Hoe zwaar kun je leunen op de integriteit van mensen?

Voor werkgevers is het belangrijk dat hun medewerkers eerlijk en oprecht zijn, ofwel integer. Zeker binnen de overheid. Die zit namelijk niet te wachten op vreemde declaraties van bestuurders of wethouders met een dubbele agenda. Integriteit kan het vertrouwen van de burger in de overheid schaden. Voor ambtenaren en bestuurders is het dus extra belangrijk dat ze integer zijn. Om deze integriteit te borgen zijn er allerlei regels en gedragscodes opgesteld

die elke ambtenaar bij de start van zijn/haar dienstverband belooft na te leven. Dit start met het afleggen van een eed en/of integriteitstoets. Hamvraag is of deze (gedrags-)regels in de praktijk ook altijd echt worden nageleefd… Integriteit moet simpelweg een grondhouding zijn van ambtenaren. Als gemeente is het slim om je integriteitseisen te stellen bij aanname. Maar wat is integriteit eigenlijk? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Of zijn er aanvullende maatregelen nodig als het gaat om informatieveiligheid?

Het juiste doen, ook als niemand kijkt

Wat betekent integriteit precies? Integriteit is ook wel ‘de persoonlijke (karakter-)eigenschap, van een individu, die inhoudt dat de betrokkene eerlijk en oprecht is en niet omkoopbaar. De persoon beschikt over een intrinsieke betrouwbaarheid, zegt wat hij doet, en doet wat hij zegt, heeft geen verborgen agenda en veinst geen emoties. Kortom, een integer persoon zal zijn doen niet laten beïnvloeden door oneigenlijke zaken’.

Als alle ambtenaren een eed afleggen en een integriteitsverklaring tekenen, en zich dus gedragen zoals hierboven beschreven, hebben we verder niks nodig toch? Een veel gehoorde discussie onder directieleden, die zich afvragen waarom we zoveel dure maatregelen nodig hebben als het gaat om het beveiligen van alle gegevens waar mee gewerkt wordt. Men heeft immers getekend voor integriteit. In dat geval moet je er vanuit kunnen gaan dat collega’s zorgvuldig omgaan met informatie. Ook wanneer deze niet voor hen bedoeld is. In de praktijk wordt dit toch vaak in twijfel getrokken. Zo wil men bijvoorbeeld steeds vaker kluisjes op de werkvloer, hanteren we een clean desk policy en hanteren we gedragsregels… tot zover onze integriteit? Of raakt dit de vraag of je in de basis een vertrouwend persoon bent, of een wantrouwend persoon? Van nature zijn we graag goed van vertrouwen, maar dat wordt echter ook wel naïef genoemd. Door negatieve ervaringen in de praktijk kan vertrouwen langzaam overgaan in wantrouwen.

Ik integer, jij integer?

Het spanningsveld tussen enerzijds de integriteit van medewerkers en anderzijds het nemen van maatregelen is sterk aanwezig bij informatiebeveiligers en privacy-adviseurs. Je ziet bij hen de wens ontstaan om zoveel mogelijk informatie te versleutelen en alleen toegankelijk te maken voor degenen die deze informatie daadwerkelijk nodig hebben bij de uitvoering van hun werkzaamheden. Dit kan voor medewerkers demotiverend werken; zij kunnen door de maatregelen het gevoel krijgen dat hun integriteit in twijfel wordt getrokken. Bestuurders leunen weer op deze integriteit en gebruiken dit argument om delen van de BIG achterwege te laten.

Een pittige opgave als gemeente om hier slim mee om te gaan. Zeker nu sinds de decentralisaties veel privacygevoelige informatie bij gemeenten op het bordje ligt. Je reputatie valt en staat uiteraard bij het handelen van je medewerkers. “Wij kennen al onze medewerkers, die doen zoiets niet”, is een vaak gehoord statement. Maar waar ligt die grens van goed vertrouwen? Ken jij bijvoorbeeld al je nieuwe en/of ingehuurde collega’s uit het Sociaal Domein? Waarschijnlijk niet. Zie het recente incident bij de gemeente Almelo, waarbij 20 GB aan data is gehackt. In dit geval gaat het om een samenwerkingsverband tussen het UWV en gemeenten waarbij vertrouwen verder reikt dan alleen je eigen gemeente.

De gelegenheid maakt de dief

Ook bij integriteit geldt: de gelegenheid maakt de dief. Niet-integer gedrag is namelijk van alle tijden en wordt bepaald door onder meer persoonlijke omstandigheden (zoals schulden), frustratie (bijvoorbeeld wraak) en hebzucht. Ook toeval en organisatorische omstandigheden kunnen een rol spelen. Wat dus niets hoeft te zeggen over je karaktereigenschappen.

Integriteit versus maatregelen

Hieruit mogen we voorzichtig concluderen dat het wel degelijk van belang is dat een organisatie maatregelen neemt om incidenten te voorkomen. Bijvoorbeeld middels procedures, strikt autorisatiebeheer en functiescheiding. Iedere organisatie heeft de taak deze interne maatregelen te controleren en te borgen dat regels aangaande informatieveiligheid ook echt worden nageleefd. Om de informatie binnen gemeenten zo goed als mogelijk beveiligd te hebben, is de implementatie van  maatregelen uit de BIG dus zeker raadzaam.

Rest alleen nog de vraag hoe we het bestuur er van overtuigen dat leunen op de integriteit van medewerkers prijzenswaardig, maar tegelijkertijd naïef is. Natuurlijk, in de basis vertrouwen we elkaar, maar laten we niet ons hoofd in het zand steken voor wat er allemaal kán gebeuren. Zie onderstaand een greep uit de vele actuele voorbeelden van incidenten:

Kortom: de praktijk liegt er niet om. Vertrouwen is goed, maar sluit controle niet uit.

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)
    Privacy: bekeken door twee brillen
    Waarom een Privacy BIG nergens op slaat, toch?