NIEUWSRisico’s thuiswerken

Thuiswerkende ambtenaren nemen risico’s door privémail en WhatsApp te gebruiken

Volgens de officiële richtlijnen van de overheid is WhatsApp niet toegestaan voor het uitwisselen van vertrouwelijke informatie. Toch doen veel rijksambtenaren dat. Een nog grotere groep weet überhaupt niet wat de afspraken nu precies zijn.

Een werknemer tijdens een videogesprek met collega’s. Vanwege de coronacrisis werken steeds meer mensen vanuit huis.  Beeld ANP
Een werknemer tijdens een videogesprek met collega’s. Vanwege de coronacrisis werken steeds meer mensen vanuit huis.Beeld ANP

‘In welke schaal hadden we Jan Jansen nu ook alweer ingedeeld?’ Ping! ‘Schaal 10.4!’ Niets zo eenvoudig als even snel een WhatsAppje aan een collega te sturen met een urgente vraag. En al helemaal nu het gros van de 175.000 ambtenaren van ministeries en medewerkers van Hoge Colleges van Staat (onder andere Eerste en Tweede Kamer en Raad van State) zo veel mogelijk vanuit huis werkt.

Van de mensen die WhatsApp op hun telefoon hebben, gebruikt maar liefst 7 procent deze app voor het uitwisselen van vertrouwelijke communicatie, terwijl dit niet is toegestaan. Bij privémail is dat zelfs 16 procent. Dit blijkt uit een enquête die de Algemene Rekenkamer hield onder 1761 ambtenaren. 

Een vijfde van de respondenten zegt eigenlijk helemaal niet te weten welke applicaties ze nu wel of niet mogen gebruiken. Verwarring is troef. Zo staat op de interne website van de rijksoverheid dat WhatsApp onder voorwaarden voor werk gebruikt mag worden. ‘Maar bij meerdere ministeries is die berichtenapp nadrukkelijk niet toegestaan’, stelt de Rekenkamer.

null Beeld De Algemene Rekenkamer
Beeld De Algemene Rekenkamer

Signal

Dat is ligt iets anders voor Signal. Sommige organisaties adviseren dit WhatsApp-alternatief voor werkinhoudelijke communicatie. Een kwart van de ambtenaren gebruikt dan ook deze app voor het uitwisselen van vertrouwelijke informatie. Zowel WhatsApp als Signal versleutelen berichten, maar de tweede geldt als privacyvriendelijker en nét wat veiliger. Anders dan WhatsApp slaat Signal bijvoorbeeld geen meta-informatie op: wie chat met wie.

Maar ook ambtenaren die wel degelijk weten dat ze geen WhatsApp mogen gebruiken voor vertrouwelijke informatie, doen dat in sommige gevallen bewust toch. Zij zijn ontevreden over de mogelijkheden van de door hun werkgever aangeboden applicaties.

Halsema en Grapperhaus

Ook bewindspersonen en hogere ambtenaren geven soms de voorkeur aan WhatsApp of onbeveiligde tablets en smartphones ‘omdat ze gemakkelijker, sneller en gebruiksvriendelijker zijn dan de sterk beveiligde faciliteiten’. Juist die topambtenaren en bewindslieden hebben een voorbeeldfunctie, vindt de Rekenkamer. Bekend voorbeeld is de WhatsApp-conversatie tussen de Amsterdamse burgemeester Femke Halsema en minister Grapperhaus in juni over de demonstratie op de Dam.

De conclusies van de Rekenkamer komen niet uit de lucht vallen. De afgelopen maanden buitelen cybersecuritybedrijven over elkaar heen met onderzoeken die aantonen dat het door corona gedicteerde thuiswerken de nodige risico’s met zich meebrengt. Thuiswerkers laten de officiële verdedigingslinies van de bedrijfsnetwerken varen en gebruiken privé-apparaten voor hun werk. Of juist werkapparaten voor privédoeleinden, wat ook weer extra risico’s oplevert. Een linkje in een privémailtje kan op die manier leiden naar kwaadaardige software.

Training

Ook John Veldhuis, beveiligingsspecialist bij Sophos, herkent de trend. ‘Mensen die thuis eigen apparatuur gebruiken, doen dat echt niet uit kwaadwillendheid. Maar omdat ze het gemakkelijk vinden.’ De risico’s zijn legio. De thuisomgeving is over het algemeen minder goed beveiligd. Maar ook: ‘Bij een programma als Teams kun je alleen met je collega’s communiceren. Bij WhatsApp en privémail is dat anders. Een menselijke fout is dan snel gemaakt, door vertrouwelijke informatie naar de verkeerde persoon te sturen.’

De oplossing ligt volgens Veldhuis in training, om werknemers bewust van de risico’s te maken. Zeker voor de hoogste bazen in een organisatie trouwens: ‘CEO’s vormen het grootste risico. Omdat ze een interessant doelwit zijn. Maar zeker ook omdat ze denken dat regels niet voor hen gelden.’

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden