Focus op digitaal thuiswerken

De Algemene Rekenkamer onderzocht tussen juli en oktober 2020 welke ICT-middelen de medewerkers van ministeries en hoge colleges van staat gebruiken, waarvoor zij die gebruiken, welke beveiligingsrisico’s dit oplevert en hoe de organisaties hun beleid hierover communiceren.

Risico’s door digitaal thuiswerken bij de rijksoverheid

Uit ons onderzoek blijkt dat ambtenaren samenwerkings-ICT soms gebruiken op een manier die risico’s voor de informatiebeveiliging met zich meebrengt. Zo deelt een deel tegen de afspraken in vertrouwelijke werkinhoudelijke informatie via WhatsApp. Verder kennen niet alle ambtenaren de voorschriften of vinden ze die in de praktijk niet goed. 

Waarom deden we onderzoek naar digitaal thuiswerken bij de rijksoverheid ?

Op 16 maart 2020 sprak de minister-president alle Nederlanders rechtstreeks toe omdat er sprake was van een ernstige crisis. In de dagen daarvoor sloten vele onderwijsinstellingen, horecagelegenheden en kantoren hun deuren. Thuiswerken werd, indien mogelijk, plotseling de norm. Ook vrijwel alle circa 175.000 ambtenaren van ministeries en hoge colleges van staat moesten van de ene op de andere dag hun werk zoveel mogelijk vanuit huis doen. Dat lukte vaak heel goed. Terwijl de treinen leeg waren en de wegen verlaten, ging het werk door vanuit huis. De samenwerking en communicatie verliep via de telefoon, de traditionele netwerkschijf en e-mail, maar ook steeds meer via videovergaderingen, berichtenapps en online samenwerkingsomgevingen. Samenwerkings-ICT bestond uiteraard al langer, maar werd nu ineens grootschalig en voor diverse nieuwe doeleinden gebruikt. Dat riep bij gebruikers veel vragen op: is videobellen via Zoom nu wel of niet veilig? Welke informatie mag ik delen in een appje? Hoe kan ik mijn privélaptop veilig gebruiken voor werk?

Welke methoden hanteerden wij in ons onderzoek ?

Een online enquête is breed uitgezet via Rijksportaal, het intranet van het ministerie van Defensie, en de online community OnsCommunicatieRijk. De hoge respons en de brede spreiding ervan maakte dat de enquêteresultaten een prominentere plek in onze rapportage kregen.
Voor verdere verdieping voerden we interviews met Chief Information Officers (CIO’s), Chief Information Security Officers (CISO’s) en medewerkers van CIO-Offices en CIO-Rijk, omdat zij goed op de hoogte zijn van (het beleid bij) het gebruik van samenwerkings-ICT in hun organisatie. Om uit te vinden in hoeverre het beleid consistent wordt opgelegd, hebben we in onze gesprekken met de departementale CIO’s/CISO’s gevraagd welke ICT-middelen door bewindspersonen gebruikt worden, welk beleid voor hen geldt en hoe dit aan hen kenbaar is gemaakt. Voor het in kaart brengen van de risico’s en kansen hebben we in de eerste plaats geput uit de interviews. Daarnaast hielp ook literatuur of het fenomeen shadow-IT1 en de open vragen uit de enquête.

Stand van zaken

Het onderzoek is gepubliceerd op maandag 2 november 2020.