Rapport over onveilig communicerende ambtenaren is een wake-up call

In maart besloot de overheid dat de snelle verspreiding van Covid19 om ingrijpende maatregelen vroeg. Het resultaat was dat vrijwel alle circa 175.000 ambtenaren van ministeries en hoge colleges van staat van de een op de andere dag hun werk zoveel mogelijk vanuit huis moesten doen.

De Algemene Rekenkamer heeft tussen juli en oktober 2020 onderzocht welke IT-communicatiemiddelen de medewerkers van ministeries en hoge colleges van staat gebruiken. Hieruit blijkt dat ambtenaren vanuit huis meerdere onveilige applicaties gebruiken. Het rapport zegt: “Het valt op dat privé-e-mail in de praktijk regelmatig gebruikt wordt voor het uitwisselen van (vertrouwelijke) werkinhoudelijke informatie. Dit is niet toegestaan volgens de richtlijnen. […] Uit ons onderzoek blijkt dat ambtenaren samenwerkings-ICT soms gebruiken op een manier die risico’s voor de informatiebeveiliging met zich meebrengt. Zo deelt een deel tegen de afspraken in vertrouwelijke werkinhoudelijke informatie via WhatsApp. Verder kennen niet alle ambtenaren de voorschriften of vinden ze die in de praktijk niet goed werkbaar.”

Gevoelige informatie wordt niet alleen verstuurd via privé-e-mailadressen, maar ook via Whatsapp en WeTransfer. Bovendien worden er soms bestanden opgeslagen en gedeeld in Dropbox of Google Drive. Dit is een enorm risico voor de informatiebeveiliging; een datalek kan zo veel sneller ontstaan.

Rick Goud, CIO van Zivver: "Het is goed dat de Algemene Rekenkamer dit soort rapporten naar buiten brengt, omdat dit het bewustzijn vergroot en verandering in een stroomversnelling brengt. Wij zien dat er bij overheidsinstellingen wel al het bewustzijn is dat dit onveilig werken bestaat, maar dat er geen eenduidige richtlijnen over veilig werken binnen de ministeries gehanteerd worden.  Gelukkig zien we inmiddels ook dat steeds meer overheden naar een oplossing zoeken én vinden. Zo selecteerde het Ministerie van Justitie en Veiligheid en het UWV onlangs Zivver om de informatie die ze via mail, bestanden en chats delen te beveiligen, om zo het risico dat de Algemene Rekenkamer nu signaleert te mitigeren. Hopelijk zorgt dit rapport voor een nog groter bewustzijn bij bestuurders van overheidsinstellingen en bedrijven in het algemeen, want overal spelen dezelfde uitdagingen. Bij de bestuurders ligt nu de verantwoordelijkheid om het veilig delen van data een hogere prioriteit te geven."