4.2 Versterken continuïteit en wendbaarheid IT-dienstverlening
Om ook in de toekomst wet- en regelgeving te kunnen uitvoeren en om toegankelijke dienstverlening te blijven bieden, investeert de SVB in haar IT-dienstverlening. In deze paragraaf wordt beschreven op welke focuspunten de SVB zich in 2025 heeft geconcentreerd: IT-infrastructuur, modernisering AA, weerbaarheid, cloud en soevereiniteit, informatiebeveiliging, privacy en digitale veiligheid, datastrategie, algoritmen en AI.
IT-infrastructuur
De SVB werkt aan de wendbaarheid en weerbaarheid van de organisatie, onder andere door haar IT-landschap verder te moderniseren en flexibiliseren. In 2025 zijn voorbereidingen getroffen voor de aanbesteding van IT-infrastructuurdiensten. Met de aanbesteding beoogt de SVB belangrijke stappen te zetten in haar digitaliseringsambities. Het afgelopen jaar is een CIO-oordeel uitgebracht, is de selectiefase afgerond en is het project getoetst door het Adviescollege ICT (AcICT).
De volgende fase is de dialoogfase. Voordat deze fase gestart wordt wil de SVB voldoende opvolging hebben gegeven aan de adviezen van de AcICT. Daarnaast speelt een discussie over soevereiniteit op nationaal niveau, die het beleid ten aanzien van uitbesteding van IT-diensten van de gehele overheid raakt. Veilige verwerking van persoonsgegevens is een topprioriteit van de SVB. Dat vraagt om continue afwegingen, over hoe en via welke systemen data wordt verwerkt en opgeslagen. Dat geldt ook voor het gebruik van cloudtoepassingen. De SVB spant zich in om afhankelijkheden in de leveranciersketen te beheersen, expliciet te maken wie onder welke condities toegang hebben en welk handelingsperspectief de SVB behoudt bij verstoring. De SVB beziet momenteel in hoeverre het huidige sourcingbeleid en cloudbeleid voldoende kaders geven om de digitale autonomie van de SVB te borgen.
In 2025 heeft de SVB aanvullende maatregelen getroffen om de continuïteit en veiligheid van de IT-dienstverlening te borgen en de afhankelijkheid van haar leveranciers te verminderen. Met de afronding van het project Data Veilig zijn essentiële databases, operating systemen en bijbehorende applicaties gesynchroniseerd op aparte hardware, waarmee de SVB op ieder moment onafhankelijk toegang heeft tot eigen data, operating systeem en applicaties.
Doel 2025:
| Wordt de IT-infrastructuur aanbesteed en voorbereidende werkzaamheden hiervoor uitgevoerd. |
|---|
Modernisering AA-systeem
In 2025 is verder gewerkt aan de modernisering van het AA-systeem — het kernsysteem van de SVB. De focus lag hierbij op het versterken van de operationele continuïteit en de beheersbaarheid. Hoewel het systeem als robuust en betrouwbaar wordt aangemerkt, is het systeem niet meer wendbaar genoeg om mee te bewegen met de huidige maatschappelijke en technologische eisen. Door diversiteit in samenlevingsvormen, mobiliteit en internationalisering kunnen aanvragen steeds minder volledig geautomatiseerd worden afgehandeld. Met het programma mAA zijn belangrijke stappen gezet in het reduceren van de complexiteit, verbeteren van softwarekwaliteit en voorbereiden van het AA-systeem op moderne standaarden.
Tegelijkertijd zijn randvoorwaarden voor continuïteit en wendbaarheid versterkt. Door een gerichte sanering van de technische architectuur zijn in 2025 ruim duizend redundante componenten verwijderd. Hiermee is de totale omvang van het systeem sinds 2023 met circa 30% gereduceerd, wat een significante afname van de technische schuld (legacy) betekent. Verder is door een technische herinrichting de doorlooptijd van het proces Periodiek Onderzoek Leefsituatie sterk verbeterd. Hierdoor is de tijdigheid van de dienstverlening aan burgers in dit proces verbeterd. Toch blijft de voortgang van het programma een punt van aandacht. Het systeem blijkt namelijk nog complexer dan gedacht. De SVB heeft daarom onafhankelijk onderzoek laten uitvoeren hoe het programma zo kan worden bijgesteld, dat modernisering ten behoeve van de dienstverleningsambities gerealiseerd kunnen worden. Nadere besluitvorming volgt in 2026.
Doel 2025:
| Wordt het AA-systeem verder gemoderniseerd. |
|---|
Weerbaarheid van de organisatie
Door de toenemende geopolitieke instabiliteit en de landelijke opgave rond maatschappelijke weerbaarheid, zijn in het kader van weerbaarheid aanvullende maatregelen getroffen om ervoor te zorgen dat uitbetalingen aan burgers goed zijn geborgd, ook bij calamiteiten zoals cyberincidenten of uitval van leveranciers. Hiervoor zijn de crisiscommunicatiemiddelen verbeterd zodat de medewerkers en klanten altijd op de hoogte zijn van wat er speelt. Continuïteit van betalingen aan burgers is de grootste prioriteit voor de SVB. In dat kader is afgelopen jaar een flexibele betaalmogelijkheid ontwikkeld ten dienste van de SVB, die momenteel wordt geïmplementeerd. De betaalmogelijkheid is sterk beveiligd en kan in een noodsituatie binnen afzienbare tijd worden overgezet naar een andere omgeving. Daarnaast kan er worden teruggevallen op een back-up betaalmogelijkheid. Er zijn ook verbeteringen doorgevoerd om stroomuitval en uitval van onderdelen van de organisatie beter op te kunnen vangen. Samen met SZW en andere SUWI-partners is gewerkt aan een beeld van de weerbaarheid van de keten. De SVB brengt daarnaast in beeld hoe de weerbaarheid van de organisatie verder kan worden verbeterd. In 2026 zal hier verder opvolging aan worden gegeven door inrichting van governance, verbeteractiviteiten en oefensessies.
Informatiebeveiliging, privacy en digitale veiligheid.
De SVB vindt het belangrijk dat de aan haar toevertrouwde (persoons)gegevens en de continuïteit van de dienstverlening aan de burgers optimaal beschermd zijn en blijven. Door de geopolitieke ontwikkelingen in de wereld nemen de cyberdreigingen toe met als gevolg dat deze, in combinatie met veranderende wet- en regelgeving, een constante uitdaging waren in 2025. Deze uitdagingen hebben in 2025 dan ook een aanzienlijke en structurele inzet van de SVB gevraagd. In 2025 zijn aanvullende maatregelen getroffen om de weerbaarheid van de SVB verder te versterken, zoals bijvoorbeeld uitbreiding van de monitoring en follow-up, verbeteringen in de ontwikkelprocessen en testmethodieken, en zonering van de omgeving. Ook in 2026 zal de SVB hiermee doorgaan om zo de weerbaarheid in lijn te houden met het actuele SVB-dreigingsbeeld. Het programma ‘Digitale Veiligheid’ is in 2025 gecontinueerd. Hierbij is gewerkt aan het beter beveiligen van de meest kritieke informatiesystemen van de SVB. De ontwikkelwerkplekken voor softwareontwikkeling zijn gemoderniseerd; de beveiliging van kernsystemen is verder verbeterd en/of aangescherpt. Ook zijn stappen gezet om informatiebeveiliging en privacy aantoonbaar te borgen binnen het inkoop- en contractmanagementproces. In 2025 is het securitybeleid geactualiseerd, op basis van de Europese NIS2-richtlijn en bijbehorende overheidsnormen, en uitgebreid met nieuwe kaders voor onder meer authenticatie, zonering en leveranciersmanagement. Ook op het gebied van privacy zijn verbeteringen doorgevoerd, onder meer door het actualiseren van verschillende beleidskaders en het verder complementeren van het verwerkingsregister.
Doel 2025:
| Wordt de implementatie van de NIS2-richtlijn afgerond. |
|---|
Implementeren SVB Datastrategie
De SVB is voor juiste en tijdige uitvoering van haar taken in hoge mate afhankelijk van gegevens van nationale en internationale ketenpartners. Borgen van de kwaliteit en betrouwbaarheid van deze gegevens en het versterken van de gegevensuitwisseling zijn in dit kader belangrijke onderwerpen. In 2025 heeft de SVB de datakwaliteit van kernregistraties zoals de Basisadministratie Volksverzekeringen (BAV), de Basisregistratie Personen (BRP) en de Registratie Niet-Ingezetenen (RNI) gemonitord. Voor de BRP en de RNI zijn monitors ingezet om afwijkingen tijdig te signaleren en te herstellen. Voor de BAV zijn monitors ontwikkeld die tegenstrijdigheden in verzekeringsgegevens inzichtelijk maken en gericht verbeteren.
Het toekomstbestendig inrichten van de gegevensuitwisseling is verbeterd. De SVB heeft stappen gezet om DigiKoppeling in eigen beheer te implementeren. Hiermee kan de SVB op een moderne en veilige manier gegevens uitwisselen met ketenpartners en andere externe partijen. Tot op heden verloopt deze uitwisseling via RINIS.
Gegevensverwerking SUWI
De SVB draagt zorg voor een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. Daarvoor hebben we op basis van de Baseline Informatiebeveiliging Overheid (BIO) maatregelen en procedures getroffen. Een deel van de SVB IT-dienstverlening is uitbesteed waarover de belangrijkste leveranciers jaarlijks verantwoording afleggen. Om de weerbaarheid van de SVB tegen digitale dreigingen te vergroten en om de beheersing van onze informatiebeveiliging verder te verhogen lopen er meerdere verbeterinitiatieven. Die initiatieven vloeien evenwel voort uit de BIO-toetsing als risico gebaseerd op basis van het vastgestelde SVB-dreigingsbeeld. Onder andere het programma ‘Digitale Veiligheid’ begeleidt initiatieven op het gebied van netwerkbeveiliging, autorisatie- en continuïteitsmanagement om daar in volwassenheid in te groeien. Tenslotte zijn de werkzaamheden voor compliance in het kader van de Cyberbeveiligingswet uitgevoerd (onder andere rondom de zorg- en meldplicht), waarvan wordt verwacht dat deze in de loop van 2026 zijn afgerond.
Algoritmen en AI
In 2025 heeft de SVB belangrijke stappen gezet om het gebruik van kunstmatige intelligentie binnen de organisatie zorgvuldig en verantwoord in te richten. Het versterken van bewustzijn en kennis bij medewerkers stond daarbij centraal, naast het vastleggen van duidelijke kaders en het vergroten van inzicht in waar en hoe Artificial Intelligence (AI) wordt ingezet.
Gedurende het jaar is aandacht besteed aan het vergroten van AI-vaardigheden. De verplichte e-learning Bewust Omgaan Met Informatie is uitgebreid met onderdelen over kunstmatige intelligentie en door een groot deel van de medewerkers afgerond. Aanvullend is begonnen met het inkopen van gerichte trainingen voor medewerkers die werken met AI-toepassingen, zodat zij deze technologie op een verantwoorde manier kunnen gebruiken in hun dagelijkse werk.
In 2025 is het algoritmebeleid geactualiseerd. Daarmee zijn afspraken vastgelegd over AI-geletterdheid, het registreren van gebruikte algoritmes en het bepalen van risicoclassificaties. Deze stappen hebben bijgedragen aan een transparante en beheerste inzet van AI binnen de SVB en vormen een solide basis voor verdere naleving van de Europese AI-verordening.
Doel 2025:
| Worden voorbereidingen getroffen voor de Europese AI-verordening. |
|---|
