Skip to main content

Hoe zwaar kun je leunen op de integriteit van mensen?

| IB&P | ,

Voor werkgevers is het belangrijk dat hun medewerkers eerlijk en oprecht zijn, ofwel integer. Zeker binnen de overheid. Die zit namelijk niet te wachten op vreemde declaraties van bestuurders of wethouders met een dubbele agenda. Integriteit kan het vertrouwen van de burger in de overheid schaden. Voor ambtenaren en bestuurders is het dus extra belangrijk dat ze integer zijn. Om deze integriteit te borgen zijn er allerlei regels en gedragscodes opgesteld

die elke ambtenaar bij de start van zijn/haar dienstverband belooft na te leven. Dit start met het afleggen van een eed en/of integriteitstoets. Hamvraag is of deze (gedrags-)regels in de praktijk ook altijd echt worden nageleefd… Integriteit moet simpelweg een grondhouding zijn van ambtenaren. Als gemeente is het slim om je integriteitseisen te stellen bij aanname. Maar wat is integriteit eigenlijk? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Of zijn er aanvullende maatregelen nodig als het gaat om informatieveiligheid?

Het juiste doen, ook als niemand kijkt

Wat betekent integriteit precies? Integriteit is ook wel ‘de persoonlijke (karakter-)eigenschap, van een individu, die inhoudt dat de betrokkene eerlijk en oprecht is en niet omkoopbaar. De persoon beschikt over een intrinsieke betrouwbaarheid, zegt wat hij doet, en doet wat hij zegt, heeft geen verborgen agenda en veinst geen emoties. Kortom, een integer persoon zal zijn doen niet laten beïnvloeden door oneigenlijke zaken’.

Als alle ambtenaren een eed afleggen en een integriteitsverklaring tekenen, en zich dus gedragen zoals hierboven beschreven, hebben we verder niks nodig toch? Een veel gehoorde discussie onder directieleden, die zich afvragen waarom we zoveel dure maatregelen nodig hebben als het gaat om het beveiligen van alle gegevens waar mee gewerkt wordt. Men heeft immers getekend voor integriteit. In dat geval moet je er vanuit kunnen gaan dat collega’s zorgvuldig omgaan met informatie. Ook wanneer deze niet voor hen bedoeld is. In de praktijk wordt dit toch vaak in twijfel getrokken. Zo wil men bijvoorbeeld steeds vaker kluisjes op de werkvloer, hanteren we een clean desk policy en hanteren we gedragsregels… tot zover onze integriteit? Of raakt dit de vraag of je in de basis een vertrouwend persoon bent, of een wantrouwend persoon? Van nature zijn we graag goed van vertrouwen, maar dat wordt echter ook wel naïef genoemd. Door negatieve ervaringen in de praktijk kan vertrouwen langzaam overgaan in wantrouwen.

Ik integer, jij integer?

Het spanningsveld tussen enerzijds de integriteit van medewerkers en anderzijds het nemen van maatregelen is sterk aanwezig bij informatiebeveiligers en privacy-adviseurs. Je ziet bij hen de wens ontstaan om zoveel mogelijk informatie te versleutelen en alleen toegankelijk te maken voor degenen die deze informatie daadwerkelijk nodig hebben bij de uitvoering van hun werkzaamheden. Dit kan voor medewerkers demotiverend werken; zij kunnen door de maatregelen het gevoel krijgen dat hun integriteit in twijfel wordt getrokken. Bestuurders leunen weer op deze integriteit en gebruiken dit argument om delen van de BIG achterwege te laten.

Een pittige opgave als gemeente om hier slim mee om te gaan. Zeker nu sinds de decentralisaties veel privacygevoelige informatie bij gemeenten op het bordje ligt. Je reputatie valt en staat uiteraard bij het handelen van je medewerkers. “Wij kennen al onze medewerkers, die doen zoiets niet”, is een vaak gehoord statement. Maar waar ligt die grens van goed vertrouwen? Ken jij bijvoorbeeld al je nieuwe en/of ingehuurde collega’s uit het Sociaal Domein? Waarschijnlijk niet. Zie het recente incident bij de gemeente Almelo, waarbij 20 GB aan data is gehackt. In dit geval gaat het om een samenwerkingsverband tussen het UWV en gemeenten waarbij vertrouwen verder reikt dan alleen je eigen gemeente.

De gelegenheid maakt de dief

Ook bij integriteit geldt: de gelegenheid maakt de dief. Niet-integer gedrag is namelijk van alle tijden en wordt bepaald door onder meer persoonlijke omstandigheden (zoals schulden), frustratie (bijvoorbeeld wraak) en hebzucht. Ook toeval en organisatorische omstandigheden kunnen een rol spelen. Wat dus niets hoeft te zeggen over je karaktereigenschappen.

Integriteit versus maatregelen

Hieruit mogen we voorzichtig concluderen dat het wel degelijk van belang is dat een organisatie maatregelen neemt om incidenten te voorkomen. Bijvoorbeeld middels procedures, strikt autorisatiebeheer en functiescheiding. Iedere organisatie heeft de taak deze interne maatregelen te controleren en te borgen dat regels aangaande informatieveiligheid ook echt worden nageleefd. Om de informatie binnen gemeenten zo goed als mogelijk beveiligd te hebben, is de implementatie van  maatregelen uit de BIG dus zeker raadzaam.

Rest alleen nog de vraag hoe we het bestuur er van overtuigen dat leunen op de integriteit van medewerkers prijzenswaardig, maar tegelijkertijd naïef is. Natuurlijk, in de basis vertrouwen we elkaar, maar laten we niet ons hoofd in het zand steken voor wat er allemaal kán gebeuren. Zie onderstaand een greep uit de vele actuele voorbeelden van incidenten:

Kortom: de praktijk liegt er niet om. Vertrouwen is goed, maar sluit controle niet uit.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…