Hoofdinhoud
Onze medewerkers hebben vanwege de coronacrisis het gehele jaar grotendeels vanuit huis de digitale dienstverlening van de overheid draaiende gehouden. Zo konden we de continuïteit en veiligheid van onze dienstverlening waarborgen. Ondanks deze situatie is het in 2021 gelukt de beschikbaarheid van alle Logius diensten weer boven de afgesproken normen te houden.
Toename
Ook is het gebruik van onze producten en diensten is in 2021 toegenomen. Zo is het aantal keer dat is ingelogd met DigiD met 154 miljoen gestegen ten opzichte van 2020 naar in totaal 557 miljoen authenticaties in 2021. Daarnaast is er in 2021 13,6 miljoen keer ingelogd via de Machtigen voorziening van DigiD. Zo zijn er in 2021 80,6 miljoen berichten verstuurd via de BerichtenBox van MijnOverheid die ondertussen uit 9,1 miljoen actieve accounts bestaat. Ook het Standaard Platform wordt steeds meer gebruikt. In het afgelopen jaar zijn er vijftien nieuwe diensten aangesloten.
Veiligheid
Veilig zakendoen met de overheid is één van de belangrijkste speerpunten van Logius. Daarom zijn we continue bezig om onze dienstverlening nog veiliger en betrouwbaarder te maken. In 2021 droegen wij bij aan een veilige en beschikbare digitale overheid met onder meer de volgende zaken.
- Om de continuïteit van dienstverlening te garanderen zijn bij Logius veel informatiebeveiligingsmaatregelen doorgevoerd. Om de werking daarvan structureel te kunnen aantonen, hebben we een Logiusbreed raamwerk opgesteld. Hierdoor kunnen we in het reguliere werk periodieke controles gaan meenemen, waarbij ook de bewijsvoering wordt vastgelegd. Daarnaast is een beleid opgesteld om de informatiebeveiliging binnen Logius te uniformeren zodat de gehele dienstverlening voldoet aan dezelfde kwaliteitseisen.
- Om de dienstverlening van Logius nog veiliger te maken heeft Logius een Security Operations Center (SOC) en Security Information Event Management (SIEM) ingericht. Het SOC richt zich op monitoring en detectie. Het gaat over de bescherming van data en systemen. Logius verwerkt ontzettend veel gegevens en Nederlanders moeten erop kunnen vertrouwen dat we daar zorgvuldig mee omgaan. Hiervoor is Logius een vernieuwende samenwerking aangegaan met de markt: een hybride-SOC. Hierbij wordt de detectie en eerste analyse gedaan door de leverancier en vervolgens zorgt Logius voor opvolging en specialistische analyse. De huidige en nieuwe infrastructuur zijn al aangesloten op de SIEM-dienstverlening.
- Het SOC richt zich ook op het (voorkomen) van misbruik en oneigenlijk gebruik van de Logius-diensten. Om te voorkomen dat mensen de dupe worden van cybercrime zoals phishing zijn er in 2021 meer dan 4000 websites en/of apps offline gehaald, of nooit online zichtbaar geweest. Ook hebben we het afgelopen jaar meegewerkt aan bijna 600 onderzoeken van ketenpartners gerelateerd aan mogelijk misbruik en oneigenlijk gebruik van de Logius diensten.
- Logius beschikt over een professionele crisis- en calamiteitenorganisatie die in 2021 in totaal 236 incidenten heeft afgehandeld. Het gaat dan om incidenten die in meer of mindere mate impact hebben op onze dienstverlening en waarbij burgers, bedrijven en publieke organisaties mogelijk last ondervinden. Daarnaast zijn 21 incidenten geëscaleerd naar een calamiteit. Hierbij raakt de verstoring een grotere groep burgers of bedrijven of is de doorlooptijd langer dan verwacht.
- In lijn met de internationale trend heeft Logius veel te maken gehad met DDoS-aanvallen. Juli en augustus waren hierbij recordmaanden. In een enkel geval leidde zo’n aanval tot een onderbreking van de dienstverlening, maar in verreweg de meeste gevallen zijn ze succesvol afgeslagen.
- Sinds 2021 is Logius nog beter beschermd tegen aanvallers die proberen de dienstverlening onderuit te halen. Er is met succes een anti-DDoS-oefening uitgevoerd met verschillende soorten aanvallen. Dit was een grote oefening met onze partners in de nationale anti-DDoS-coalitie. Burgers en bedrijven hebben geen last ondervonden van de oefening, omdat deze tijdens een “onderhoudsmoment” plaatsvond. Ook is over deze oefening vooraf gecommuniceerd. Logius heeft relevante leerpunten in gang gezet om de DDoS protectie nog robuuster te maken.
- Logius heeft in 2021 15.069 DigiD-accounts verwijderd vanwege (digitale) identiteitsfraude. Het weggeven van DigiD-gegevens mag niet en kan leiden tot fraude. Logius helpt als het toch mis gaat bij het delen of stelen van gegevens. Het desbetreffende DigiD-account wordt verwijderd. Dit stelt gedupeerde burgers in staat om een nieuwe DigiD aan te vragen, waardoor zij weer als enige hun eigen gebruikersnaam en het wachtwoord kennen. DigiD Machtigen maakt mogelijk dat een burger iemand anders kan machtigen om digitaal zaken te doen met de overheid.
- Logius heeft meegedaan aan de overheidsbrede beveiligingsoefening ISIDOOR. Daarbij is geoefend aan de hand van een casus die razendsnel geëscaleerd moest worden naar interdepartementaal crisisbestrijdingsniveau. Deze oefening heeft nog eens extra laten inzien dat de Generieke Digitale Infrastructuur (GDI) vitale dienstverlening is. Als deze dienstverlening om welke reden dan ook offline is, heeft dit verstrekkende gevolgen voor burgers en bedrijven en kan dit in het uiterste geval leiden tot maatschappelijke ontwrichting. Terugkijkend is de conclusie dat dat de samenwerking, rolvastheid, kennis en informatie-uitwisseling tussen de operationele, tactische, strategische en bestuurlijke laag tijdens een crisis op orde zijn. Daarnaast was de oefening uitermate geschikt om te onderzoeken in hoeverre een crisisteam optimaal kan functioneren in een hybride werksituatie.
- In de meeste kernactiviteiten van Logius worden persoonsgegevens verwerkt. Zorgvuldig en juist omgaan met gegevens van burgers en bedrijven is van groot belang om ieders privacy te waarborgen. Daarom heeft privacy voortdurend de aandacht. Om het privacy bewustzijn te vergroten zijn in 2021 AVG-workshops gegeven voor alle medewerkers. Voor nieuwe medewerkers wordt 1 keer in de 2 maanden een onboarding-workshop gegeven. Daarnaast zijn de procedures rondom privacy verbeterd door middel van 33 opgestelde verwerkingen, 11 self-assesments en 5 data protection impact assessments (DPIA).
De dienstverlening van Logius is onder te verdelen in vier domeinen Toegang, Interactie, Gegevensuitwisseling, Infrastructuur en daarnaast is Logius beheerder van stelsels en standaarden. Enkele sprekende voorbeelden van de doorontwikkeling van diensten en producten per domein volgen hieronder.
Toegang
- DigiD is in 2021 vaker gebruikt om veilig digitaal zaken te doen met de overheid. In 2021 werd 557 miljoen keer succesvol met DigiD ingelogd, in 2020 was dit nog 403 miljoen keer het geval. De stijging komt voor een aanzienlijk deel door coronagerelateerde dienstverlening: voor het maken van test- en vaccinatieafspraken en het ophalen van testuitslagen en de QR-code in de CoronaCheck-app van het ministerie van VWS.
- DigiD was in 2021, ondanks het hogere gebruik, zeer goed beschikbaar. De gestelde norm van 99,50% is met 99,78% ruim gehaald.
- Het gebruik van DigiD is in 2021 veiliger geworden, omdat meer mensen DigiD met hogere beveiligingsniveaus gebruiken. Dat geldt vooral voor niveau Substantieel, waarbij eenmalig via een geschikt identiteitsbewijs een mobiel apparaat aan de DigiD-app wordt gekoppeld.
- Het aanvragen van een DigiD als iemand nog geen DigiD heeft is in 2021 makkelijker geworden. Dit kan namelijk nu ook direct vanuit de DigiD app.
- Om identiteitsfraude tegen te gaan is gezorgd dat een DigiD direct na overlijden niet meer kan worden gewijzigd.
- Burgers in het buitenland moeten soms ver reizen om DigiD te activeren. Er is een succesvolle proef geweest om dit proces online te ondersteunen. Deze dienstverlening wordt in 2022 voortgezet.
- In 2021 is er 13,6 miljoen keer ingelogd via de Machtigen voorziening van DigiD.
- Machtigen is vereenvoudigd, omdat een hulpgever meerdere machtigingen nu in één keer kan aanvragen en de hulpgever meerdere machtigingen in één keer kan activeren.
- De Belastingdienst kan na overlijden een machtigingsrelatie registreren, waarna de gemachtigde namens de overledene zaken kan regelen.
- Mensen met een buitenlands inlogmiddel kunnen sinds 2021 Machtigen gebruiken, waardoor zij als hulpgever ook digitaal kunnen handelen.
- De gebruiker kan voor (toekomstige) notificaties van Machtigen zijn e-mailadres registreren, bevestigen, aanpassen en verwijderen.
- De toegankelijkheid van de DigiD Machtigen website is verbeterd.
Interactie
- Burgers weten MijnOverheid steeds beter te vinden: in 2021 nam het aantal actieve accounts van MijnOverheid gemiddeld met 49.000 maandelijks toe. Dit is een stijging van bijna 17%. In 2020 was dit bijna 42.000 accounts per maand. Daarnaast is de Berichtenbox app 708.403 keer in 2021 gedownload. Het totaal aantal actieve installaties van de MO app lag op 4,5 miljoen. Het gemiddeld aantal gelezen berichten per maand in de Berichtenbox is in de eerste 8 maanden van 7,1 miljoen in 2020 naar 7,5 miljoen in 2021 gegaan. Dat is een stijging van 5,5 procent. Er zijn in 2021 80,6 miljoen berichten verstuurd.
- Burgers kunnen steeds meer gegevens vinden in MijnOverheid. Zo kunnen zij sinds 15 september 2021 berichten (inzage en attenderen van bekendmakingen) over de eigen buurt in MijnOverheid bekijken. Logius heeft dit in samenwerking met Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP) gerealiseerd. Daarnaast kunnen woningeigenaren sinds 10 maart 2021 het energielabel van hun woning via MijnOverheid inzien en sinds 1 april ook als pdf downloaden.
- De overheid wil burgers niet onnodig om gegevens vragen. Daarom is er een pilot met woningcorporaties gestart. Burgers die in aanmerking willen komen voor een sociale huurwoning kunnen hun relevante persoons- en inkomensgegevens die al bij de overheid bekend zijn delen met de betreffende woonruimteverdeler.
- De functionaliteit "Bericht met bezorgbevestiging" is beschikbaar voor het Openbaar Ministerie wat een essentiële functionaliteit is zodat hiermee juridisch bevestigd kan worden dat een bericht bezorgd is.
- De Berichtenbox app is de eerste app van de overheid die op iOS (Apple-apparaten) volledig voldoet aan de toegankelijkheidseisen. De app voor besturingssysteem Android voldoet bijna aan alle eisen (48 van 50).
- De Berichtenbox is makkelijker in gebruik geworden. Burgers kunnen in de nieuwste versie namelijk meerdere berichten in één keer selecteren om te verplaatsen of te verwijderen.
Gegevensuitwisseling
- De continuïteit van de huidige Digipoort voorziening is gewaarborgd. Daarbij zijn er verbeteringen doorgevoerd zoals de mogelijkheid voor het registreren van een doorlopende machtiging.
- Er is in 2021 gewerkt aan een nieuwe, toekomstbestendige Digipoort. Er zijn nieuwe leveranciers geselecteerd en voorbereidende werkzaamheden zijn gestart.
- Het nieuwe Platform Stelsel van Basisregistraties geeft inzicht en overzicht in wat Logius te bieden heeft aan overheden die voor hun dienstverlening aan burgers en bedrijven gebruik maken van gegevens uit (basis)registraties. Ook zijn er voorbereidingen getroffen voor de migratie van Stelseldiensten naar de nieuwe infrastructuur.
- Er zijn werkzaamheden verricht om te zorgen dat onderdelen van de dienstverlening beter herbruikbaar en beheersbaar zijn.
- Om herkenbaarheid te bevorderen is voor een eenduidige ‘look & feel’ van de verschillende Stelselvoorzieningen gezorgd. Er zijn generieke componenten ontwikkeld op basis van MijnOverheid die eenvoudig hergebruikt kunnen worden binnen andere voorzieningen.
- Digimelding is in gebruikersgemak verbeterd. Er is een toegankelijkheidsonderzoek uitgevoerd waar bevindingen uit zijn gekomen die worden opgelost.
- Gegevens worden tegenwoordig steeds vaker uitgewisseld via API’s. Er is kennis en ervaring opgedaan om het ontwikkelen, publiceren en beheren van API’s te vereenvoudigen op een zogenaamd API-platform.
- Er zijn kleine wijzigingen doorgevoerd om de continuïteit van DigiInkoop te kunnen waarborgen.
- Voor LeesRijk en LeerRijk lag de focus vooral op het waarborgen van de continuïteit.
Infrastructuur
Infrastructuur als dienstverlening
- De beschikbaarheid van het Standaard Platform en het Centraal Aansluitpunt is het gehele jaar boven de norm gebleven. Daarbij is de dienstverlening die op het Standaard Platform draait tegenwoordig verzekerd van 24x7 ondersteuning, waardoor afnemers van SP-dienstverlening altijd terecht kunnen bij SP voor vragen en bij incidenten.
- Door een aantal vernieuwingen wordt de veiligheid en continuïteit van de techniek gegarandeerd. Afnemers zijn momenteel naar deze nieuwe platformtechnologie aan het migreren. Deze migraties zullen in januari worden afgerond.
- Het Standaard Platform wordt steeds meer gebruikt. In het afgelopen jaar zijn vijftien nieuwe diensten aangesloten op het Standaard Platform, waaronder: het Landelijk Scholingsportaal, Doc-Direkt en een Proof of Concept met het Openbaar Ministerie. Daarnaast heeft VWS verschillende websites succesvol gelanceerd, waaronder: Prikken Zonder Afspraak en Zelftestenbestellen.nl, Quarantaine Check COVID-19 en Quarantaine Reischeck COVID-19. Verder treedt de Omgevingswet in 2022 in werking. De voorbereidingen hiervoor worden getroffen.
- In 2021 is er gewerkt aan het reduceren van kosten van het Standaard Platform. Zo zijn externe medewerkers in dienst genomen en de tarieven van nieuwe externe medewerkers zijn verlaagd. Omdat er meer diensten gebruik maken van het Standaard Platform is de omzet gestegen. Ondanks de inspanningen tot kostenverlaging, lagen de kosten in 2021 nog 3 miljoen boven de omzet. Dit was hoger dan begroot. Voornaamste oorzaak zijn hogere kosten voor ODC Noord.
- Met het Centraal Aansluitpunt is er een eerste stapt gezet waarbij afnemers zelf gemakkelijk extra koppelingen van het Centraal Aansluitpunt kunnen gaan afnemen en beheren. Daarnaast is het Centraal Aansluitpunt gestart met het aanbieden van API Managementdienstverlening, waarmee gemakkelijk een koppeling mogelijk is met andere API’s. Vanaf juli biedt het Centraal Aansluitpunt ook dienstverlening op het gebied van inlogmiddelen (eHerkenning), waardoor Nederlandse bedrijven bij andere organisatie kunnen inloggen. Daarnaast is de dienstverlening (domeinnamen) en product- en aansluitdocumentatie verbeterd en geactualiseerd zodat de continuïteit van de dienstverlening doorgang kan vinden.
Infrastructuur als IT-fundament voor eigen dienstverlening
- Logius wil wendbare en toekomstvaste dienstverlening leveren en vernieuwt daarom de onderliggende techniek, werkwijzen en contracten. In 2020 zijn nieuwe contracten gegund en in 2021 is het nieuwe IT-fundament opgebouwd. Sinds november is deze nieuwe infrastructuur beschikbaar, zodat alle voorzieningen van Logius hier geleidelijk naartoe kunnen verhuizen.
- Om de veiligheid van voorzieningen te borgen is een nieuwe SIEM/SOC-oplossing opgebouwd. De huidige en nieuwe infrastructuur maken hier al gebruik van en in de toekomst zullen alle voorzieningen erop draaien.
- Het Logius containerplatform (LPC), SIEM/SOC en diensten als MijnOverheid hebben de migratie naar de nieuwe infrastructuur voorbereid door op de nieuwe infrastructuur te bouwen, te ontwikkelen en te testen. Het team LPC is klaar om de eerste diensten op het platform in productie te gaan nemen.
- De oplevering van het nieuwe Picard platform heeft later plaatsgevonden in 2021 (september in plaats van februari). Hierdoor is de geplande migratie van meerdere Logius voorzieningen verplaatst van 2021 naar 2022. Door de vertraagde migratie schuiven de geplande kostenbesparingen in de tijd op. En zullen tevens de dubbeldraaikosten verschuiven naar 2022.
Standaarden
- Logius heeft in 2021 een aantal belangrijke standaarden in beheer genomen. Deze standaarden (Representational State Transfer Application Program Interface, afgekort REST API’s) zijn verplicht voor de overheid en borgen dat de overheid haar data en diensten gestandaardiseerd, veilig en goed gedocumenteerd aanbiedt. De standaard is toegevoegd aan de Digikoppeling standaard, die gaat over veilige gegevensuitwisseling met overheidssystemen.
- Samen met de RVO heeft Logius het percentage fouten bij het gebruik van e-facturen teruggebracht tot 0,5%. Dit is gelukt door actief gebruik te maken van expertise van andere overheids- en marktpartijen en hen actief te helpen bij de implementatie van standaarden en aansluiting op PEPPOL. Deze activiteiten hebben ervoor gezorgd dat het aantal e-factureren dat via PEPPOL naar de rijksoverheid wordt gestuurd is gestegen van 30.000 per maand naar 50.000 per maand.
- Vanuit het kenniscentrum XBRL, een standaard voor het samenstellen en elektronisch uitwisselen van business rapportages en gegevens, is gewerkt aan het verbeteren van het toezicht op de uniformiteit en kwaliteit van de XBRL-taxonomieën die onder Standard Business Reporting (SBR) worden gebruikt. Ook is er gewerkt aan het verbeteren van het inzicht van stakeholders in het gegevenswoordenboek van SBR. Daarnaast heeft het kenniscentrum 8000 jaarrekeningen onderzocht om op deze manier de kwaliteit van toekomstige jaarverantwoordingsrapportages te verbeteren.
- Logius ondersteunt overheidsorganisaties bij de wettelijke verplichting om websites en apps voor iedereen toegankelijk te maken. Logius verspreidt kennis, jaagt aan, werkt samen met koepelorganisaties en biedt hulpmiddelen aan om toegankelijkheidsverklaringen te genereren. Logius monitort de voortgang van de toegankelijkheidsverklaringen van overheden en geeft feedback op de ruim 3000 beschikbare toegankelijkheidsverklaringen. In 2021 zijn meerdere hulpmiddelen opgeleverd, zoals een invulassistent voor de toegankelijkheidsverklaring en een raamwerk voor het toegankelijk ontwikkelen van apps. Daarnaast is een start gemaakt met een dashboard voor toezichthouders.
- De standaard Samenwerkende Catalogi zorgt ervoor dat alle producten- en diensteninformatie van de overheid op onder meer overheid.nl en ondernemersplein.nl is in te zien. Burgers en bedrijven kunnen hierdoor alle relevante informatie op één plek vinden en worden verwezen naar de juiste organisatie. De standaard is op verschillende vlakken doorontwikkeld. Zo is de Uniforme Productnamenlijst (UPL) voor de Single Digital Gateway doorontwikkeld en zijn de voorbereidingen gestart om het informatiemodel van Samenwerkende Catalogi op te nemen in de Stelselcatalogus.
Stelsels
- SBR is doorontwikkeld waarbij de architectuur, waaronder de Nederlandse Taxonomie Architectuur, is verbeterd. Daarnaast zijn er experimenten uitgevoerd met onder andere DUO, Belastingdienst en Philips om onder andere de werking van eIDAS gebaseerde gegevensuitwisseling aan te tonen met de Belastingdienst en de ING.
- De Diginetwerk- en de Rijksnetwerkarchitectuur is geactualiseerd. Diginetwerk kan tegenwoordig worden gebruikt voor de toegang tot Clouddienstverleners. Voorbeelden zijn o.a. DigiInkoop en nieuwe Rijksportaal. Daarnaast is er gewerkt aan de naamsbekendheid van Diginetwerk bij onder andere gemeenten.
- Het inloggen over de grens met Nederlandse inlogmiddelen is mogelijk gemaakt samen met RVO, RVIG, Logius en private partijen. eHerkenning is sinds september officieel een Europees erkend inlogmiddel. Hierdoor is het mogelijk om met eHerkenning in te loggen bij overheidsorganisaties binnen de Europese Economische Ruimte (EER). Daarnaast kunnen Nederlandse bedrijven ook met eHerkenning zaken regelen met buitenlandse dienstverleners die Europees inloggen aanbieden. Er is daarnaast bijgedragen aan de inlogoplossingen uit Zweden, Frankrijk en Tsjechië. Logius heeft hierbij de rol van voorzitter vervult.
- Om veilig zaken te kunnen doen met de overheid worden alle diensten alleen aangeboden op een hoger beveiligingsniveau. Het betrouwbaarheidsniveau eHerkenning niveau 1 is hiermee niet meer mogelijk. Hierbij is nauw samengewerkt met de eHerkenningsleveranciers en dienstverleners zoals Rijksdienst voor Ondernemend Nederland, Vereniging van Nederlandse Gemeenten en Justis.
- Nederlandse Peppol Autoriteit (NPA) is in 2021 verder opgebouwd en doorontwikkeld. Daarbij is naast elektronische facturen in 2021 ook gewerkt aan de toepassing van andere berichttypes zoals de e-order en het invoeren van ‘message level’ en ‘invoice response’.
- Er is naadloos overgestapt van de oude PKI-overheid certificaten naar de nieuwe certificaten. Daarnaast is er gewerkt aan de uniformiteit van de PKIo certificaat kaders om de kwaliteit en betrouwbaarheid van de dienstverlening te verbeteren. Ook zijn er issues gedetecteerd die vroegtijdig konden worden gemitigeerd.
Bedrijfsvoering en organisatie: continue doorontwikkelen
Voor het tweede jaar op rij werkten we vanwege de coronacrisis voor het grootste gedeelte thuis. Toch heeft Logius als organisatie ondanks deze situatie zich in 2021 ook weer verder doorontwikkeld. We zijn als organisatie versterkt door de vorming van de nieuwe directie Programmacoördinatie, Stelselregie en Standaardisatie (PSS) en het Security & Compliance Office (S&CO). Het directieteam van Logius is daarmee aangevuld met een directeur en een Chief Information Officer (CIO). Ook is er in 2021 weer volop verder gewerkt aan het implementeren van het Scaled Agile Framework (SAFe) binnen de organisatie: ‘SAFe bij Logius’. Daarnaast hebben we voorbereidingen getroffen om met Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP) te vervlechten per 1 januari 2023.
In 2021 hebben we vooruitgang geboekt in het professionaliseren en optimaliseren van de financiële en personele sturingsinformatie. Zo zetten we stappen om op waarde te kunnen sturen én te verantwoorden. Bovendien hebben we hard gewerkt aan het werven van medewerkers met een afstand tot de arbeidsmarkt en het in dienst nemen van externe medewerkers om onze inclusiviteit en stabiliteit van ons personeelsbestand te vergroten. In 2021 is de strategie voor nadere overeenkomsten voor Applicatiediensten vastgesteld om zo ook met onze dienstverlening en infrastructuur meer wendbaar en flexibel te kunnen zijn.