‘Maak ICT-risico’s bespreekbaar’
Onhandigheid met sociale media, slordige omgang met wachtwoorden, niet-integer handelen – als het om ICT gaat blijven er risico’s, ondanks de genomen maatregelen. Een goede bespreekcultuur is essentieel om die risico’s te minimaliseren, vinden Lucas Lombaers en René Bagchus van het ministerie van BZK.
Burgers en bedrijven kunnen hun zaken met de overheid in 2017 waar mogelijk digitaal doen. En Nederland lijkt goed op weg om deze doelstelling te halen. In de Digital Economic Society Index van de Europese Commissie is in februari bekendgemaakt dat Nederland op de tweede plaats staat op de nieuwe Europese e-overheidsranglijst. Hierbij is gekeken naar het gebruik van digitale formulieren door burgers, voorinvulling van formulieren door de overheid op basis van al beschikbare (persoons)gegevens, het aanbod van open data en de beschikbaarheid van digitale diensten rond levensgebeurtenissen zoals verhuizingen en geboortes. De Nationale Ombudsman meldt daarnaast in zijn jaarverslag over 2013 dat de kwaliteit van digitale overheidsdienstverlening vooruitgaat en stelt dat burgers in beginsel positief staan tegenover digitale dienstverlening en ook de behoefte hebben hun zaken met de overheid digitaal te doen. Hetzelfde geldt ook voor bedrijven, aldus Lucas Lombaers en René Bagchus van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Informatiseringsrisico’s
Lucas Lombaers is directeur van de directie Arbeidszaken Publieke Sector (APS) en onder andere verantwoordelijk voor het integriteitsbeleid binnen het openbaar bestuur. Hij wijst erop dat de ontwikkelingen op het terrein van informatisering naast kansen ook een aantal inherente risico’s en kwetsbaarheden met zich meebrengen, bijvoorbeeld voor de integriteit van ambtenaren en bestuurders. “Een aantal van die risico’s is niet nieuw. De overheid beschikt sinds jaar en dag over bepaalde bevoegdheden, informatie en middelen die voor derden, maar ook voor eigen medewerkers verleidelijk zijn voor misbruik. Wat we wel zien is dat enkele van deze kwetsbaarheden toenemen en verschuiven. Dat wil overigens niet zeggen dat overheidsorganisaties nu geen waarborgen hebben georganiseerd, maar het is toch goed om hier alert op te zijn.” Lombaers verwijst daarbij naar het onderzoek ‘Integriteit in ontwikkeling’ dat zijn directie vorig jaar heeft laten uitvoeren. Dit onderzoek beschrijft diverse maatschappelijke en beleidsmatige trends en ontwikkelingen en de mogelijke effecten daarvan op de integriteit van het openbaar bestuur, evenals de effecten van ontwikkelingen op het terrein van informatisering.
Lucas Lombaers, directeur van de directie Arbeidszaken Publieke Sector (APS) en onder andere verantwoordelijk voor het integriteitsbeleid binnen het openbaar bestuur.
Struikelen
“Het gebruik van sociale media is typisch zo’n voorbeeld. Dat blijkt, naast een kans om draagvlak voor beleid te creëren, echt een ontwikkeling waar zowel ambtenaren als bestuurders in de praktijk nogal eens over struikelen. Informatie wordt immers steeds sneller gedeeld en bijdragen op internet blijven vaak jarenlang staan. Bovendien wordt het onderscheid tussen functie en persoon in de praktijk door veel mensen niet gemaakt. Daar moet men zich dus wel bewust van zijn als men iets online zet”, aldus Lombaers. Het is een thema waar ook binnen de sector Rijk de nodige aandacht aan is besteed via een richtlijn omtrent het gebruik van online communicatie. Het onderwerp vindt daarnaast ook een plekje in de nieuwe modelgedragscode Rijk die momenteel wordt herzien.
Integriteit als speerpunt bij inkoop
In 2014 heeft de minister voor Wonen en Rijksdienst, mede naar aanleiding van mogelijke onregelmatigheden bij ICT-aanbestedingen, extra maatregelen genomen om de integriteit bij inkoop van het Rijk te verbeteren. In dit verband is besloten tot het vormen van een werkgroep integriteit bij aanbesteding onder leiding van de Chief Procurement Officer (CPO) Rijk. De werkgroep zal met een samenhangende aanpak komen, waarin alle maatregelen, alsmede de aanbevelingen uit de quickscan Inkoop en Integriteit van de ADR, geïntegreerd worden opgepakt.
Integriteit wordt verder versterkt doordat de CPO Rijk in zijn jaarlijkse gesprekken met de departementale coördinerend directeuren inkoop de rijksbrede waarborgen bespreekt en doordat de minister voor Wonen en Rijksdienst jaarlijks onderzoek op het gebied van integriteit bij inkoop zal laten uitvoeren. Ook zal de gedragscode Integriteit Sector Rijk dit jaar worden vernieuwd.
René Bagchus, directeur van de directie Burgerschap & Informatiebeleid, noemt een ander risico: “Als DigiD wordt geDDoSt kan de digitale overheidsdienstverlening plat komen te liggen. En als een gemeentelijke website wordt gehackt staat de digitale dienstverlening stil. Dit illustreert onze grote afhankelijkheid van informatieveiligheid. Hackers blijven steeds nieuwe trucs ontwikkelen, en digitale ontwikkelingen gaan zo snel; het is soms lastig om het beveiligings- en privacybeleid op hetzelfde tempo te laten lopen. Het is daarom van belang dat thema’s als integriteit en informatieveiligheid een vast onderdeel zijn van de reguliere bedrijfsprocessen van overheidsorganisaties.”
René Bagchus, directeur van de directie Burgerschap & Informatiebeleid.
Goede bestuurscultuur
Lombaers is het daarmee eens. “Integriteitsschendingen binnen overheidsorganisaties zijn funest voor het imago van de gehele overheid, omdat burgers nu eenmaal in de meeste gevallen niet het verschil tussen overheidsinstellingen maken. En wat het problematisch maakt is dat zij, indien zij niet adequaat geadresseerd worden, niet stoppen, maar aanzetten tot grotere schendingen, een soort sneeuwbaleffect. Ze kunnen daarnaast soortgelijk gedrag bij anderen oproepen. Integriteit is daarom iets dat continu op de bestuurlijke agenda dient te staan.”
Hij ziet daarbij een belangrijke rol weggelegd voor bestuurders en managers. “Het begint natuurlijk met het goede voorbeeld geven. Maar om echt te kunnen slagen moeten organisaties vooral ruimte bieden voor tegenspraak. Medewerkers en managers moeten elkaar kunnen én durven aanspreken wanneer zij dingen zien gebeuren die niet goed gaan of die niet door de beugel kunnen. Het creëren van zo’n cultuur begint al in de top. Want wanneer daar al geen tegenspraak wordt geduld, ontstaat het risico op zonnekoninggedrag. En natuurlijk moeten bestuurders onder meer mogelijke verleidingen en risico’s zo veel mogelijk wegnemen, door bijvoorbeeld het opzetten van een volwaardig integriteitsbeleid, het stimuleren van integriteitsbesef en handhavend optreden wanneer de situatie daar om vraagt.”
Informatieveiligheid
Het belang van een bespreekcultuur is ook groot bij het thema informatieveiligheid, volgens Bagchus. “Het is zaak dat we in het openbaar bestuur informatieveiligheid net zoals personeel en financiën gaan behandelen. Informatieveiligheid als standaardonderdeel in het bedrijfsplan, tijdens functioneringsgesprekken als item en het stimuleren van een bespreekcultuur in organisaties zijn de ingrediënten om de volwassenheid van dit thema te vergroten.” De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) heeft in 2013 en 2014 de verschillende overheden ondersteund bij dergelijke vraagstukken en heeft diverse instrumenten ontwikkeld om bestuurders, topmanagers, maar ook medewerkers mee te geven op welke wijzen informatieveiligheid is te verankeren in organisaties. Een bespreekcultuur is hier ook onderdeel van.”
Optimaal gefaciliteerd, integer gebruikt
Internet is een open infrastructuur die voor iedereen toegankelijk is. Medewerkers van de overheid krijgen via de werkplekken online toegang en daarmee een beveiligde omgeving om in te werken. Beperkt persoonlijk gebruik van internet en e-mail van de werkgever voor privédoeleinden is toegestaan, mits dit niet storend is voor de dagelijkse werkzaamheden en het computernetwerk. Aan het gebruik van die online mogelijkheden zijn, per verschijningsvorm, wel weer risico’s verbonden, die echter niet allemaal technisch te ondervangen zijn. Zo bieden leveranciers van sociale media of clouddiensten zodanig open faciliteiten dat berichtenverkeer of gegevens over de gebruikers voor kwaadwillenden relatief makkelijk te ondervangen zijn. Voor het vergroten van de weerbaarheid en ter vermijding van eventuele risico’s hebben overheidsorganisaties internet- en e-mailgedragscodes opgesteld waarin afspraken over gebruiksmogelijkheden van digitale werkplekken en online gedrag omschreven worden. Uitgangspunt is dat iedere gebruiker van de digitale voorzieningen zelf verantwoordelijk is voor zijn of haar gedrag op en het gebruik van die voorzieningen. Het programma iBewustzijn is ontwikkeld om medewerkers bewust te maken van bestaande wettelijke rechten en plichten en van de mogelijke risico’s, zodat zij in staat zijn om de daarbij behorende verantwoordelijkheid te kunnen nemen. In het gebruik van de digitale faciliteiten wordt van de ambtenaren professioneel en integer handelen verwacht. Ook geldt bij het gebruik van e-mail nog de gebruikelijke restrictie in verband met de geheimhoudingsplicht van de ambtenaar.
Voor de medeoverheden is de directie van René Bagchus daarnaast, naar het voorbeeld van het Rijk, vorig jaar een campagne iBewustzijn Overheid gestart. iBewustzijn Overheid is een jaarlijks terugkerende campagne van twee weken in het najaar en heeft als doel medewerkers bewust te maken van het belang van informatieveiligheid en stimuleert daarmee de dialoog onder management en medewerkers bij de overheid. Zo is een filmpje gemaakt waarin werknemers gewezen wordt op de gevaren van het nieuwe werken, zoals het verliezen van je iPad of het opslaan van belangrijke documenten op je privéschijf. Tevens is er voor bestuurders een speciale app ontwikkeld, genaamd de iVeiligheidsapp, waarmee ze heel makkelijk het informatiebeleid in hun eigen organisatie kunnen checken.
“Zonder informatieveiligheid geen optimale dienstverlening, en zonder integriteit geen legitieme dienstverlening. Deze twee thema’s zijn nauw met elkaar verbonden en het is zaak dat we gezamenlijk in het openbaar bestuur de dialoog met elkaar aangaan en elkaar hierop blijven aanspreken. Verankering in de reguliere bedrijfsprocessen van overheidsorganisaties blijft daarom ook voor de toekomst een punt van aandacht”, aldus Lombaers.
BIOS en ontwikkeling risicoprofiel organisaties
Voor praktische ondersteuning op het terrein van integriteitsbevordering kunnen overheidsorganisaties ook vrijblijvend terecht bij het Bureau Integriteitsbevordering Openbare Sector (BIOS). Dit bureau is opgericht op initiatief van het ministerie van BZK en biedt een groot aantal praktische instrumenten en handreikingen, waaronder de recent vernieuwde weerbaarheidsapplicatie IRMA. Met behulp van dit digitale instrument kunnen organisaties bijvoorbeeld op eenvoudige en efficiënte wijze inzicht krijgen in de meest urgente kwetsbaarheden voor de organisatie, de oorzaken hiervan en mogelijke beheersmaatregelen. Hierbij meet IRMA tevens de volledigheid en perceptie van het integriteitsbeleid. Medewerkers schetsen zelf een realistisch beeld en formuleren praktische oplossingen. IRMA faciliteert dit proces op een snelle, anonieme en veilige manier.
Bovendien is BIOS constant op zoek naar nieuwe innovatieve instrumenten die bestuurders kunnen ondersteunen bij het borgen van de integriteit van de organisatie. Zo werkt BIOS momenteel aan een instrument dat managers een snel overzicht kan geven van de quick wins op integriteitsgebied. Meer informatie over BIOS vindt u op integriteitoverheid.nl.
Goed initiatief!