorgaande jaren is de voormalige uitvoeringsinstellingen verzocht over 2001 aan te geven welke maatregelen voor de gesignaleerde tekortkomingen zouden worden getroffen. De beoordeling van deze maatregelen is in het onderzoek over 2001 betrokken Functievervulling EDP-audit Gak IWI heeft voor de oordeelsvorming gebruik kunnen maken van de uitgevoerde EDP-audit werkzaamheden. Hierbij merken wij op dat Gak slechts in beperkte mate inzicht heeft in de bij de externe dienstverlener PinkRoccade Sociale Zekerheid B.V. (hierna PinkRoccade) getroffen maatregelen. SFB UOSV IWI heeft voor de oordeelsvorming over 2001 in beperkte mate gebruik kunnen maken van de uitgevoerde EDP-audit werkzaamheden. Binnen de Interne Accountants Dienst (IAD) van SFB UOSV was in 2001 geen zelfstandige EDP-auditfunctie aanwezig. Verder zijn de EDP-audits door SFB Audit Services gericht op de verwerkingsorganisatie binnen SFB Diensten en wordt gerapporteerd aan de directie van deze werkmaatschappij. Hierdoor hebben wij geen zicht op de beheersing van ICT in 2001 door SFB UOSV. De audittrail met betrekking tot de oordeelsvorming is niet altijd herleidbaar. 7 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

8 GUO IWI heeft voor de oordeelsvorming in beperkte mate gebruik kunnen maken van de EDP-audit werkzaamheden. De beoordeling van general computer controls is gericht op de verwerkingsorganisatie binnen Ordina Sociale Zekerheid (OSZ) Zoetermeer en met name gericht op de opzet en in mindere mate het bestaan van maatregelen. Hierdoor hebben wij geen volledig inzicht in de getroffen maatregelen en de resterende risico s. Wel is door de audits naar het gegevensbeheer een indruk gekregen van de maatregelen die binnen de gebruikersorganisatie zijn getroffen. Cadans IWI heeft voor de oordeelsvorming over 2001 in beperkte mate gebruik kunnen maken van de EDP-audit werkzaamheden. De general computer controls zijn ten dele niet binnen een drie jaren cyclus beoordeeld, deels vanwege onderhanden projecten. Vanaf 2001 wordt aan deze cyclische beoordeling verder invulling gegeven. USZO IWI heeft voor de oordeelsvorming gebruik kunnen maken van de uitgevoerde EDP-audit werkzaamheden Organisatie van de informatiebeveiliging Gak De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Gak heeft in 2001 belangrijke stappen gezet voor het verbeteren van de organisatie van de informatiebeveiliging. Het handboek informatiebeveiliging is verder geconcretiseerd en ingevoerd. De vorming van UWV heeft ertoe geleid dat het in gang gezette traject niet afgerond is. Inmiddels zijn (in het kader van de Werkgroep Integrale Beveiliging UWV) activiteiten gestart om de noodzakelijke maatregelen door te voeren. SFB UOSV De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Binnen SFB UOSV is het informatiebeveiligingsbeleid vastgesteld door de directie. De verdere uitwerking van het informatiebeveiligingsbeleid in afhankelijkheids- en kwetsbaarheidsanalyses en beveiligingsplannen heeft echter nog niet plaatsgevonden. Binnen SFB Diensten wordt het informatiebeveiligingsbeleid momenteel afgerond. Verder zijn de procedures en werkinstructies binnen IT-Services niet voldoende uitgewerkt en niet actueel. Om de opvolging van actiepunten te waarborgen zijn deze medio 2001 binnen IT-services/Informatiesystemen duidelijker belegd waarbij over de voortgang moet worden gerapporteerd aan de directie van SFB Diensten. GUO De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. GUO heeft nog geen vastgesteld beveiligingsbeleid. De security functies zijn door GUO nog onvoldoende ingevuld, tevens bestaat er geen beeld van de uitgevoerde security werkzaamheden door OSZ (Zoetermeer). De afspraken tussen OSZ en GUO op het gebied van informatiebeveiliging waren in 2001 nog onvoldoende geconcretiseerd. Cadans De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Cadans heeft via een pragmatische aanpak activiteiten vastgesteld, waarmee in 2001 op het gebied van logische toegangsbeveiliging en continuïteitsvoorzieningen verbeteringen zijn gerealiseerd. Wel dienen de te nemen maatregelen voor informatiebeveiliging verder te worden geconcretiseerd en ook periodiek te worden gemonitored. USZO De organisatie van de informatiebeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Een overkoepelend informatiebeveiligingsbeleid is in ontwikkeling. Wel zijn in 2001 verbetermaatregelen in gang gezet voor de door de Security Board onderkende en geprioriteerde security onderwerpen, waardoor gerealiseerde maatregelen beter hierop zullen aansluiten. 8 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

9 2.1.3 Toegangsbeveiliging (logische- en fysieke toegangsbeveiliging) Gak De toegangsbeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Het beheer van eindgebruikeraccounts vertoont op een aantal aspecten tekortkomingen. Gak heeft geen structurele eisen aan de rapportage van de leverancier gesteld. Er wordt binnen Gak niet structureel over beveiligingsincidenten aan het management gerapporteerd. SFB UOSV De toegangsbeveiliging voldoet niet aan de daaraan te stellen eisen. Het beheer van bevoegdheden binnen de gebruikersorganisatie vertoont tekortkomingen. Er vindt geen periodieke beoordeling en evaluatie van toegekende autorisaties binnen de gebruikersorganisatie plaats. De bevoegdheden van medewerkers binnen IT-services/Informatiesystemen zijn te ruim in relatie tot de uit te voeren taken. De in het beveiligingsbeleid opgenomen afhankelijkheids- en kwetsbaarheidsanalyse moet nog worden uitgevoerd. Vanaf najaar 2001 is binnen SFB UOSV een Data Security Officer belast met het verhelpen van de geconstateerde tekortkomingen. GUO De toegangsbeveiliging voldoet niet aan de daaraan te stellen eisen. Er zijn tekortkomingen in het beheer van autorisaties binnen de gebruikersorganisatie. Ook binnen OSZ (Zoetermeer) zijn de autorisaties nog te ruim toegekend. Door het project Borging Autorisatiebeleid zijn in 2001 maatregelen getroffen waarmee de toegangsbeveiliging binnen GUO op een aantal punten is verbeterd. Logging en monitoring zijn onvoldoende (controleerbaar) ingevuld. Cadans De toegangsbeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. Door de invoering van standaard functieprofielen en de realisatie van de autorisatie database is (de controleerbaarheid van) de logische toegangsbeveiliging in 2001 verbeterd. De volgende zaken dienen nog te worden gerealiseerd: nadere aanscherping van de functieprofielen, beheer autorisaties binnen het rekencentrum, terugbrengen verschillen bij afstemming autorisatiedatabase en daadwerkelijk verleende autorisaties. IWI heeft geen inzicht in de logische en fysieke toegangsbeveiliging binnen OSZ (Zeist). Wel zijn eisen hieromtrent in de generieke Service Level Agreement (SLA) met OSZ (Zeist) vastgelegd. USZO De toegangsbeveiliging voldoet in beperkte mate aan de daaraan te stellen eisen. De beveiliging van netwerk en midrange platformen vertoont evenals de decentrale fysieke toegangsbeveiliging nog een aantal tekortkomingen. De gebruikersorganisatie heeft het beheer van autorisaties in relatie tot Concern Informatie Systemen (CIS, een afdeling van het Algemeen Burgerlijk Pensioenfonds (ABP)) ondanks de in 2001 gerealiseerde verbeteringen binnen het proces van de Wet op de arbeidsongeschiktheidsverzekering als geheel nog niet voldoende gestructureerd Wijzigingsbeheer (change- en problem-management, testen) Gak Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Er zijn onvolkomenheden in de acceptatietestomgeving, het doorvoeren van wijzigingen, de gebruikte standaards bij het uitvoeren van de acceptatietest en het beheer van versies binnen Gak Nederland B.V. (De aansturing van) incident- en probleembeheer door Gak is voldoende onder controle. SFB UOSV Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Er zijn onvoldoende maatregelen getroffen voor het buiten het reguliere wijzigingstraject om wijzigen van gegevens. Hiernaast hebben wij geen zicht op de maatregelen die hiervoor binnen SFB UOSV zijn getroffen. Tevens is er een aantal tekortkomingen in het reguliere wijzigingstraject. Wij hebben geen zicht op de actuele status van het SFB UOSV project inzake het uitwerken en formaliseren van acceptatietesten. 9 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

10 GUO Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. De formele test en acceptatie van applicaties door GUO vertoont tekortomingen, hiernaast zijn er tekortkomingen in de communicatie met OSZ. Doordat wij slechts beperkt zicht hebben op het wijzigingsbeheer binnen GUO kunnen wij de gevolgen van geconstateerde tekortkomingen slechts gedeeltelijk inschatten. De opzet van het (technisch) wijzigingsbeheer binnen OSZ (Zoetermeer) voldoet in het algemeen wel aan de daaraan te stellen eisen. Cadans Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Op mainframe is in opzet sprake van een gestructureerde aanpak. Op midrange is nog geen sprake van toereikend change management. Wij hebben voor mainframe beperkt zicht op de beheersing van het testproces. Wel is in 2001 uit (steekproefsgewijze) waarneming gebleken dat wijzigingen in mainframeprogrammatuur in voldoende mate getest worden door gebruikers. USZO Het wijzigingsbeheer voldoet in beperkte mate aan de daaraan te stellen eisen. Voor changemanagement zijn binnen CIS in opzet voldoende maatregelen getroffen. Ten aanzien van testen is binnen de gebruikersorganisatie een integrale aanpak nog niet voldoende ingevuld. Verder is in de werking van het wijzigingsbeheer een aantal tekortkomingen gesignaleerd. Hiervoor zijn zowel binnen CIS als binnen USZO verbeteracties in gang gezet. Voor het wijzigen van infrastructurele IT-componenten zijn in het algemeen wel voldoende maatregelen genomen Operationele werkzaamheden Gak De operationele werkzaamheden voldoen aan de daaraan te stellen eisen. De leverancier beheerst het proces in voldoende mate Wel is aandacht gevraagd voor de volgende zaken: bewaken van de kennis en expertise van de bij operations betrokken medewerkers; afronden procedurebeschrijvingen; minimaliseren handmatige handelingen rond batchjobs; bewaken van de operationele rapportage (inclusief incidentenrapportage). SFB UOSV De operationele werkzaamheden voldoen aan de daaraan te stellen eisen. De procedures en werkinstructies dienen verder te worden uitgewerkt en geformaliseerd. GUO De operationele werkzaamheden voldoen in beperkte mate aan de daaraan te stellen eisen. De bevoegdheden van de operators dienen te worden beperkt. Cadans De operationele werkzaamheden op mainframe voldoen aan de daaraan te stellen eisen. IWI heeft beperkt zicht op de beheersmaatregelen ten aanzien van operationele werkzaamheden op midrange systemen. USZO Vanwege de in 2000 ingezette veranderingen, welke niet recent beoordeeld zijn, heeft IWI beperkt zicht op de operationele werkzaamheden Continuïteit (backup/recovery, uitwijk en fysieke beveiliging) Gak De waarborgen voor de continuïteit van de gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. PinkRoccade heeft verscheidene maatregelen genomen om de continuïteit van de geautomatiseerde gegevensverwerking in geval van calamiteiten te kunnen garanderen. 10 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

11 SFB UOSV De waarborgen voor de continuïteit van de gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. Er wordt voor (kritieke) gegevensverszamelingen van SFB UOSV geen back-up buiten het SFB gebouw opgeslagen. Bij een ernstige calamiteit op het hoofdkantoor kunnen de gegevens van de door SFB UOSV geadministreerde werknemers en werkgevers verloren gaan. Ook in 2001 heeft er geen uitwijktest plaatsgevonden. De door de directie van SFB UOSV toegezegde inventarisatie van kritieke bestanden heeft niet plaatsgevonden. GUO De waarborgen voor de continuïteit van de gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. OSZ (Zoetermeer) heeft voor storingen en kleinere calamiteiten diverse maatregelen getroffen. Doordat er geen sprake is van een (getest) uitwijkplan waarin alle aspecten van een eventuele uitwijk zijn betrokken, bestaat er onvoldoende zekerheid dat de verwerking van kritische applicaties bij grotere calamiteiten tijdig kan worden hersteld. Cadans De waarborgen voor de continuïteit van geautomatiseerde gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. Naast de reeds bestaande uitwijkvoorziening voor mainframe in Parijs is voor midrange en de personal computeromgeving op een andere locatie in Zeist een uitwijkvoorziening geoperationaliseerd. De uitwijkvoorziening voor mainframe is een aantal malen getest. Een integrale risicoanalyse en een integraal uitwijkplan ontbreken echter. Over backup/recovery hebben wij ons geen oordeel kunnen vormen. Wel zijn eisen hieromtrent in de (generieke) SLA met OSZ (Zeist) vastgelegd. USZO De waarborgen voor de continuïteit van de geautomatiseerde gegevensverwerking voldoen in beperkte mate aan de daaraan te stellen eisen. Onzeker is of de capaciteit van de interne uitwijkmogelijkheid voor midrange in geval van calamiteiten toereikend is voor de systemen van de USZO. Een integraal (getest) uitwijkplan, waarin uitwijk voor de processen van de USZO als geheel is opgenomen, ontbreekt. Daarnaast zijn er tekortkomingen in de decentraal getroffen maatregelen voor de fysieke beveiliging geconstateerd. De maatregelen voor de fysieke beveiliging voor het centrale rekencentrum zijn in het algemeen wel toereikend Conclusie IWI concludeert dat er ten aanzien van de general computer controls op verschillende aandachtsgebieden significante tekortkomingen bestaan. Verder blijkt er over het verslagjaar 2001 ten opzichte van het verslagjaar 2000 slechts op onderdelen sprake te zijn van een verbetering. Dit wordt met name veroorzaakt doordat lopende projecten en verbeteracties nog slechts gedeeltelijk tot daadwerkelijke implementatie van maatregelen hebben geleid Actuele ontwikkelingen en verbetermaatregelen De tekortkomingen op het gebied van de general computer controls zijn reeds langere tijd bij het management van de voormalige uitvoeringsinstellingen bekend. Door de uitvoeringsinstellingen zijn derhalve projecten in gang gezet om de general computer controls op het vereiste niveau te brengen Deze projecten vergen veelal een aanzienlijke inspanning. Veel van deze projecten zijn eerst in 2000 of 2001 gestart, of de daadwerkelijke implementatie van maatregelen is eerst in 2001 ter hand genomen. Bij deze projecten zijn in eerste instantie producten tot stand gebracht waarmee in opzet de maatregelen op het gebied van informatiebeveiliging kunnen worden verbeterd. Voorbeelden hiervan zijn procedurebeschrijvingen, matrices aan de hand waarvan autorisaties kunnen worden verleend en gecontroleerd, systemen waarmee de verleende autorisaties effectiever kunnen worden gecontroleerd en draaiboeken voor een mogelijke uitwijksituatie. Genoemde producten dienen echter ook in de staande organisatie te worden gehanteerd en periodiek te worden geactualiseerd om de maatregelen ook daadwerkelijk te kunnen effectueren. Eerst dan kan IWI de effectiviteit van deze maatregelen ook bij de beoordeling over het betreffende verslagjaar betrekken. 11 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

12 Evenals over 2000 geldt speciale aandacht voor het aspect toegangsbeveiliging als noodzakelijke voorwaarde voor de te realiseren functiescheiding. Bij alle voormalige uitvoeringsinstellingen geldt dat de toegangsbeveiliging van geautomatiseerde gegevensverwerking niet of in beperkte mate aan de daaraan te stellen eisen voldoet. IWI acht het noodzakelijk dat UWV op korte termijn de in opzet aanwezige maatregelen zal effectueren om de aanwezige risico s te beperken. Door UWV wordt verder onderkend dat gesignaleerde tekortkomingen dienen te worden verholpen. Hiertoe is binnen UWV sinds begin 2002 een interdisciplinair project integrale beveiliging UWV gestart. Aan dit project nemen Algemeen Juridische Zaken, Accountantsdienst, Concern ICT en de divisies (Werkloosheidswet, Arbeidsgeschiktheid en Werkgeverszaken) deel. Het project heeft onder andere tot doel een UWV-breed beveiligingsbeleid en privacybeleid gestalte te geven en voorstellen te formuleren voor een passende organisatorische inrichting. De Raad van Bestuur van UWV onderschrijft het belang van (informatie)beveiliging voor de organisatie en ziet het tot zijn taak dit naar alle medewerkers van UWV uit te dragen. IWI zal de door UWV in gang gezette acties gedurende 2002 intensief gaan monitoren en hierover periodiek rapporteren Beoordeling maatregelen bij ICT-dienstverleners De geautomatiseerde verwerking van gegevens door (private) ICT-dienstverleners is van essentieel belang voor de (rechtmatige) verstrekking van uitkeringen. Voor zowel UWV als IWI is het van belang dat er transparantie bestaat omtrent maatregelen (zoals beveiliging van gegevens en waarborgen voor continuïteit) die bij deze ICT-dienstverleners zijn getroffen. IWI signaleert dat veelal geen volledig en eenduidig zicht bestaat in de genoemde maatregelen bij ICT-dienstverleners. Dit wordt versterkt door de verkoop van voormalige automatiserinsafdelingen oftewel werkmaatschappijen aan private ICT-dienstverleners. Hierbij is spanning is ontstaan tussen de (commerciële) belangen van deze ICT-dienstverleners en de door de opdrachtgever (UWV) en toezichthouder (IWI) noodzakelijk geachte transparantie. Vanuit UWV is een proces in gang gezet om de beoordeling van deze maatregelen bij de ICTdienstverleners door middel van Third Party Mededelingen te realiseren. Hierbij wordt contractueel vastgelegd dat een ICT-dienstverlener volgens een standaard stramien door een onafhankelijk deskundige (EDP-auditor) over de getroffen maatregelen laat rapporteren. IWI onderschrijft de door UWV gekozen aanpak. IWI is derhalve gestart met een onderzoek om te beoordelen of genoemde aanpak voor de eigen oordeelsvorming bruikbaar is. 2.2 Dienstenniveaubeheer In het rapport De sociale verzekeringen in 2000 is bij de conclusies van het eigen onderzoek Human Rescource Management/ICT aangegeven dat de toezichthouder van mening is dat de uitvoeringsinstellingen de relaties met externe ICT-dienstverleners, de (voormalige) B-poten, binnen een jaar op orde moeten hebben gebracht (inclusief de eigendomsrechten van de programmatuur). Over de middellange termijn is opgemerkt dat, als de afstand tussen beide partijen groeit en de ICT-dienstverleners zich commerciëler gaan opstellen, het risico bestaat dat de contracten niet voorzien in adequaat onderhoud en herziening van systemen, waardoor de wetsuitvoering in gevaar kan komen. Vanuit bovenstaande optiek achtte de toezichthouder het van groot belang dat uitvoeringsinstellingen zouden beschikken over een eigen ICT-functie die, naar de externe ICT-dienstverleners toe, zou kunnen optreden als gelijkwaardige en onafhankelijke gesprekspartner en die de rol van opdrachtgever kan invullen. IWI heeft om die reden gemeend onderzoek te moeten doen naar de vraag of de uitvoeringsinstellingen in 2001 de organisatorische en juridische voorwaarden voldoende hebben ingevuld, om zich zodoende een beeld te kunnen vormen over de wijze waarop en de mate waarin de uitvoeringsinstellingen uitbestede ICT-diensten beheersen. 12 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

13 De volgende aspecten zijn in het onderzoek betrokken: organisatorische en procesmatige inrichting van het dienstenniveaubeheer - regels; - positionering, taken, bevoegdheden en verantwoordelijkheden; - aantallen en kosten; - het vaststellen van het niveau van dienstverlening; - het bewaken van contracten; - nazorg en evaluatie van de dienstverlening. contractuele inrichting - definitie van te leveren prestatie; - rapportage en toezicht; - regels bij niet-naleving, aanpassing en ontbinding; - formeel/juridische aspecten; - regels van het Landelijk instituut sociale verzekeringen (Lisv). Deze aspecten zijn voornamelijk gebaseerd op de Cobit-modules DS1 en DS2. Omdat tevoren duidelijk was dat de uitvoeringsinstellingen niet aan alle voorwaarden, zoals opgenomen in het Cobit model, zouden voldoen, zijn niet alle aspecten tot in detail uitgediept. Wel is een beeld gevormd waar de uitvoeringsinstellingen in 2001 stonden op het ontwikkelingspad hiernaartoe. Alleen in het geval van Gak is als pilot oordeelsvorming uitgevoerd conform het beoordelingsmodel dat is gehanteerd bij de beoordeling van de general computer controls en is beschreven in de inleiding (uitkomsten op een schaal: onvoldoende beperkt voldoende). Gak heeft als pilot gediend omdat de situatie bij deze uitvoeringsinstelling in aanzet het model vormt voor het UWV-dienstenniveaubeheer. Daarmee vormt Gak een referentiepunt voor het onderzoek over het verslagjaar 2002 bij UWV. De beschrijving bij de andere uitvoeringsinstellingen heeft een andere opzet en is hiermee niet vergelijkbaar Gak Gak heeft consistente en weloverwogen uitgangspunten vastgesteld betreffende de organisatie van uitbestede ICT-diensten. In 2001 is het inrichten van de organisatie conform deze uitgangspunten echter in onvoldoende mate gerealiseerd. Het vaststellen van het niveau van dienstverlening voldoet in beperkte mate aan de gestelde eisen. Zo is Gak betreffende het uitvoeren van informatieanalyses nog steeds in grote mate afhankelijk van zijn leveranciers. Het bewaken van contracten voldoet in beperkte mate aan de gestelde eisen. Zo geven de rapportages betreffende geleverde prestaties nog geen toereikend inzicht in de naleving van afspraken en geschiedt het toetsen op naleving van de afspraken nog op ad hoc basis. De afgesloten mantelovereenkomst tussen Gak en PinkRoccade Sociale Zekerheid eind 2001 vormt een overkoepelende overeenkomst. Herijking van onderliggende overeenkomsten dient nog te geschieden. De mantelovereenkomst is beoordeeld en voldoet in voldoende mate aan de daarop van toepassing zijnde eisen. Zo voorziet de overeenkomst in de overdracht van de intellectuele eigendomsrechten van de bestaande maatwerkprogrammatuur aan Gak. De overeenkomst bevat enerzijds bepalingen die een randvoorwaarde vormen voor de opbouw van normale zakelijke verhoudingen, maar anderzijds bepalingen die aanleiding geven tot zorg hieromtrent. In de eerste plaats UWV, maar ook IWI zullen er in de toekomst op moeten toezien dat aan de beoogde zakelijke verhouding met PinkRoccade daadwerkelijk vorm wordt gegeven SFB UOSV Op het gebied van het dienstenniveaubeheer heeft SFB UOSV ten opzichte van het vorig verslagjaar goede vooruitgang geboekt. Deze is met name qua opzet te vinden in de Service Level Agreement Voor wat betreft de werking blijkt de SLA een groeimodel te zijn. Het is meer een streven. Wel wordt zo duidelijk wat wel en niet haalbaar is. 13 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

14 Bij SFB UOSV zijn aanzetten tot verzakelijking met de voormalige concernpartner doch de onderlinge afhankelijkheid blijft sterk. Dit komt het meest uitgesproken tot uitdrukking in de binding die bij het overdragen van het intellectuele eigendom is aangegaan tot 1 januari Hiermee wordt UWV opgezadeld met een langdurige verplichting met mogelijk negatieve gevolgen voor de herinrichting van de processen na de fusie van de uvi s. Overigens is in het betreffende contract het intellectuele eigendom voorzien van zodanige voorwaarden ten gunste van de leverancier dat het formele begrip intellectueel eigendom opgerekt wordt naar het materiële begrip licentie met recht van kennisname van brondocumenten. Dit gaat met name om de kern van de processen, namelijk intake, basisregistraties en inning van premies. De betreffende overeenkomst is tot stand gekomen na een complexe voorgeschiedenis die uiteindelijk beslecht is door mediation tussen SFB UOSV, SFB Diensten en het Lisv, begeleid door bedrijfsjuristen van SFB UOSV respectievelijk het Lisv en externe juridische adviseurs. De leverancier heeft in het proces van mediation zijn belang willen veiligstellen van continuïteit van dienstverlening aan SFB UOSV en het verhinderen van concurrentie met behulp van de programmatuur door UWV op de markt van bedrijfspensioenen en Collectieve arbeidsovereenkomsten GUO Door de historie van de relatie met Relan ICT heeft dienstenniveaubeheer bij GUO pas in 2000/2001 een vaste plaats gekregen binnen de organisatie. Dit is gebeurd door het inrichten van de afdeling Informatie Management. Deze afdeling is gestart in oktober/november 2000 en is sinds medio 2001 operationeel. In 2001 kon daardoor nog geen sprake zijn van een volledige beheersing van de uitbesteding van ICT-diensten. Zo bestonden er verschillen in de uitgangspunten voor uitbesteding tussen de divisies Verzekerden en Ondernemingen omdat centrale regie nog ontbrak. De relatie met de belangrijkste leverancier Relan ICT (nu opgegaan in OSZ) is lang te weinig zakelijk geweest. Momenteel wordt in hoog tempo gewerkt aan verzakelijking, met name door het opstellen van de benodigde overeenkomsten en de daarbij behorende documenten. In 2001 is nog sprake geweest van een situatie dat diensten van OSZ (Zoetermeer) werden afgenomen zonder dat daaraan een sluitende contractenstructuur ten grondslag lag, hetgeen aan beide kanten tot onduidelijkheid heeft geleid. De gebruikers en de afdeling Informatie Management lijken bovendien nog te moeten wennen aan de nieuw belegde verantwoordelijkheden. Zoals gezegd heeft de kentering zich in 2001 ingezet en daardoor is in de afgelopen periode toch sprake geweest van verbetering ten opzichte van het vorige verslagjaar. Dit uit zich door ontwikkeling van de regiefunctie van de afdeling Informatie Management en het invullen van het contractenstelsel, zij het dat hier en daar nog zaken ontbreken. Zonder meer positief is de ontwikkeling van de rapportages van en periodieke overleggen met OSZ (Zoetermeer). Bij overeenkomst van 17 november 2000 is geregeld dat de intellectuele eigendom van de GUO-systemen bij GUO berust, behalve die van de basisregistratie en gemeenschappelijk aanlever- en distributiepunt (ADP) van gegevens. De intellectuele eigendom van basisregistratie en ADP is tijdelijk ondergebracht bij een stichting waarin GUO participant is. Relan en GUO zijn inmiddels overeengekomen om de intellectuele eigendom van de basisregistratie en ADP eind 2004 om niet over te dragen aan GUO (UWV). Deze laatste beslissing moet nog worden beoordeeld door de directie Werk en Inkomen van het ministerie van Sociale Zaken en Werkgelegenheid en IWI Cadans Sedert de oprichting van het directoraat ICT zijn in opzet voor het dienstenniveaubeheer organisatorische randvoorwaarden aanwezig, waardoor dit proces binnen de organisatie kan worden beheerst. Hierbij is het voorbeeld van Gak aangehouden. IWI is wel van mening dat Cadans de nodige stappen dient te ondernemen, zodat het dienstenniveaubeheer adequaat zal gaan functioneren na de opbouwfase in Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

15 Uit het gehouden onderzoek komt naar voren dat alle intellectuele eigendomsrechten met betrekking tot de programmatuur bij Cadans berusten. IWI dringt erop aan om onafhankelijke EDP-audits in het aanvullende convenant te regelen. Cadans heeft in de afgesloten SLA s (zestien in totaal) nauwkeurig omschreven welke services door OSZ (Zeist) geleverd dienen te worden. Periodiek wordt er gerapporteerd over de door de OSZ (Zeist) geleverde services USZO Ook in 2001 zijn door USZO verbeteringen aangebracht in het dienstenniveaubeheer. Traditioneel was al een goed ontwikkelde overlegstructuur aanwezig tussen de centrale afdeling Organisatie en Informatie en de afdelingen Informatiebeheer van de business units enerzijds en ABP/CIS anderzijds. In het verslagjaar is deze praktijk verder vastgelegd in SLA s. Aan de SLA s ontbreekt nog wel het een en ander, zoals de invulling van de informatiebeveiliging, de continuïteitsgaranties en het recht op audits. Wel ontvangt USZO jaarlijks de managementletter CIS van de Accountantsdienst van het ABP over de geautomatiseerde gegevensverwerking. In het licht van het overgaan van USZO naar UWV wordt geconstateerd dat de sterke binding tussen USZO en ABP/CIS niet past in een normale, zakelijke klant-leverancier relatie. De technische know how over de bedrijfsprocessen bij USZO is bij CIS veel verder ontwikkeld dan bij USZO zelf. Dit blijkt bijvoorbeeld uit het geringe aantal technische specialisten bij met name Organisatie en Informatie. De afdelingen Informatiebeheer hebben vooral een intermediaire en een verkeersregelende functie. Op de technische inhoud is geen sprake van een evenwichtige relatie met CIS. Eén van de Lisv-voorschriften was dat de voormalige uitvoeringsinstellingen intellectueel eigenaar van de voor de bedrijfsprocessen gebouwde systemen dienden te zijn. Dit is bij USZO in een overeenkomst met het ABP geregeld. Daaraan zijn evenwel ongebruikelijke beperkingen gesteld, vanwege de constructie van het gemeenschappelijk eigenaarschap binnen het ABP. Daarom worden brontekst en documentatie niet overgedragen aan USZO doch in bewaring gegeven bij een derde. Ook mag USZO pas veranderingen laten aanbrengen in de programmatuur na afloop of ontbinding van de overeenkomst. Deze beperkingen houden een barrière in voor het sluiten van overeenkomsten met andere partijen Conclusie Uit het onderzoek is gebleken dat er in het jaar 2001 in het algemeen vooruitgang is geboekt bij de invulling van de organisatorische en juridische randvoorwaarden van het dienstenniveaubeheer. De vooruitgang betreft vooral de opzet van het dienstenniveaubeheer. De uitgangssituatie was bij alle uitvoeringsinstellingen een sterke mate van verwevenheid van de ICT-activiteiten met de huidige ICT-leveranciers. Zo berustte het intellectuele eigendom van de voor de uitvoeringsinstellingsprocessen ontwikkelde maatwerkprogrammatuur vaak niet bij de uitvoeringsinstellingen, maar bij de leverancier. Hierdoor loopt de uitvoeringsinstelling continuïteitsrisico s. In 2001 zijn daarom contractuele stappen tot overdracht van dit intellectuele eigendom genomen. Deze contracten zijn allesbehalve volmaakt: de beschikking over de maatwerkprogrammatuur is aan beperkingen onderhevig, bijvoorbeeld in de vorm van gedwongen winkelnering over het onderhoud, een langdurige dienstverleningsrelatie en het afstaan om niet van exploitatie door de leverancier ten behoeve van derden. De langdurige dienstverleningsrelatie is in strijd met het beleid om de relaties in het licht van de overgang naar UWV te beperken tot kortdurende. De relatie van de uitvoeringsinstellingen met hun ICT-leveranciers is verder vooral verzakelijkt door het tot stand komen van SLA s. 15 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

16 2.2.7 Actuele ontwikkelingen en verbetermaatregelen De goede basis die in het verslagjaar is gelegd, vergt van de kant van de uitvoeringsinstellingen een actieve opstelling op inhoudelijk-technisch en verantwoording-vragend gebied. Deze is maar ten dele aanwezig. Technische kennis is op het abstracte niveau gecentraliseerd aanwezig. Applicatiekennis en de verantwoordelijkheid voor de applicaties ligt bij business units. Vaak ontbreekt daar de kennis om op het gebied van informatieanalyse weerwerk te leveren aan de ICTleverancier. Daarmee is sprake van een verbrokkelde en diverse opstelling jegens de leverancier in de werking van het dienstenniveaubeheer. De inzet ter verbetering op dit punt door de uitvoeringsinstellingen heeft minder prioriteit gekregen door de overgang naar UWV. In het kader van de UWV-vorming is een aantal organisatorische maatregelen genomen die relevant zijn voor het dienstenniveaubeheer. Zo is er nu een centrale ICT-afdeling voor de algemene ICT-vraagstukken en binnen Concern-Inkoop een eenheid voor de ICT-inkoop. UWV staat voor een enorme vernieuwing op ICT-gebied. Er is een inkoopstrategie, waarbij nieuwe contracten gelaagd (per procescluster) zullen worden aangegaan. De bestaande leveranciers blijken, om met deze nieuwe rondes te kunnen meedoen, bereid tot medewerking om onder meer de scherpe kantjes van de langdurige contracten af te halen. De divisies, die bestaan uit procesclusters zoals Werkloosheidswet, Arbeidsgeschiktheid of Werkgeversrelaties, zijn inhoudelijk verantwoordelijk voor de relatie met de dienstverlener (bijvoorbeeld voor de specificaties en verantwoordingvragend). Deze relatie is cruciaal voor de werking van het dienstenniveaubeheer. IWI zal derhalve in de komende onderzoeken aan deze relatie extra aandacht besteden. De uitwerking van de hiervoor beschreven ontwikkelingen en de werking van de driehoek centrale inkoop, centrale ICT en divisies richting de ICT-leverancier is voor het verslagjaar 2002 een aandachtspunt voor IWI. 2.3 Gegevensbeheer Uitvoeringsinstellingen dienden tot 2001 jaarlijks een mededeling van een externe deskundige (EDP-auditor) aan het voormalige Lisv af te geven dat het gegevensbeheer bij de uitvoeringsinstelling en de eventueel door de uitvoeringsinstelling in te schakelen bewerker voldoet aan alle door de wet gestelde en met het Lisv overeengekomen waarborgen. Deze eisen zijn opgenomen in de Wet persoonsregistratie (vanaf 1 september 2001 Wet bescherming persoonsgegevens), de sectorale wetgeving (Organisatiewet sociale verzekeringen 1997) en de administratie- en jaarovereenkomsten met het Lisv. Samengevat omvatten deze vereisten het uitsluitend verstrekken van (persoons)gegevens conform deze vereisten en een adequaat niveau van beveiliging. Door de externe deskundigen zijn over de periode 1 januari tot 15 oktober 2001 twee positieve mededelingen met beperkingen (Gak en Cadans) en twee negatieve mededelingen (GUO en SFB UOSV) afgegeven. De externe deskundige heeft geen oordeel gegeven over USZO als geheel. Gedeeltelijk is een positieve mededeling met beperking afgegeven en voor een ander deel van de organisatie is een negatief oordeel afgegeven. Er zijn geen geheel positieve mededelingen zonder beperkingen afgegeven. Over het verslagjaar 2000 heeft IWI het onderzoek en het oordeel van de externe deskundigen afzonderlijk beoordeeld en hierover voorjaar 2002 een separate rapportage uitgebracht. Hierbij heeft IWI geconcludeerd dat het gegevensbeheer bij de uitvoeringsinstellingen als geheel in beperkte mate aan de daaraan te stellen eisen voldoet. Verder bleek bij de review op een aantal punten nog verschil van inzicht te bestaan tussen IWI en de verschillende externe deskundigen omtrent de scope en diepgang van het onderzoek alsmede de wijze van oordeelsvorming. Het onderzoek bij de voormalige uitvoeringsinstellingen over het verslagjaar 2001 richt zich mede op de verbetermaatregelen die door de uitvoeringsinstellingen gedurende 2001 zijn getroffen. Ook de review van IWI op de door de externe deskundige uitgevoerde werkzaamheden heeft zich derhalve met name gericht op de beoordeling van deze verbetermaatregelen. Per uitvoeringsinstelling is hieronder het oordeel van de externe deskundige en de voortgang van de verbetermaatregelen opgenomen. 16 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

17 2.3.1 Gak Door de externe deskundige is voor Gak over de periode 1 januari tot 15 oktober 2001 een positieve mededeling met beperkingen afgegeven. De in de mededeling opgenomen tekortkomingen hebben betrekking op de volgende zaken: Gak Nederland ziet onvoldoende toe op en is onvoldoende op de hoogte van naleving van de privacy voorschriften door haar bewerkers; de invulling van de rol van de privacy coördinator heeft in het algemeen nog te weinig gestalte gekregen; hoewel het privacy bewustzijn hoog is, is het beveiligingsbewustzijn van de medewerkers in zijn algemeenheid laag; de controle op het toegangsbeheer is niet volledig. Deze tekortkomingen komen overeen met de tekortkomingen die zijn opgenomen in de rapportage over De fysieke beveiliging is niet in het onderzoek betrokken. In reactie op de rapportage over 2000 heeft Gak een actielijst opgesteld die voor een deel in het verslagjaar 2001 zijn opgevolgd. Het betreft met name het formaliseren van afspraken met de bewerker en het gedeeltelijk implementeren van het handboek Informatiebeveiliging. De overeenkomst met de bewerker is op het onderwerp beveiliging niet nader uitgewerkt SFB UOSV Door de externe deskundige is voor SFB UOSV over de periode 1 januari tot 15 oktober 2001 een negatieve mededeling afgegeven. De geconstateerde tekortkomingen bij het onderzoek hebben betrekking op: onvoldoende beheer van autorisaties tot gegevensverzamelingen en de controle hierop; onvoldoende waarborgen voor het vertrouwelijk gebruik van exclusieve sociale verzekeringsgegevens binnen de SFB-groep; onvoldoende toezicht dat de verstrekking van persoonsgegevens conform wet- en regelgeving plaatsvindt. Deze tekortkomingen komen grotendeels overeen met de tekortkomingen die zijn opgenomen in de rapportage over Doordat de reeds gerealiseerde maatregelen door SFB UOSV vanaf 15 oktober 2001 buiten de scope van het onderzoek vallen, zijn deze niet bij de oordeelsvorming betrokken. In verslagjaar 2001 heeft SFB UOSV een plan van aanpak opgesteld voor de realisatie van de aanbevelingen uit de rapportage over De verdere implementatie van het plan zal in 2002 plaatsvinden GUO Door de externe deskundige is voor GUO over de periode 1 januari tot 15 oktober 2001 een negatieve mededeling afgegeven. De tekortkomingen in de mededeling hebben betrekking op: onvoldoende zicht op centraal niveau op de informatieverstrekking aan derden; onvoldoende niveau van het beheer van de logische toegangsbeveiliging. Deze tekortkomingen komen voor een deel overeen met de tekortkomingen die zijn opgenomen in de rapportage over Op basis van de belangrijkste aanbevelingen uit de rapportage over 2000 heeft GUO acties voorgesteld die ultimo 2001 niet of slechts voor een deel zijn uitgevoerd. De uitvoering van met name het project Ontvlechting Basisregistratie ten behoeve van de scheiding van private en pulieke gegevens en het project Borging met betrekking tot het eigenaarschap van gegevenselementen zijn bij GUO ten behoeve van gegevensbeheer van belang. 17 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

18 2.3.4 Cadans Door de externe deskundige is voor Cadans over de periode 1 januari tot 15 oktober 2001 een positieve mededeling met beperkingen afgegeven. In het oordeel zijn de bevindingen ten aanzien van de werking van maatregelen wederom nadrukkelijk uitgesloten. De opgenomen voorbehouden en tekortkomingen in de mededeling hebben betrekking op: onvoldoende beheer van (on-line) gegevensverstrekking aan derden; onvoldoende (fysieke) toegangsbeveiliging; ontbreken van afspraken omtrent serviceniveau inzake beveiliging en betrouwbaarheid. In het verslagjaar 2001 heeft Cadans opvolging gegeven aan de aanbevelingen uit de rapportage over 2000, met name door het opstellen van procedures in het kader van gegevensverstrekking aan derden en door inzicht te verstrekken in toegekende autorisaties. Ook zijn in het kader van het project Informatiebeveiliging activiteiten ontwikkeld, maar nog niet afgerond USZO Door de externe deskundige is voor USZO over de periode 1 januari tot 15 oktober 2001 voor de business unit Arbeidsongeschiktheid een positieve mededeling met beperkingen afgegeven. Hierbij is wederom het begrip grotendeels toegevoegd in de bewoordingen. Voor de business units Concern Verwerkingscentrum en Werkloosheidswet is aangegeven dat niet aan de gestelde normen wordt voldaan. Hierbij is niet de standaardtekst voor een negatieve mededeling gehanteerd. De mededeling inzake gegevensbeheer bij USZO is gesplitst en geeft daarmee geen oordeel omtrent USZO als geheel. De opgenomen tekortkomingen in de mededeling hebben betrekking op: operationaliseren privacy organisatie; volledig registreren van feitelijk gegevensverstrekking aan derden; autorisatiebeheer op applicatieniveau. De onderwerpen komen overeen met degene die zijn opgenomen in de rapportage over Als gevolg van de ontwikkelingen in 2001 is de zwaarte van de tekortkomingen verlicht. USZO is voornemens de benodigde maatregelen ten aanzien van waarborgen in het gegevensbeheer in de business units Concern Verwerkingscentrum en Werkloosheidswet te treffen. Dit zal vergelijkbaar zijn met de opzet van maatregelen bij de business unit Arbeidsongeschiktheid. Voor alle aanbevelingen uit de rapportage over 2000 zijn in 2001 acties in gang gezet. Deze zijn echter nog niet (geheel) afgerond Conclusie IWI signaleert risico s ten aanzien van de beveiliging van gegevens in het algemeen en het waarborgen van de privacy bij de verstrekking van gegevens in het bijzonder. Hierbij is nog geen sprake van een volledig beheerste situatie Actuele ontwikkelingen en verbetermaatregelen In de rapportage over 2000 heeft IWI aangegeven dat in het kader van de vorming van UWV wordt gewerkt aan het koppelen van systemen en gegevensbestanden van de huidige uitvoeringsinstellingen. In de nieuwe situatie blijven de hierboven gesignaleerde risico s dan ook niet beperkt tot de betreffende uitvoeringsinstelling, maar kunnen deze gevolgen hebben voor het gehele UWV. IWI heeft er bij UWV op aangedrongen om eisen op het gebied van beveiliging en privacy op een structurele wijze te betrekken bij het koppelen van en/of nieuw te ontwikkelen systemen en infrastructuur en deze op de hier bedoelde terreinen versneld tot afronding te brengen. IWI heeft vastgesteld dat dit onderwerp binnen de Raad van Bestuur van UWV de aandacht heeft gekregen. IWI heeft de daadwerkelijke effectuering van maatregelen nog niet kunnen vaststellen. IWI heeft bij UWV aangekondigd deze effectuering van genoemde maatregelen gedurende 2002 intensief te zullen monitoren. 18 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

19 Voor de toetsing of UWV voldoet aan de eisen met betrekking tot privacy en gegevensbeheer volgens de Wet bescherming persoonsgegevens en wet Structuur Uitvoering Werk en Inkomen zal IWI vanaf 2002 aansluiten bij de ontwikkelde Aanpak Privacy Audit door het College bescherming persoonsgegevens. De Raad van Bestuur van UWV heeft medegedeeld dat met betrekking tot de toetsing de Accountantsdienst UWV vanaf 2002 een mededeling gegevensbeheer zal afgeven op basis van het door het College bescherming persoonsgegevens ontwikkelde Raamwerk Privacy Audit. Waar nodig zal de accountantsdienst de onderzoeksresultaten per voormalig uitvoeringsinstelling verbijzonderen, waarbij zij als vanzelfsprekend voor ieder voormalig uitvoeringsinstelling een gelijkluidend referentiekader zal hanteren. 2.4 Slotconclusie werknemersverzekeringen ICT bij de uitvoeringsinstellingen is van groot belang, is volop in ontwikkeling en blijft een kwetsbaar punt. Zowel op het terrein van de general computer controls als ook bij het dienstenniveaubeheer en gegevensbeheer constateert IWI significante tekortkomingen. Deze tekortkomingen kunnen, naar de mening van IWI, risico's met zich meebrengen voor de continuïteit en de betrouwbaarheid van de geautomatiseerde gegevensverwerking zowel voor nu als in de toekomst. Hierbij vormen de goede overgang van processen die in 2001 bij de voormalige uitvoeringsinstellingen waren ondergebracht (het going concern) alsmede de toekomstige integratie en migratie van deze processen binnen UWV, aandachtspunten. 19 Inspectie Werk en Inkomen ICT werknemers- en volksverzekeringen

20

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Financiële scheiding publiek en privaat bij uitvoeringsinstellingen

Financiële scheiding publiek en privaat bij uitvoeringsinstellingen Inspectie Werk en Inkomen Financiële scheiding publiek en privaat bij uitvoeringsinstellingen Zesde vervolgrapportage ontvlechting Inspectie Werk en Inkomen Financiële scheiding publiek en privaat bij

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging UWV Informatiebeveiliging Een schets 1 Informatiebeveiliging UWV Platform Informatiebeveiliging 25-05-05 drs G.Bayens MBA drs Guido Bayens MBA UWV Concern ICT Hoofd Afdeling Beleid & Architectuur Adviseur

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Regelgeving. Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert

Regelgeving. Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert Inhoudsopgave 1. Algemeen 3 1.1 Doel van de certificeringsprocedure 3 1.2 Reikwijdte van de certificeringsprocedure

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten

Interne beheersing: Aan assurance verwante opdrachten Interne beheersing: Aan assurance verwante opdrachten Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening op de Kwaliteitstoetsing (RA s) is het accountantskantoor geselecteerd voor

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

16R.00003 RAADSINFORMATIEBRIEF 16R.00003. college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

16R.00003 RAADSINFORMATIEBRIEF 16R.00003. college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster RAADSINFORMATIEBRIEF 16R.00003 gemeente WOERDEN Van college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster Portefeuille(s) Contactpersoon : sociaal domein

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

MEMO AAN DE GEMEENTERAAD

MEMO AAN DE GEMEENTERAAD MEMO AAN DE GEMEENTERAAD Aan T.a.v. Datum Betreft Van Ons kenmerk CC De gemeenteraad - 23 maart 2012 Interim-controle 2011 Deloitte Het college 112623 Paraaf Datum Controller RP 22-3-2012 Directie Geachte

Nadere informatie

Socofi Algemene voorwaarden

Socofi Algemene voorwaarden Socofi Algemene voorwaarden Module 5: Application Service Provision / SAAS / Computerservice Socofi Weboplossingen 1. Toepasselijkheid 1.1 De ICT~Office Voorwaarden bestaan uit de module Algemeen aangevuld

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Oordeel over de kwaliteit van de verantwoording 2002 van CWI en BKWI

Oordeel over de kwaliteit van de verantwoording 2002 van CWI en BKWI Inspectie Werk en Inkomen Directie Toezicht CWI, SVB en samenwerking De minister van Sociale Zaken en Werkgelegenheid De heer mr. A.J. de Geus Postbus 90801 2509 LV DEN HAAG Postbus 100 2700 AC Zoetermeer

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

d. Het controleprotocol is geen werkprogramma, maarde geeft een aantal minimale eisen ten aanzien van de verplicht uit te voeren controlepunten.

d. Het controleprotocol is geen werkprogramma, maarde geeft een aantal minimale eisen ten aanzien van de verplicht uit te voeren controlepunten. CONTROLEPROTOCOL AANGAANDE HET GEVEN VAN AANWIJZINGEN OVER DE REIKWIJDTE EN INTENSITEIT VAN DE ACCOUNTANTSCONTROLE IN HET KADER VAN INVESTERINGPROGRAMMA S AGENDA VAN TWENTE EN INNOVATIE PROGRAMMA TWENTE

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

OVEREENKOMST TUSSEN CENTRAAL JUSTITIEEL INCASSOBUREAU BELASTINGDIENST

OVEREENKOMST TUSSEN CENTRAAL JUSTITIEEL INCASSOBUREAU BELASTINGDIENST OVEREENKOMST TUSSEN CENTRAAL JUSTITIEEL INCASSOBUREAU & BELASTINGDIENST DV 506 1Z*1ED DE ONDERGETEKENDEN: Centraal Justitieel Incassobureau, ten deze vertegenwoordigd door de heer mr. drs. A. Regtop, Algemeen

Nadere informatie

Bijlage 4 Kwaliteitstoets/beheersmodel audit

Bijlage 4 Kwaliteitstoets/beheersmodel audit Bijlage 4 Kwaliteitstoets/beheersmodel audit 1 Uitgangspunten Kwaliteitstoets/Beheersmodel audit Uitgangspunt is dat de zorgverzekeraar alle doelmatige en noodzakelijke fysiotherapeutische zorg vergoedt.

Nadere informatie

3 e Voortgangsrapportage dienst

3 e Voortgangsrapportage dienst 3 e Voortgangsrapportage dienst Inleiding De dienst OCW heeft een plan van aanpak verbetering kwaliteit jaarrekening opgesteld. Over de uitvoering van dit plan van aanpak is twee maal eerder via voortgangsrapportages

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Bijlage 4 Kwaliteitstoets/beheersmodel audit

Bijlage 4 Kwaliteitstoets/beheersmodel audit Bijlage 4 Kwaliteitstoets/beheersmodel audit 1 Uitgangspunten Kwaliteitstoets/Beheersmodel audit Uitgangspunt is dat de zorgverzekeraar alle doelmatige en noodzakelijke fysiotherapeutische zorg vergoedt.

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 1 Algemeen Op grond van de Kaderverordening Subsidieverstrekking van de gemeente Alkmaar kunnen subsidies worden verstrekt.

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

REGLEMENT AUDITCOMMISSIE WONINGBOUWVERENIGING OUDEWATER

REGLEMENT AUDITCOMMISSIE WONINGBOUWVERENIGING OUDEWATER REGLEMENT AUDITCOMMISSIE WONINGBOUWVERENIGING OUDEWATER Auditcommissie reglement def Pag. 1 Missie / doelstellingen De auditcommissie is een vaste commissie van de Raad van Toezicht. De auditcommissie

Nadere informatie

Privacy Reglement Flex Advieshuis

Privacy Reglement Flex Advieshuis Privacy Reglement Flex Advieshuis Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In aanvulling op de Wet bescherming persoonsgegevens en het Besluit Gevoelige Gegevens wordt in dit reglement

Nadere informatie

Bijlage 4 Kwaliteitstoets/beheersmodel audit

Bijlage 4 Kwaliteitstoets/beheersmodel audit Bijlage 4 Kwaliteitstoets/beheersmodel audit 1 Uitgangspunten Kwaliteitstoets/Beheersmodel audit Uitgangspunt is dat de zorgverzekeraar alleen doelmatige en noodzakelijke fysiotherapeutische zorg vergoedt.

Nadere informatie

ONDERZOEK NAAR KWALITEITSVERBETERING MBO OP OPLEIDINGSNIVEAU

ONDERZOEK NAAR KWALITEITSVERBETERING MBO OP OPLEIDINGSNIVEAU ONDERZOEK NAAR KWALITEITSVERBETERING MBO OP OPLEIDINGSNIVEAU Landstede te Zwolle Luchtvaartdienstverlening Secretariële beroepen (Secretaresse) Juridisch medewerker (Juridisch medewerker openbaar bestuur)

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

SAMENWERKINGSOVEREENKOMST LEERPLICHT Gemeente Capelle aan den IJssel en gemeente Krimpen aan den IJssel

SAMENWERKINGSOVEREENKOMST LEERPLICHT Gemeente Capelle aan den IJssel en gemeente Krimpen aan den IJssel SAMENWERKINGSOVEREENKOMST LEERPLICHT Gemeente Capelle aan den IJssel en gemeente Krimpen aan den IJssel Ondergetekenden: 1. de gemeente Capelle aan den IJssel, te dezen vertegenwoordigd door M.J. van Cappelle,

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

WBP Zelfevaluatie. Privacygedragscode (VPB)

WBP Zelfevaluatie. Privacygedragscode (VPB) WBP Zelfevaluatie Privacygedragscode (VPB) April 2004 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Praktijkhandreiking 1108. Toegang tot relevante informatie voor de opvolgende accountant in het kader van een controle

Praktijkhandreiking 1108. Toegang tot relevante informatie voor de opvolgende accountant in het kader van een controle Toegang tot relevante informatie voor de opvolgende accountant in het kader van een controle Versie 1.0 Datum: 10 februari 2010 Herzien: Onderwerp: Van toepassing op: Status: Relevante wet en regelgeving:

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Hellendoom. Aan de raad. III II III IIII IIII III III II (code voor postverwerking)

Hellendoom. Aan de raad. III II III IIII IIII III III II (code voor postverwerking) Punt 11. : Controleprotocol jaarrekeningen G 6 m 6 6 R T 6 2011 tot en met 2014 _- sa. Hellendoom Aan de raad Samenvatting: De accountant geeft bij de jaarrekening een controleverklaring af waarin zowel

Nadere informatie

Stichting Bewaarder Robeco

Stichting Bewaarder Robeco Stichting Bewaarder Robeco Jaarrekening over het boekjaar 2013 Stichting Bewaarder Robeco INHOUDSOPGAVE Pagina Algemene informatie 1 Verslag van het Bestuur 2 Algemeen 2 Ontwikkelingen gedurende het verslagjaar

Nadere informatie

Kunnen MKB-ondernemers de weg nog vinden? Veranderingen in de sociale zekerheid

Kunnen MKB-ondernemers de weg nog vinden? Veranderingen in de sociale zekerheid Kunnen MKB-ondernemers de weg nog vinden? Veranderingen in de sociale zekerheid Peter Brouwer Zoetermeer, april 2003 Dit onderzoek maakt deel uit van het programmaonderzoek MKB en Ondernemerschap, dat

Nadere informatie

1. Inleiding 2 1.1. De opdracht die u ons hebt verstrekt 2 1.2. Onze onafhankelijkheid is gewaarborgd 3 1.3. Frauderisico-analyse en beheersing 3

1. Inleiding 2 1.1. De opdracht die u ons hebt verstrekt 2 1.2. Onze onafhankelijkheid is gewaarborgd 3 1.3. Frauderisico-analyse en beheersing 3 Aan het algemeen bestuur van Gemeenschappelijke regeling Gemeenschappelijk Belastingkantoor Lococensus-Tricijn t.a.v. de heer B. Groeneveld Postbus 1098 8001 BB ZWOLLE drs. M.C. van Kleef RA Accountantsverslag

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Controleprotocol Jaarrekening Gemeente De Bilt 2014

Controleprotocol Jaarrekening Gemeente De Bilt 2014 Behoort bij raadsbesluit d.d. 29 januari 2015 tot vaststelling van het 'Controleprotocol 2014'. Controleprotocol Jaarrekening 2014 Inhoudsopgave 1. Samenvatting... 3 2. Inleiding... 3 2.1 Doelstelling...

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen?

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen? 5 Procescriteria In dit hoofdstuk komen achtereenvolgens aan de orde: Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Onderzoekscommissie Steenwijkerland

Onderzoekscommissie Steenwijkerland Onderzoekscommissie Steenwijkerland Adviesrapportage onderzoek verbouwing De Meenthe (2) 1 oktober 2012 Colofon Een onderzoek door de raad is een op waarheidsvinding gericht onderzoek naar een specifiek

Nadere informatie

Beoordelingskader Dashboardmodule Claimafhandeling

Beoordelingskader Dashboardmodule Claimafhandeling Beoordelingskader Dashboardmodule Claimafhandeling I. Prestatie-indicatoren Een verzekeraar beschikt over verschillende middelen om de organisatie of bepaalde processen binnen de organisatie aan te sturen.

Nadere informatie

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer)

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer) Vergadering: 11 december 2012 Agendanummer: 12 Status: Besluitvormend Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 E mail: gemeente@winsum.nl (t.a.v. J. van der

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding Medewerkers van Sociale Zaken beschikken over de mogelijkheid om gegevens van klanten te controleren

Nadere informatie

Burgemeester en Wethouders

Burgemeester en Wethouders Burgemeester en Wethouders Aan de gemeenteraad Datum 17 mei 2011 Contactpersoon V. van der Heide Ons kenmerk DIV-2011-8785 Doorkiesnummer 5165212 Onderwerp Reactie verslag van bevindingen externe accountant

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) 7 november 2013 1 Inhoud

Nadere informatie

Advies commissie BBV aan ministerie van BZK mei 2013. Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording

Advies commissie BBV aan ministerie van BZK mei 2013. Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording Samenvatting Mede op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft de commissie BBV een onderzoek

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement Bureau Streefkerk B.V. Privacyreglement Bureau Streefkerk B.V. Inleiding Van alle personen die door Bureau Streefkerk worden begeleid, dat wil zeggen geadviseerd en ondersteund bij het zoeken, verkrijgen en behouden van een

Nadere informatie

Aanbesteden van ICT: de business case

Aanbesteden van ICT: de business case Regionale bijeenkomsten Nevi en Pianoo.....< ICT, met de i van inkoop! Aanbesteden van ICT: de business case Mr J.A. (John) Konijn 24 maart 2009. Voorstel agenda Kennismaking Inventarisatie thema s en

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie no 4: 1 juli

Nadere informatie

Wees in control over uw digitale landschap

Wees in control over uw digitale landschap Managed Services Managed Services We zorgen ervoor dat uw complete beheerketen soepel functioneert, zodat uw eindgebruikers optimaal worden bediend. Zorgenvrij beheer is cruciaal voor de continuïteit van

Nadere informatie

Functieprofiel: Teamleider Functiecode: 0203

Functieprofiel: Teamleider Functiecode: 0203 Functieprofiel: Teamleider Functiecode: 0203 Doel Plannen en organiseren van de werkzaamheden en aansturen van de medewerkers binnen een team, binnen het vastgestelde beleid van een overkoepelende eenheid

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

Vast te stellen het volgende in artikel 14 van de Subsidieverordening Rotterdam 2014 bedoelde SVR2014-subsidiecontroleprotocol.

Vast te stellen het volgende in artikel 14 van de Subsidieverordening Rotterdam 2014 bedoelde SVR2014-subsidiecontroleprotocol. Bijlage bij Subsidieverordening Rotterdam 2014 Het college van Burgemeester en Wethouders van de gemeente Rotterdam, Gelet op artikel 14 van de Subsidieverordening Rotterdam 2014; Besluiten: Vast te stellen

Nadere informatie