Ga ‘binnen’ veilig om met persoons­gegevens

Interne cursussen, periodieke berichten op het interne web en aansprekende cartoons. Het Waterschap Hunze en AA’s doet er van alles aan om de informatieveiligheid en privacy op orde te hebben en aan de man te brengen. Het zet zoden aan de dijk: de medewerkers zijn zich er steeds meer van bewust en erkennen het belang van informatieveiligheid en privacy.

Meer informatie: Artikel IBestuur online

Ik denk dat bij elke conversie speelt dat je het meest gespitst bent op de belangrijkste gegevens. Dat die goed geconverteerd worden. Maar er zijn ook velden waar je in eerste instantie minder aandacht voor hebt die later toch cruciaal blijken. Het gaat al snel om hele grote groepen of heel gevoelige informatie als je dat verkeerd gekoppeld hebt. Wij hebben dat gemerkt toen we de conversie deden van twee verschillende systemen naar één nieuw systeem. Dat ging aan de ene kant prima en we veronderstelden dat de andere kant op dezelfde manier zou verwerken.  Dat was niet zo.  Daar kom je pas achter als je het gaat gebruiken. Dat was echt pijnlijk, omdat we daarbij gegevens van de ene groep zijn gaan verwarren met die van een andere groep.  Dus mijn tip: beter drie keer gecheckt dan één keer te weinig.

Voor het beschermen van privacy, van persoonsgegevens van de ambtenaar zelf en ook eventueel van burgers, zijn allerlei tips. Met name in de hoek van beveiliging. Dat begint bij dingen als wachtwoordbeveiliging: hoe ga ik om met mijn eigen wachtwoorden? Heel belangrijk in de context van overheid. Vaak zie je – en dat moet toch echt niet kunnen – dat hele Excel lijsten met toch gevoelige gegevens van burgers  over het internet gaan. Per onbeveiligde email zoals Gmail en Hotmail worden verstuurd. Lijsten met bijvoorbeeld gezondheidsgegevens van mensen,  of lijsten met potentieel criminele jongeren. Daar moet je echt heel erg mee oppassen.

Bij het Centraal Meldpunt Identiteitsfraude en-fouten krijgen we van slachtoffers meldingen van identiteitsfraude. In veel gevallen gebeurt dat doordat mensen een kopie van hun identiteitsdocumenten ergens hebben ‘moeten’ achterlaten of verstrekt hebben. En die is dan een heel eigen leven gaan leiden. Er wordt te pas en te onpas gevraagd om kopieën van identiteitsdocumenten, terwijl dat helemaal niet mag en ook niet nodig is. Vaak gaat het er alleen maar om dat een persoon laat zien wie hij is. Via DigiD, of dat je de persoon ziet met zijn ID-document. En dan maak je er een notitie van dat je dat hebt gezien en noteer je eventueel gegevens als het nummer van het document. Het is helemaal niet nodig om daar een kopie van te bewaren.

We maken bewust gebruik van publieksvoorzieningen op het gebied van beveiliging. We hebben geen eigen portaal met gebruikersnaam en wachtwoord, maar gebruiken wat de overheid aanbiedt, via Logius met DigiD. Ik denk dat de wenselijkheid van gebruik hiervan bij de meesten wel bekend is, maar dat het nog niet door iedereen wordt toegepast. In de nabije toekomst zal dit via de Wet digitale overheid (voorheen GDI: Generieke Digitale Infrastructuur) worden geregeld, dan is er geen eigen keuze meer.

Als het gaat om je eigen gegevens ben je je hopelijk heel erg bewust van de risico’s. Je beveiligt je mobiele telefoon en je kiest voor passend beveiligingsniveau, dat de  optimale balans biedt tussen gebruiksvriendelijkheid en veiligheid. Tegenwoordig is dat voor de meeste mensen op de telefoon een 6-cijferige code, en allang niet meer 4-cijferig. Terecht. Als het gaat om je bankgegevens is iedereen zich ervan bewust dat je voorzichtig moet zijn met de pincode, want de consequenties kunnen dramatisch zijn.  Diezelfde voorzichtigheid moet je ook – of eigenlijk: juist – betrachten als het gaat om gegevens van anderen.

Privacy is voor overheidsorganisaties altijd een hot issue. Landelijk zijn er regels en voorzieningen om je privacy te waarborgen, met name rondom gegevens van burgers. De beste tip is misschien wel: hanteer de veiligheidseisen die de overheid stelt omtrent persoonsgegevens. Dat geldt uiteraard voor de interne organisatie, maar ook naar de buitenwereld toe.

Bedenk of het noodzakelijk is de gegevens te delen op de manier zoals je voornemens bent het te doen. Bijvoorbeeld als je een brief stuurt naar de ouders van  een kind met een vraag over dat kind, dan hoef je in die brief het BSN van dat kind niet te vermelden. Deze ouders kennen hun kind echt wel bij voornaam. Zet dat BSN er dus niet in. Mocht die brief een keer ergens verkeerd belanden, door een datalek of welke fout dan ook, dan blijft de schade beperkt. Dus als je een mail of brief stuurt, gebruik daarin dan alleen die gegevens die echt noodzakelijk zijn.

Hoe een ambtenaar om moet gaan met gegevens, dat is eigenlijk hetzelfde voor een  medewerker bij een bedrijf of iedere burger. Je moet niet zo maar alles op Twitter zetten of op Facebook. Ga goed om met je wachtwoorden. Maak back-ups. Dat zijn meer standaard praktische beveiligingstips.

Deel inloggegevens niet

Deel inloggegevens niet met collega’s. We zien regelmatig dat collega’s gemakkelijk inloggegevens delen. Bijvoorbeeld als er een externe collega op bezoek komt, als mensen op vakantie gaan. Maar ook dat er gebruikersnamen en wachtwoorden op post-its op het inlogscherm worden geplakt of worden gedeeld per mail.

Kijk voor meer informatie over veilig werken achter je scherm op de website van iBewustzijn.

Phishing

Reageer alert op phishingmails op je werkadres Indien je een phishingmail op je werk mailaders krijgt, meld dit dan even aan de servicedesk, want dan blokkeren zij de afzender. Meld het ook bij de organisatie of persoon wiens naam wordt misbruikt, want dan kan zij die link ook laten blokkeren.

Plak je camera op je laptop af

Wist je dat, indien je laptop wordt gehackt, hackers ook toegang hebben tot de camerafunctie van je laptop? Ze kunnen dan letterlijk met je meekijken. Plak daarom de camera van je laptop af met een pleister of sticker als je deze niet gebruikt.

Campagnemateriaal gemeente Culemborg

De gemeente Culemborg heeft verschillende campagnematerialen ontwikkeld om het iBewustzijn van medewerkers te vergroten. “Burgers en bedrijven moeten erop vertrouwen dat wij vertrouwelijk met hun gegevens omgaan. Het is de taak van de medewerker om ervoor te zorgen dat de informatie afdoende wordt beschermd en er verantwoord mee omgaat”.
Bron: iBewustzijn

Gouden regels Informatiebeveiliging

De provincie Flevoland heeft 10 Gouden regels voor Informatiebeveiliging opgesteld. Waaronder bijvoorbeeld geheimhoudingsplicht en gedragscode.
Bron: iBewustzijn

DOMI game gemeente Gennep

De gemeente Gennep heeft een presentatie en game ontwikkeld met het thema: Dus Opletten Met Informatie. De game is een speurtocht waarin medewerkers 10 lekken opsporen. Doel is om te komen van onbewust risico’s lopen naar je bewust zijn van de risico’s!
Bron: iBewustzijn

Het is heel belangrijk voor overheden dat ze verifiëren met wie ze te maken hebben. Aan de balie bijvoorbeeld, dan gaat het erom te achterhalen: is de persoon wie hij zegt dat hij is. Dat kan door het document goed te bekijken of het echt is. Door het tegen het licht te houden, door gebruik van lampen en dat soort zaken. Maar kijk ook heel goed naar de persoon. Hoort dat document ook bij hem of haar? Vertrouw niet alleen op de scanapparatuur die zegt: het document is goed, dus is het goed. Het vergt ook intuïtie. Durf te twijfelen. Er wordt ook wel vaak gedacht: het is belangrijk goede dienstverlening te leveren en dan past het niet veiligheid daarboven te plaatsen. Maar het is juist een goede dienstverlening als je weet met wie je te maken hebt. Je mag best twijfelen of anderen om advies vragen.

Digitale voorzieningen hebben er vaak de functionaliteiten voor, met DigiD, audits en dergelijke, waardoor de bescherming van persoonsgegevens wel goed gaat. De kwetsbaarheid zit met name in de mensfactor. Medewerkers kunnen nog weleens wat minder strak zijn in naleven van regels. Juist in het afhandelen van persoonsgegevens en omdat ze dienstverlening hoog in het vaandel hebben. Maar: als ik als burger bel naar een klantcontactcentrum van een overheidsinstantie, wees je er dan als overheid bewust van dat ik nooit kan bewijzen wie ik zeg te zijn. Gebruik dan ook geen persoonsgegevens of gevoelige gegevens in een telefoongesprek. Verwijs naar de digitale route of de balie. Ik heb een keer een onderzoek gezien waarin twee componenten gemeld werden over een persoon: de voornaam en de werkgever. Binnen een kwartier hadden ze alle informatie rondom deze persoon gevonden. Dat had alles te maken met een stukje ‘vertrouwen winnen’ tijdens het telefonisch contact met de medewerker van die instantie. Alle informatie werd zo aangedragen. Dan ligt identiteitsfraude op de loer!