CIO UWV Frans Haverkamp over security en bring your own

De overgang naar het publieke domein bleek groot. ‘Als er hier iets gebeurt, dan is dat binnen een uur landelijk nieuws en binnen twee uur worden er Kamervragen over gesteld. Dit is een heel andere dynamiek dan in het bedrijfsleven. Incidentmanagement maakt nu eenmaal onderdeel uit van het Haagse politieke bedrijf. Ik heb grote bewondering voor minister Kamp, die zich niet laat leiden door dit type management, maar de grote lijnen weet vast te houden en gewoon doorgaat met het bewandelen van de weg die we met elkaar hebben afgesproken.’
Uitdagend is de functie van Haverkamp zeker, vooral nu het UWV tot 2015 in totaal zeshonderd miljoen euro moet bezuinigen op ICT, huisvesting en staf. Er gaan vijfduizend banen verloren. Ondertussen gaat het UWV stug door met het uitvoeren van werknemersverzekeringen zoals de WW, WAO, WIA, Ziektewet, Wajong, Toeslagenwet en WAZ, het verstrekken van uitkeringen en het re-integreren van arbeidsongeschikten. Haverkamp vertelt hoe UWV, ondanks bezuinigingen die far beyond de kaasschaaf zijn, de dienstverlening op peil houdt: ‘Door diensten aan burgers en bedrijven meer en meer digitaal te verlenen.’ De focus op digitalisering betekent niet dat het nieuwe werken en sociale media de normaalste zaak van de wereld zijn bij het Uitvoeringsinstituut. ‘Daar zijn we zeer terughoudend in.’

Betekent die terughoudendheid dat het nieuwe werken geen intrede doet bij het UWV?
‘Als ik me beperk tot ICT-gerelateerde onderwerpen binnen het nieuwe werken, dan is het antwoord: beperkt. Maar het nieuwe werken gaat om meer dan ICT alleen. Het gaat ook om zaken als mentaliteit en cultuur. De grote lijn binnen UWV is dat er sprake is van een migratie naar outputgestuurde processen. We sturen dus minder op aanwezigheid. Het duurt even voordat je daar bent. Gelijktijdig werken aan het optimaliseren van de technologische omgeving en het veranderen van de cultuur is in de praktijk nog niet zo makkelijk. Er wordt al snel meer aandacht gegeven aan de techniek. Ik probeer er evenwicht in te brengen. Dat we voorzichtig zijn met het nieuwe werken en alles wat daarbij hoort aan plaats- en tijdonafhankelijk werken, heeft te maken met het gegeven dat we een organisatie zijn waar mensen zeer privacygevoelige informatie aan hebben toevertrouwd. We hebben nagenoeg alle gegevens van de Nederlandse beroepsbevolking hier opgeslagen. De kwetsbaarheid van onze data brengt met zich mee dat we bovengemiddeld aan beveiliging moeten denken. Daarom weeg ik alles wat te maken heeft met data, de toegang tot data en het ontsluiten ervan op een goudschaaltje. Bedrijven en burgers moeten erop kunnen vertrouwen dat aan ons toevertrouwde gegevens in veilige handen zijn. We kunnen gewoon het risico niet lopen dat data op verkeerde plekken terechtkomen. We zijn er zeer voorzichtig mee, ook in pilotomgevingen. Ook in het gebruik van sociale media als Facebook en Yammer zijn we terughoudend. Dat neemt niet weg dat er voldoende mogelijkheden zijn om medewerkers flexibiliteit te verschaffen. Met bestaande office- en e-mailapplicaties geven we hen de gelegenheid om plaats- en tijdsonafhankelijk te werken.’

Geldt dat voor alle functies?
‘We proberen flexibel werken vooral voor de kenniswerkers mogelijk te maken. Die willen we zo goed als mogelijk in hun werk faciliteren, uiteraard met als einddoel dat zoveel mogelijk mensen in ons land kunnen deelnemen aan het arbeidsproces. Dit kabinet zet terecht zwaar in op wat mensen wel kunnen in plaats van niet. Er staan meer dan 200.000 mensen aan de zijlijn, veel mensen hebben nauwelijks een toekomst op de arbeidsmarkt. Ik vind dat een bloody shame. Die mensen moeten we weer in een maatschappelijke rol zien te krijgen.’

Om mensen aan het werk te helpen heeft u, in het kader van de digitalisering van uw dienstverlening, een scala aan mogelijkheden. Ik denk aan apps die meer kunnen dan traditionele systemen of aan cloud computing. Tegelijkertijd moet u wel bezuinigen en sterk focussen op de veiligheid van gekozen oplossingen…
‘Ik doe niets met de public cloud. Dat is te onveilig. Als ik cloud computing zou inzetten, dan zou het een overheidscloud zijn met private eigenschappen. Maar dat zit binnen de overheid nog volledig in de sfeer van verkenning. Het is ook maar de vraag of UWV voordelen zou hebben van het werken in een dergelijke overheidscloud. UWV heeft zijn data opgeslagen in twee datacentra en de mogelijkheden van consolidatie, standaardisatie, virtualisatie en rationalisatie zijn binnen UWV al behoorlijk uitgenut.’

Maar is het vanuit kostenoverwegingen voor UWV toch niet interessant om generieke ICT-componenten, zoals office-applicaties, in een cloudmodel te stoppen? Het feit dat we met z’n allen elektronisch bankieren in de cloud geeft toch wel aan dat dit model aan hoge eisen van security voldoet.
‘Zou kunnen, waarbij ik wil opmerkingen dat we als organisatie te allen tijde willen weten waar onze informatie wordt opgeslagen, wat de toegangsmogelijkheden zijn voor onszelf en dat we wat betreft inkijken, muteren en verwijderen de volle honderd procent zeggenschap willen hebben. Als er maar één procent inbreuk op zou kunnen plaatsvinden, dan is het een no-go. Als gegevens opgeslagen zouden worden buiten Europa, dan is er sowieso een absolute no-go. Beveiliging vinden we zo belangrijk dat we het initiatief hebben genomen tot het opzetten van een expertisecentrum voor informatiebeveiliging en privacy, om daar kennis over het onderwerp te verzamelen en te delen met iedereen. Die kennis is nodig omdat er een groot haasje-over effect is. Vorig jaar hebben we met onze belangrijkste ICT-leveranciers en hun securityspecialisten een securitycongres georganiseerd. Dat het onderwerp de grootst mogelijke aandacht verdient, werd op die dag nog eens bevestigd door een Microsoft-specialist die vertelde dat zijn bedrijf wereldwijd ongeveer 300.000 keer per dag wordt aangevallen door hackers. Ik heb afgesproken niets te zeggen over de hoeveelheid aanvallen op UWV – het zijn er overigens niet zoveel als bij Microsoft, maar het gebeurt wel. Dat is ook een van de redenen dat we ons periodiek laten hacken door specialisten die we daarvoor inhuren. We moeten weten waar we risico lopen. Uit deze periodieke testen komt naar voren dat onze beveiliging nu voldoende is, maar ik wil op het sterkste niveau zitten en blijven zitten, zeker wat betreft onze websites die steeds intensiever gebruikt zullen worden door de ontwikkeling naar e-dienstverlening. Ik laat ook periodiek onderzoeken welke zaken er aan het netwerk hangen die daar niet horen of die wij niet kennen. Een download van wat dan ook kan al zorgen voor een potentiële doorverbinding van onbevoegden naar data.’

Hoe staat UWV tegenover bring your own?
‘Ook daarin voeren we een terughoudend beleid. iPads worden wel gebruikt, maar zeer afgeschermd en niet in de buurt van primaire businessapplicaties. Het gebruik van dropbox is niet toegestaan, omdat we niet het risico willen lopen dat businessdata buiten gecontroleerde omgevingen komen. Natuurlijk ervaren we de druk van mensen die willen werken met apparaten die ze thuis ook hebben, maar hier hanteren we andere normen en hebben we andere afspraken waar we niet aan willen tornen. We zijn ook voorzichtig omdat we pas anderhalf jaar volop bezig zijn met de digitalisering van de dienstverlening richting bedrijven en burgers en daardoor zwaar moeten opschalen wat betreft beschikbaarheid en robuustheid. Onze learningcurve is daarmee veel korter dan bij banken, die daar al veel langer mee bezig zijn. Gelukkig kunnen we van hen leren. Maar het blijft een uitdaging om te investeren in security en tegelijkertijd ruimte te laten voor het nieuwe werken. Dat is geen sinecure.’

Gebruikt u zelf een iPad?
‘Ja, maar bepaald niet de hele dag. Ik geloof niet dat ik onmiddellijk de noodzaak zie om elke medewerker daarmee uit te rusten.’

Als u mensen niet toestaat om met deze apparatuur te werken, bent u dan nog wel voldoende aantrekkelijk als werkgever?
‘Het is niet mijn ervaring dat mensen UWV geen aantrekkelijke werkgever vinden. We hebben verrekt interessant werk. Neem nou wat wij hier aan digitalisering doen, hoe we werken aan ontwikkelingen binnen het webdomein of hoe wij aan webcoaching doen bij het bemiddelen naar werk. Dat is dat zeer uitdagend en zeer aantrekkelijk. Dat werknemers niet op alle fronten hun zin krijgen wat bring your own device of sociale media betreft, maakt UWV niet tot een onaantrekkelijke werkgever.’

Wat doet UWV met sociale media?
‘Over vijf jaar zal onze dienstverlening primair steunen op digitale dienstverlening met het web als belangrijkste kanaal. We willen zo goed mogelijk gebruik maken van sociale media. We onderschatten de invloed en mogelijkheden van sociale media niet, maar ook hiervoor geldt weer dat we terughoudend zijn in het gebruik, omdat we veilig moeten werken. We hebben inmiddels een webcare-team dat niets anders doet dan sociale media scannen om te zien waar UWV wordt genoemd op sites als LinkedIn en Twitter. Dit team reageert op vragen van klanten en neemt als er een bericht wordt gemultiplied direct contact op met de bron, om te horen waarom het bericht is verstuurd en wat we kunnen doen om de verspreiding van misverstanden en misinformatie via het web te voorkomen of recht te zetten.’

Is omgaan met sociale media lastig?
‘Het gaat in ieder geval dwars door je organisatie heen. Er zitten technische en juridische aspecten aan en vraagstukken op het gebied van HR, beveiliging en privacy. Tien jaar geleden vroegen we ons af of we het gebruik van internet toe moesten staan in bedrijven. We zitten nu midden in eenzelfde soort discussie: laten we het gebruik van sociale media toe? Ik ben niet iemand die zegt: “We gooien alle luiken open, we gaan alles proberen.” Ik wil weten wat de consequenties zijn, want ik word er – terecht – op aangesproken als gegevens van burgers op straat liggen.’ 

Sociale media zijn wellicht ook in te zetten om mensen aan het werk te helpen. Dan zouden ze passen binnen de core business van UWV.
‘We verversen iedere dag al onze vacatures richting fora als monsterboard.nl en vacaturebank.nl. Alles in de periferie van de dienstverlening haakt daarop in. Er zijn talloze samenwerkingsverbanden met uitzendbureaus in de regio, er worden speeddates georganiseerd, werkzoekenden kunnen googlen op vacatures binnen de regio die vallen binnen hun belangstellingsveld. De eerste apps waarmee iemand kan aangeven in welke sectoren of beroepen en in welke regio hij werk zoekt, zijn geïntroduceerd. De relevante vacatures krijg je op je mobiel. Kortom: álles begint met het updaten van het vacaturebestand. Dat moet goed zijn. De kunst is om vervolgens die data te ontsluiten daar waar het relevantie heeft. Sociale media kunnen een kanaal zijn, maar hoe we die media in willen zetten, daar zijn we nog niet over uit.’

Daarbij moet u nog steeds bezuinigen. Zal daar in de komende jaren een remmende invloed vanuit gaan?
‘Als de digitale dienstverlening moet worden opgetuigd, dan moet daar geld voor vrijgemaakt worden. Dat is de way out bezuinigingen te faciliteren. Daarnaast moeten we niet vergeten dat er veel interactie is tussen UWV en organisaties als de Belastingdienst, DUO en SVB. Allemaal organisaties die ook zwaar inzetten op digitalisering. UWV moet daarin meegaan. Maar de hoeveelheid geldelijke middelen zijn wel beperkt. Ook voor ICT.’

Wordt UWV door de digitalisering juist niet steeds kwetsbaarder?
Haverkamp staat op en laat een krantenknipsel zien. De kop: Criminelen stelen cv’s op website UWV. ‘Malafide personen deden zich op onze site voor als bedrijf, om op die manier in bezit te komen van cv’s van de zwakkeren in onze samenleving. [De langdurig werklozen werden door de criminelen benaderd om tegen betaling mee te werken aan fraude met creditcards en witwaspraktijken, red.] Het is een voorbeeld van hoe misbruik gemaakt kan worden van de faciliteiten die UWV biedt. Het gaat niet alleen om misbruik van data – de mogelijke vormen van fraude zijn onuitputtelijk. Het is lastig om daar proactief iets aan te doen. Criminaliteit doet zich steeds in andere vormen voor, in een gedigitaliseerde omgeving, of daarbuiten.’

Rob van der Hoeven is Area Vice President & Managing Director bij Citrix Systems.