Het belang dat professionals vanuit intrinsieke motivatie privacybewust handelen.
Privacy en informatieveiligheid is ‘hot’ in het sociaal domein. En als dat voor uw gemeente of organisatie nog niet het geval is, zou het zo moeten zijn. Per 25 mei 2018 moeten organisaties in Nederland namelijk voldoen aan de nieuwe regels van de AVG. Een datalek binnen uw organisatie kan dan, als u onvoldoende maatregelen genomen heeft om dit te voorkomen, astronomische boetes tot wel 20 miljoen euro tot gevolg hebben. Zo’n indrukwekkende prikkel zou op zichzelf al voldoende aanleiding moeten zijn voor organisaties in het sociaal domein om privacy prioriteit één te maken. Waarom worden privacyrichtlijnen en wetgeving dan toch vaak als een belemmering of overdreven ‘gedoe’ ervaren? Als iets dat in de weg staat van een integrale dienstverlening. Klopt deze tegenstelling en zo ja; hoe kunnen we deze spanning oplossen?
Ik zie professionals in het sociaal domein als intrinsiek gemotiveerde hulpverleners die vanuit hun persoonlijke betrokkenheid hun werk doen. Je doet het werk omdat je het werk belangrijk vindt en wil dat cliënten geholpen worden (intrinsiek), niet puur om er geld mee te verdienen (extrinsiek). Zaken zoals administratieve verwerking of een uitgebreide verslaglegging die niet bijdragen aan het ervaren doel, worden als onnodige ballast gezien. Soms is dit zeer terecht, soms ook niet. In dit artikel pleit ik daarom voor meer aandacht voor de intrinsieke motivatie achter privacymaatregelen. Ik schets hoe drie kernbegrippen (zorgvuldigheid, autonomie en vertrouwen) daarin van belang zijn en hoe het gesprek in plaats van over het wát verschuift naar het waarom achter de privacymaatregelen.
Door de grote mate van verbondenheid en afhankelijkheid van digitale systemen komen privacy issues en datalekken volop voor. Zo liet de gemeente Stein vlak na de jaarwisseling weten dat de privacygevoelige informatie van de 332 inwoners bijna een jaar openbaar heeft gestaan op TenderNed als bijlage op een Wmo-aanbesteding. Een Exceltabblad met gevoelige gegevens was over het hoofd gezien en per ongeluk toegevoegd aan de openbare aanbestedingsdocumenten. Een pijnlijke fout maar geen uitzondering. Alleen al in het laatste kwartaal van 2017 hebben de gemeenten Zeewolde, Valkenswaard en Cuijk, Grave en Mill bij aanbestedingen per abuis privacygegevens van leerlingenvervoer voor kinderen met een handicap openbaar gemaakt.
Behalve datalekken door onbedoelde menselijke fouten, zijn er natuurlijk ook personen die hun technische vaardigheden inzetten om software te hacken of gevoelige informatie te gijzelen. Het Wannacry-virus en de Petya-aanval zijn daar recente voorbeelden van. Deze ‘ransomware’ blokkeert de pc en geeft gebruikers pas weer toegang tot hun gegevens na betaling van een bepaald bedrag en indien zij dit binnen een gestelde termijn niet doen wordt alle data automatisch vernietigd. Om het nog complexer te maken is naast software ook de hardware kwetsbaar voor aanvallen. Zo blijkt dat veel processorchips van Intel zo gebouwd zijn dat ze een onoplosbaar veiligheidsprobleem met zich meebrengen. In die scenario’s is de fout nog moeilijker te herstellen; dat kan alleen door de hardware te vervangen.
De samenhang tussen de mate van ICT-kennis en de kans om onbedoeld of bedoeld een datalek tot stand te brengen is mijns inziens een logische. Het wapenen van systemen en datastromen tegen hackers is een uitdaging voor specialisten. In dit artikel richt ik mij echter tot de datalekken die direct voortvloeien uit het handelen van de professionals in het sociaal domein en op welke wijze meer aandacht voor de intrinsieke motivatie achter privacybewust handelen een oplossing biedt.
Dit artikel is ook te vinden in het dossier Datalek
