We willen dat onze dienstverlening betrouwbaar is en voldoet aan de wet-en regelgeving.

WNRA

Rechtspositie ambtenaren

P-Direkt volgt continu de veranderingen in de wet- en regelgeving op het gebied van arbeidsvoorwaarden en voert die waar nodig door in onze dienstverlening. In 2018 is intensief gewerkt aan de voorbereiding op de nieuwe rechtspositie (WNRA) die per 1 januari 2020 ingaat.

Met het project implementatie nieuwe rechtspositie (PINR) zorgt P-Direkt ervoor dat vooruitlopend op de ingangsdatum van de nieuwe wet de systemen, processen, kennis en communicatie van P-Direkt klaar zijn. In 2018 is veel capaciteit gestoken in het analyseren van de verschillen tussen het ARAR en het Burgerlijk Wetboek en het maken van impactanalyses voor de aanpassingen die in 2019 gerealiseerd moeten worden op de dienstverleningsprocessen en zo ook op onze informatie op Rijksportaal Personeel en P-Direkt.nl.

Daarnaast draagt P-Direkt actief bij aan het rijksbrede programma 'Implementatie Normalisering Rijk (INR)'. P-Direkt biedt voortdurend een uitvoeringsperspectief op het implementeren en uitwerken van de nieuwe rechtspositie en de nieuw te vormen CAO. Ook is P-Direkt betrokken bij de rijksbrede voorlichting over de nieuwe rechtspositie.

Contactcenter werkt aan betrouwbaarheid

Het contactcenter is continu op zoek naar verbeteringen in de kennis en de processen, zodat we in een keer het juiste antwoord geven.

Investeren in kennis
In 2018 zijn we gestart met het project ‘Kennis op orde’. In dit project wordt, naast alle basiskennis, ook de specialistische kennis van onze experts op orde gebracht, vastgelegd en beheerd in onze kennisbank (kennissysteem). Hiermee wordt vanuit één applicatie (tool) alle informatie en kennis toegankelijk voor de medewerker, die op deze manier op een efficiënte en effectieve wijze toegang heeft tot betrouwbare inhoudelijke kennis. De medewerkers van het contactcenter hebben dan toegang tot de meest brede vorm van informatie, waardoor de vragen van onze klanten (nog) vaker correct en snel afgehandeld kunnen worden.

Het afgelopen jaar stond vooral in het teken van het verzamelen en op orde brengen van alle beschikbare kennis. De aanschaf van een tool en verdere implementatie hiervan zal in 2019 plaatsvinden.

Met skillsturing balans in behoefte gebruiker en kennis medewerker
Met het project skillsturing, gestart in 2017, worden de vragen van de klanten beter afgestemd op de kennis van de medewerkers van het contactcenter. Op deze manier komen de vragen van de klanten in één keer, zonder doorverbinden, bij de medewerker met de juiste kennis terecht. Zo krijgen onze klanten vaker en sneller in één keer het juiste en volledige antwoord (zie ook Realisatie spoor 2).

Automatisch e-mails toewijzen aan de juiste medewerker
Sinds begin 2018 worden de e-mails (en het contactformulier in het P-Direktportaal) van klanten automatisch toegewezen aan de meest geschikte medewerker voor die vraag. We gaan de techniek hierachter verbeteren met een professionele tool en we gaan vanaf medio 2019 hiermee werken. Eerst op de 1e lijn en later in een tweede fase in 2019 met de 2e lijn.

Voorbereidingen voor spraaktechnologie voor afhandeling telefonie
De planning is om in 2020 skillsturing te realiseren voor telefonie, zodat ook de klant die belt automatisch wordt doorverbonden met de medewerker die over de juiste kennis beschikt. Innovatie in de telefoontechniek maakt dit mogelijk. Dit stond in een eerder jaarplan eerder gepland en is in de loop van 2018 geherprioriteerd.

Verbeteren van de kwaliteit van de personeelsdossiers met arbeidsparticipanten

In vervolg op de succesvolle pilot ‘p-dossiers op orde’ met de Belastingdienst en JenV is in samenwerking met Binnenwerk (UBR) een aanvullend initiatief gestart: de pilot ‘opschonen p-dossiers conform Archiefwet en AVG’. Personeelsdossiers moeten immers aan de wettelijke verplichtingen voldoen. Medewerkers met een arbeidsbeperking zorgen ervoor dat de kwaliteit van de (digitale) personeelsdossiers voor de inmiddels aangesloten ministeries (BZK, VWS, Algemene Rekenkamer en SZW) verbetert. Eind 2018 waren 85 medewerkers met een arbeidsbeperking werkzaam bij P-Direkt: 3 teams in Zwolle en 3 teams in Den Haag.

Door het opschonen van personeelsdossiers, alsmede door het creëren van banen ten behoeve van de Banenafspraak/Quotumwet, worden 2 opgaven gerealiseerd. Op deze manier bieden wij aan medewerkers met een arbeidsbeperking zinvol en nuttig werk. Dit is een mooi voorbeeld van maatschappelijke innovatie. En bovendien komt het de kwaliteit van de personeelsdossiers ten goede.

AVG

Informatiebeveiliging

De aandacht voor informatiebeveiliging en privacy groeit.  P-Direkt wil een 'safe harbour' zijn voor privacy van en voor het Rijk, die de data van de medewerkers voor zowel de HR-administratie als identiteit borgt.

Informatiebeveiliging en AVG
P-Direkt heeft een project uitgevoerd dat ervoor heeft gezorgd dat alle relevante onderdelen op 25 mei 2018 aan de AVG voldeed. De basis voor dit project was al eind 2017 gelegd met de door Professor Paans uitgevoerde Privacy Impact Assesment (PIA). Hierin werd bekeken in hoeverre de organisatie op dat moment ‘privacyproof’ was. P-Direkt bleek aan de wet te voldoen, wel waren er enkele verbeterpunten. Deze verbeterpunten, samen met de aanvullende bepalingen uit de AVG, vormden het projectplan AVG van P-Direkt. Dit plan is uitgevoerd en P-Direkt daarmee voldeed P-Direkt op 25 mei 2018 aan de AVG.

Naast de voor P-Direkt verplichte onderdelen heeft P-Direkt ook ondersteuning geboden aan de ministeries in hun rol van verwerkingsverantwoordelijke. Aan de verwerkingsverantwoordelijken is een standaard dataset ter beschikking gesteld met de vulling voor hun verwerkingsregister met de door P-Direkt uitgevoerde HR-processen.

De implementatie van de AVG zorgde voor een toename van het aantal vragen op het gebied van privacy door onze klanten aan het contactcenter. P-Direkt heeft deze klanten gefaciliteerd met een specifieke informatiepagina over de AVG met FAQ’s. Het privacybeleid van P-Direkt wordt verduidelijkt in de privacy statement, die eveneens op deze pagina is gepubliceerd.

Om de informatiebeveiliging op orde te hebben en te houden is de Baseline Informatiebeveiliging Rijksdienst in 2017 uitgebreid met een set vernieuwde maatregelen. P-Direkt voert deze maatregelen door. Met de implementatie van de BIR 2017 worden ook het Informatiebeveiligingsbeleid en de aansturing hiervan herijkt. De verwachting is dat dit medio 2019 zijn beslag zal vinden.

Beveiligingsincidenten en datalekken
In 2018 is de procedure voor het registreren en melden van datalekken herschreven. Deze nieuwe procedure was eind 2018 gereed. Op basis van deze procedure zal het komende jaar per kwartaal een overzicht van datalekken worden geproduceerd. In 2018 zijn een vijftiental datalekken gerapporteerd bij de security officer. Het betroffen zonder uitzondering kleine datalekken, zoals ‘stuk in het verkeerde dossier gestopt’, die vanwege de omvang niet hoeven te worden gemeld aan de Autoriteit Persoonsgegevens.

De registratie van beveiligingsincidenten vormt voor P-Direkt een aandachtspunt. De afhandeling en opvolging van deze incidenten was ruim voldoende, maar de incidenten werden niet altijd centraal gemeld. Voor het komende jaar worden hier verbetermaatregelen genomen.

Geen van de incidenten of datalekken gaf aanleiding tot het treffen van aanvullende technische of organisatorische beveiligingsmaatregelen.

Digitale risico’s: ‘serious game-oefening’
P-Direkt heeft veel digitale privacygevoelige informatie in huis. We nemen de beveiliging hiervan serieus. Niet voor niets is betrouwbaaheid één van onze kernwaarden. Toch blijft dit een complexe zaak: technologieën veranderen razendsnel en de digitale wereld blijft –voor velen– toch ongrijpbaar. Daardoor zijn we ons niet altijd bewust van de risico’s die we dag in, dag uit lopen. Denk aan misbruik van gegevens, hacks, maar ook schade aan apparatuur of diefstal van geld behoren tot de mogelijkheden.

Om te zien hoe goed wij in staat zijn om een digitale ramp in goede banen te leiden, heeft P-Direkt een aantal crisisoefeningen gehouden. Tijdens een interactief spel voerden relaties en medewerkers van P-Direkt zelf de regie over de bestrijding van een fictieve crisis en moesten zij onder tijdsdruk keuzes maken. In zo’n praktijksituatie wordt duidelijk welke kennis en vaardigheden gevraagd worden en helpt bij de bewustwording van de gevaren en zal bijdragen om de hackers buiten de deur te houden.

De crisisoefening is ontwikkeld in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst.

Beheersing en controle

Het beheerstelsel van P-Direkt omvat naast controles binnen de processen ook aanvullende compenserende maatregelen. Elk jaar rapporteert de ADR over zijn bevindingen. Daar waar verbeteracties nodig zijn, wordt de opvolging hiervan ook gemonitord, als onderdeel van onze cyclus.

Totaaloverzicht interne controle
Alle aangesloten ministeries (met uitzondering van BZK) hebben de verbijzonderde interne controles op de personele processen grotendeels overgedragen aan P-Direkt. Over de uitgevoerde controles ontvangen de ministeries maandelijks een rapportage van de door P-Direkt uitgevoerde IC-werkzaamheden.

Mede op basis van adviezen van de ADR en een intern gewenste moderniseringsslag, heeft P-Direkt in 2018 een nieuw systeem ontwikkeld voor de registratie van de interne controles over de HR-keten. Dit systeem hebben we in 2018 succesvol in gebruik genomen, waardoor ook de adviezen van de ADR uit 2017 zijn opgevolgd. De ADR heeft in 2018 geconstateerd dat de interne controles hierdoor aanzienlijk zijn verbeterd.

P-Control overleg
2018 was het jaar waarin het P-control het bestaande P-controllers overleg heeft vervangen. Dit nieuwe P-controloverleg heeft meer dan in het verleden tot doel inzicht te geven in de wijze waarop P-Direkt de interne beheersing heeft ingeregeld en op welke wijze P-Direkt zich hierover verantwoordt. Oftewel, hebben we de HR-keten, voor zover P-Direkt daar onderdeel vanuit maakt, in control?

Het P-controloverleg gaat onder andere over de interne controle van de personele uitgaven, interne controle op de substitutie en de wijze waarop we de AVG, en dergelijke, hebben ingeregeld in onze organisatie. Het overleg is eenmaal per kwartaal bijeen geweest. Op het eerste overleg van het jaar hebben we één keer de brede doelgroep uitgenodigd. Een tussentijdse evaluatie onder de P-controllers heeft uitgewezen dat men tevreden is over deze nieuwe overlegvorm.

Uitkomsten audit ADR
De AuditDienst van het Rijk (ADR) is verantwoordelijk voor de controle van de jaarverslagen van het Rijk. In dat kader heeft de ADR ook een controle uitgevoerd op de rijksbrede uitgaven voor personeel. Bij P-Direkt controleren zij dan ook de hele verwerking van de door ons verwerkte rijksbrede uitgaven voor personeel, voor een bedrag van 8,9 miljard euro. Daarbij ziet de ADR toe op het geheel aan werkzaamheden wat wij uitvoeren, zoals het verwerken van mutaties, het IT-beheer en de interne controles.

De controle van de wettelijke taak door de ADR bestaat uit een controle op het IT-beheer en een controle op de betaalde salarissen. Over dat geheel rapporteert de ADR aan de departementale controleteams over de  betrouwbaarheid van de personele lasten. Een uitsnede van deze controle betreft de controle van het IT-beheer van de P-Direktsystemen. Op basis van de evaluatie van de afwijkingen en de bijbehorende weging bij de verschillende beheersingsmaatregelen, is de ADR van mening dat de gedefinieerde beheersingsmaatregelen in opzet, bestaan en werking geen redelijke mate van zekerheid waarborgen dat de beheersingsdoelstellingen bij Wijzigingsbeheer, Gebruikersbeheer en Productiebeheer worden behaald in 2018.

Maar omdat wij daarnaast ook compenserende maatregelen treffen, worden deze risico’s gemitigeerd. De ADR stelt vast dat het huidige niveau van beheer maakt dat we in voldoende mate kunnen steunen op het P-Direktsysteem voor de controle van de wettelijke taak, omdat ons niet is gebleken dat er fouten zijn voorgekomen uit onze controles.

Verbeteracties naar aanleiding van de audit van de ADR
Gedurende het jaar heeft P-Direkt veel moeite gestoken in het doorvoeren van verbeteringen in de beheersing van, met name, gebruikersbeheer en productiebeheer.

De verbeteringen van de bevindingen ten aanzien van het productiebeheer zijn door P-Direkt, in samenwerking met SSC-ICT, begin 2018 doorgevoerd. De ADR geeft aan dat er ten opzichte van 2017 een verbetering is waargenomen. Wij hadden de verwachting dat het oordeel van de ADR over de beheersing van het productiebeheer over 2018 voldoende zou zijn. Productiebeheer is belegd bij 3 teams (Interfaces, Journalisering en Portaal) die niet op dezelfde wijze werken. In het vooraf overeengekomen en gehanteerde non-GITC normenkader is daar wel vanuit gegaan. Dit heeft ertoe geleid dat de ADR bij haar controle niet altijd de uitgevoerde procesgang kon reproduceren, door onvoldoende vastlegging van verrichte acties. De geconstateerde afwijkingen betreffen vaak verklaarbare zaken, waarmee de risico’s voor de salarisbetaling voldoende zijn afgedekt. De ADR kan onvoldoende vaststellen dat wij dit doen. Wij leren hiervan en zullen in 2019 met de ADR afstemmen over de aard en diepgang van de beheersmaatregelen, waarbij wij meer oog hebben voor de verschillende soorten systemen en uitzonderingen en de wijze waarop de ADR deze vervolgens toetst.

Aangaande gebruikersbeheer benadrukken we dat P-Direkt, conform de interne planning, de vorig jaar geconstateerde verbeterpunten in oktober 2018 heeft opgelost. De ADR heeft op ons verzoek extra controles uitgevoerd in de maand oktober om vast te stellen dat de bevinding is opgelost. Op basis van aanvullende werkzaamheden heeft de ADR grote verbeteringen geconstateerd. De verwachting is dat als deze lijn zich doortrekt naar controlejaar 2019, er een goede kans is dat de beheersingsdoelstelling behaald wordt in 2019.

Met betrekking tot het punt wijzigingsbeheer het volgende: P-Direkt kende al twee methodieken om uitbreidingen en wijzigingen in de systemen te verwerken. Deze twee methodieken zijn voldoende uitontwikkeld in termen van taken/verantwoordelijkheden, functiescheiding en vastlegging. Hier waren in 2017 geen bevindingen op. Begin 2018 is de nieuwe agile/scrum methodiek ingevoerd voor het wijzigingsbeheer. De afspraken voor de vastleggingen van de stappen in het wijzigingsbeheerproces moeten worden aangescherpt, zodat achteraf eenvoudig kan worden aangetoond welke werkzaamheden zijn uitgevoerd en wie daar verantwoordelijk voor was. Hierop is al actie ondernomen. Gezien de doorlooptijd van reeds in gang gezette verbeteracties (2018/begin 2019) is de verwachting dat dit kan doorwerken in het oordeel van de ADR over 2019.

De Algemene Rekenkamer zal naar verwachting rapporteren dat de onvolkomenheid nog niet is opgelost in 2018.