, 4 december 2018

Hoe de implementatie van onze zoekmachine een bijtende privacy-waakhond werd

image for Hoe de implementatie van onze zoekmachine een bijtende privacy-waakhond werd image Case

Miljoenen documenten, bits en bytes

Miljoenen documenten, bits en bytes
Een aantal jaar geleden ontstond bij ons, de gemeente ‘s-Hertogenbosch, de wens voor een interne zoekmachine. Destijds hadden we 5 miljoen documenten in ons zaaksysteem en miljoenen bits en bytes aan informatie op onze netwerkschijven. Deze informatie was op verschillende plekken opgeslagen, wat het een flinke uitdaging maakte het juiste document snel te vinden. Onze medewerkers waren uiteraard vertrouwd met Google in hun privéleven. De vraag werd regelmatig gesteld of dit in het werk ook niet zo gemakkelijk kon. In de zomer van 2015, kwamen we in contact met de leverancier van onze zoekmachine.

We waren onder de indruk van de eerste demo; een laagdrempelige, Google-achtige zoekmachine. Een vervolggesprek met een aantal technische specialisten vanuit onze organisatie en een uitgebreide Proof of Concept (PoC), bevestigde onze eerste indruk. Snel vinden wat je zoekt, ongeacht waar het document opgeslagen staat. Bij de implementatie kozen we ervoor een aantal bronnen aan de zoekmachine te koppelen: netwerkschijven, intranet en het zaaksysteem. En met succes. Documenten werden snel en probleemloos uit de diepste submapjes gevonden en daarbij werden ook autorisaties keurig overgenomen. We hadden ons doel behaald, dachten we.

Informatieveiligheid en -bewustzijn
Dat bleek toch nog niet helemaal zo te zijn. Deze goed werkende zoekmachine werd een spiegel voor de organisatie. Jarenlang digitaal werken had zijn sporen nagelaten. De zoekmachine werkte hierop als een vergrootglas. Ondanks de constante aandacht voor informatieveiligheid en -bewustzijn werd duidelijk dat onze informatiehuishouding nog onvoldoende op orde was. De zoekmachine bleek een heel functionele beveiligingstool te zijn. Te ruime autorisaties en verkeerd opgeslagen informatie werden heel gemakkelijk gedetecteerd. Ondanks dat de zoekmachine juist zijn functie bewees, groeide de onrust binnen onze organisatie.

De impact hiervan hadden we onderschat. Kort na de livegang in 2016 zetten we de zoekmachine offline. Zeker in combinatie met de naderende AVG werden onze zorgen aanzienlijk. Een aantal pogingen om de bronsystemen op te schonen waren niet genoeg. Hier was meer en intensiever werk voor nodig. En ondanks dat de zoekmachine goed en prettig werkte, zorgde het voor een gevoel van onrust bij een grote groep medewerkers: het gevoel om niet ‘in control’ te zijn. En hoe los je dat dan op? Zou het ons lukken om van een nood een deugd te maken en met behulp van de zoekmachine onze informatie beter op orde te krijgen? En hoe konden we ervoor zorgen dat onze organisatie het vertrouwen terugkreeg in de zoekmachine?

Proces, mensen en organisatie
Deze ontwikkelingen leidden tot een bredere focus in de voorbereiding op een volgende livegang van de zoekmachine. Want naast de techniek legden we bewust nadruk op het proces, de mensen en onze organisatie. En besteedden we meer aandacht aan opschonen van de bronsystemen. Achteraf bezien een zeer waardevolle bijvangst van deze zoekmachine.

Om kaders te scheppen voor het project en de organisatie stelden we onszelf de vraag: welke informatie mag je nu eigenlijk vinden in de zoekmachine? Wat is acceptabel en wat niet? Een functioneel beheerder, een privacy-officer en een security-officer bogen zich over deze vraag. Zo hielden we rekening met de mogelijkheden van de bronsystemen, de kaders van de wet én ons interne privacybeleid.

Verantwoordelijkheid op de juiste plek
Deze kaders gaven de rest van het traject veel houvast. Het werd de basis voor privacytoetsen, het afhandelen van meldingen en het neerleggen van verantwoordelijkheid in de organisatie. Een voorbeeld van een privacycriterium: wanneer een medewerker autorisatie heeft voor een map of schijf is het acceptabel voor hem/haar om informatie uit dat onderdeel in te kunnen zien. In combinatie met ons bedrijfsconcept, waarin elke leidinggevende verantwoordelijk is voor de autorisaties en informatie van zijn of haar afdeling, werkt dit uitstekend. De verantwoordelijkheid wordt daarmee op de juiste plek belegd.

Onze functioneel beheerders en ICT’ers zorgen voor een werkende techniek en autorisatiestructuur, leidinggevenden zijn verantwoordelijk voor de invulling hiervan en de privacy- en security-officers hebben de mogelijkheid om te toetsen. Het effect hiervan valt of staat echter met de sturing op de verantwoordelijkheid van de leidinggevenden en een gedisciplineerd team van (functioneel) beheerders die het autorisatieproces uitvoeren en borgen. Wanneer je bepaalt wat acceptabel is om te vinden in de zoekmachine, betekent het óók dat er situaties kunnen ontstaan dat er iets gevonden wordt dat níet acceptabel is. Hoewel we de kans daarop flink verkleind hadden met de opschoning en een geborgd autorisatieproces, blijven we realistisch. We werken immers in een dynamische organisatie waarin dagelijks grote aantallen documenten worden toegevoegd en autorisaties worden gewijzigd. Daarop wilden we voorbereid zijn. Dit vingen we op door een meldings- en escalatieprocedure in te richten.

In een meldingsprocedure beoordeelt de security-officer een melding die is ingestuurd door een medewerker. Als blijkt dat een resultaat onterecht kan worden ingezien, dan treedt de escalatieprocedure in werking. De oorzaak wordt achterhaald en het issue wordt opgelost. Afhankelijk van hoe groot het probleem is, schakelen we met meer of minder niveaus. We hebben niet de illusie dat er nooit meer een zoekresultaat onterecht zichtbaar. Wel hebben we het vertrouwen dat we snel en adequaat kunnen handelen om het op te lossen.

Van ‘Alles openbaar, tenzij’ naar ‘Toegang waar nodig’
Onder het opschonen van de bronsystemen viel het aanpassen van de autorisatiestructuur in ons zaaksysteem. Het veranderde uitgangspunt van ’Alles openbaar, tenzij‘ naar ’Toegang waar nodig‘ had een grote impact. Het werd een operatie van een jaar waarin zowel de techniek als de invulling tot in detail werd doorgelopen. Leidinggevenden waren hierdoor in staat met vertrouwen akkoord te geven op autorisaties van het zaaksysteem en andere bronsystemen.

Draagvlak
De sterke basis die hiermee was gelegd, werd bevestigd door uitkomsten van de privacy-toetsen, die onze privacy- en security-officers op basis van de eerder opgestelde privacy-criteria uitvoerden. Op enkele aandachtspunten na stonden de lichten op groen. Op papier. Echter, de eerder genoemde onrust onder medewerkers was nog maar ten dele weggenomen.

We zorgden ervoor dat de groep betrokkenen bij dit project steeds groter werd. Waar we begonnen met een kerngroep om het beleid en technische aanpassingen mogelijk te maken, betrokken we daarna steeds meer groepen bij onderwerpen als ‘privacy’ en ‘informatie’. We nodigden ze uit om te komen testen en praten over waar we mee bezig waren. Hiermee werden oneffenheden en onrust opgehaald en vervolgens opgelost. Daarnaast zorgde de steeds grotere groep betrokkenen ervoor dat vragen op de werkvloer sneller konden worden beantwoord en eventuele onrust kon worden weggenomen. Noemenswaardig detail is dat de zoekmachine in dit traject kon worden ingezet om de testen goed uit te voeren op speciaal daarvoor ingerichte werkplekken.

Campagne
Een andere bron van onrust werd veroorzaakt door onwetendheid. Medewerkers wisten niet voldoende dat zoekresultaten afhankelijk zijn van hun eigen autorisaties. Als gemeente verwerken wij uiteraard gevoelige persoonsgegevens. Wanneer je bijvoorbeeld als WMO-consulent het idee hebt dat collega’s van andere afdelingen dezelfde WMO-aanvragen in hun zoekresultaten te zien krijgen als jij, dan is dat natuurlijk even schrikken. Dit is ondervangen door een gemeente-brede campagne, inclusief een animatiefilmpje waarin het eigen autorisatieprofiel als duidelijke boodschap naar voren kwam. In die animatie werd opgeroepen om een helpdeskmelding te maken als je als medewerker je toch nog zorgen maakt over de gevonden resultaten, waarna de meldingsprocedure van start gaat.

We hebben ons doel behaald met dubbele winst
De dag van de livegang gingen we met vertrouwen tegemoet. En dat bleek terecht. We hebben van een nood een deugd gemaakt en de waakhond als huisdier opgenomen in onze organisatie. De brede focus in dit traject is enorm belangrijk geweest. De focus op zowel techniek, organisatie, processen als mensen bleek noodzakelijk voor succes. Onze tip is dan ook te beginnen met een gedragen beleid waarin je de kennis van verschillende disciplines combineert voor een toepasbare vorm. Het daarnaast op orde brengen van processen voor autoriseren, meldingen en escalatie, dat geen waarde heeft zonder verantwoordelijkheid op het juiste niveau en zichtbare sturing.

Besteed vroeg in het traject voldoende aandacht aan risico- en stakeholder-inventarisaties en je communicatieboodschap, zoals het informeren van medewerkers dat autorisaties worden overgenomen. De basis op orde brengen in je bronsystemen is een niet te onderschatten onderdeel van de implementatie van een zoekmachine. Maar het resultaat is, naast een zoekmachine, een informatiehuishouding die veel beter op orde is. Dubbele winst dus onderaan de streep.