De Algemene Rekenkamer onderzocht tussen juli en oktober 2020 welke communicatiemiddelen ambtenaren, ministers, staatssecretarissen en andere hooggeplaatste overheidsmedewerkers gebruiken nu ze noodgedwongen thuis zitten. Uit deze inventarisatie blijkt dat er geen uniforme afspraken zijn over de wijze waarop ze op een veilige en verantwoorde manier met elkaar kunnen communiceren. Dat brengt risico’s met zich op het gebied van informatiebeveiliging, privacy en adequate archivering van informatie.

Intelligente lockdown

Het is alweer zeven-en-een-halve maand geleden dat premier Rutte het land toesprak en de maatregelen voor de ‘intelligente lockdown’ kenbaar maakte. Beroepsgroepen die de mogelijkheid hadden om van huis uit te werken, werden vriendelijk doch dringend verzocht om dit te doen. Callcentermedewerkers, bankpersoneel, marketeers en andere professionals gaven hier massaal gehoor aan. Dat geldt ook voor de ruim 175.000 ambtenaren die in dienst zijn bij de Rijksoverheid.

Even bij je collega naar binnen wippen om iets te vragen of een vergadering overleggen was door de coronacrisis van de ene op de andere dag onmogelijk. Op technisch vlak zijn er meer dan genoeg oplossingen om deze kloof te overbruggen. Zo zijn er diverse tools om een digitale vergadering te houden, bestanden over en weer te sturen en vragen aan elkaar voor te leggen.

De Algemene Rekenkamer

De Algemene Rekenkamer keek tussen juli en oktober welke ICT-middelen de medewerkers van ministeries en hoge colleges van staat gebruikten om hun werk te doen. Het adviesorgaan bracht tevens in kaart welke beveiligingsrisico’s dit met zich meebracht en de organisaties over deze risico’s communiceerden met hun personeel.

Om antwoord op deze vragen te krijgen, zette de Algemene Rekenkamer een online enquête uit via het Rijksportaal, het intranet van het ministerie van Defensie, en de online community OnsCommunicatieRijk. Daarnaast voerden medewerkers interviews met Chief Information Officers (CIO’s), Chief Information Security Officers (CISO’s) en medewerkers van CIO-Offices en CIO-Rijk.

De Algemene Rekenkamer keek niet alleen hoe ambtenaren te werk gingen nu ze noodgedwongen thuiszaten. CIO’s en CISO’s van verschillende ministeries kregen vragen voorgeschoteld over de ICT-middelen die bewindspersonen gebruiken, wat voor informatie beveiligingsbeleid zij hanteren en zij daarvan op de hoogte zijn gebracht.

In het onderzoek van de Algemene Rekenkamer komt naar voren dat er geen algemeen geldende afspraken zijn voor alle ambtenaren. Ieder ministerie bepaalt welke tools werknemers wel en niet mogen gebruiken als ze thuiswerken.

Naast de eigen organisatie zijn er verschillende andere factoren die dit soort keuzes beïnvloeden. Denk bijvoorbeeld aan richtlijnen die vanuit de EU en NAVO worden geformuleerd, en adviezen van instanties als de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Centrum (NCSC). Dit leidt tot veel onduidelijkheid bij ambtenaren over wat nou wel en niet mag. Dat brengt op zijn beurt beveiligingsrisico’s en privacy zorgen met zich mee.

Meer dan veertig applicaties voor videoconferencing

De Algemene Rekenkamer stelt vast dat ambtenaren 42 verschillende applicaties gebruiken om mee te videobellen. De meesten (69 procent) maken gebruik van WebEx om werkinhoudelijke of vertrouwelijke informatie te delen. Ook Skype for Business (52 procent) en Microsoft Teams (48 procent) worden veelvuldig gebruikt voor deze doeleinden.

FaceTime, Zoom en WhatsApp worden voornamelijk gebruikt voor informele doeleinden, maar er zijn ook ambtenaren die deze kanalen gebruiken om gevoelige documenten te versturen. Voor de goede orde: dat is bij de meeste ministeries en hoge colleges van staat niet toegestaan.

Privé-e-mailadres uitwisselen vertrouwelijke informatie

Daarnaast gebruiken ambtenaren enkele tientallen online samenwerkingsplatforms. Dit komt enerzijds doordat er tal van programma’s zijn die ieder zijn eigen focus heeft (bestanden delen, agenda bijhouden, samenwerken in documenten). Anderzijds heeft de overheid weinig samenwerkingsplatforms waarop organisaties onderling veilig kunnen samenwerken.

Eén van de bevindingen van de Algemene Rekenkamer is dat privé-e-mailadressen regelmatig worden gebruikt om vertrouwelijke informatie en documenten te versturen. Dat is volgens de richtlijnen uiteraard niet toegestaan. Microsoft Teams en WeTransfer worden vaak als alternatief gebruikt.

Werkafspraken niet altijd uit te voeren

Ministeries en hoge colleges van staat mogen ieder zelf bepalen welke ICT-middelen ze mogen gebruiken bij hun werkzaamheden. Deze afspraken worden ook wel werkafspraken genoemd. De Algemene Rekenkamer vroeg medewerkers van de Rijksoverheid in hoeverre zij op de hoogte zijn van deze werkafspraken.

Eén op de vijf respondenten (20 procent) zegt daar niet bekend te zijn hiermee. Nog eens een vijfde zegt dat de werkafspraken niet altijd uitvoerbaar zijn. Als voorbeeld noemt de Algemene Rekenkamer Citrix. Ambtenaren zijn verplicht om deze software te gebruiken om een beveiligde thuiswerk omgeving op te zetten. Videobellen is vanuit deze omgeving vaak niet mogelijk en mag alleen vanuit een privé-omgeving. Ook kunnen vertrouwelijke chatberichten opgeslagen worden op de persoonlijke apparaten van de ambtenaren, waar systeembeheerders en beveiligingsspecialisten geen invloed hebben op het beveiligingsniveau.

Beveiligingsafspraken strakker vastleggen

“Beveiligingsafspraken kunnen consistenter. De ene keer mogen wij in een systeem niet onze namen koppelen aan het ministerie, maar een andere keer moet dat wel of is het zelfs al gedaan. Veel moeite voor de ene instructie die vervolgens door een andere instructie teniet gedaan wordt”, zo adviseert de Algemene Rekenkamer.

Ook pleit het adviesorgaan ervoor om werkafspraken duidelijk op het Rijksportaal te publiceren. “Nu zijn er verschillende interpretaties naargelang met welk rijksonderdeel je moet vergaderen.” Tevens vraagt de Algemene Rekenkamer aan het kabinet om met een goedgekeurde chat oplossing voor mobiele toestellen te komen die geschikt is voor het uitwisselen van departementaal vertrouwelijke informatie. “Hierdoor kiezen gebruikers zelf voor een oplossing, met alle gevolgen van dien.”

Informatiebeveiliging en privacy vormen de voornaamste risico’s als ambtenaren op afstand met elkaar proberen samen te werken. “Door het gebruik van onveilige middelen of het onjuist gebruik van de aanbevolen ICT-voorzieningen kan informatie in handen van onbevoegden komen. Ook kunnen commerciële partijen inzicht krijgen in persoonlijke gegevens van gebruikers”, zo schrijft de Algemene Rekenkamer in het adviesrapport.

Kabinetsleden

Uit interviews met CIO’s en CISO’s blijkt dat met name hogere ambtenaren en bewindspersonen vaak niet de voorgeschreven IT-hulpmiddelen gebruiken. Zo gebruiken zij zelden de Sectra Tiger telefoon, een telefoon die extra goed beveiligd is. In plaats daarvan geven zij de voorkeur aan populaire berichten applicaties en reguliere tablets en smartphones. Waarom? Omdat deze in hun ogen gebruiksvriendelijker zijn.

Uit de gesprekken bleek dat een van de ministeries opdracht gaf om een extra beveiligde omgeving voor videovergaderingen in te richten. Hiermee konden topambtenaren, ministers en staatssecretarissen vertrouwelijke gesprekken voeren. “Bij de kabinetsleden bleek geen behoefte aan een dergelijk systeem”, zo schrijft de Algemene Rekenkamer.

Ook blijkt dat bewindspersonen zich in praktijk nauwelijks aan de richtlijnen houden voor het gebruik van ICT-hulpmiddelen. Het is lastig om deze op te leggen aan de regering: “Ze zijn formeel geen ambtenaar en vallen niet onder de verantwoordelijkheid van de secretaris-generaal of CIO”.

Behoefte aan uniforme regels

Een ander risico dat ‘ieder ministerie voor zich’ met zich meebrengt, is dat vertrouwelijke informatie slecht wordt gearchiveerd. “Als er geen archivering is ingericht, leidt dat tot een gebrekkige inzicht in wat is afgesproken en het besluitvormingsproces daarbij.” Het afleggen van verantwoording is daardoor niet meer mogelijk. Als iedereen gaat werken met Dropbox of Google Drive, is er geen enkel zicht op wat er gebeurt en vindt er geen centrale archivering plaats. Dat moet, koste wat kost, voorkomen zien te worden.

Tot slot constateert de Algemene Rekenkamer dat er vanuit de ambtenaren, CIO’s en CISO’s grote behoefte is aan ‘gemeenschappelijke samenwerkings-ICT’. Er moeten dan afspraken gemaakt worden over welke applicaties alle Rijksoverheids medewerkers gebruiken (uniformiteit) en interoperabiliteit.

Staatssecretaris neemt aanbevelingen over

Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops erkent in een reactie op het rapport dat “de door COVID-19 ontstane situatie een groot aanpassingsvermogen van de Rijksoverheid als werkgever en dienstverlener” eist. Knops stelt dat er bij de overheid “structurele aandacht” is voor het beheersen van risico’s op het gebied van informatiebeveiliging, privacy en adequate archivering. Als voorbeeld daarvan noemt de staatssecretaris de bewustwordingscampagne ‘Bewust veilig werken’.

Knops schrijft dat de aanbevelingen en aandachtspunten op het vlak van videobel applicaties, berichten-apps en samenwerkingsplatforms alsook het vastleggen van werkafspraken worden meegenomen in de middellange termijnvisie waar het kabinet momenteel aan werkt. “Met de uitkomsten (…) zal verder gewerkt worden aan bewustwording in het veilige gebruik van samenwerkings-ICT”, aldus Knops.