De manier waarop ambtenaren van de Rijksoverheid thuiswerken brengt beveiligingsrisico's met zich mee. Zo worden WhatsApp en privé-e-mail tegen de regels in gebruikt voor het uitwisselen van vertrouwelijke informatie. Dat laat de Algemene Rekenkamer op basis van eigen onderzoek weten.

Voor het onderzoek werden ambtenaren bij ministeries en hoge colleges van staat via een online enquête ondervraagd. Ook vonden er interviews plaats en keek de Rekenkamer naar documenten om te onderzoeken hoe ambtenaren ict-middelen gebruiken, voor welke doelen, welke beveiligingsrisico’s dit oplevert en hoe de organisaties hun beleid hierover communiceren.

Nadat de coronamaatregelen in maart werden aangekondigd moesten zo'n 175.000 ambtenaren van ministeries en hoge colleges van staat van de ene op de andere dag thuiswerken. Volgens de Rekenkamer gaat dat over het algemeen goed, maar worden ict-middelen soms op een manier gebruikt die risico's voor de informatiebeveiliging met zich meebrengt. Ook vinden ambtenaren werkafspraken niet altijd uitvoerbaar en zijn ambtenaren niet altijd bekend met de voorschriften.

Gebruikte ict-middelen

Van de deelnemers aan het onderzoek zegt 69 procent het programma Cisco Webex voor online overleg te gebruiken. Verder worden Skype for business en Microsoft Teams het meest gebruikt. Berichtenapps worden vooral voor informele communicatie ingezet. Zeven procent van de respondenten die WhatsApp gebruikt geeft echter aan de app te hebben gebruikt voor vertrouwelijke werkinhoudelijke communicatie. Iets wat volgens de regels niet is toegestaan.

Microsoft Teams en chatapp Signal worden voor zowel vertrouwelijke als nietvertrouwelijke werkinhoudelijke informatie ingezet. De Rekenkamer meldt dat privé-e-mail in de praktijk regelmatig gebruikt wordt voor het uitwisselen van (vertrouwelijke) werkinhoudelijke informatie. Ook dit is niet toegestaan volgens de richtlijnen.

Twintig procent van de respondent vindt dat de werkafspraken niet altijd uitvoerbaar zijn. Zo blijkt dat ambtenaren aan de ene kant verplicht zijn de beveiligde thuiswerkomgeving te gebruiken (Citrix), maar aan de andere kant worden geadviseerd om in hun privé-omgeving te videobellen. "Dit videobellen in de privé-omgeving brengt risico’s met zich mee. Applicaties voor videobellen slaan soms standaard de chatberichten uit een videogesprek op in het gebruikte apparaat. Informatie uit deze berichten kan dus terecht komen op privé-ict van ambtenaren, waar de werkgever geen invloed heeft op het beveiligingsniveau", aldus de rekenkamer.

Beveiligingsrisico's

Door het onveilig gebruik van ict-middelen kan informatie in handen van onbevoegden komen, zo waarschuwt de Rekenkamer. Ook kunnen commerciële partijen inzicht krijgen in persoonlijke gegevens van gebruikers. Hierbij wordt het gebruik van berichtenapps op de mobiele telefoon als grootste risico gezien. Verder blijkt dat hogere ambtenaren en bewindspersonen vaak niet de voorgeschreven it-middelen gebruiken.

"Populaire berichtenapps, tablets en smartphones hebben bij hoge ambtenaren en bewindspersonen vaak de voorkeur boven de sterk beveiligde middelen omdat ze gemakkelijker, sneller en gebruiksvriendelijker zijn", stelt de Rekenkamer, die tot de conclusie komt dat er binnen de Rijksoverheid nog stappen gezet kunnen worden naar veiliger gebruik van berichtenapps en mobiele telefoons.