Rapport van feitelijke bevindingen Naleving contractvoorwaarden UWV. definitief

Vergelijkbare documenten
Onderzoeksrapport UWV BD

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

Rapport van bevindingen Rapport bij Financieel Verslag Uitvoeringstaken 2015 van het Zorginstituut Nederland

Rapport van feitelijke bevindingen inzake uitvoering specifiek overeengekomen werkzaamheden uitvoeringskosten CAK bij CJIB 2018

Auditdienst Rijk Ministerie van Financiën. Onderzoeksrapport Met betrekking tot de door de ADR uitgevoerde review van de steekproef Wtcg 2014

Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland

Reglement bescherming persoonsgegevens Nieuwegein

BLAD GEMEENSCHAPPELIJKE REGELING

Rapport van bevindingen Privacy Informatie Ondersteund Beslissen

Onderzoeksrapport Onderbouwing eerste voortgangsrapportage jaarplan 2019 Belastingdienst. definitief

Auditdienst Rijk Ministerie van Financiën. Rapportage inzake werkzaamheden financiële geldstroom ZIN bij het CJJB 2016

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Rapport van bevindingen Hercontrole n.a.v. privacy audit Wpg FIOD

Werkzaamheden uitvoeringskosten

Privacyreglement Stichting Zorglandgoed 't Huisven

Rapport aan de minister over het onderzoek van het Financieel jaarverslag van bet Rijk over bet jaarzoi6,envan desaldibalans van bet Rijk per

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Assurancerapport bij de aanvraag tot vaststelling van de beschikbaarheidbijdrage (medische) vervolgopleidingen 2016

Artikel 3 Categorieën personen, opgenomen in het bestand Het bestand bevat uitsluitend gegevens van cliënten, opdrachtgevers en medewerkers.

Privacyreglement BedrijfsartsPlus BV

Privacy Verklaring versie

TVDW ADMINISTRATIEVE BEGELEIDING. Privacy document. Beveiligingsmaatregelen en privacyverklaring. Twan van de Wiel B.V

ARTIKEL 1 - ALGEMENE EN BEGRIPSBEPALINGEN

BEWERKERSOVEREENKOMST

Agentschap BPR DGBK/BPR

Privacyverklaring InterKid Gastouderbureau

Dental Medical Care BV. Privacy statement

Artikel 3 Categorieën personen, opgenomen in het bestand Het bestand bevat uitsluitend gegevens van cliënten opdrachtgevers en medewerkers.

CIOT-bevragingen Proces en rechtmatigheid

Assurancerapport Monitoringsplan PPS Rijkskantoor de Knoop Utrecht definitief

Privacyreglement Stichting Queridon taal & horeca September 2017

Handleiding uitvoering ICT-beveiligingsassessment

Gelet op de artikelen 3.1 en 3.2 van de Wet basisregistratie personen wordt op dit verzoek als volgt besloten.

Auditdienst Rijk Ministerie van Financiën. Onderzoeksrapport Audit Fraudeonderzoek door Belastingdienst

Privacy document. Beveiligingsmaatregelen en privacyverklaring. Opgesteld door: Edwin Klijn

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

P R I V A C Y R E G L E M E N T

Privacyreglement Bureau Streefkerk B.V.

Privacy Reglement Flex Advieshuis

Privacyreglement AMK re-integratie

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

Beveiligingsmaatregelen en privacyverklaring. Privacy document. Angelo Pijnenburg, 2018

PRIVACYREGLEMENT THAELES BV. Baarlo, 15 september Privacyreglement Thaeles

Gelet op de artikelen 3.1 en 3.2 van de Wet basisregistratie personen wordt op dit verzoek als volgt besloten.

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy reglement Pagina 1 van 6

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

Privacyreglement Werkcontact

Artikel 1. Algemene begripsbepalingen 1.2 Persoonsgegevens 1.3 Verwerking van persoonsgegevens 1.4 Verantwoordelijke 1.5 Bewerker

Privacyreglement 2018

Privacyreglement OCA(Zorg)

REGLEMENT Bescherming persoonsgegevens

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

Privacyreglement. NLeducatie

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

1.5. Bewerker: Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Privacy reglement Geluk in werken

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

Verwerkingsovereenkomst

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

gewoondoenreintegratie

Het bestuur van de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG);

Privacyreglement van De Zaak van Ermelo

0. Probleemstelling. 1. Uitgangspunten

Auditdienst Rijk Ministerie van Financiën

HOEBERT HULSHOF & ROEST

Bewerkersovereenkomst Wet bescherming persoonsgegevens

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement Blij met taal

Privacyreglement Hulp bij ADHD

Hoofdstuk 1 Algemene Bepalingen

Privacyreglement Potenco

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

Privacyreglement Triage Medisch Adviesbureau

Colofon. Datum 31 maart Kenmerk Inlichtingen Auditdienst Rijk

VERWERKERSOVEREENKOMST

GEGEVENSBESCHERMINGSBELEID: Register van verwerkingsactiviteiten en bewaarbeleid Stichting Jeugd- en Jongerenwerk Woensdrecht

PRIVACYREGLEMENT AVAQ GROEP. Allround Security Company B.V., Allround Security Company B.V.B.A. en Vidocq B.V. maken onderdeel uit van AVAQ B.V.

Privacy Reglement NOMAC PRIVACYREGLEMENT Nederlandse Organisatie Model Auto Clubs

b. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon.

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Het bestuur van de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG);

PRIVACY REGLEMENT

Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen

Een onderzoek naar het rekening houden met de beslagvrije voet bij loonbeslag door de Belastingdienst en het UWV

Voortgangsrapportage

Privacyreglement Magspirit

Samenwerkingsconvenant informatieuitwisseling CIZ - NZa

Privacyverklaring Karin van der Donk Z.O.M. Zorg op Maat

Maart PRIVACYREGLEMENT

Informatieprotocol Inspectieview Milieu (IvM)

Rapport. Datum: 4 augustus Rapportnummer: 2011/225

Onderzoek specifiek overeengekomen werkzaamheden inzake kostprijsmodel CJIB 2015

Privacyreglement Work4People Privacyreglement

Auditdienst Rijk Ministerie van Financiën

PRIVACY STATEMENT PCV GROUP (V1.0: 1 juni 2018)

Template Privacy Assessment

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Privacyreglement Bureau Beckers

Transcriptie:

- Rapport van feitelijke bevindingen Naleving contractvoorwaarden UWV definitief

- Colofon Titel Uitgebracht aan Naleving contractvoorwaarden UWV Belastingdienst CAP Datum 26 april 2018 Kenmerk 2018-0000103289 Inlichtingen Auditdienst Rijk 070-342 7700 -

- Inhoud 1 Aanleiding opdracht 4 2 Doelbinding en bewaartermijn voldoen niet aan contractvoorwaarden 5 2.1 Doelbinding 5 2.2 Bewaartermijn 5 3 Bevindingen 6 3.1 Wettelijke grondslag levering gegevens en daaraan gerelateerde diensten, alsmede doelbinding (art. 4) 6 3.2 Bewaartermijn (art. 5) 6 3.3 Gebruik en autorisaties (art. 7) 8 3.4 Wijze van gegevensverstrekking (art. 8) 9 4 Aanbevelingen 10 4.1 Doelbinding 10 4.2 Vernietiging 10 4.3 Bewaartermijn 10 4.4 Autorisatie 10 4.5 Documentatie 10 5 Verantwoording onderzoek 11 5.1 Werkzaamheden en afbakening 11 5.2 Gehanteerde Standaard 12 5.3 Verspreiding rapport 12 6 Ondertekening 13 Bijlage 1: Geraadpleegde personen 14 Bijlage 2: Managementreactie 15 -

1 Aanleiding opdracht Tussen UWV en de Belastingdienst is een contract 1 afgesloten over de wekelijkse levering van een beperkte set gegevens van het UWV-product 55079- Loonaangiftegegevens 2 uit de Polisadministratie, bij de Belastingdienst bekend als de gegevenslevering glv2595 - ten behoeve van het leggen van derdenbeslag. Deze gegevens mogen door de Belastingdienst worden opgevraagd ten behoeve van het doen van een loonvordering, zoals omschreven in artikel 19 van de Invorderingswet 1990. UWV is op grond van de Invorderingswet verplicht deze gegevensset te verstrekken. In het contract zijn door UWV voorwaarden opgenomen waaronder de Belastingdienst deze gegevens mag gebruiken. De contractvoorwaarden zijn verschillend van aard. Sommige zijn echte voorwaarden die aan de afnemer worden gesteld, maar anderen hebben meer het karakter van een toelichting of zijn meer verklarend van aard. Voorwaarden uit artikelen 4, 5, 7 en 8 hebben direct betrekking op de verstrekking en verwerking van de UWV-gegevens en kunnen op naleving getoetst worden3. Verder is in het contract een bepaling opgenomen dat door de Belastingdienst aan de Auditdienst Rijk (ADR) jaarlijks gevraagd zal worden om te toetsen op naleving van deze voorwaarden. Door de Belastingdienst, organisatieonderdeel Centrale Administratieve Processen (CAP), is op 17 maart jl. een opdrachtverzoek 4 aan de Auditdienst Rijk (ADR) gedaan om voor de tweede keer de naleving van de contractvoorwaarden UWV te toetsen (de eerste toetsing door de ADR heeft in 2017 plaatsgevonden 5 ). Deze rapportage is het resultaat van het naar aanleiding van dit opdrachtverzoek uitgevoerde onderzoek, welke is uitgevoerd in de periode maart tot en met april 2018. Het uiteindelijke doel van het onderzoek is om de opdrachtgever meer inzicht te verschaffen in de mate waarin het proces van de gegevensverwerking binnen de Belastingdienst voldoet aan de gestelde voorwaarden uit het contract. In hoofdstuk 2 wordt een samenvatting van de onderzoeksresultaten weergegeven. De bevindingen van de relevante contractvoorwaarde staan in hoofdstuk 3. Voor het verbeteren van de naleving van de contractvoorwaarden worden in hoofdstuk 4 aanbevelingen gedaan. Tenslotte wordt in hoofdstuk 5 het onderzoek zelf toegelicht. 1 Overeenkomst tussen UVW en Belastingdienst inzake gegevenslevering ten behoeve van het leggen ven derdenbeslag, glv2595, 17 maart 2017. 2 Product 55079 is vanwege capaciteitsproblemen opgesplitst in 3 deelproducten: 55610, 55611 en 55612. 3 Deze zijn in dit rapport omkaderd. 4 Opdrachtbevestiging Naleving Contractvoorwaarden UWV, 22 maart 2018. 5 Daar de wijze van levering (van DVD naar volledig geautomatiseerd) en de inrichting van de TeraData omgeving inmiddels is gewijzigd (geen gebruik meer van [naam]), is de follow-up beperkt bruikbaar gebleken en niet verbijzonderd opgenomen in deze rapportage. 4 van 19 Naleving contractvoorwaarden UWV -

2 Doelbinding en bewaartermijn voldoen niet aan contractvoorwaarden 2.1 Doelbinding De Belastingdienst mag volgens het contract de van UWV ontvangen gegevens uitsluitend gebruiken voor het doen van loonvordering. Alvorens de hoogte daarvan te kunnen bepalen berekend de Belastingdienst met deze gegevens eerst de zogeheten beslagvrije voet; het deel van het loon om in de noodzakelijk geachte levensbehoefte te kunnen voorzien en waarop geen loonbeslag zal worden gelegd. Deze beslagvrije voet wordt vervolgens ook voor een ander doel gebruikt dan voor het leggen van loonbeslag, namelijk voor het treffen van betalingsregelingen met belastingschuldigen. 2.2 Bewaartermijn Tijdens het inwinnen van de gegevens van UWV en het vervolgens opwerken daarvan naar informatie(-producten), worden verschillende zogeheten gegevenslagen doorlopen. Van enkele van deze gegevenslagen worden nog de reguliere back-ups gemaakt. Hierdoor worden de UWV-gegevens uit enkele gegevenslagen 90 dagen bewaard in plaats van de volgens de contractvoorwaarde toegestane maximale bewaartermijn van 1 week. 5 van 19 Naleving contractvoorwaarden UWV -

3 Bevindingen 3.1 Wettelijke grondslag levering gegevens en daaraan gerelateerde diensten, alsmede doelbinding (art. 4) Afnemer verklaart dat de door UWV geleverde gegevens uitsluitend voor uitvoering van de genoemde taak (art. 4.2: het doen van loonvordering (leggen van vereenvoudigd derdenbeslag) op loon of uitkering op grond van art. 19 Iw 90) en niet voor andere doeleinden worden gebruikt. De Belastingdienst gebruikt de loonaangiftegegevens om bij een belastingschuldige die niet vrijwillig aan zijn betalingsverplichting voldoet, de mogelijkheid tot het leggen van loonbeslag te kunnen vaststellen en de hoogte daarvan. Voor de hiervoor noodzakelijke gegevensanalyse wordt onder meer gebruik gemaakt van de tabellen in de database Dynamisch Monitoren (zie schema 1: de groene lijn). Om de hoogte van het loonbeslag te kunnen bepalen wordt met behulp van de loonaangiftegegevens eerst de zogeheten beslagvrije voet berekend: het bedrag om in de noodzakelijk geachte levensbehoefte te kunnen voorzien en waarop geen loonbeslag zal worden gelegd. Deze beslagvrije voet wordt vervolgens gebruikt voor een ander doel, namelijk het treffen van betalingsregelingen met belastingschuldigen (zie schema 1: de rode lijn). Schema 1: Architectuur Inningen (bron: Belastingdienst/ CD D&A) [schema] 3.2 Bewaartermijn (art. 5) Bij ontvangst van de (wekelijkse) gegevenslevering worden de gegevens uit de voorgaande levering vernietigd. Tijdens het inwinnen van de gegevens en het vervolgens opwerken van deze gegevens naar de benodigde informatie- producten (zie schema 2), wordt van enkele bestanden en/of tabellen periodiek nog een back-up gemaakt: bestanden op de zogeheten zijdeurserver [naam]: na het kopiëren naar de Teradata-omgeving worden deze bestanden niet van de zijdeurserver verwijderd; tabellen van de databases [namen]: voor het voorkomen van de backup op de INF-gegevenslaag zijn maatregelen getroffen, maar geconstateerd is dat er nog 6 tabellen in de schedule van de back-up staan; 6 van 19 Naleving contractvoorwaarden UWV -

de UWV-gegevens in de [namen]-gegevenslaag zitten in de reguliere back-up schedule, omdat in de tabellen van deze gegevenslagen er gegevens uit verschillende databronnen (banken, verzekeringsmaatschappijen, etc.) aan elkaar zijn gerelateerd (zie ook schema 1). Isoleren van een enkele databron wordt hierdoor bemoeilijkt. In plaats van de maximale bewaartermijn van 1 week worden de gegevens in de betreffende bestanden en tabellen door de back-ups tot 90 dagen bewaard. Van de bestanden die van het UWV binnenkomen op het mainframe [naam] worden geen back-ups gemaakt. Schema 2: Dataflow UWV-gegevens binnen de Belastingdienst (bron: CD D&A) [schema] 1 Kopie polisadministratie 2 7 van 19 Naleving contractvoorwaarden UWV -

Het UWV verstrekt de loonaangiftegegevens op twee verschillende wijzen (zie schema 2), namelijk geautomatiseerd via RINIS 6 (1) en via het UWV Portaal Mijn Gegevensdiensten (organisatie Belastingdienst) (2). Op het UWV portaal worden voor de Belastingdienst wekelijks drie bestanden geplaatst. Deze bestanden kunnen vervolgens worden gedownload. In Mijn Gegevensdiensten (organisatie Belastingdienst) staan bestanden die na het downloaden van de Belastingdienst niet zijn verwijderd en daardoor ouder zijn dan 1 week. Deze bestanden kunnen niet door de portaalbeheerder van de Belastingdienst worden verwijderd. De drie deelbestanden worden in de belastingdienstomgeving na ontvangst handmatig naar de Teradata omgeving gekopieerd. Tijdens dit handmatige proces komen de bestanden op de [naam] van de PPC van de daartoe bevoegde belastingdienstmedewerker te staan en worden deze vervolgens op de zijdeurserver [naam] geplaatst. Om te borgen dat na het kopiëren naar de Teradata omgeving de bestanden na 1 week ook daadwerkelijk verwijderd zijn op de [naam]schijf en de zijdeurserver, is een werkinstructie opgesteld. Er wordt geen reguliere interne controle uitgevoerd op naleving van deze werkinstructie. De gegevens die zijn opgenomen in de invorderingsdossiers worden 7 jaar na beëindiging van de actualiteitswaarde vernietigd. Deze contractvoorwaarde heeft betrekking op de loonaangiftegegevens die daadwerkelijk voor het doen van loonvordering worden gebruikt. De eisen voor bewaring van de betreffende invorderingsdossiers vallen binnen het basisbeveiligingsniveau van de Belastingdienst (waarin de eisen vanuit de Archiefwet zijn opgenomen). Naleving van de eisen uit het basisbeveiligingsniveau valt buiten de scope van dit onderzoek. Inzicht in de kwaliteit van het basisbeveiligingsniveau wordt verschaft door onderzoeken uitgevoerd door de Belastingdienst zelf. 3.3 Gebruik en autorisaties (art. 7) De toegang tot de UWV-gegevens is voor een beperkt aantal personen bij de Afnemer noodzakelijk in verband met het elektronisch beschikbaar kunnen stellen van de gegevens ten behoeve van invorderingsdoeleinden. Voor het procesmatig elektronisch beschikbaar kunnen stellen van de gegevens ten behoeve van invorderingsdoeleinden zijn bij de Belastingdienst in totaal 37 personen geautoriseerd om toegang te krijgen tot de UWV-gegevens 7. De daarbij betrokken organisatieonderdelen zijn CD D&A (34) en CAP (3). 6 Routeringsinstituut (inter-) Nationale InformatieStromen (RINIS) een voorziening voor het elektronisch uitwisselen van in het publieke domein. 7 Peildatum 6 maart 2018. 8 van 19 Naleving contractvoorwaarden UWV -

Voor het beheer en onderhoud van de relevante databases in de TeraData omgeving, zijn aanvullend 4 databasebeheerders geautoriseerd. In de TeraData beheeromgeving worden verder op databaseniveau, door de wijze waarop het datamodel is ingericht, rechten van verschillende databases aan elkaar doorgegeven 8. Aldus hebben verschillende andere databases rechten op de bron UWV-database [naam]. Hierdoor is het theoretisch mogelijk dat niet hiervoor specifiek geautoriseerde personen toegang hebben tot de UWVgegevens. De toegang tot en gebruik van UWV-gegevens bij Afnemer blijft beperkt tot de personen die zich bezighouden met het uitvoeren van die behandelopdrachten t.b.v. de invordering, waarvoor de UWV-gegevens relevant zijn (w.o. het doen van loonvordering en het (laten) leggen van executoriaal loonbeslag. Onder verwijzing naar paragraaf 3.1 wordt de berekende beslagvrije voet gebruikt voor het kunnen treffen van betalingsregelingen met belastingschuldigen. Het gebruik van de UWV-gegevens blijft daardoor niet alleen beperkt tot de personen die zich bezighouden met het uitvoeren van behandelopdrachten ten behoeve van de invordering. 3.4 Wijze van gegevensverstrekking (art. 8) UWV en Afnemer maken voor de gegevenslevering gebruik van de voorziening zoals beschreven in bijlage 2. Bijlage 2 van het contract betreft het document Gegevensleveringsafspraak (GLA) 2595, versie 0.93. Hierin staat dat de bestanden via Ontvangen Mededelen m.b.v. FTD door Gegevens elektronisch doorgezet worden naar Data Analytics en In een uiterste noodsituatie zal gebruik worden gemaakt van de beveiligde UWV-portal. Actueel is dat de bestanden met een handmatige handeling vanaf de mainframe (poort Belastingdienst) via de zogeheten zijdeurserver naar de TeraData omgeving worden doorgezet. De noodlevering via de UWV-portal vindt wekelijks plaats. Verder worden in hoofdstuk 4 Autorisatie en roltoewijzing rollen genoemd die niet meer actueel zijn. 8 Middels het verlenen van GRANT rechten. 9 van 19 Naleving contractvoorwaarden UWV -

4 Aanbevelingen 4.1 Doelbinding Voor het gebruik van de beslagvrije voet ten behoeve van het treffen van een betalingsregeling met belastingschuldigen is aanpassing van de overeenkomst te overwegen of anders het gebruik voor dit doel te beëindigen. (CAP, D&A) 4.2 Vernietiging In het UWV Portaal Mijn Gegevensdiensten (organisatie Belastingdienst) blijven de bestanden langer dan 1 week staan. Geef duidelijk aan wie verantwoordelijk is voor het opschonen daarvan en verleen daarbij de bijbehorende rechten. (UWV, CAP) De term vernietiging is in het verleden geïntroduceerd in relatie tot de fysieke gegevensdrager (DVD). Momenteel betreft het een geautomatiseerde gegevenslevering. Gebruikelijker is het dan om te spreken van wissen of verwijderen van de gegevens. (UWV, CAP) 4.3 Bewaartermijn Maak geen back-up van de zijdeurserver [naam] en de tabellen van de databases [namen]. (D&A) Beperk de voorwaarden in een specifieke overeenkomst tot de aanvullende eisen op het basisbeveilingsniveau (de bewaringstermijn van 7 jaar voor een invorderingsdossiers is al een basisvereiste). (CAP) Voor het borgen dat de bestanden die handmatig worden gekopieerd naar de TeraData omgeving worden verwijderd, zijn werkinstructies opgesteld. Voer regulier interne controle uit op naleving van deze werkinstructies. (D&A) 4.4 Autorisatie In de TeraData beheeromgeving worden op databaseniveau rechten van verschillende databases aan elkaar doorgegeven 9 waardoor theoretisch verschillende andere personen rechten hebben op de UWV brondatabase [naam]. Overweeg nader onderzoek naar de personen die onbevoegd toegang hebben tot de bron UWV-database. (D&A) 4.5 Documentatie Breng bijlage 2 van het contract (Gegevensleveringsafspraak (GLA) 2595) in lijn met de huidige wijze van gegevensverstrekking. (CAP) 9 Middels het verlenen van GRANT rechten. 10 van 19 Naleving contractvoorwaarden UWV -

5 Verantwoording onderzoek 5.1 Werkzaamheden en afbakening Voor het uitvoeren zijn de volgende specifieke werkzaamheden overeengekomen 10 : Bepaal in welke (geautomatiseerde) middelen de door UWV aangeleverde gegevens door de Belastingdienst worden getransporteerd en verwerkt; Aangeven welke beheersmaatregelen ten aanzien van deze middelen getroffen zijn in relatie tot de relevante voorwaarden uit het contract, Bepaal welke informatieproducten met de door UWV aangeleverde gegevens worden opgeleverd en wie de afnemers van deze informatieproducten zijn; Breng deze informatieproducten en/of afnemers in relatie tot het doel van de overeenkomst. De werkzaamheden die verricht zijn hebben betrekking gehad op de relevante aanvullende contractvoorwaarden van een gegevenslevering, zoals in onderstaand schema wordt weergegeven. Het basisbeveiligingsniveau van de Belastingdienst valt hierdoor buiten de scope van dit onderzoek. Het onderzoek richt zich op de specifieke overeenkomst tussen de Belastingdienst en UWV Gegevenslevering ten behoeve van derdenbeslag, GLV2595, 17 maart, 2017. Schema 3: Afbakening onderzoek 11 10 ADR Opdrachtbevestiging Naleving contractvoorwaarden BD UWV gegevensleveringen, 22 maart 2018. 11 Convenant regelende de samenwerking op het terrein van de loonaangifteketen, 16 december 2016. 11 van 19 Naleving contractvoorwaarden UWV -

5.2 Gehanteerde Standaard Deze opdracht is uitgevoerd overeenkomstig Standaard 4400N Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden. In dit rapport wordt geen zekerheid verschaft, omdat er geen assuranceopdracht is uitgevoerd. Indien aanvullende werkzaamheden zouden zijn verricht of indien er een assuranceopdracht zou zijn uitgevoerd, zouden wellicht andere onderwerpen zijn geconstateerd en gerapporteerd. 5.3 Verspreiding rapport De opdrachtgever, [naam], is eigenaar van dit rapport. De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website. 12 van 19 Naleving contractvoorwaarden UWV -

6 Ondertekening Apeldoorn, 26 april 2018 [naam] Projectleider Auditdienst Rijk 13 van 19 Naleving contractvoorwaarden UWV -

Bijlage 1: Geraadpleegde personen Belastingdienst Medewerkers Centrale Administratieve Processen (CAP) (2) Medewerkers Corporate Diensten Datafundamenten&Analyse (CD D&A) (5) Medewerkers Business Generieke Services (IV) (4) 14 van 19 Naleving contractvoorwaarden UWV -

Bijlage 2: Managementreactie 15 van 19 Naleving contractvoorwaarden UWV -

Apeldoorn Datum 31 mei 2018 Managementreactie op rapport ADR Naleving van contractvoorwaarden UWV Van [naam] Plv. directeur B/CAP Gegevens Auteur [naam] Kopie aan M2 B/CAP/Gegevens, [naam] Inleiding Bijlagen Rapport ADR Rapport van bevindingen Naleving contractvoorwaarden UWV dd 26 april 2018 v 0.91 In dit memo staat de reactie van B/CAP op de bevindingen en aanbevelingen van het ADR-rapport Rapport van bevindingen Naleving contractvoorwaarden UWV gedateerd 26 april 2018 versie 0.91. Het betreft een vraaggestuurde audit vanuit B/CAP gebaseerd op de gemaakte afspraken tussen UWV en Belastingdienst over de uitvoering van een dergelijke audit. De kern van de audit is te onderzoeken of de door UWV geleverde loongegevens worden vernietigd als blijkt dat deze voor het gebruik ten behoeve van de invordering geen doel dienen. En tevens dat het gebruik van de loongegevens, die wel ten dienste van de invordering staan, beperkt blijft tot het doel van de invordering. Hierna wordt in meer detail ingegaan op de bevindingen en aanbevelingen. Tevens worden de acties als uitvloeisel van de aanbevelingen uit het rapport weergegeven. 16 van 19 Naleving contractvoorwaarden UWV -

Algemeen Conform de opdracht heeft de ADR eind april 2018 de onderzoeksresultaten opgeleverd. De scope van de audit is beschreven in Hoofdstuk 5 van de rapportage en sluit aan met de betreffende opdracht. Aanbevelingen De in hoofdstuk 2 van het rapport opgenomen conclusies over doelbinding en bewaartermijn komen ook naar voren in hoofdstuk 3 (Bevindingen) en monden uit hoofdstuk 4 (Aanbevelingen). Hierna zijn de aanbevelingen uit hoofdstuk 4 van een managementreactie voorzien. 1. Doelbinding Als aanbevelingen noemt de ADR: a. Voor het gebruik van de beslagvrije voet ten behoeve van het treffen van een betalingsregeling met belastingschuldigen is aanpassing van de overeenkomst te overwegen of anders het gebruik voor dit doel te beëindigen. (CAP, DF&A) Managementreactie: Het gebruik van de gegevens vindt plaats binnen het domein van incasso en is een interpretatie van de omschrijving in de overeenkomst. Over dit gebruik zijn we al vóór de audit liep in gesprek gegaan met het UWV waarbij we samen analyseren in hoeverre de overeenkomst aanpassing behoeft. 2. Vernietiging De aanbevelingen van de ADR zijn: a. In het UWV Portaal Mijn Gegevensdiensten (organisatie Belastingdienst) blijven de bestanden langer dan 1 week staan. Geef duidelijk aan wie verantwoordelijk is voor het opschonen daarvan en verleen daarbij de bijbehorende rechten. (UWV, CAP) b. De term vernietiging is in het verleden geïntroduceerd in relatie tot de fysieke gegevensdrager (DVD). Momenteel betreft het een geautomatiseerde gegevenslevering. Gebruikelijker is het dan om te spreken van wissen of verwijderen van de gegevens. (UWV, CAP) Managementreactie: De mogelijkheid tot vernietiging (of beter verwijdering) van bestanden is afhankelijk van de toegekende rechten op het genoemde portaal. Met UWV zijn we in gesprek om hierover afspraken te maken. Bij een eventuele herziening van de overeenkomst zal de aanbeveling van de ADR om de term vernietiging te vervangen meegenomen worden. 3. Bewaartermijn De aanbevelingen van de ADR hierbij zijn: a. Maak geen back-up van de zijdeurserver [naam] en de tabellen van de databases [namen]. (DF&A) b. Beperk de voorwaarden in een specifieke overeenkomst tot de aanvullende eisen op het basisbeveilingsniveau (de bewaringstermijn van 7 jaar voor een invorderingsdossiers is al een basisvereiste). (CAP) c. Voor het borgen dat de bestanden die handmatig worden gekopieerd naar de TeraData omgeving worden verwijderd, zijn werkinstructies opgesteld. Voer regulier interne controle uit op naleving van deze werkinstructies. (DF&A) Managementreactie: 17 van 19 Naleving contractvoorwaarden UWV -

Ad a. Het maken van een back-up is uit het oogpunt van betrouwbaarheid van de gegevensverwerking en het veilig stellen van bestanden uiteraard noodzakelijk. In die zin lopen in principe de gegevensbestanden van deze levering gewoon mee in de reguliere back-up procedure die binnen de Belastingdienst wordt toegepast. is iets dat technisch bekeken zal worden op de mogelijkheden. Naar aanleiding van de vorige audit is bekeken of het uitzonderen van de backup van bepaalde directories en/of gegevensbestanden mogelijk is. Er zijn daarna back-up s uit gezet van (tussen)bestanden met alleen deze gegevens. Bij het verder geschikt maken voor gebruik t.b.v. incasso worden door DF&A koppelingen met andere gegevens gelegd. Het is de vraag of de backups van dergelijke, opgewerkte, bestanden uitgezet kunnen worden. In dat geval zullen we dat met UWV afstemmen. Ad b. Bij een eventuele herziening van de overeenkomst zal de aanbeveling van de ADR worden meegenomen om te verwijzen naar het basisbeveiligingsniveau en alleen specifieke aanvullende eisen in de overeenkomst op te nemen. Ad c. Met DF&A zal worden overlegd om de controle op de naleving van de werkinstructie invulling te geven. 4. Autorisatie De ADR doet hierbij de volgende aanbeveling: a. In de TeraData beheeromgeving worden op databaseniveau rechten van verschillende databases aan elkaar doorgegeven waardoor theoretisch verschillende andere personen rechten hebben op de UWV brondatabase [naam]. Overweeg nader onderzoek naar de personen die onbevoegd toegang hebben tot de bron UWV-database. (DF&A) Managementreactie: Zoals in de gesprekken met het UWV en ook in de overeenkomst is aangegeven is toegang door een beperkt aantal medewerkers noodzakelijk in verband met het elektronisch beschikbaar kunnen stellen van de gegevens ten behoeve van invorderingsdoeleinden. Na de vorige audit door de ADR zijn toegangsrechten tot deze gegevens, waar verantwoord, verder ingeperkt. Met DF&A zal overlegd worden over de toegangsmogelijkheden in de door de ADR beschreven specifieke situatie. 5. Documentatie Een laatste aanbeveling van de ADR is: a. Breng bijlage 2 van het contract (Gegevensleveringsafspraak (GLA) 2595) in lijn met de huidige wijze van gegevensverstrekking. (CAP) Managementreactie: Naar aanleiding van deze aanbeveling zal de Belastingdienst in overleg met UWV bijlage 2 actualiseren. 18 van 19 Naleving contractvoorwaarden UWV -

Auditdienst Rijk Postbus 20201 2500 EE Den Haag (070) 342 77 00

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback