Plots stond afgelopen zomer communicatie via WhatsApp in de schijnwerpers, nadat berichten tussen de Amsterdamse burgemeester Femke Halsema en minister van Justitie en Veiligheid Ferd Grapperhaus openbaar werden. Dit gebeurde op verzoek van PVV-leider Geert Wilders, die zich beriep op de Wet openbaarheid van bestuur, de Wob. Het was de eerste keer dat er nieuws werd gehaald uit WhatsAppverkeer tussen bestuurders. Dit was mogelijk naar aanleiding van een uitspraak van de Raad van State in maart 2019, die oordeelde dat de Wob ook van toepassing is op sms- en WhatsAppberichten.

Wake-upcall

Het voorbeeld van Halsema en Grapperhaus is ‘een wake-upcall geweest’, zegt Peter de Baat. Hij is burgemeester van Montferland en binnen de VNG voorzitter van de adviescommissie Archieven en lid van de commissie Informatiesamenleving. Gemeenten moeten zich aanpassen, zegt De Baat, zowel bestuurlijk als ambtelijk. ‘Als je gebruikmaakt van die diensten, moet je je bedrijfsvoering daarop inrichten.’

De VNG heeft een handreiking met praktische oplossingen gemaakt. Daarin wordt ingegaan op de archivering van sms- en WhatsAppberichten. Omdat communicatiemiddelen als WhatsApp nauwelijks meer zijn weg te denken uit de werkpraktijk, beveelt de VNG aan een risicoafweging te maken van het gebruik van berichtenservices. Gemeenten moeten beginnen een visie en een beleid te ontwikkelen voor het gebruik van mobiele apparaten en van verschillende communicatiekanalen.

In de handreiking (zie kader) staan twee benaderingen met betrekking tot archiveren, vertelt De Baat. ‘De ene benadering gaat ervan uit dat berichten worden gekoppeld aan het werk van de individuele gebruiker, bijvoorbeeld de burgemeester. Het is een eigen verantwoordelijkheid van de gebruiker om te archiveren. Dat vraagt om discipline en behendigheid, scholing is in mijn ogen nodig.’ 

De tweede benadering houdt in dat tekstberichten geautomatiseerd en in bulk worden bewaard. De Baat: ‘Dit zou in strijd kunnen zijn met privacywetgeving. In de handreiking staat ook het advies om aandacht te besteden aan medewerkers, door het opstellen van richtlijnen en werkprotocollen over het gebruik en de omgang met privétoestellen voor zakelijke communicatie.’

Proeftuin

Omdat de archivering een complexe zaak is, heeft VNG Realisatie een proeftuin in het leven geroepen waarin gemeenten pilots kunnen uitvoeren voor het bewaren van tekstberichten. Onderdeel daarvan is een proefopstelling waarin met behulp van software snel en gemakkelijk tekstberichten op een telefoon kunnen worden uitgelezen, en met behulp van kunstmatige intelligentie worden softwareberichten voor archivering geselecteerd.

Kartrekker van de proeftuin vanuit VNG Realisatie is André Plat. Hij had meer respons verwacht. ‘Op onze oproep over de proeftuin hebben 24 gemeenten gereageerd. We zijn in gesprek gegaan en ze bleken nog na te denken over de vraag of ze überhaupt iets met archivering kunnen doen, naast alle andere dingen die gemeenten al doen.’

Groot vraagteken

Volgens Plat is het belangrijk om de archivering goed te regelen. Dat kan gemeenten helpen bij een soepele afhandeling van Wob-verzoeken. Nu wordt nog een beroep gedaan op individuele medewerkers, dat is kwetsbaar omdat de werkgever maar moet hopen dat mensen communicatie bewaren en vervolgens beschikbaar willen stellen.

Wat dat laatste betreft, is privacy een groot vraagteken in de archivering van tekstberichten. Plat: ‘Mensen gebruiken een zakelijke device, maar WhatsApp staat op je eigen naam. Dan is het briefgeheim van toepassing.’ Om die reden kan een gemeente individuele ambtenaren en bestuurders niet zomaar dwingen informatie vrij te geven waar privéberichten tussen kunnen zitten. Hierover zijn wel afspraken te maken, volgens Plat. 

Het is verstandig om het bij snelle en korte berichten te houden

Niet veilig

De vraag dringt zich op of communicatie via WhatsApp sowieso wenselijk is. Cybersecurity-deskundigen waarschuwen al langer dat de berichtendienst niet veilig is. ‘Het probleem is dat je niets weet over de werking van de tool, bijvoorbeeld over de versleuteling’, zegt Brenno de Winter, expert op het gebied van informatiebeveiliging, privacy en ICT. ‘Vanuit een oogpunt van security moet je je afvragen: is er bewijs waaruit blijkt dat het veilig is?’ Het antwoord is nee, stelt hij. ‘Het ontbreekt aan audits en toetsing om te bepalen of communicatie via WhatsApp veilig is.’

Ook de VNG is zich bewust van de risico’s van het gebruik van berichtendiensten als WhatsApp. Peter de Baat wijst op de slogan: ‘App met beleid; niet óver beleid’. ‘Het is verstandig om het bij snelle en korte berichten te houden, maar niet te communiceren via WhatsApp over de inhoud van je werk. Doe geen mededelingen over besluiten waar burgers of ondernemers rechten aan kunnen ontlenen en let er tijdens formatieonderhandelingen op wat je in de app zet.’

De Baat pleit voor meer bewustwording van de risico’s van online werken. ‘Als ik me in het verkeer begeef, let ik op. Toch gebeuren er weleens ongevallen. Dat geldt ook voor het digitale verkeer. Steeds meer mensen zijn zich bewust van de risico’s, maar ook online zijn ongevallen niet uit te sluiten.’

Risico’s

Het risico op ongevallen in de online communicatie speelt niet alleen bij gemeenten, maar ook bij andere bestuurslagen en overheidsorganen. De Algemene Rekenkamer deed onderzoek naar het gebruik van ICT-middelen door het Rijk na de uitbraak van corona. Vrijwel alle 175.000 ambtenaren van ministeries en hoge colleges van staat moesten van de ene op de andere dag hun werk zo veel mogelijk thuis doen.

De Rekenkamer onderzocht welke middelen de medewerkers van ministeries en hoge colleges van staat gebruiken, met welk doel, welke beveiligingsrisico’s dit oplevert en hoe de organisaties hun beleid hierover communiceren. Ambtenaren gebruiken samenwerkings-ICT, waaronder WhatsApp en videovergaderdiensten zoals Zoom, soms ‘op een manier die risico’s voor de informatiebeveiliging met zich meebrengt’, constateerde de Rekenkamer. Zo delen sommige ambtenaren tegen de afspraken in vertrouwelijke werkinhoudelijke informatie via WhatsApp.

‘Ik was verrast dat zo veel ambtenaren onbeveiligde systemen gebruiken’, zegt Arno Visser, president van de Algemene Rekenkamer. ‘We schrokken dat zelfs hoge ambtenaren en bewindslieden WhatsApp gebruiken, en niet de beveiligde systemen waarover het Rijk beschikt. Als het belang van beveiligde systemen niet in alle lagen van de organisatie duidelijk wordt gemaakt, zullen mensen zich er niet aan houden.’

Denk niet te snel dat het alleen om defensie en staatsveiligheid gaat

Wachtwoorden

Visser was tussen 2008 en 2013 wethouder in Almere. Hij zegt dat veilig communiceren ook voor gemeenten van belang is. ‘Denk niet te snel dat het alleen om defensie en staatsveiligheid gaat.’ Hij wijst erop dat gemeenten grote organisaties zijn, waar honderden miljoenen euro’s in omgaan. ‘Als bestuurder moet je niet bang zijn om je digitale veiligheid professioneel te benaderen.’

Visser adviseert gemeenten de eigen organisatie goed door te lichten op veiligheidsrisico’s. Daarbij gaat het volgens Visser niet altijd per se om high brow-zaken, maar ook om heel simpele dingen zoals makkelijk te kraken wachtwoorden. ‘Hordes Nederlanders gebruiken welkom123 als wachtwoord, om een voorbeeld te noemen.’

Een ander advies aan gemeenten: test je ICT-middelen. ‘Schakel de lokale rekenkamer hiervoor in. Wees niet bang om je de maat te laten nemen door een externe partij. Het ministerie van Binnenlandse Zaken was blij met onze bevindingen over de veiligheid van de inzet van ICT-middelen, omdat ze ermee aan de slag konden om de veiligheid te verbeteren.’