Een belangrijk onderwerp dat ik in mijn dagelijkse werk tegen kom, is de veiligheid bij het ontwikkelen van IT-oplossingen binnen het sociaal domein. Het is mijn verantwoordelijkheid als operationeel manager om bij klanten, zoals bijvoorbeeld de gemeente en de politie, een ‘veilige’ IT-omgeving te creëren. Maar hoe ver ga je met het afdichten van risico’s? En waar houdt de techniek op en begint de verantwoordelijkheid van de gebruiker?
Stel, een partner van de gemeente uploadt privacy gevoelige informatie in een niet beveiligde omgeving en de gemeente downloadt deze informatie vervolgens in een evenmin afgeschermd domein. Er ontstaan zo aan beide kanten risico’s. Op twee plekken kan informatie in de verkeerde handen vallen. Door zoveel mogelijk te automatiseren, proberen we het aantal tussenstations (risico’s) te verminderen en de informatie zo snel mogelijk op het eindpunt te krijgen.
Wanneer is een systeem veilig genoeg?
Het gaat altijd om een balans tussen veiligheid en gebruiksvriendelijkheid. Wanneer je de veiligheid wilt maximaliseren en de risico’s vrijwel volledig afdicht, ontstaat er vaak een onwerkbare situatie. Denk bijvoorbeeld aan het gebruik van meerdere wachtwoorden in verschillende omgevingen in combinatie met sms authenticatie of e-herkenning. Het gevolg is dat de IT-oplossing weinig tot niet gebruikt wordt en dat er alsnog in een onbeveiligde omgeving wordt gewerkt. Dan zijn we ons doel volledig voorbij geschoten. We zoeken daarom altijd naar het juiste evenwicht tussen gebruiksvriendelijkheid en veiligheid.
Waar eindigt de verantwoordelijkheid van de techniek?
Persoonlijk denk ik dat de techniek nooit meer dan de helft van het veiligheidsvraagstuk oplost. De eindgebruiker zal altijd voor een groot gedeelte zelf verantwoordelijk zijn. Wij zetten onze expertise in om een gebruiksvriendelijke en veilige omgeving te bouwen. Als de eindgebruiker echter bijvoorbeeld privacygevoelige informatie download op zijn harde schijf en en dit niet meer verwijderd, valt het buiten ons bereik.
In de sociale sector is er bij de eindgebruiker nog weinig bewustzijn op het gebied van veiligheid. Toch is dat volgens mij het startpunt van een volledig veilig werkproces. Wat heb je aan de meest veilige auto als je geen rijbewijs hebt?