Skip to main content

Hoe zwaar kun je leunen op de integriteit van mensen?

| IB&P | ,

Voor werkgevers is het belangrijk dat hun medewerkers eerlijk en oprecht zijn, ofwel integer. Zeker binnen de overheid. Die zit namelijk niet te wachten op vreemde declaraties van bestuurders of wethouders met een dubbele agenda. Integriteit kan het vertrouwen van de burger in de overheid schaden. Voor ambtenaren en bestuurders is het dus extra belangrijk dat ze integer zijn. Om deze integriteit te borgen zijn er allerlei regels en gedragscodes opgesteld

die elke ambtenaar bij de start van zijn/haar dienstverband belooft na te leven. Dit start met het afleggen van een eed en/of integriteitstoets. Hamvraag is of deze (gedrags-)regels in de praktijk ook altijd echt worden nageleefd… Integriteit moet simpelweg een grondhouding zijn van ambtenaren. Als gemeente is het slim om je integriteitseisen te stellen bij aanname. Maar wat is integriteit eigenlijk? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Of zijn er aanvullende maatregelen nodig als het gaat om informatieveiligheid?

Het juiste doen, ook als niemand kijkt

Wat betekent integriteit precies? Integriteit is ook wel ‘de persoonlijke (karakter-)eigenschap, van een individu, die inhoudt dat de betrokkene eerlijk en oprecht is en niet omkoopbaar. De persoon beschikt over een intrinsieke betrouwbaarheid, zegt wat hij doet, en doet wat hij zegt, heeft geen verborgen agenda en veinst geen emoties. Kortom, een integer persoon zal zijn doen niet laten beïnvloeden door oneigenlijke zaken’.

Als alle ambtenaren een eed afleggen en een integriteitsverklaring tekenen, en zich dus gedragen zoals hierboven beschreven, hebben we verder niks nodig toch? Een veel gehoorde discussie onder directieleden, die zich afvragen waarom we zoveel dure maatregelen nodig hebben als het gaat om het beveiligen van alle gegevens waar mee gewerkt wordt. Men heeft immers getekend voor integriteit. In dat geval moet je er vanuit kunnen gaan dat collega’s zorgvuldig omgaan met informatie. Ook wanneer deze niet voor hen bedoeld is. In de praktijk wordt dit toch vaak in twijfel getrokken. Zo wil men bijvoorbeeld steeds vaker kluisjes op de werkvloer, hanteren we een clean desk policy en hanteren we gedragsregels… tot zover onze integriteit? Of raakt dit de vraag of je in de basis een vertrouwend persoon bent, of een wantrouwend persoon? Van nature zijn we graag goed van vertrouwen, maar dat wordt echter ook wel naïef genoemd. Door negatieve ervaringen in de praktijk kan vertrouwen langzaam overgaan in wantrouwen.

Ik integer, jij integer?

Het spanningsveld tussen enerzijds de integriteit van medewerkers en anderzijds het nemen van maatregelen is sterk aanwezig bij informatiebeveiligers en privacy-adviseurs. Je ziet bij hen de wens ontstaan om zoveel mogelijk informatie te versleutelen en alleen toegankelijk te maken voor degenen die deze informatie daadwerkelijk nodig hebben bij de uitvoering van hun werkzaamheden. Dit kan voor medewerkers demotiverend werken; zij kunnen door de maatregelen het gevoel krijgen dat hun integriteit in twijfel wordt getrokken. Bestuurders leunen weer op deze integriteit en gebruiken dit argument om delen van de BIG achterwege te laten.

Een pittige opgave als gemeente om hier slim mee om te gaan. Zeker nu sinds de decentralisaties veel privacygevoelige informatie bij gemeenten op het bordje ligt. Je reputatie valt en staat uiteraard bij het handelen van je medewerkers. “Wij kennen al onze medewerkers, die doen zoiets niet”, is een vaak gehoord statement. Maar waar ligt die grens van goed vertrouwen? Ken jij bijvoorbeeld al je nieuwe en/of ingehuurde collega’s uit het Sociaal Domein? Waarschijnlijk niet. Zie het recente incident bij de gemeente Almelo, waarbij 20 GB aan data is gehackt. In dit geval gaat het om een samenwerkingsverband tussen het UWV en gemeenten waarbij vertrouwen verder reikt dan alleen je eigen gemeente.

De gelegenheid maakt de dief

Ook bij integriteit geldt: de gelegenheid maakt de dief. Niet-integer gedrag is namelijk van alle tijden en wordt bepaald door onder meer persoonlijke omstandigheden (zoals schulden), frustratie (bijvoorbeeld wraak) en hebzucht. Ook toeval en organisatorische omstandigheden kunnen een rol spelen. Wat dus niets hoeft te zeggen over je karaktereigenschappen.

Integriteit versus maatregelen

Hieruit mogen we voorzichtig concluderen dat het wel degelijk van belang is dat een organisatie maatregelen neemt om incidenten te voorkomen. Bijvoorbeeld middels procedures, strikt autorisatiebeheer en functiescheiding. Iedere organisatie heeft de taak deze interne maatregelen te controleren en te borgen dat regels aangaande informatieveiligheid ook echt worden nageleefd. Om de informatie binnen gemeenten zo goed als mogelijk beveiligd te hebben, is de implementatie van  maatregelen uit de BIG dus zeker raadzaam.

Rest alleen nog de vraag hoe we het bestuur er van overtuigen dat leunen op de integriteit van medewerkers prijzenswaardig, maar tegelijkertijd naïef is. Natuurlijk, in de basis vertrouwen we elkaar, maar laten we niet ons hoofd in het zand steken voor wat er allemaal kán gebeuren. Zie onderstaand een greep uit de vele actuele voorbeelden van incidenten:

Kortom: de praktijk liegt er niet om. Vertrouwen is goed, maar sluit controle niet uit.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…