Onderzoeksrapport UWV BD

Vergelijkbare documenten
Rapport van feitelijke bevindingen Naleving contractvoorwaarden UWV. definitief

Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland

Auditdienst Rijk Ministerie van Financiën. Onderzoeksrapport Met betrekking tot de door de ADR uitgevoerde review van de steekproef Wtcg 2014

Onderzoeksrapport Onderbouwing eerste voortgangsrapportage jaarplan 2019 Belastingdienst. definitief

BEWERKERSOVEREENKOMST OV-CHIPKAART GEGEVENS in de zin van de Wet bescherming persoonsgegevens

BLAD GEMEENSCHAPPELIJKE REGELING

Rapport van bevindingen Rapport bij Financieel Verslag Uitvoeringstaken 2015 van het Zorginstituut Nederland

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

Reglement bescherming persoonsgegevens Nieuwegein

2. De besloten vennootschap 123webshop, kantoorhoudende te () aan, hierbij rechtsgeldig vertegenwoordigd door, hierna te noemen: Verwerker

Rapport van feitelijke bevindingen inzake uitvoering specifiek overeengekomen werkzaamheden uitvoeringskosten CAK bij CJIB 2018

Rapport van bevindingen Privacy Informatie Ondersteund Beslissen

Privacyverklaring Karin van der Donk Z.O.M. Zorg op Maat

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

BEWERKERSOVEREENKOMST

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Auditdienst Rijk Ministerie van Financiën. Onderzoeksrapport Audit Fraudeonderzoek door Belastingdienst

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

Verwerkersovereenkomst

PRIVACY VOORWAARDEN. Pagina 1 6

AdviesburoPurmerend BV begrijpt dat AVG-wetgeving continu van toepassing is en dat wij de gegevens regelmatig moeten controleren en updaten.

PRIVACYVERKLARING BOEK9.NL

1... gevestigd te vertegenwoordigd door., in de functie van,

Artikel 3 Categorieën personen, opgenomen in het bestand Het bestand bevat uitsluitend gegevens van cliënten, opdrachtgevers en medewerkers.

Informatiebeveiligingsplan

BEWERKERSOVEREENKOMST

Rapport aan de minister over het onderzoek van het Financieel jaarverslag van bet Rijk over bet jaarzoi6,envan desaldibalans van bet Rijk per

Privacy Policy Kinderdagverblijf Robbedoes BV Heel.

Verwerkersovereenkomst Openworx

Versie Privacyvoorwaarden

Assurancerapport bij de aanvraag tot vaststelling van de beschikbaarheidbijdrage (medische) vervolgopleidingen 2016

2018 Privacy Reglement

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

Algemene verordening gegevensbescherming (AVG / GDPR) Warmtemeterservice B.V. versie 0.96 /

P R I V A C Y R E G L E M E N T

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

VERWERKERSOVEREENKOMST VERWERKER

BEWERKERSOVEREENKOMST

Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1-

PRIVACYVERKLARING COUNTUS GROEP B.V.

Rapport van bevindingen Hercontrole n.a.v. privacy audit Wpg FIOD

Algemene Verordening Gegevensbescherming

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

VERWERKERSOVEREENKOMST VERSTEGEN ACCOUNTANTS EN BELASTINGADVISEURS B.V.

AVG Verklaring

PRIVACYVOORWAARDEN. 3.3 De zeggenschap over de Gegevens komt nooit bij Bewerker te rusten. Versie

Privacy Policy

Privacyvoorwaarden (verwerkersovereenkomst ex artikel 28 lid 3 AVG)

DAAD Architecten BV zorgt in ieder geval voor het volgende:

PRIVACYREGLEMENT THAELES BV. Baarlo, 15 september Privacyreglement Thaeles

PRIVACY BELEID. Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;

Privacy beleid Haptotherapie Praktijk Ineke Los-de Mare

Auditdienst Rijk Ministerie van Financiën. Rapportage inzake werkzaamheden financiële geldstroom ZIN bij het CJJB 2016

Gegevensverzameling en gegevensverwerking

Artikel 3 Categorieën personen, opgenomen in het bestand Het bestand bevat uitsluitend gegevens van cliënten opdrachtgevers en medewerkers.

Privacy beleid. Privacy beleid. Documentcode: SKM.administratie-AVG privacy-skm/ MS. Versiedatum: Stichting Kinderopvang

Verwerkersvoorwaarden

PRIVACYVERKLARING. versie: mei 2018

BEWERKERSOVEREENKOMST

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Privacy Verklaring versie

Contactgegevens. Privacy beleid SKD Kinderopvang B.V.

Privacy statement Morgan Black werving & selectie BV

Privacyreglement Gidiz. versie mei 2018

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

ARTIKEL 1 - ALGEMENE EN BEGRIPSBEPALINGEN

0.1 Opzet Marijn van Schoote 4 januari 2016

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

1. Hoeveel verantwoordelijken zijn er voor deze gegevensverwerking? 1 verantwoordelijke (ga naar vraag 1.3)

Voorwaarden Verwerking persoonsgegevens (Bewerkersovereenkomst)

VERWERKERSOVEREENKOMST

Privacy document. Beveiligingsmaatregelen en privacyverklaring. Opgesteld door: Edwin Klijn

Privacyreglement Stichting Queridon taal & horeca September 2017

Wij, als InPrintMatter BV, hechten veel waarde aan een goed beheer van uw privacy gevoelige gegevens.

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

VERWERKERSOVEREENKOMST [BEDRIJFSNAAM] HUMAN CAPITAL GROUP B.V.

Privacyreglement AMK re-integratie

Werkzaamheden uitvoeringskosten

In dit reglement geeft ADMINISTRATIEF & LOGISTIEK SERVICEBUREAU ADR aan op welke wijze het omgaat met privacy en persoonsgegevens.

VERWERKERSOVEREENKOMST

Voor de bovenstaande doelstelling(en) kan Volkers de volgende persoonsgegevens van u vragen:

Algemene verordening gegevensbescherming. (Privacyverklaring) Warmtemeterservice B.V. versie 0.90 /

Verwerking van persoonsgegevens van klanten of leveranciers

Bewerkersovereenkomst

Rapport van bevindingen

Auditdienst Rijk Ministerie van Financiën

Protocol informatiebeveiligingsincidenten en datalekken VSNON

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

BEWERKERSOVEREENKOMST EMATTERS

TVDW ADMINISTRATIEVE BEGELEIDING. Privacy document. Beveiligingsmaatregelen en privacyverklaring. Twan van de Wiel B.V

Privacyreglement Swadon BV

Privacyverklaring. Afdeling VvE beheer Heyen Makelaars. Laatste wijziging: 9 januari 2019

Hockeyvereniging Victoria. Privacyverklaring. Vastgesteld door de Algemene Ledenvergadering d.d. [ ]

intergl recruitment privacyverklaring

Privacy en Cookie Policy

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Binnen onze specialistische hulp, met onze professionele begeleiding verwerkt Vitaalpunt je gegevens ten behoeve goede zorg en hulpverlening.

Privacy Policy GigWorld Entertainment & Eventpartner

Verwerkersovereenkomst

Transcriptie:

4

Onderzoeksrapport UWV BD Leverïngsvoorwaarden Versïe: definitief Documentnummer: 2017-0000068149 Uitgebracht aan: B/CAP Apeldoorn, 29 maart 2017 Maart 2017 1 Rapport UWV Leveringsvoorwaarden GLV2595

1. Aanleiding opdracht 2. Autorisaties en vernietiging voldoen niet aan voorwaarden 3. Bevindingen 4. Aanbevelïngen 5. Verantwoording onderzoek 6. Ondertekening 7. Bijlage Maart 2017. j Rapport UWV Leveringsvoorwaarden GLV2595 Inhoud

Eind maart 2016 is tussen UWV en de Belastingdienst een contract afgesloten over de levering van persoonsgegevens uit de Polis+ administratie door UWV aan de Belastingdienst ten behoeve van gebruik ervan binnen het ïnvorderingsproces. De overdracht van deze gegevens heeft vanaf april 2016 plaatsgevonden op fysieke gegevensdragers (DVD). Het onderzoek heeft als doel de opdrachtgever meet inzicht te verschaffen in de mate waarin het proces van de gegevensleveringen tussen UWV en de Belastingdienst en het gebruik van de geleverde gegevens ten behoeve van het invorderingsproces, voldaan heeft aan de gestelde voorwaarden uit het afgesloten contract. Per onderdeel van het contract dat is onderzocht is aangegeven wat de aangetroffen situatie is. Het onderzoek heeft plaatsgehad medio januari/februari 2017 en is gericht op het volgende proces: de wekelijkse gegevensleveringen door UWV aan de Belastingdienst CAP/IVG van gegevens uit de POLIS+ administratie; de doorgifte vanuit IVG van deze gegevens naar organisatieonderdeel D&A en de stappen waarmee een subset van deze gegevens vervolgens door D&A beschikbaar wordt gesteld aan het invorderingsproces. De onderzoeksvraag is de volgende: In hoeverre voldoen het proces van gegevensleveringen tussen UWV en de Belastingdienst, en het gebruik van de geleverde gegevens ten behoeve van het invorderingsproces, aan de gestelde voorwaarden uit het contract? 3 Maart 2017 1 Rapport UWV Leveringsvoorwaarden GLV2595 1. Aanleiding opdracht

Bewaartermij n De gegevens worden vervolgens door D&A opgeslagen en bewerkt in de Teradata omgeving vani. Van deze database wordt wekelijks door IV accent een back-up gemaakt, inclusief de UWV gegevens, die 3 maanden wordt bewaard. Ook van de CAP/IVG interne uitwissel -directory wordt een back-up gemaakt. De voorwaarde ïs dat bij ontvangst van de nieuwe levering de vorige levering wordt vernietigd. 4 Maart 2017 t Rapport UWV Levedngsvoorwaarden GLV2595 2. AutorisaUes en bewaartermijn voldoen niet aan voorwaarden Autorisatïes De op de DVD versleutelde gegevens worden bij ontvangst door CAP/IVG dïrect ontsleuteld en (dus onversleuteld) op een voor CAP/IVG interne uitwissel -directory geplaatst. Voor deze bestandslocatïe zijn 129 medewerkers geautorïseerd en hebben daarmee toegang tot de UWV gegevens. Deze medewerkers zijn niet werkzaam in het loonvorderingsproces. Logging wordt niet bijgehouden. De voorwaarde is dat een beperkt aantal medewerkers geautoriseerd mogen zijn en alleên als zij zich bezighouden met loonvordering of als zij de gegevens elektronisch beschikbaar moeten kunnen stellen.

met variant wordt gebruikt voor versleuteling. Dit is geen bekende standaard voor_cryptografie wel voor compressïe. Variant 1 lis voor versleuteling_sterker. De_gebruikte versie is nietl Itmet recente patches t.b.v. beveiliging) 5 Maart 2017 Rapport UWVLeverlngsvoorwaarden GLV2595 3. BevinUngen (status 10 februari 2017) Voorwaarden Voorziening van wijze van levering Versleuteling met wachtwoord Bevïnding Wachtwoord isi

Wekelijks wordt van de nieuwe gegevenslevering binnen D&A op basis van de delta de oude data ververst (D&A) 6 Maart 2017 1 Rapport UWV Leveringsvoorwaatden GLV2595 3. Bevindingen Voorwaarden Vernïetïgïng DVD in kluis en vernietiging door gecertificeerd bedrijf Vernietiging vorige levering na ontvangst nieuwe gegevenslevering Bevinding Geen bewaring van de DVD in een kluis. Vernietiging van DVD gebeurt door medewerker CAP/IVG Mediaverwerki ng zelf, zonder protocol van vernietiging (CAP/IVG Media verwerking) De oude gegevens worden bij ontvangst van de nïeuwe gegevenslevering op de CAP interne uitwïssel -directory verwijderd (CAP/IVG Media verwerking)

Back-up van beide locaties maakt restore mogelijk. Bewaartermijni is 3 maanden (CAP/IVG) (D&A) (IV Accent) 7 Maart 2017 1 Rapport UWV Leveringsvoorwaarden GLV2595 3. Bevindingen Voorwaarden Bevinding Bewaarterm ii n De door UWV verstrekte gegevens worden niet langer bewaard dan noodzakelijk voor het doel De gegevens staan maximaal een week op een interne bestandslocatie van CAP/IVGI en in de omgeving D&A) ]database (Teradata De gegevens die zijn opgenomen in de Invorderingsdossiers worden 7 jaar na beëindiging van de actualiteitswaarde vernietigd Deze voorwaarde valt binnen het basisbeveiligingsniveau van de Belastingdienst, waarin de eisen uit de Archiefwet zijn opgenomen, en daarmee buiten de scope van dit onderzoek (CAP)

8 Maart 2017 1 Rapp&t UWV Leveringsvoorwaarden GLV2595 3. Bevindîngen Voorwaarden Eevinding Autorisatie De toegang tot en gebruik van UWV gegevens bij Afnemer blijft beperkt tot de personen die zich bezighouden met het uitvoeren van die behandelopdrachten t.b.v. de invordering, waarvoor de UWV gegevens relevant zijn (w.o. het doen van loonvordering en het (laten) leggen van executoriaal beslag De gegevens staan onversleuteld op een algemenel Idirectory van CAP waar 129 medewerkers, die zich niet bezighouden met de invordering, toegang toe hebben. Er wordt geen logging bijgehouden (CAP/IVG) Middels de appllcatie Debiteuren Inzicht (DI) kunnen medewerkers die zich bezighouden met de invordering de gegevens uit het datafundament LOON benaderen. Het beheer van autorisaties van DI en het invorderingsproces is binnen het basisbeveiligingsniveau geregeld (CAP)

Ihebben 9 Maart 2017 t Rapport UWV Leveringsvoorwaarden GLV2595 3. Bevndngen Voorwaarden Autorisatie De toegang tot de UWV gegevens is voor een beperkt aantal personen bij Afnemer noodzakelijk in verband met het elektronisch beschikbaar kunnen stellen van de gegevens ten behoeve van invorderingsdoeleinden Bevinding Volgens D&A procedure moet maandelijks de monitoring van de logging (200 dagen bewaard) en beheer van autorisaties plaatsvinden. Het afgelopen jaar heeft dit twee maal plaatsgevonden (D&A) Op de Teradata omgeving van Doelbïnding Afnemer verklaart dat de door UWV geleverde gegevens uitsluitend voor de uitvoering van de genoemde taak (doen van loonvordering) en niet voor andere doeleinden worden gebruikt 72 unieke userid s toegang met minimaal leesrechten (mci. nieuwe datagebîeden) (D&A) Een selectie van de debiteurengegevens (met verhaalsmogelijkheid) wordt uitsluitend binnen de invordering gebruikt, met behulp van de applicaties WAB, Dynamisch Monitoren (DM) / Debiteuren Inzicht (DI) (D&A)

Gebruik voor versleuteling een tool gebaseerd op een risicoafweging en dan altijd de laatste versie. Bij keuze voori is het gebruik van de sterkere varianti voor encryptie aan te bevelen (UWV) Ontsleutel de_gegevens zo laat mogelijk in het proces. Bij voorkeur bij het overzetten van del Idirectory naar deteradataomgeving (CAP/IVG) 10 Maart 2017 1 Rapport UWV Leveringsvoorwaarden GLV2595 4. Aanbevelingen Voorziening van wijze van levering Onderzoek de mogelijkheid om uitsluitend de delta van de Polis+ gegevens te leveren. Hierdoor wordt de bestandsgrootte kleiner en zo mogelijk de elektronische levering via het UWV portaal een optie (UWV, CAP/IVG) Genereer voor iedere levering een nieuw wachtwoord Vernietiging Gebruik de term vernietiging uitsluitend in relatie tot de fysieke gegevensdrager (UWV) Bewaartermijn 1 Maak geen back-up van de (IV accent) Maak geen back-up van de bestandsiocatie op de interne uitwissel -directory (CAP/IVG)

11 Maart 2017 Rapport UWV Leverngsvoorwaarden GLV2595 - r 4. Aanbevelingen Autorisatie Beperk de uitgifte van autorisaties tot de interne uitwissel -directory uitsluitend tot medewerkers die de noodzakelijke technische handelingen moeten verrichten om de gegevens ten behoeve van invorderingsdoeleinden elektronisch beschikbaar te kunnen stellen (CAP/IVG) Beperk de uitgifte van autorisaties tot de uitsluitend tot medewerkers die de noodzakelijke technische handelïngen moeten venicehten om de gegevens ten behoeve van invorderingsdoeleinden elektronisch beschikbaar te kunnen stellen (D&A) Volg de procedure autorisatie voor het maandelijks monitoren van de logging (D&A) Algemeen Beperk de voorwaarden in een specifieke overeenkomst tot de aanvullende eisen op het basisbeveilïngsniveau. Bijv.: de bewaringstermijn van 7 jaar is al een vereiste (UWV)

12 Maart 2017 1 Rapport UWV Leveringsvoorwaarden GLV2595 5. Verantwoordïng onderzoek Scope Overeenkomst GLV2595 (Aanvullende) Leveringsvoorwaarden t Voorziening van wijze van levering: Koerier; DVD; versleuteling Autorisatïes: beperkt aantal personen ten behoeve van het elektronisch beschikbaar stellen van de UWV gegevens; beperkt tot de personen die zich bezighouden met de invordering Doelbinding: loonvotdering Eewaartermijn: niet langer dan noodzakelijk; in invorderïngsdossiers: 7 jaar na actualiteitswaarde Vernietïgïng: na ontvangst volgende leverïng

13 Maart 2017 l Rapport UWV Leveringsvoorwaarden GLV2595 5. Verantwoording onderzoek Afbakening Onderzoeken t Basisbeveilïgïngsnïveau) Belastingdienst In dit onderzoek is niet de werking van het basisbeveiligingsniveau van de Belastingdienst onderzocht. Evenmin is onderzoek gedaan naar de werking van het beveiligingsniveau van D&A in algemene zin (zie het onderzoek Autoriteit Persoonsgegevens). Inzicht ïn de kwaliteit van het basisbeveiligingsniveau wordt verschaft door onderzoeken uitgevoerd door de Belastingdienst zelf. De Belastingdienst zal in 2017 zelf een intern onderzoek uitvoeren naar het gegevensgebruik bij D&A: Doel van dit onderzoek is om aan de hand van in elk geval beschikbare loggegevens over gebruik van systemen, applicaties en data bij D&A vanaf de oprichting op 1 februari 2016 tot heden, vast te stellen of getracht is daadwerkelijk gegevens van belastingplichtigen, belastingschuldigen of toeslaggerechtigden buiten de Belastingdienst te brengen. Onderzoek Autoriteit Persoonsgegevens Gedurende dit onderzoek is door de Autoriteit Persoonsgegevens tap) ook een onderzoek opgestart binnen D&A met de volgende scope. De Autoriteit Persoonsgegevens (AP) onderzoekt daarbij de technische en organisatorische maatregelen die de Belastingdienst, met betrekking tot D&A en wat er eventueel aan voorafging, heeft getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking in de zin van artikel 13 van de Wbp. De AP richt zich op de periode teruggaand tot 1 januari 2013. In het bijzonder richt het onderzoek zich op het verkrijgen van inzicht in de wijze waarop het loggen en de toegang tot data (waaronder de autorisatie) bij D&A is/was georganiseerd. Het AP onderzoek richt zich ook op de controle op incidenten, waaronder incidenten in het kader van artikel 34 (datalek). Als gevolg van een andere scope en diepgang van uitgevoerde werkzaamheden kunnen uit deze onderzoeken meer en andere bevindingen naar voren komen die ook betrekking hebben op het object van onderzoek in onderhavige rapportage.

- -- Schema: Afbakening Invorderingsproces ED 1 1 1 Signalen in Dynamisch DI-Ipad 2 Productiaag DI-UC WAS Monitoren-Part. - deurw. Ie, S fl S S S 1 An3lytics!aag : T 1 e i 1 M ellen 1 1 = = tnformatielaag 1 : Gegevenslaag - 7F rule Ge4vensverwerking 1 Ruwe brondata i 1-1I_-_ l -S- ii CAP/ Inwinnen en Verstrekten Gegevens 1 t 1 Het ADR i ADR onderzoek richt zich uitsluitend op de aanvullende afspraken die t gemaakt zijn in de overeenkomst tussen de Belastingdïenst en UWV: t dzoek Gegevenslevering ten behoeve van derdenbeslag, GLV2595. IS S S la 14 Maart 2017 1 Rapport UWV Leveringsvoorwaarden GLV2595

15 Maart 2017 Rapport UWV Leveringsvoorwaarden GLV2595 5. Verantwoording onderzoek Verspreidïng rapport De opdrachtgever, CAP (plv.) van dit rapport. is eigenaar De ADR is de interne auditdienst van het Rijk. Dît rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende mînisterie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website.

In dit rapport wordt geen zekerheid verschaft, omdat er geen assurance-opdracht is uitgevoerd. 5. VerantWoording onderzoek Gehanteerde Standaard Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing. 16 Maart 2017 1 Rapport UWV Leveringsvoorwaarden GLV2595

6. Ondertekening Dit onderzoeksrapport is opgesteld door: Auditmanager Apeldoorn, 29 maart 2017 Auditdienst Rijk

7. Bijlage Geïntervïewde medewerkers Belastingdienst Medewerkers CAP/IVG (6) Medewerkers D&A (5) Medewerkers IV accent (2) uwv Medewerker Gegevensdîensten (1)

Belastingdienst Apeldoorn F11efl11 C) Managementreactie op rapport ADR UWV ED Leveringsvoorwaarden dd 29 maart 2017 Datum 8juni 2017 Van Auteur Inleiding Kopie aan In dit memo staat de reactie van B/CAP op de bevindingen en aanbevelingen van het ADR-rapport UWV ED Leveringsvoorwaarden gedateerd 29 maart 2017 met documentnummer: 2017-0000068149. Het betreft een vraaggestuurde audit vanuit B/CAP gebaseerd op de gemaakte afspraken tussen UWV en Belastingdienst over de uitvoering van een dergelijke audit. Bijlagen Rapport ADR Onderzoeksrapport UWV 80 Leverinsgvoorwaarden dd 29 maart 2017 De kern van de audit is het onderzoeken of de door UWV geleverde loongegevens worden vernietigd als blijkt dat deze voor het gebruik ten behoeve van de invordering geen doel dienen. En tevens dat het gebruik van de loongegevens, die wel ten dienste van de invordering staan, beperkt blijft tot het doel van de invordering. Hierna wordt in meer detail ingegaan op de bevindingen en aanbevelingen. Tevens worden de acties als uitvloeisel van de aanbevelingen uit het rapport weergegeven. Algemeen Conform de opdracht heeft de ADR eind maart 2017 de onderzoeksresultaten opgeleverd. De scope van de audit is beschreven in Hoofdstuk 5 van de rapportage en sluit aan met de betreffende opdracht. De in hoofdstuk 2 van het rapport opgenomen bevindingen over autorisaties en bewaartermijnen komen ook naar voren in de bevindingen en aanbevelingen en worden daar dan ook behandeld. Bevindingen en aanbevelingen In hoofdstukken 3 en 4 van het rapport worden de bevindingen en aanbevelingen gedaan. Hierna zijn deze, conform de groepering van Hoofdstuk 4 van het rapport, van een managementreactie voorzien. Voorziening van wijze van levering Als aanbevelingen worden de volgende items door de ADR genoemd: a. Onderzoek de mogelijkheid om uitsluitend de delta van de Polis+ gegevens te leveren. Hierdoor wordt de bestandsgrootte kleiner en zo mogelijk de elektronische levering via het UWV portaal een optie (UWV, CAP/IVG) b. Genereer voor iedere levering c. Gebruik voor versleuteling een tool gebaseerd op een risicoafweging en dan altijd de laatste versie. Bij keuze voofl is het gebruik van de sterkere varianti hoor encryptie aan te bevelen (UWV) d. Ontsleutel de gegevens zo laat mogelijk in het proces. Bij voorkeur bij het overzetten van del Idirectory naar de Teradataomgeving (CAP/IVG) Pagina 1 van 3

Managementreactie: De aanbeveling onder a. tot en met c. zien op een levering via DVD. Recent is de uitwisseling langs elektronische weg via een portaal tot stand gekomen. Daardoor is fysiek transport via DVD niet meer nodig. Alleen in het geval van calamiteiten zal die wijze van levering als terugval mogelijkheid toegepast worden. De aanbeveling onder d. is een optie die nader zal worden onderzocht op mogelijke toepassing. Overigens heeft het direct ontsluiten van de gegevens als voordeel dat al direct na levering de verwerkingsmogelijkheid (technisch correcte bruikbaarheid) van de gegevens vastgesteld kan worden. Indien dit later in het proces blijkt zal dit het risico hebben dat de gegevens niet of pas laat in een nieuwe uitvraag beschikbaar komen. Vernietiging De aanbeveling van de ADR is: a. Gebruik de term vernietiging uitsluitend in relatie tot de fysieke gegevensdrager (UWV) Managementreactie: Doordat de levering nu elektronisch via het portaal loopt is fysieke vernietiging van de DVD niet meer van toepassing. In het geval dat gebruik van het terugval scenario noodzakelijk is en dus levering via een DVD plaats vindt, zal uiteraard naleving gedaan worden. Overigens is ook een nieuwe leverovereenkomst dd. 17 maart 2017 afgesloten waarin de levering via elektronische weg is opgenomen. Bewaartermijn De aanbevelingen van de ADR hierbij zijn: a. Maak geen back-up vani IV accent) b. Maak geen back-up van de bestandslocatie op de interne uitwissel -directory (CAP/IVG) Managementreactie: Het maken van een back-up is uit het oogpunt van betrouwbaarheid van de gegevensverwerking en het veilig stellen van bestanden uiteraard noodzakelijk. In die zin lopen de gegevensbestanden van deze levering gewoon mee in de reguliere back-up procedure die binnen de Belastingdienst wordt toegepast. Het uitzonderen van bepaalde directories en/of gegevensbestanden is iets dat technisch bekeken zal worden op de mogelijkheden. Overigens voorzien we ook een mogelijkheid om in overleg met het UWV te bepalen dat het maken van back ups onder de standaard handelingen vallen, noodzakelijk voor een adequaat beheer. Beide opties zullen worden onderzocht c.q. besproken. Autorisatie De ADR doet hierbij de volgende aanbevelingen: a. Beperk de uitgifte van autorisaties tot de interne uitwissel -directory uitsluitend tot medewerkers die de noodzakelijke technische handelingen moeten verrichten om de gegevens ten behoeve van invorderingsdoeleinden elektronisch beschikbaar te kunnen stellen (CAP/IVG) b. Beperk de uitgifte van autorisaties tot del luitsluitend tot medewerkers die de noodzakelijke technische handelingen moeten verrichten om de gegevens ten behoeve van invorderingsdoeleinden elektronisch beschikbaar te kunnen stellen (D&A) c. Volg de procedure autorisatie voor het maandelijks monitoren van de logging (D&A) Ma na ge me ntrea ctie: Zoals in de gesprekken met het UWV en ook in de overeenkomst is aangegeven is toegang door een beperkt aantal medewerkers noodzakelijk in verband met het elektronisch beschikbaar kunnen stellen van de gegevens ten behoeve van invorderingsdoeleinden. Uit het onderzoek van de ADR komt naar voren dat niet alle medewerkers met toegangsmogelijkheid direct zijn betrokken bij het proces Pagina 2 van 3

van beschikbaar stelling. De Belastingdienst zal onderzoek doen naar de maatregelen om de mogelijkheid tot toegang tot de gegevens verder in te perken tot die medewerkers die daarin een daadwerkelijke rol (kunnen) hebben. Verder zal met D&A overlegd worden om de controle van de logging frequenter invulling te geven. Algemeen Een laatste algemene aanbeveling van de ADR is: a. Beperk de voorwaarden in een specifieke overeenkomst tot de aanvullende eisen op het basisbeveilingsniveau. Bijv.: de bewaringstermijn van 7 jaar is al een vereiste (UWV) Managementreactie: Naar aanleiding van deze rapportage zal de Belastingdienst in overleg met UWV treden om te bezien of het wenselijk is de overeenkomst op dit punt aan te passen. Pagina 3 van 3

a

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback