Remkes wil geen regels voor privégebruik overheids-pc’s

In april kwam vertrouwelijke informatie - waaronder correspondentie van leden van het Koninklijk Huis - op straat te liggen dankzij een Defensie-medewerker die bestanden uitwisselde via LimeWire. Eerder kwam geheime Defensie-informatie in de openbaarheid doordat militairen USB-sticks waren kwijtgeraakt. Remkes - bij de overheid verantwoordelijk voor informatiebeveiliging - vindt het niet nodig privégebruik van pc’s en bijvoorbeeld USB-sticks te verbieden. Het recent ingevoerde Model Gedragscode Integriteit Rijk voorziet volgens Remkes in beperkt privégebruik. Thuiswerken door ambtenaren uitsluitend toestaan op overheidslaptops is ook niet nodig, meent de minister. Een dergelijke verplichting zou ‘enkele honderden miljoen euro’s kosten. De departementen bepalen hun eigen beleid. Zo is het bij Defensie verplicht om te telewerken via de dienstlaptop en een VPN-verbinding. Bovendien hanteren de departementen gedragsregels. Tot slot voelt Remkes er ook niet voor om in te gaan op Szabo’s voorstel om overheids-pc’s te scannen op niet zakelijke software en die te verwijderen. Het installeren van niet-geautoriseerde software is al verboden, aldus de minister. Niet realistisch Een verbod op privégebruik van pc’s en informatiedragers van de overheid is niet realistisch volgens Edo Roos Lindgreen, partner bij KPMG Risk Management en hoogleraar IT & Auditing. "Zakelijk en privégebruik is niet altijd zo eenvoudig uit elkaar te houden. Veel organisaties hanteren daarom een dergelijke code waarin een redelijk gebruik is vastgesteld. Het installeren van vreemde software valt daar natuurlijk niet onder. Een regelmatige scan op niet-toegestane programma’s, bijvoorbeeld als een laptop in het bedrijfsnetwerk inlogt, is een goede manier om daar controle op te houden." Roos Lindgreen staat volledig achter het voorstel thuiswerk alleen toe te staan op de ‘dienstlaptop’. "Echter, uit de brief van de minister blijkt dat juist Defensie de verplichte dienstlaptop al heeft ingevoerd. Hoe kwam die vertrouwelijke informatie dan in de LimeWire-map terecht? Ook hier vormt het menselijk gedrag het grootste risico. Dat is lastig aan te pakken. Met technische middelen is dat deels te compenseren: je kunt de configuratie aanpassen zodat bijvoorbeeld niet naar privé-adressen gemaild kan worden, maar dat is ook niet sluitend. Een scala van maatregelen is nodig, van bewustwording en beloning van goed gedrag tot toezicht en het opleggen van sancties. In elk geval kunnen beveiligingsmaatregelen nog veel meer worden geïntegreerd, bijvoorbeeld door automatische versleuteling." Szabo voelt zich door de minister ‘met een kluitje in het riet gestuurd’. "Er verandert niets. Er zijn gedragsregels, zegt hij, maar de ervaring leert dat daarvoor niet voldoende discipline is. Er zijn regels en sancties nodig. Desnoods zullen we die na de zomer met een Kamermotie afdwingen."