De Algemene Rekenkamer heeft tussen juli en oktober 2020 onderzocht welke IT-communicatiemiddelen de medewerkers van ministeries en hoge colleges van staat gebruiken. Hieruit blijkt dat thuiswerkende ambtenaren meerdere onveilige applicaties gebruiken. Het rapport zegt: “Het valt op dat privé-e-mail in de praktijk regelmatig gebruikt wordt voor het uitwisselen van (vertrouwelijke) werkinhoudelijke informatie. Dit is niet toegestaan volgens de richtlijnen. […] Uit ons onderzoek blijkt dat thuiswerkende ambtenaren samenwerkings-ICT soms gebruiken op een manier die risico’s voor de informatiebeveiliging met zich meebrengt. Zo deelt een deel tegen de afspraken in vertrouwelijke werkinhoudelijke informatie via WhatsApp. Verder kennen niet alle ambtenaren de voorschriften of vinden ze die in de praktijk niet goed werkbaar.”
Gevoelige informatie wordt door thuiswerkende ambtenarenniet alleen verstuurd via privé-e-mailadressen, maar ook via Whatsapp en WeTransfer. Bovendien worden er soms bestanden opgeslagen en gedeeld in Dropbox of Google Drive. Dit is een enorm risico voor de informatiebeveiliging; een datalek kan zo veel sneller ontstaan.
Rick Goud, CIO van Zivver: “Het is goed dat de Algemene Rekenkamer dit soort rapporten naar buiten brengt, omdat dit het bewustzijn vergroot en verandering in een stroomversnelling brengt. Wij zien dat er bij overheidsinstellingen wel al het bewustzijn is dat dit onveilig werken bestaat, maar dat er geen eenduidige richtlijnen over veilig werken binnen de ministeries gehanteerd worden. Gelukkig zien we inmiddels ook dat steeds meer overheden naar een oplossing zoeken én vinden. Zo selecteerde het Ministerie van Justitie en Veiligheid en het UWV onlangs Zivver om de informatie die thuiswerkende ambtenaren via mail, bestanden en chats delen te beveiligen, om zo het risico dat de Algemene Rekenkamer nu signaleert te mitigeren. Hopelijk zorgt dit rapport voor een nog groter bewustzijn bij bestuurders van overheidsinstellingen en bedrijven in het algemeen, want overal spelen dezelfde uitdagingen. Bij de bestuurders ligt nu de verantwoordelijkheid om het veilig delen van data een hogere prioriteit te geven.”