Transparantie, verantwoording en Hugo’s privémail – de mondkapjesaffaire vanuit compliance perspectief

Het is precies een jaar geleden dat het toenmalige Kabinet het generiek actieplan ‘Open op Orde’ aanbood aan het parlement. Het actieplan, rechtstreeks voortgekomen uit de rapportage ‘Ongekend onrecht’, van de Parlementaire ondervragingscommissie Kinderopvangtoeslag, moet de komende jaren de rijksinformatiehuishouding ‘sterk verbeteren’, waarbij ‘transparantie het leidende principe’ wordt. Want dat was ook hard nodig (lees o.a. “Wil je dit niet archiveren” – de Toeslagenaffaire vanuit recordsmanagement perspectief). Ondertussen zie ik vanuit een ooghoek hoe de nieuwe minister van Rechtsbescherming nog aan de slag moet met ‘in kaart brengen’ hoe het nou zit met die ruim 1000 uit huis geplaatste kinderen. En op het Twitter scherm buitelen de berichtjes uit de Kamer over het Hugo-‘zit op iCloud’-de-Jonge debat (hashtag mondkapjesdeal) over elkaar heen. Twee e-mail quotes uit geWOBte stukken van VWS volstaan hier wellicht:

Afb: Wouter Aukema, Twitter“Hugo zit op icloud, hij vroeg het hem te zenden”  en elders:

“De vertrouwelijke versie mag officieel niet naar iCloud mail adres….daar krijg je dus gedoe mee later. Maar goed ik zal het wel doen als jij dat wilt.”

Honderden informatiebeheerders, recordsmanagers en functioneel beheerders van informatiesystemen, zoals Microsoft 365, zijn in het land bezield aan de slag om overheidsinformatie veilig te stellen voor verantwoording, voor onderzoek, voor recht- en bewijszoekenden. En het begrip ‘recht- en bewijszoekenden’, zo bekend in informatiebeheer land, heeft denk ik sinds oorlogstijd en koloniale oorlog niet meer zoveel concrete betekenis gekregen.

Juist door een groot – en nog voortdurend – falen van de overheid is er een forse financiële impuls gekomen om de informatiehuishouding te verbeteren. Daarnaast is al langere tijd aandacht vanuit de overheid voor de vastlegging en archivering van informatie, omdat we om de zoveel jaar een nieuwe parlementaire enquête moeten verdragen waarin de gebrekkige zorg voor die informatie één van de belangrijke uitkomsten is. Als ministers zich moedwillig onttrekken aan de systemen van vastlegging en archivering, is dat een slag in het gezicht van al die ondersteuners op ministeries – maar ook in alle andere overheidsinstellingen en ZBO’s die daarvoor hun best doen. Het Kabinet schreef zelf bij de aanbieding van ‘Open op Orde’

“Voor het goed functioneren van onze democratische rechtsstaat is het essentieel dat de Rijksoverheid zijn informatiehuishouding op orde heeft. De volledigheid en betrouwbaarheid van overheidsinformatie dient de democratische verantwoording, maar ook de individuele belangen van rechthebbende en rechtzoekende burgers.”

Uit de WOB quotes blijkt verder dat men in de omgeving van de minister niet alleen goed op de hoogte is van regelgeving, maar dat de minister ook gewaarschuwd werd. Met privé communicatiemiddelen komt niet alleen de verantwoording, maar ook de veiligheid in het geding. Dat de minister in het openbaar tegen journalisten zijn beklag deed over lastige inlog procedures op zijn officiële mailadres en daarom privé-mail prefereerde is helemaal een gotspe. En ongeloofwaardig ook. Hij wilde bewust deze informatie naar zijn iCloud adres, hij was er op gewezen ook, hij had niet af en toe last van een inlog probleempje.

En wat dan nog: de overheid is inmiddels aan het overschakelen naar MFA  – en dubbele authenticatie is er niet voor niets. Het is één van de belangrijkere gebruikershandelingen die de kans op ransomware aanvallen kan verminderen. Het is ongehoord dat een minister daar nonchalant over doet en een signaal afgeeft dat het ook allemaal erg vervelend is. Ook Nederlandse bedrijven en overheidsinstellingen worden geteisterd door ransomware aanvallen en aangezien die aantoonbaar voor een deel uit Rusland (Conti, recent nog acht woningcorporaties) en China afkomstig zijn, kan dit in het huidige sanctie- en oorlogsklimaat alleen nog maar serieuzer genomen worden.

De minister werd voorts op de risico’s van het delen van vertrouwelijke informatie gewezen: “daar krijg je dus gedoe mee later”. QED. Eloquenter dan deze Chief Information Security Officer uit Friesland kan ik het niet verwoorden:

“Wij als vakspecialisten hebben er een behoorlijke kluif aan om deze [informatiebeveiliging en cybersecurity] doelen aan de man te brengen en om collega’s directies, besturen en colleges te overtuigen van het belang ervan. Regelmatig beargumenteren we vurig dat bepaalde maatregelen echt nodig zijn gezien de risico’s en dreigingen. We verwijzen daarbij vaak ook naar de eerder genoemde wetten, normen, plannen en ambities. … Met respect: Uw handelen ondermijnt daarmee onze intensieve inspanningen om onze gezamelijke en wezenlijke doelen te realiseren.”

Er zou ‘een nieuwe bestuurscultuur’ komen. Dat was wellicht dan wat anders dan ‘een betere’.  Al ging het wel over transparantie meen ik me te herinneren. Het traineren en tijdrekken met externe onderzoeken levert wel meer informatie op, maar we zijn er duurder mee uit en niet mee geholpen. Ik schrijf op deze pagina regelmatig over moderne mogelijkheden van informatiebeheer in Microsoft 365, mogelijkheden van ‘archiving by design’. En geavanceerde mogelijkheden voor WOB/WOO om e-mails, documenten en chat terug te vinden en beschikbaar te stellen, informatie te bewaren of juist tijdig te vernietigen. Het kan allemaal echt, de meeste overheidsorganisaties beschikken over de juiste Microsoft 365 licenties. Dure licenties. Nu nog gaan gebruiken, onder een voorbeeldig en integer leiderschap.

Update na Tweede Kamerdebat 7-4-22:

Tijdens het debat onthulde minister Helder door te citeren uit niet gelakte stukken de volledige gegevens van een 2e privé-e-mailadres van Hugo de Jonge, dit keer verbonden aan een eigen domeinnaam. De Jonge zei verschillende malen dat hij op de twee adressen departementale mail ontving en dat de veiligheid en archivering niet in het geding kan zijn geweest. Dat we via WOB-verzoeken uitsluitend beschikken over mail aan die adressen vanuit VWS èn dat De Jonge aangeeft dat hij liever met die adressen werkte juist vanwege de ingewikkelde inlogprocedures van de zakelijke mailvoorziening geeft al aan dat dat niet waar kan zijn. Andere zakelijke mailwisselingen buiten het departement om zijn natuurlijk buiten de geWOBte stukken gebleven en de inlog op zijn persoonlijke mail had vast dan geen dubbele authenticatie.


afbeelding 1: Jon Tyson, Unsplash

afbeelding 2: W. Aukema, Twitter

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *