Op 15 November heeft Minister Donner de i-strategie van het Rijk via een brief aan de kamer gepresenteerd. In zijn nota gaat de minister in op de stand van zaken van de ICT en de informatiehuishouding van het Rijk. Hij bakent de I-strategie af en hij schetst het streefbeeld voor de komende periode. Daarnaast geeft de minister aan via welke aanpak en maatregelen hij het streefbeeld wilt bereiken.
De i-strategie Rijk is een heldere en duidelijke blik vooruit. Het geeft richting aan de ontwikkelingen binnen de informatievoorziening van het rijk voor de komende jaren. Het concreet invullen van de strategie zal de nodige inspanningen vragen, niet alleen van de opdrachtgevers, ook van de uitvoerders. De i-strategie is op bepaalde punten een kanteling in het denken van de overheid over informatievoorziening. De insteek voor de beveiliging is realistischer maar het beschermen van de privacy blijft een zorgpunt. Dat is jammer want juist de privacybescherming is de achilleshiel voor het vertrouwen dat de burger heeft in de beveiliging binnen de overheid. In mijn blog geef ik een aantal elementen en mijn zorgpunten uit de i-strategie weer.
Concentratie van het ICT-aanbod is een logische stap
In de I-strategie streeft de overheid naar dienstverlening door een samenhangend geheel aan gespecialiseerde ICT-dienstverleners, deels binnen en deels buiten de overheid. Dit streefbeeld ligt in de lijn der verwachtingen. Als je kijkt naar de ontwikkelingen die al enige tijd gaande zijn en hun oorsprong vonden in het programma compacte Rijksdienst, dan is dit niet verwonderlijk. De eerste stappen zijn daarin immers al gezet. De standaard werkplek voor de Rijksambtenaar is al in gezamenlijkheid tussen de ministeries ontwikkeld en wordt momenteel over de verschillende departementen en uitvoeringsorganisaties uitgerold. Verdere standaardisatie, zeker op logisch niveau, brengt het streefbeeld met apparatuur onafhankelijke informatievoorziening en het gekoesterde ‘bring your own device’ een stap dichterbij.
Het is goed dat de bundeling plaatsvindt en niet elke overheidsinstelling zelf zijn dienst ontwikkelt en opnieuw het wiel uitvindt. Met de markt worden afspraken gemaakt over samenwerking op dit gebied. Het onderbrengen van diensten bij commerciële partijen kan grote efficiency voordelen hebben maar bij de inrichting van de processen moeten voldoende garanties worden verkregen om er voor te zorgen dat de overheid niet te afhankelijk wordt van het functioneren van een commerciële partij bij het uitvoeren van haar taken.
Verantwoord beveiligingsrisico’s nemen is alledaags
In de i-strategie wordt gesproken over een cultuurverandering ‘van onbewuste risicomijding’ naar ‘bewust en verantwoord risicomanagement’. Deze kanteling in het denken biedt ruimte om het plaats-, tijd- en apparaat-onafhankelijk maken van de informatievoorziening in te vullen.
De kanteling vraagt natuurlijk wel een aanpassing in het gedrag van de ambtenaar. Hij moet zelf bepalen wanneer het veilig genoeg is om bepaalde gegevens wel en niet te benaderen. Was het vroeger simpelweg niet (of heel beperkt via de thuis PC) mogelijk om plaats- en tijdonafhankelijk de gegevens te benaderen. Met de komst van de mobiele faciliteiten, kan op meer mogelijkheden de informatie worden bereikt. De situationele context waarin je de informatie benadert kan enorm verschillen en daarmee ook de dreigingen waaraan de ambtenaar blootstaat. De i-strategie geeft nu aan dat de overheid zich bij het inzetten van i-technologie niet meer laat leiden door alle mogelijke dreigingen en de daarop in te zetten de (maximale) beveiliging, maar dat inschattingen van de risico’s en de context aan de ambtenaar wordt overgelaten. Hij moet zich steeds blijven afvragen: ‘mag en kan ik hier mijn werk doen?’. Hoewel een dergelijke vraag simpel lijkt, kan de beantwoording toch best lastig zijn omdat er veel omgevingsfactoren zijn waarmee rekening moet worden gehouden. Mag een medewerker van de afdeling inkoop een aanbestedingsstuk thuis bewerken? En in een openbare gelegenheid? In een internetcafé? Thuis bij een vriend die werkt bij een van de potentiële aanbieders? Persoonlijk ben ik van mening dat je een dergelijke verantwoordelijkheid bij een ambtenaar moet kunnen neerleggen.
Privé hebben we allemaal te maken met vertrouwelijkheid van informatie. We weten heel goed onze pincode geheim te houden, wat wel en niet op facebook of Hyves geplaatst kan worden en we zorgen goed voor de voordeursleutels van ons huis. De omgang met de vertrouwelijkheid van de overheidsgegevens door ambtenaren is wezenlijk hetzelfde. Als de ambtenaar zich verantwoordelijk voelt dan zal hij de gegevens ook met zorg gebruiken. Om de ambtenaar ook deze verantwoordelijkheid te laten nemen is het belangrijk dat de overheidsmanagers laten zien dat deze zorg belangrijk is en dat betekent het goed inregelen van de voorlichting en de ondersteuning, het regelen van het toezicht, dat op zich lastiger zal zijn. Het toezicht wordt lastiger omdat de werkzaamheden meer buiten het zicht van de manager plaatsvinden. Dat betekent dat hij resultaat-gerichter moet sturen. Dit werkt alleen als de managers ook opvolging geven aan onverantwoordelijk gedrag. Deze laatste stap is van wezenlijk belang om de verandering binnen de overheid door te voeren.
Vergroting van de weerbaarheid en het herstelvermogen is passend in deze tijd.
In aanvulling op de kanteling binnen het beveiligingsdenken, van risicomijding naar risico-management wordt in de i-strategie nadruk gelegd op het vergroten van de weerbaarheid en het herstelvermogen van de overheid. De weerbaarheid wordt vergroot door de ontwikkeling van solide beveiligingsconcepten. Daarnaast wil het Kabinet investeren in de landelijke bundeling van beveiligingsexpertise in het Nationale Cyber Security Centrum.
Het vergroten van de weerbaarheid zal vooral nodig zijn om op een overkoepelend niveau de nationale (en Europese) belangen te beschermen. Inbraken in de informatiehuishoudingen richten zich steeds meer op specifieke doelwitten die via listige (persoonlijke) berichten worden verleid tot handelingen waardoor kwaadaardige programmatuur op de PC wordt geïnstalleerd. Door de beperkte verspreiding blijven dit soort aanvallen en technieken buiten het beeld van de virusscanners en kan besmetting alleen worden ontdekt door ‘afwijkend gedrag’ van de gebruiker op het interne netwerk. Dat vraagt hoog specialistische kennis en analyse.
Het getuigt van realiteitszin dat de focus wordt verlegd van het voorkomen van elke inbreuk naar het beperken van de gevolgen of het vergroten van het herstelvermogen van de overheid. In de huidige maatschappij (en de snelle ontwikkelingen in de techniek) is het bijna onmogelijk om alle malversaties en inbreuken te voorkomen. Deze benadering vraagt dat je als overheid, de beste mensen en de beste materialen aan je weet te binden en deze mensen heel specifiek op de beveiliging laat werken. Dat terwijl de verlokkingen voor deze mensen om buiten de overheid te werken vaak groot zijn (geld maar ook idealen). Door je te concentreren op de weerbaarheid en het beperken van de gevolgen van een inbraak of malversatie neemt de maatschappelijke schade af. De overheid slaat met de I-strategie de juiste weg in om in de nabije toekomst een antwoord te hebben op de toenemende dreiging van cybercrime.
Concentratie van rekencentra heeft ook risico’s
Zoals aangegeven in de i-strategie zal het aantal rekencentra binnen de overheid worden teruggebracht van 64 naar 4 of 5. Hoewel daar efficiencyvoordelen mee te behalen zijn, brengt deze concentratie van gegevens op een beperkt aantal fysieke plaatsen ook risico’s met zich mee. Een calamiteit in het rekencentrum zal grotere maatschappelijke gevolgen hebben simpelweg omdat er meer gegevens op de locatie zijn opgeslagen. Dus zullen ook meer processen waarin de overheid deze gegevens gebruikt door de calamiteit kunnen worden verstoord. Ook bij een geslaagde inbraakpoging tot de locatie zijn meer gegevens ter beschikking voor mensen met kwade bedoelingen. De beveiligingsniveaus zullen rekening moeten houden met deze grotere impact van calamiteiten.
I-strategie mist kans om privacybescherming te verbeteren
Verder is het goed om te zien dat in de i strategie de aansluiting met de rapportage ‘i-overheid’ van de Wetenschappelijke Raad voor het Regeringsbeleid wordt gezocht. In de i-strategie worden privacy impact assesments aangekondigd. Het wordt verplicht om in de projectplannen voor grote projecten (groter dan 20 miljoen of groter dan 5 miljoen maar met een hoog risico) een passage te wijden aan de privacygevoeligheid van de gegevens of de beoogde koppelingen. Beargumenteerd moet worden aangegeven of een privacy impact assesment binnen het project zal moeten worden opgesteld. Deze informatie zal voor de CIO meewegen in de vraag of het gaat om een risicovol project en daarom specifiek qua start en voortgang aan de Tweede Kamer moet worden gemeld. De CIO laat zich daarin bijstaan door de ‘functionaris gegevensbescherming’ die toezicht moet houden op de naleving van de Wet Bescherming Persoonsgegevens.
Op zich is het jammer dat voor een dergelijke constructie wordt gekozen. Privacybescherming is gebaat bij onafhankelijk toezicht en weging van privacybelangen op een overkoepelend niveau. Nu blijft de afweging binnen het project. Het zal lastig zijn om de gegevens ook in de context buiten het project te wegen. Het kabinet heeft al in haar reactie op het i-overheid rapport van de WRR laten weten dat zijn geen nieuwe toezichthoudende instituten wil oprichten. De toetsende taken op de privacy bescherming hadden hier ook, eventueel via de functionaris gegevensbescherming, aan het college Bescherming Persoonsgegevens kunnen worden voorgelegd. Het zou nog beter zijn geweest om een verplicht assesment door een onafhankelijke partij te laten uitvoeren en de uitkomsten daarvan op te nemen in dashboard van de grote ICT-projecten.
Ga naar het blogoverzicht
