Een deel van de 175.000 ambtenaren die sinds maart van dit jaar van de ene op de andere dag moesten gaan thuiswerken, gebruikt onveilige digitale kanalen om te communiceren. Sommigen van hen gebruiken WhatsApp en privé-email voor het uitwisselen van vertrouwelijke informatie en houden zich daarmee niet aan de veiligheidsrichtlijnen van hun organisaties. Een deel van de ambtenaren bij de rijksoverheid heeft behoefte aan duidelijkere communicatie over het veilig gebruik van samenwerkings-ICT zoals berichtenapps en online vergaderdiensten. Zo blijkt uit onderzoek van de Algemene Rekenkamer.
Covid-19
Dat onderzoek behelsde het gebruik van ICT-middelen tijdens de coronacrisis bij ministeries en de Hoge Colleges van Staat. Het digitaal werken bij de rijksoverheid komt door de corona-uitbraak in maart van dit jaar in een stroomversnelling. Vrijwel alle circa 175.000 rijksambtenaren werken zoveel mogelijk vanuit huis en dat vergt een enorm aanpassingsvermogen van ICT-medewerkers en ondersteunende diensten. In haar rapport deelt de Algemene Rekenkamer allereerst een compliment uit voor de manier waarop ministeries, individuele ambtenaren en ICT-dienstverleners op deze immense opgave hebben gereageerd. Maar als in een enquête de vraag wordt gesteld of het thuiswerken ook op een veilige manier gebeurt, is het antwoord niet positief.
Duidelijker communiceren
Uit die enquête, die de Algemene Rekenkamer hield onder rijksambtenaren en medewerkers van Hoge Colleges van Staat, blijkt dat 7% van de respondenten WhatsApp gebruikt en één op de zes werknemers zijn privé-email voor vertrouwelijke communicatie, terwijl dit niet is toegestaan. Eén van de oorzaken is dat ambtenaren soms niet weten welke applicaties ze wel of niet mogen gebruiken. Zo staat op de interne website van de rijksoverheid dat WhatsApp onder voorwaarden voor werk gebruikt mag worden. Maar bij verschillende ministeries is die berichtenapp nadrukkelijk niet toegestaan. Andere motieven zijn het gebruiksgemak waardoor men sneller en makkelijke kan werken of omdat men via een bypass naar de eigen computer een document alsnog kan printen wat via de officiële kanalen, om veiligheidsredenen, niet mogelijk is.
Verder verklaart een vijfde van de respondenten niet op de hoogte te zijn van de afspraken voor het gebruik van samenwerkings-ICT en zegt behoefte te hebben aan meer eenduidige en begrijpelijke communicatie over welke samenwerkings-ICT men kan gebruiken. 22% is niet tevreden over de communicatie van de afspraken. De meeste onduidelijkheid bestaat over het gebruik van berichtenapps zoals WhatsApp en online samenwerkingsplatforms zoals MS-Teams, Sharepoint of Dropbox.
Informatiebeveiliging en privacy
De belangrijkste risico’s van het gebruik van ICT voor samenwerking op afstand zijn die op het gebied van informatiebeveiliging, privacy en (adequate) archivering van informatie. Nauwere samenwerking tussen ministeries moet de kansen vergroten om te komen tot gemeenschappelijke, veilige samenwerkings-ICT en eenduidige werkafspraken. Door het gebruik van onveilige middelen of het onjuist gebruik van de aanbevolen ICT-voorzieningen kan informatie in handen van onbevoegden komen. Het is onduidelijk of dat in de praktijk al tot schade heeft geleid, maar het is op zich al kwalijk dat het gebeurt. Een datalek is alleen al schadelijk omdat de achterdeur openstond en dan hoeven er niet eens daadwerkelijk data gelekt te zijn. Het feit dat het überhaupt zou kunnen maakt het ernstig. Het gebruik van berichtenapps op mobiele telefoons wordt trouwens gezien als het grootste risico. Een concreet voorbeeld zijn werknemers die de organisatie verlaten maar in app-groepen blijven meelezen met werk gerelateerde (vertrouwelijke) informatie.
Ministeries zelf in de fout
Opvallend in het onderzoek is de constatering dat ook hoge ambtenaren en ministers verzuimen om de voorgeschreven middelen te gebruiken. Voorbeelden daarvan zijn minister van justitie Ferd Grapperhaus (WhatsApp-verkeer met burgemeester Halsema van Amsterdam), Wouter Koolmees van Sociale Zaken (ICT-problemen) en oud-minister van Economische Zaken Henk Kamp (privémail). Dit terwijl hun voorbeeldfunctie van belang is voor het gebruik van veilige IT-applicaties in de rest van de organisatie. Populaire berichtenapps, tablets en smartphones hebben bij hoge ambtenaren en bewindspersonen vaak de voorkeur boven de sterk beveiligde middelen omdat ze gemakkelijker, sneller en gebruiksvriendelijker zijn. Na het begin van de coronacrisis bleek uit mediaberichten dat bewindspersonen onveilige tools als Zoom en WhatsApp gebruiken.
Onderlinge kortsluiting
In de communicatie met het buitenland zijn er vergelijkbare hindernissen te nemen. Zo maakt de Algemene Rekenkamer zelf geen gebruik van de digitale videotool ZOOM, maar is dat de enige applicatie die de Franse collega’s gebruiken. Ook de uitvoerende ambtenaren hebben met dat probleem af te rekenen. En als de uiteindelijke uitkomst dan is om het toch maar via Zoom te doen, dan zegt men er meteen bij dat bepaalde zaken niet besproken zullen worden of alleen op hoofdlijnen en niet in detail. Ook tussen de ministeries onderling blijken de afspraken te verschillen over wat wel en wat niet te gebruiken. En tevens de vraag: waar vind ik die en wat zijn de algemene afspraken? Op dat punt valt nog veel winst te behalen. Een andere uitkomst is dat de top van de ministeries is in gebreke gebleven om de ambtenaren daarover beter te informeren. Maar hoe nuttig een goede informatievoorziening ook is, uiteindelijk gaat het om de naleving, om het in praktijk brengen van de afspraken.
Job de Haan, nieuwsredacteur Integriteit.nl
Op de hoogte blijven?
Meld u aan voor onze nieuwsbrief!
Hoe wij u kunnen helpen met integriteit?
Vraag hier onze digitale brochure aan