Trends. veiligheid en innovatie in de publieke sector

Trends

veiligheid en innovatie in de publieke sector

18 experts over veiligheid en innovatie in de publieke sector Trends | Veiligheid en innovatie in de publieke sector PBLQ

TRENDS


Inhoud 4

52

Henri van Mil

Michel van Leeuwen

10

56

Henk Wesseling

Theo Hooghiemstra

14

62

Pieter Tops en

Ingrid van Wifferen

20

Nathan Ducastel

22

Marcel Spruit

26

Marcel Thaens

32

78

Arnaud Wirschell

Peter Siep

38

82

Peter van de Crommert

Bart Driessen

42

86

Jeroen van den Hoven

Elle de Jonge

46

90

Tot slot: enkele observaties

Introductie

Stavros Zouridis 70

Bart Drewes en Koen Wortmann

Marcel Thaens

Introductie Voorliggend boekje past binnen een traditie die zich begint af te tekenen. Dat begon twee jaar geleden met een PBLQ boekje over trends binnen de publieke sector. Vorig jaar werd dat gevolgd door een uitgave waarin nader werd stilgestaan bij een van de trends, te weten innovatie in de publieke sector. In het verlengde daarvan zoomen we dit jaar nog verder in. We richten ons nu op innovaties die spelen binnen het veiligheidsdomein. De keuze om dit jaar stil te staan bij dit specifieke domein is door meerdere redenen ingegeven.

In de eerste plaats is veiligheid een relevant beleidsdomein. Het is een thema dat ieder van ons raakt en aangaat. En om die reden vinden we in de regel dan ook dat de overheid (of breder: de publieke sector) een belangrijke rol speelt (of dient te spelen) in het zorgen voor en borgen van veiligheid. Dit zowel op de schaal van de samenleving als geheel als op het niveau van de burger als individu. Na een dipje na het beëindigen van de koude oorlog is veiligheid als belangrijk (beleids)thema weer helemaal terug. De terreur aanslagen in 2001 en de dreiging van terreur sindsdien, zijn hierbij van grote betekenis geweest. Illustratief hiervoor is het feit dat we tegenwoor dig in Nederland ook veiligheid weer terugzien in de naam van een ministerie (Ministerie van Veiligheid en Justitie). Daarnaast is het veiligheidsdomein vaak nauw verweven (geraakt) met andere beleidsdomeinen. Immers, veiligheid is vaak een aspect dat expliciet meegenomen moet worden bij het realiseren van andere (beleids)doelen. Snelwegen moeten niet alleen zorgen voor efficiënte verbindingen tussen A en B, maar moeten daarnaast ook veilig zijn. En voedsel moet niet alleen lekker, voedzaam en mooi voor het oog zijn, maar daarnaast ook veilig zijn om te eten en het moet uiteraard veilig zijn geproduceerd.

4 | TRENDS

Een derde rechtvaardiging om expliciet aandacht aan veiligheid te schenken is gelegen in de ontwikkeling van de samenleving. Steeds vaker wordt ons huidige type samenleving aangeduid als een ‘netwerksamenleving’. De ongekende mogelijkheden van ICT maken dit mogelijk en jagen dit aan. Vaak wordt echter de ‘risicosamenleving’ gezien als keerzijde van de netwerksamenleving. Belangrijke karakteristieken van deze netwerk samenleving leiden ertoe dat veiligheid als thema blijvend hoog op de agenda komt te staan. Dat alles met alles verbonden lijkt te zijn en dat er sprake is van toenemende afhankelijkheid van technologie, versterkt het voorkomen van ‘klassieke’ risico’s en leidt tevens tot ‘moderne’ risico’s die we voorheen niet kenden. Denk aan cyberterrorisme, hacking of aan de diefstal van identiteit. Door bovengenoemde ontwikkelingen staat veiligheid dus hoog op de (beleids)agenda en mag het zich op een toenemende aandacht verheugen. Wat opvalt als je wat beter naar dit beleidsdomein kijkt, is dat er sprake is van een groot aantal en tevens ook veelsoortige innovaties. Het blijft gissen naar mogelijke verklaringen waarom dit zo is. Een van de verklaringen kan zijn dat het wellicht samenhangt met het feit dat met de toegenomen aandacht voor veiligheid ook meer middelen beschikbaar zijn gekomen. De verdeling van middelen volgt vaak immers de beleidsprioriteiten. Een tegengestelde verklaring lijkt echter even plausibel te zijn. Juist in deze tijden van taakstellingen en kortingen op budgetten wordt gezocht naar andere manieren om tot meer resultaat te komen. Ook dat is een stimulans voor innovatie. Mogelijk draagt ook de opkomst van moderne vormen van technologie bij aan het grote aantal innovaties. Moderne technologie leidt ertoe dat nieuwe werkwijzen, opsporing, detectie en preventie mogelijk worden die in het verleden niet voor handen waren (denk aan inzet van ‘Drones’ en zoiets als ‘predictive policing’). Een en ander wordt mogelijk nog versterkt doordat het besef steeds vaker doordringt dat de overheid niet in haar eentje de veiligheid van burgers en van de samenleving kan garanderen. Steeds vaker wordt daarvoor teruggevallen op arrangementen waarin publieke en private partijen en kennisinstellingen intensiever samenwerken en hun krachten bundelen. Juist het bij elkaar brengen van de verschillende expertises is wellicht ook een mogelijke bron voor de toename van het aantal innovaties op veiligheidsgebied. Wat ook de exacte reden is, er is vandaag de dag sprake van een groot aantal vernieuwingen op verschillende aspecten binnen het veiligheidsdomein. Deze vernieuwingen vinden zowel plaats vanuit de invalshoek van ‘safety’ (hoe voorkomen we onbedoelde niet gewenste gebeurtenissen) als vanuit ‘security’ (hoe voorkom je schade en ellende als gevolg van met opzet ver oorzaakte niet gewenste gebeurtenissen).

Veiligheid en innovatie in de publieke sector | 5

Het is tegen deze achtergrond dat voorliggend trendboekje een aantal voor beelden van vernieuwende praktijken en inzichten presenteert. Zo wordt stilgestaan bij onder andere crisis- en incidentmanagement oplossingen, het ontwerpen van veiligheidsbeleving, de inzet van een agressiesimulator binnen trainingen, een ‘app’ gericht op ‘crowd control’ en een toepassing die is ontworpen waarmee burgers en politie met social media samen werken om overvallers en andere criminelen op te sporen. Aandacht is er ook voor de doorwerking van innovaties binnen het beleid rond veiligheid. Zo gaan bijdragen in op de noodzaak en de contouren van een nieuwe cybersecurity strategie in Nederland, de opmars van cyber crime als een Europees beleidsterrein en beschrijft een andere bijdrage de activiteiten die ondernomen worden ten aanzien van bestuur en infor matiebeveiliging dienstverlening. Ook bijdragen die pleiten voor aandacht voor cybercrime in het onderwijs en een informatiebeveiligingsdienst voor gemeenten vallen in deze categorie. Tot slot biedt dit boekje ook ruimte om in te gaan op achtergronden die samenhangen met innovaties binnen het veiligheidsdomein en op het proces van innovatie zelf. In dit kader zijn er bijdragen over het gebruik van YouTube en Twitter voor opsporingsprocessen binnen de politie, een stuk over burgers die politieagenten filmen en wat dit vervolgens betekent. Ook zijn er bijdragen over privacy aspecten en over zaken als ethiek en integriteit. Passend bij de verschillende soorten bijdragen zijn sommige stukken korter en andere langer. Ook zijn sommige meer vanuit de praktijk beschreven en zijn anderen wat meer ‘theoretisch’. Ook bevat het boekje een interview en een wat langer beschouwend essay (over de aanpak van georganiseerde cri minaliteit). Door de vorm van de bijdragen niet te veel te begrenzen hebben we getracht om recht te doen aan de verscheidenheid aan innovaties binnen het veiligheidsdomein en weerspiegelt dit boekje de veelvormigheid ervan.

Prof. dr. M. (Marcel) Thaens

6 | TRENDS


Europa cybersecurity

privacy

Malware

afluisteren NSA

Open digitale wereld

Computer

Online inzage in patiëntendossiers

Sterke 24/7 kennisinfrastructuur

Cybercrime

PASSWORD:

eOverheid

PASSWORD:

8 | TRENDS


Michel van Leeuwen

Het belang van inclusieve innovaties in de cybersamenleving Does tracking babies every movement [..], make happier parents and healthier infants or are we turning our kids into tamagochies for no reason? Fast Company, november 2013.

De digitale samenleving is bezig aan een onstuitbare opmars. Hij wordt ook wel ‘de vijfde ruimte’ genoemd, of nog mooier in het Frans, ‘le cinqième champ de bataille’. De vijfde ruimte: na land, zee, lucht en ruimte. Verstoringen in deze ruimte, cyberspace, hebben een steeds grotere impact op onze fysieke ruimte. Waar vroeger internet het domein was van hobbyisten en waar informatie- en communicatie technologie, ICT, vooral ons leven ondersteunde, is de verwevenheid met de fysieke wereld en onze afhankelijkheid ervan sterk toegenomen de laatste jaren. We gaan van always online via everywhere online naar everything online. Het einde van de groei is voorlopig nog niet in zicht. Wanneer zo’n vijfde ruimte of digitale samenleving zich ontwikkelt komt ook steeds pregnanter de vraag van (be)sturing naar voren, het borgen van enig publiek belang en daarmee, overheidsoptreden. Hugo de Groot met zijn Mare Liberum gaf in 1609 richting aan de discussie over de vraag: van wie is de zee? Met de lancering van de Sputnik I in 1957 begonnen internationale discussies over regulering van de ruimte. Hoe moet dat nu met en in cyberspace?

De ontwikkeling van de discussie over de digitale samenleving vanuit een veiligheidsperspectief is begonnen in de jaren 80. Met het ontluikende internet ontwikkelde zich computercriminaliteit. Centrale thema’s daarbij waren fraude en kinderporno. Enkele jaren later, in 1988, na het verschijnen van de eerste worm (Morris), ontstonden in de jaren 90 teams die malware moesten bestrijden. Het vraagstuk van cybercrime breidde zich uit naar cybersecurity. Waar het eerste ging over opsporen van daders, voegde de laatste er ook het voorkomen en bestrijden van het middel, malware, aan toe. Tegenwoordig doet de term cyberresilience internationaal opgeld. Daarbij gaat het niet alleen meer om het opsporen, voorkomen en bestrijden van malware, maar ook het creëren van structuren, waarmee we het meest weerbaar zijn tegen cyberverstoringen en -aanvallen. Daarmee zijn thema’s als crisisbeheersing, ketenveiligheid en herstel toegevoegd aan het palet van veiligheidsvraagstukken in cyberspace. Met het gebruik van ICT ontstaat er tevens een steeds grotere verzameling aan data. De hoeveelheid data is de afgelopen jaren exponentieel gegroeid en blijft volgens schattingen doorgroeien. Iedere minuut wordt er voor 48 uur aan filmmateriaal geupload bij YouTube. Waar in 2010 de grens van 1000 exabytes werd bereikt was die in 2013 al gestegen tot 4000 exabytes1. Dat betekent dat driekwart van de data die er momenteel aanwezig zijn de afgelopen twee jaar is geproduceerd. Deze enorme hoeveelheid data krijgt daarmee waarde als fenomeen op zichzelf. We verzamelen meer, slaan alles op en hebben daarom ook meer te verbergen, zo lijkt het. Naast cybercrime en malware nemen ook incidenten met datalekken en data-inbreuken daarom in betekenis toe. En ondermeer meneer Snowden leerde ons dat ook (buitenlandse) inlichtingendiensten hier de waarde van inzien. Dat alles geeft de ontwikkeling van de digitale samenleving een nieuwe dimensie: die van het recht op privacy. Een zekere ontluikende polarisatie lijkt hier aan de orde. In de samenleving vandaag de dag zijn geluiden te horen over privacy in woorden als: ‘ik heb niks te verbergen’, en ‘ik ben niet interessant voor die ander’. Daartegenover staan mensen, die zich zeer bewust lijken van onze vrij heden en daarvoor vechten. Het lijkt dat een gebrek aan kennis en overzicht in het politieke en maatschappelijke debat ervoor zorgt dat de discussie nu nog vooral gepolariseerd lijkt. Een debat tussen de ‘privacy-gelovigen’ en hen die stellen dat privacy dood is. Wat het in elk geval laat zien is dat het thema van vrijheden op internet een serieus te nemen kwestie is en terecht hoog op de agenda staat.

1 exabyte = 1 miljard gigabyte. OESO, Exploring data-driven innovation as a new source of growth, 18 juni 2013 10 | TRENDS


Wat verder van belang is, is te kijken naar de drager van de data: de ICT hard- en software. Het is al geruime tijd gebruik in de ICT-wereld producten met een beta-status uit te brengen, bijvoorbeeld beta-software. Dit staat voor producten die nog niet helemaal af zijn, maar toch al worden gelanceerd. De gedachte is dat deze producten (die nog niet af zijn) door massaal gebruik rigoureus worden getest en dat met de testdata sneller dan in het laboratorium alle onvolkomenheden kunnen worden opgespoord en verholpen. Hiermee ontstaat een zeer efficiënt economisch model, waarmee men snel en tegen de laagste kosten tot innovatie komt. Dat leidt er overigens wel toe dat we in veel gevallen weinig illusies moeten hebben over de ingebouwde veiligheid en privacy van deze producten. Wie de moeite neemt om de voorwaarden voor het gebruik van betasoftware te lezen (en wie doet dat tegenwoordig?), zal zien dat er vaak geen garanties zijn op de kwaliteit van de software en dat gebruik in bedrijfskritische omgevingen wordt afgeraden.

Auteur

drs. M.H.G. (Michel) van Leeuwen Aandachtsgebieden: Nationaal en internationaal cybersecuritybeleid Michel van Leeuwen is hoofd Cybersecurity beleid in de directie Cybersecurity van de Nationaal Coördinator Terrorismebestrijding en Veiligheid

Wanneer we deze ontwikkelingen bij elkaar optellen, een sterkere afhan kelijkheid van ICT, meer gevoelige data en een gebrekkige infrastructuur, dan wordt duidelijk dat bij ongewijzigde werkwijze de toekomst wellicht minder rooskleurig is dan het recente verleden. De dreigingen zijn reëel, zo blijkt ook uit ons jaarlijkse Cyber Securitybeeld Nederland. Wat mij als beleidsmaker daarom het meest bezig houdt is de vraag: wat is er nodig om de samenleving optimaal te laten blijven genieten van de mogelijkheden die internet en ICT ons te bieden hebben? Deze vraag ligt ook ten grondslag aan de recent verschenen tweede Nationale Cyber Security Strategie. In deze strategie hebben wij uiteengezet wat de kansen en bedreigingen van de moderne digitale samenleving zijn. Het stuk beoogt richting te geven aan de rol die de overheid en burger te vervullen hebben in de toekomst. Daarin staan bovenstaande thema’s centraal. Thema’s als economische en maatschappelijke groei, vrijheid en veiligheid. Met daarbij het perspectief dat de meest duurzame digitale samenleving ontstaat wanneer de innovaties inclusief zijn. Daarmee wordt bedoeld innovaties waarin economische groeikansen slim worden gecombineerd met borging van veiligheid en privacy. Welfare by design, security by design en privacy by design in één.

12 | TRENDS

Duidelijk is dat de overheid dit niet alleen kan. De vraag is zelfs of de overheid de belangrijkste speler is. Daarom zijn coalities noodzakelijk. Coalities van overheid, wetenschap en bedrijfsleven die het mogelijk maken deze inclusieve innovaties te realiseren. Nederland heeft daarvoor een prima startpositie: enerzijds een sterke kennisinfrastructuur gericht op innovatie en een traditie van overleg tussen de publieke en private sector. Dit alles kan en moet leiden tot een toekomst die cybersecure is. Cybersecurity in de breedste zin van het woord: een open digitale wereld die economisch maximaal groeit, veilig is en waar persoonlijke vrijheden worden gerespecteerd.


Theo Hooghiemstra

Zorg, Veiligheid & Privacy Theo Hooghiemstra gaat in op twee trends op het snijvlak van Zorg en Veiligheid waar we de komende tien jaar nog veel over zullen horen. Hij moedigt van harte de trend aan om via ‘Privacy by design’ vertrouwen te creëren op het snijvlak van Zorg en Veiligheid. Daarnaast gaat hij in op de internationale trend van Persoonlijke Gezondheidsdossiers (PGD’s), waar we ook in Nederland mee te maken krijgen. Om patiëntengegevens in PGD’s voldoende te beschermen bepleit hij naast het medisch beroeps geheim dat geldt voor dossiers van zorgverleners een ‘patiëntengeheim’ voor patiënten die zelf hun dossier (laten) beheren.

Trend: Privacy by design Wat is ‘privacy by design’ eigenlijk, zult u waarschijnlijk denken. Dit begrip gaat uit van het principe dat in een vroeg stadium wordt nagedacht over het goede gebruik van persoonsgegevens binnen een organisatie, over de noodzaak van het gebruik van deze gegevens en over de bescherming ervan. Door bij het ontwikkelen van systemen privacy en bescherming van persoonsgegevens in te bouwen, is de kans op vertrouwen en daarmee op succes het grootst. Dat vertrouwen is noodzakelijk om de - bij vele actoren beschikbare - (zorg)data te kunnen verbinden en verrijken tot waardevolle informatie en kennis.

Privacy by design in de praktijk Tot voor kort is bij de inrichting van informatiesystemen in de zorg vrijwel geen aandacht besteed aan het op voorhand afdwingen van privacynormen. Op dat gebied is er bij de ontwikkeling van het (lokale) elektronisch patiëntendossier (EPD) bijvoorbeeld slechts één initiatief te vinden, namelijk van het toenmalig psychiatrisch ziekenhuis Veldwijk. Hier had men bij het EPD de medische informatie en de

14 | TRENDS

identificeerbare gegevens van elkaar gescheiden met behulp van zoge naamde identity protectors. Dit ziekenhuis maakte als een van de eersten gebruik van Privacy Enhancing Technologies (PETs), daartoe geïnspireerd door een privacy-audit van de toenmalige Registratiekamer (nu CBP). PETs zijn te definiëren als een samenhangend geheel van ICT-maatregelen dat de persoonlijke levenssfeer beschermt door het elimineren of ver minderen van persoonsgegevens, of door het voorkomen van onnodige dan wel ongewenste verwerking van persoonsgegevens. Een en ander zonder verlies van de functionaliteit van het informatiesysteem waar binnen de gegevens zijn gebruikt. PETs zijn onderdeel van een over koepelende ‘privacy by design’-methodiek: het zijn de basisbouwblokken bij het ontwerpen en bouwen van privacyvriendelijke systemen.

Ontwerpprincipes Verschillende ontwerpprincipes helpen bij het ontwerp van een privacy vriendelijk systeem1. ‘Select before you collect’ is één bijvoorbeeld. Dit principe staat ook wel bekend als het dataminimalisatieprincipe. Beoordeel of je een bepaald gegeven nodig hebt en verwerk het alleen als dit inderdaad zo is2. Een tweede ontwerpprincipe is ‘context separation’. Dit principe vereist dat gegevens over een persoon uit de ene context niet gebruikt worden in een andere context, of gecombineerd met gegevens over deze persoon uit een andere context. In het geval van PETs betekent dit dat identiteits- en pseudo-identiteitsdomeinen binnen informatiesystemen gesplitst dienen te zijn via een identity protector. Ook ‘anonimiseren’ is een ontwerpprincipe. Dit principe vereist dat we alle gegevens verwijderen die ervoor zorgen dat de informatie tot een persoon herleidbaar is. Dit is lang niet zo eenvoudig als het op het eerste gezicht lijkt. Vaak is het zo dat een aantal, ieder op zich vrij algemene, kenmerken een persoon uniek kunnen identificeren. Met big data is hernieuwde iden tificatie, door de toename van kwantiteit en variëteit van de informatie, veel gemakkelijker. Vanuit juridisch perspectief stelt de voorgestelde EU-verordening Gegevensbescherming het principe ‘privacy by design’ verplicht3. Dat betekent de verplichting tot het hanteren van de standaardinstellingen die de betrokkene de beste bescherming van zijn privacy bieden. Er zijn al goede praktische voorbeelden van privacy by design. Trusted Third Parties

1 J.H. Hoepman, T.F.M. Hooghiemstra, Goede code: de digitale samenleving in balans, in Regelmaat 2012 (27) 2 Jacobs, B. Select before you collect. Ars Aequi 54 (Dec. 2005), 1006–1009. 3 Proposal for a Regulation (EC), General Data Protection Regulation. Brussels 25.1.2012, com(2012) 11 final. Veiligheid en innovatie in de publieke sector | 15

Theo Hooghiemstra

(TTPs) is er één van. Hiermee heb ik bij PBLQ zelf ervaring opgedaan bij het ‘Parelsnoerinitiatief’. Andere voorbeelden zijn de ‘versleutelings technologie’, de persoon op wie de informatie betrekking heeft auto matisch op de hoogte stellen (sms), intelligente logging/softwareagents, en de Nederlandse privacyvriendelijke zoekmachine Ixquick (www.ixquick.com). Deze zoekmachine heeft als enige in Europa het Europese privacycertificaat. Je kunt er zonder privacyrisico’s rondsnuffelen op internet, de zoeker is niet te traceren en blijft anoniem.

Trend: Persoonlijk Gezondheidsdossier (PGD) Mede als gevolg van social media hebben we tegenwoordig een overdaad aan keuzes. Het Persoonlijk Gezondheidsdossier (PGD) is een voorbeeld van de manier waarop de burger die keuze- en informatievrijheid kan aanwenden in de zorg. PGD’s zijn er in allerlei soorten en maten. Meestal wordt het PGD gedefinieerd als een database met persoonlijke gezondheidsinformatie, gecombineerd met tools die de patiënt helpen bij het gebruiken van de informatie. De afgelopen jaren is de populariteit van PGD’s wereldwijd sterk gestegen. Sinds juli vorig jaar kunnen alle inwoners van Australië die dat willen zelfs al over een wettelijk geregeld PGD beschikken. In Zweden heeft de over heid het voornemen om zo’n dossier ook aan te bieden met behulp van het private door Microsoft ontwikkelde HealthVault. In Nederland zijn er vooralsnog alleen private initiatieven zoals Patient1, Medlook, MijnDVN en Mijngezondheid.net. Maar ook in ons land wordt aan meer publieke varianten gewerkt. De KNMG, Zorgverzekeraars Nederland en de Neder landse Patiënten Consumenten Federatie (NPCF) hebben in de Nationale Implementatie Agenda eHealth onlangs afgesproken dat het PGD een belangrijk speerpunt voor de komende jaren is. De RVZ bepleit al vele jaren in diverse rapporten patiënten online inzage in hun dossiers te geven. Een PGD kan daar heel behulpzaam bij zijn. Het gaat volgens mij niet om de vraag of het PGD in de plaats moet komen van bestaande zorgdocumentatie, zoals lokale en regionale zorgdocumen tatie (EPD’s) of de landelijke zorginfrastructuur, die beide juridisch gezien naar mijn idee terecht onder de dossierplicht van de zorgverlener vallen. We kunnen ook maar het beste de bestaande zorgdocumentatie behouden. Daarop zijn de PGD’s dan een gewenste aanvulling, zodat de patiënt zelf meer zeggenschap krijgt en er meer relevante informatie beschikbaar kan komen. Overigens heeft het aan de RVZ gelieerde Centrum voor Ethiek en Gezondheid een argumentenwijzer gemaakt over onder andere PGD’s, die wijzer is in te zien op: www.ceg.nl.

Veiligheid en vertrouwen met een PGD? Het PGD is een prima hulpmiddel als aanvulling op het dossier van de zorgverlener, als de patiënt het vrijwillig kan bijhouden. Ogenschijnlijk lijkt het dat de patiënt dan zelf de volledige macht heeft over het PGD. Vanuit juridisch perspectief draait het om de vraag of dit ook echt zo is. En wie is verantwoordelijke voor het PGD in de zin van de Wbp? Dat is vanuit juridisch oogpunt cruciaal. Is dat de patiënt, is dat een ICT-bedrijf, een (verzameling) zorginstelling(en), een zorgverzekeraar, een patiënten organisatie of mogelijk nog een andere partij? Als een andere partij dan de patiënt de macht heeft, dan zal die partij dienen te voldoen aan de plichten uit de Wbp. Bettine Pluut constateert in een rapport4 voor de NPCF dat een PGD volgens veel wetenschappers de meeste waarde heeft wanneer het is verbonden met het EPD van de zorgverlener.

Gegevens in het PGD voldoende beschermd? Als de Wbp van toepassing is op het PGD geldt er voor de verantwoorde lijke een strikt beschermingsregime. Dan is er sprake van gezondheids gegevens in de zin van artikel 21 Wbp: gegevens betreffende de geestelijke en/of lichamelijke gesteldheid van de patiënt. In de achtergrondstudie nummer 23 van het CBP is de algemene beveiligings plicht nader ingevuld aan de hand van risicoklassen. Voor hoogwaardige authenticatie en machtiging bij PGD’s kan te zijner tijd misschien de Elek tronische Identiteitskaart of bijvoorbeeld eHerkenning uitkomst bieden? Wanneer de partij die verantwoordelijk is voor het PGD geen zorgaanbieder is, maar bijvoorbeeld een commerciële aanbieder, mag deze partij volgens artikel 21 Wbp alleen gezondheidsgegevens verwerken wanneer dat op grond van een wet is toegestaan, of wanneer de patiënt toestemming heeft gegeven. Op een niet-zorgaanbieder als verantwoordelijke partij is het medisch beroepsgeheim niet van toepassing. Het is de vraag of het medisch beroepsgeheim wel geldt als een zorgaanbieder PGD’s beheert, omdat het PGD immers geen dossier van de zorgaanbieder is in de zin van artikel 7:454 lid 1 BW.

4 Pluut, B., Wetenschappers over het PGD: een literatuurstudie naar persoonlijke gezond heidsdossiers. NPCF, november 2012. 16 | TRENDS


Advies: Privacy by design & Patiëntengeheim Naast mijn algemene advies om via Privacy by Design vertrouwen te creë ren op het snijvlak van Zorg en Veiligheid adviseer ik specifiek voor PGD’s: bestudeer of er zoiets als een patiëntengeheim moet komen voor het PGD5. Weliswaar heeft de patiënt formeel de mogelijkheid om aan derden de toe stemming tot het PGD te weigeren, maar dat beschermt hem of haar nog niet tegen de invloed van politie- en opsporingsdiensten, verzekeraars en andere financiële instellingen, ICT-bedrijven of tegen overige al dan niet commerciële partijen die wellicht macht uitoefenen om de inhoud van het PGD te bemachtigen.

Auteur

mr. drs. T.M.F. (Theo) Hooghiemstra Aandachtsgebieden: Privacy van persoonsgegevens en zorg Theo Hooghiemstra, algemeen secretaris/ directeur van de Raad voor de Volksgezondheid en Zorg (RVZ) en expert bescherming persoonsgegevens. Zijn pleidooi is gebaseerd op zijn ervaring en opgedane inzichten bij het College Bescherming Persoonsgegevens (CBP), het Nationaal ICT Instituut in de Zorg (Nictiz), Het Expertise Centrum (tegenwoordig PBLQ HEC) en nu bij de RVZ.

5 Theo Hooghiemstra en Pieter Ippel, Zeggenschap over het EPD, ethisch en juridisch perspectief, CEG, februari 2011, p.16. 18 | TRENDS


Ingrid van Wifferen

schoorvoetend maar gestaag een Europees beleidsterrein Echt van harte gaat het niet, het Europese beleid rond cybercrime. Veel lidstaten houden vast aan hun eigen beleid en echte bevoegdheden en doorzettingsmacht van de EU ontbreken. Wetgeving rond cybercrime wordt deels aangenomen en deels uitgesteld, maar ondanks het gebrek aan daadkracht, snelheid en enthousiasme wordt er steeds meer op Europees niveau geregeld.

De Europese Unie zet al jaren in op het op Europees niveau bestrijden van cybercrime. Vijf jaar geleden probeerde de Europese Commissie heel ambitieus om grote ICT-netwerken te bestempelen als kritieke overheidsystemen en deze aan Europese regels te onderwerpen. De lidstaten waren hier niet van gediend en nadat eerst ICT-systemen buiten wetgeving werden gehouden en de wet steeds verder werd uitgekleed, trok de Europese Commissie het wetsvoorstel terug. Ondanks deze tegenvaller is er wel vooruitgang geboekt op het gebied van cybercrime. Er is wetgeving aangenomen om straffen voor cyber criminaliteit te verzwaren. Er is een cybersecuritystrategie aangenomen en er wordt onderhandeld over Europese wetgeving die de risico maatregelen die lidstaten moeten nemen aanzienlijk aanscherpt. Er worden ook veel best-practices uitgewisseld en er wordt veel onder zoek gedaan. De Commissie heeft inmiddels wel een Europees systeem voor het uitwisselen van informatie over cybercrime opgezet. Dit zogenaamde EISAS - European Information Sharing and Alert System - heeft een nationale component met de naam Information Sharing and Alert System (N)ISAS. De Europese Unie heeft ook een eigen Computer Emergency Response pre-configuration Team (CERT) opgericht. Dit team moet alle instellingen in de Unie beschermen tegen aanvallen 20 | TRENDS

op de informatiesystemen. Het team bestaat uit IT beveiligingsexperts uit verschillende EU-instellingen. In Nederland wordt de CERT vormgegeven door het Nationaal Cyber Security Centrum. Europa roert zich ook rond het onderwerp cloudcomputing. Naar aan leiding van het spionageschandaal rond de VS en Edward Snowden vertrouwt het Europees Parlement de Amerikaanse cloudoplossingen niet meer. In het Europees Parlement gaan daarom stemmen op om een echte Europese cloud op te zetten. Parlementariërs wilden dit nog snel voor de Europese verkiezingen in mei 2014 juridisch regelen door middel van amendementen in nieuwe wetgeving rond privacybescherming. De regeringsleiders hebben dit voorlopig tegengehouden door de onder handelingen rond deze privacywetgeving tot 2015 stil te leggen. Er wordt aan de praktische kant ondertussen wel doorgewerkt aan Europese cloud computing. Er is bijvoorbeeld een Europese cloudstrategie uitgebracht en er wordt aan Europese standaarden gewerkt binnen de CloudforEurope pilot. Zo bezien lijkt het Europees cybercrimebeleid zich met telkens twee stappen vooruit en één terug voort te bewegen. Dit lijkt inefficiënt en weinig daadkrachtig, maar ook met deze zeer omslachtige manier van voortbewegen kom je uiteindelijk wel vooruit. Veel ambities zijn niet waargemaakt maar vergeleken met bijvoorbeeld vijf jaar geleden is er al ontzettend veel gebeurd; er is een cloudstrategie opgesteld en een cybercrimestrategie, en er is wetgeving over cybercrime. Verder wordt er veel meer informatie uitgewisseld. Met de Europese verkiezingen in aantocht en een nieuwe Europese Commissie zullen de grote plannen voor de komende jaren weer ambitieus worden ingezet. Deze plannen zullen ongetwijfeld voor een groot deel niet lukken maar ondertussen zal er op Europees niveau steeds meer geregeld en afgestemd worden en zal de opmars van Europa op het gebied van cybercrime langzaam en gestaag doorzetten. Auteur

Drs. I. (Ingrid) van Wifferen Aandachtsgebieden: Europese besluitvorming, monitoring en eOverheid. Ingrid van Wifferen heeft een uitgebreide kennis van Europees beleid op het gebied van de eOverheid en Europese besluitvormings processen. Veiligheid en innovatie in de publieke sector | 21

Nathan Ducastel

Betrouwbare digitale overheid

“A modern public sector is an essential part of Europe's answer to the challenges of the 21st century.” schrijft de Europese Commissie in haar jaarplan 2014. De Nederlandse overheid heeft de weg van eOverheid en iOverheid al jaren geleden ingeslagen en blijft onverminderd van belang. De samenhang en afhankelijkheden die dit met zich meebrengt, dwingen tot duidelijkere uitspraken over kwaliteit en betrouwbaarheid van gegevens en diensten.

die op briefjes op het bureau zijn geplakt en rapporten over overheden die de informatiebeveiliging nog niet voldoende op orde hebben, zijn aan de orde van de dag. Bewustzijn op dit gebied ontwikkelt zich langzaam, nu de effecten van verkeerd gebruik steeds vaker de media halen. Voor overheden betekent dit echter niet dat deze waarden niet belangrijk zijn. Immers het vertrouwen van de burger in ‘monopolist’ de overheid is ermee gemoeid. En hoe sterker dat vertrouwen, hoe eenvoudiger, en goed koper de overheid haar werk kan doen. De spanning tussen gebruiksgemak en veiligheid is een belangrijk aandachtspunt voor bestuurders; vanuit het perspectief van succes van de dienstverlening en vertrouwen, maar ook vanuit kosten (hoe veiliger, hoe duurder). Achter de schermen werken (overheids)organisaties in ketens samen om digitale dienstverlening mogelijk te maken. Gegevens worden uitgewisseld en diensten worden gecombineerd tussen overheden en overheids diensten, en gezamenlijk aangeboden. Goede voorbeelden hiervan zijn de berichtenbox, het gezamenlijke pensioenoverzicht en het vooringevulde aangifte inkomstenbelasting. Bij de uitwisseling van gegevens, en binnen de wettelijke kaders, is steeds de toegangsvraag relevant: Mag deze persoon of organisatie (verder: per soon) deze gegevens gebruiken?

Het digitale kanaal is in opmars. Van het aanvragen van een vergunning tot een afspraak maken met de gemeente en van studiefinanciering tot het afhandelen van de inkomstenbelasting, het kan langs de digitale weg. Iedere dag innoveert de overheid verder. Succesvolle elektronische dienstverlening draagt bij aan een versnelling van een sterke economie. Voor burgers en bedrijven is het prettig om 24/7 diensten aan te kunnen vragen zonder de gang naar het loket af te hoeven leggen, of te wachten op toegezonden formulieren. Voor over heden biedt het digitale kanaal de kans om diensten sneller en efficiën ter te verlenen, prettig in een tijd waar iedereen moet bezuinigen. Gebruikersgemak blijkt de sleutel tot succesvolle elektronische dienst verlening; het gebruik van de voorziening zelf, en het gemak van de waarde van de dienst die daarachter schuilgaat zijn de belangrijkste voorspellers van succes. Dit blijkt in Nederland maar ook in de ons omringende landen. Over veiligheid, betrouwbaarheid en privacy lijkt de gemiddelde gebruiker zich minder zorgen te maken. Persoonlijke gegevens die op allerlei fora worden achtergelaten, gebruikersnamen en wachtwoorden

22 | TRENDS

Dit geldt voor overheden onderling en voor de communicatie tussen burger/bedrijf en overheid. Daarbij gaat het in essentie om twee aspecten: Is deze persoon wie hij/zij claimt te zijn (elektronische identificatie en authenticatie – eID) en heeft deze persoon de juiste bevoegdheden om de gegevens in te zien (autorisatie/vertegenwoordiging). Voor het eerste aspect zijn DigiD of eHerkenning voor handen voor de interactie met burgers en bedrijven. Professionals hebben soms een sector specifiek middel zoals bijvoorbeeld de UZI-pas in het zorgdomein. Binnen het Europese STORK project (Secure idenTity acrOss boRders linKed) is een indeling in vier maten van betrouwbaarheid van elektronische identifi caties gemeengoed geworden, dit is in Nederland overgenomen. De indeling maakt het mogelijk om veiligheid en gebruiksgemak op elkaar af te stemmen en voor verschillende diensten, verschillende afwegingen te maken. Het Forum Standaardisatie heeft voor overheidsdienstaanbieders een handreiking eenvoudige risicoanalyse ontwikkeld om gevoel te krijgen bij het gewenste betrouwbaarheidsniveau voor een bepaalde dienst. Het tweede aspect gaat over bevoegdheden. Is deze persoon gemachtigd om namens iemand anders op te treden? Of is deze persoon gekwalificeerd,


bijvoorbeeld als medisch specialist en daarmee bevoegd om medische gegevens in te zien? Bevoegdheden liggen in de regel vast in registers. Bijvoorbeeld in een machtigingenregister of een beroepsregister. Net zoals er een indeling in betrouwbaarheidsniveaus geldt voor eID, is het ook van belang betrouwbaarheidsniveaus te koppelen aan autorisatie en vertegenwoordiging. Dit belang wordt groter naarmate de verwevenheid van elektronische diensten en dienstverlening stijgt, zoals nu het geval is. Binnen het Europese project STORK 2.0 dat momenteel loopt, wordt hier aan gewerkt. De berichten (attributen) die volgen op een bevraging aan een dergelijk register moeten niet alleen leiden tot een inhoudelijk antwoord, maar ook vergezeld gaan door een uitspraak over de betrouwbaarheid van het attribuut en het achterliggende gegeven. Daarmee geeft het register inkleuring aan de kwaliteit. Daarbij zijn bijvoorbeeld van belang: het registratieproces, de periodieke check op de gegevens in het register en de kwaliteit van het register zelf. Een dergelijk kader voor attributen én de achterliggende registers ontbreekt vooralsnog binnen de Nederlandse eOverheid. Met geïntegreerde, wederkerige, digitale dienstverlening, nog meer uitwisseling in ketens, en het digitale kanaal dat verder uitgroeit tot voorkeurskanaal, wordt het wel steeds belangrijker als onderdeel van het fundament.

Auteur

drs. N. (Nathan) Ducastel Aandachtsgebieden: eGovernment, elektronische identiteiten, ruimtelijke informatie, Europa, Internationaal. Nathan Ducastel is director PBLQ Europe & International en adviseert over de eOverheid nationaal en internationaal. Europa als meest buitenste binnenland heeft daarbij zijn bijzondere aandacht. Hij kijkt naar de eOverheid vanuit een gebruiks- en organisatie perspectief.

Het denken in verschillende niveaus helpt om de afweging te maken tussen gebruiksgemak en veiligheid, tussen innovatie en kosten. Het motto voor dienstverlening is daarbij niet: ‘hoe veiliger, hoe beter’ maar ‘passende betrouwbaarheid op basis van gekende kwaliteit’.

24 | TRENDS


Marcel Spruit

Meer aandacht nodig voor cyber security in het onderwijs We leven sinds mensenheugenis in een fysieke wereld. Een wereld waarin we andere mensen ontmoeten, waar we wonen en werken in gebouwen en ons verplaatsen met voet, fiets, auto of openbaar vervoer. Sinds de vorige eeuw is daar de cyberwereld bijgekomen. Een wereld van computers en netwerken, van bits en bytes. Een wereld waarin afstanden geen rol spelen: thuis of Australië is in de cyberwereld om het even.

Niemand ontkomt aan de cyberwereld. Van het ene op het andere moment zit je erin. Bijvoorbeeld als je belt, sms’t, een mail stuurt, shopt of bankiert op internet, in een winkel betaalt met een pinpas of een mobiel, een verhuizing doorgeeft aan de gemeente, de belasting aangifte online invult, enzovoort. Minder bekend is dat maatschappelijk vitale objecten, zoals bruggen, sluizen, gemalen, waterzuivering en energiecentrales vanuit de cyber wereld worden bewaakt en bestuurd. Daardoor kunnen deze objecten met minder mensen sneller en beter bestuurd worden. En zo worden kosten bespaard. Bovendien kunnen vitale objecten via de cyberwereld constant gemonitord en bijgestuurd worden. En dat komt de veiligheid ten goede. Zo hoeft een waterbeheerder bij een plotselinge wolkbreuk niet meer bij nacht en ontij op pad om een gemaal aan te zetten, maar doet hij dat via het internet, van huis uit, direct wanneer dat nodig is. En bovendien kan hij van daaruit ook via het internet het waterpeil in de gaten houden, met sensoren die overal vandaan waterstanden doorgeven. Aan al dit gemak zit een keerzijde: als een waterbeheerder via het inter net bij een gemaal kan, dan kunnen anderen dat ook. Dat kan iemand zijn die daar per ongeluk via het internet komt, maar het kan ook een 26 | TRENDS

cybercrimineel of terrorist zijn. Dat moeten we zien te voorkomen. Daarvoor zijn beveiligingsmaatregelen nodig. Maar het vergt kennis en inzicht om te kunnen bepalen wat aan beveiliging nodig is. Kennis en inzicht ten aanzien van beveiliging in de cyberwereld is dun gezaaid. Als het over veiligheid in de fysieke wereld gaat dan weet vrijwel iedereen waar het over gaat, wat er nodig is en wat de consequenties zijn als je beveiligingsmaatregelen aan je laars lapt. Zo hoef je niemand uit te leggen dat je ’s winters een jas aandoet om geen kou te vatten, dat je op de weg rechts houdt om botsingen te voorkomen en dat je geen slootwater drinkt als je dorst hebt. In de cyberwereld is beveiliging minder vanzelfsprekend. Zo zijn er weinig mensen die hun mobieltje na gebruik vergrendelen, kiezen veel mensen makkelijk te onthouden codes en wachtwoorden en geven ze allerlei geheimen prijs in sociale media.

Hoe komt het dat beveiliging in de fysieke wereld zoveel vanzelfsprekender is dan in de cyberwereld? In de fysieke wereld is het de gewoonste zaak van de wereld dat iedereen van jongs af aan wordt opgevoed in veilig handelen. Dat begint al vroeg. Als een peuter net kan lopen, leren zijn ouders hem veilig over te steken: eerst links kijken, dan rechts kijken, dan weer links kijken, en als er dan nog niets aankomt mag je oversteken. Op de basisschool doen alle kinderen een verkeersexamen, waarin ze laten zien dat ze de verkeersregels kennen en veilig kunnen fietsen. Om auto te mogen rijden moeten we een scala aan veiligheidsregels tot ons nemen, vervolgens uitgebreid oefenen en dan met een theorie- en een praktijkexamen bewijzen dat we veilig kunnen rijden. In de cyberwereld gaat dat anders. De eerste de beste peuter krijgt eerder vroeg dan laat een moderne mobiele device. Veelal een exemplaar dat vader of moeder net heeft afgedankt, ten gunste van een gloednieuw en nog veel zijdiger exemplaar. Peuterlief leert in no-time hoe je hiermee al vegend over het scherm spelletjes kan doen. Desgewenst helpen vader of moeder nog even, zodat het nog sneller en soepeler gaat. Niemand die met een woord rept over wat je wel en niet zou moeten doen en waar gevaren loeren. Veel kinderen krijgen als ze naar de basisschool gaan voor hun mobieltje een abonnement waarmee ze de hele wereld binnen handbereik hebben, want dan kunnen de ouders ze te allen tijde bereiken om te horen dat het nog goed met ze gaat. Weer rept niemand over de do’s en don’ts. Op de basisschool en het voortgezet onderwijs worden alle leerlingen, zelfs zonder hun eigen mobiele devices, de cyberwereld ingeduwd, want dat leert zo fijn en het ontlast de docenten. En weer rept niemand over wat je wel en niet zou moeten doen en waar gevaren op de loer liggen. Ook op vervolgopleidingen is veiligheid in de cyberwereld geen onderdeel van de lesstof.


Een groter contrast tussen de fysieke wereld en de cyberwereld is nauwe lijks mogelijk. In de fysieke wereld wordt veiligheid er bij iedereen van jongs af aan met de paplepel ingegoten. In de cyberwereld wordt nauwelijks over veiligheid gepraat. Alleen even na een incident, waarna iedereen weer over kan tot de orde van de dag. Is het misschien zo veilig in de cyberwereld dat veiligheid daar een nonissue is? Daar lijkt het niet op. Het lijkt er eerder op dat de cyberwereld nog onveiliger is dan de fysieke wereld. In de cyberwereld loop je zo een (computer)virus op. Op dit moment zijn er meer dan 50 miljoen verschil lende virussen en andere malware bekend1. Gelukkig hebben de meeste mensen antivirus op hun computers, waarmee ze de meeste virussen en malware tegenhouden. Maar niet allemaal2. Bovendien hebben de meeste mensen geen antivirus op hun tablets, pda’s en mobieltjes. Die zijn dus extra vatbaar voor virussen. In 2010 werd duidelijk dat sommige computer virussen ook fysiek uiterst schadelijk kunnen zijn. Het virus Stuxnet sabo teerde toen een nucleaire installatie in Iran3. Ook spionnen en criminelen hebben het internet ontdekt. Vrijwel dagelijks worden nieuwe gevallen van cyberspionage of cybercrime gemeld. Voorbeelden zijn het afluisteren door de NSA en andere geheime diensten, de onveilige sluisbesturing van de gemeente Veere en DDoS-aanvallen op banken en andere organisaties. Aangezien de meeste slachtoffers van cyberproblemen de openbaarheid mijden, zijn er waarschijnlijk nog veel meer gevallen waar we nooit van horen.

Auteur

Dr. M.E.M. (Marcel) Spruit Aandachtsgebieden: cybersecurity en informatiemanagement Marcel Spruit is lector Cybersecurity & Safety aan de Haagse Hogeschool. Hij ontwikkelt nieuw onderwijs en onderzoek, vooral op het gebied van cybersecurity en doceert aan de opleiding Certified Public Controller. Daarnaast is hij kerndocent binnen de Master of Public Information Management die door de Erasmus Universiteit Rotterdam in samenwerking met PBLQ HEC wordt aangeboden.

iBOB: online cursus veilig digitaal werken Het lijkt er dus op dat veiligheid in de cyberwereld een zeer belangrijk onderwerp is, dat echter veel te weinig aandacht krijgt. De sterke groei en bloei van cybercriminaliteit en andere cyberdreigingen wordt mede mogelijk gemaakt door de onveilige omgang met internet, mobiele devices en andere informatietechnologie. En dat is natuurlijk niet zo gek als we daar zo weinig opleiding en training voor krijgen. Aangezien we hier een maatschappelijk probleem hebben dat onder meer aangepakt moet worden in het reguliere onderwijs, ligt het voor de hand dat de overheid hierin het voortouw neemt. Deels doet de overheid dit al met het programma Digivaardig & Digiveilig van het ECP (platform voor informatiesamenleving)4, maar andere overheidsorganen zijn op dit terrein nog niet erg actief. Het is nog wachten tot het reguliere onderwijs de handschoen opneemt en dit probleem bij de bron gaat aanpakken.

1 https://www.security.nl/posting/31079 2 https://www.security.nl/posting/360688/ 3 http://en.wikipedia.org/wiki/Stuxnet 4 https://www.digivaardigdigiveilig.nl/ 28 | TRENDS

Een methode om medewerkers meer bewust te maken van de geva ren in de cyberwereld is iBOB. iBOB staat voor iBewust, iOpgeleid en iBekwaam en heeft tot doel medewerkers bewust te maken van de risico’s die zij lopen in een gedigitaliseerde wereld. Of het nu gaat om mobiel werken via tablets en smartphones, of beleids medewerkers die de hele dag gebruik maken van het internet om informatie te verzamelen en/of online te delen, er zijn risico’s aan verbonden. Via een digitale training leidt iBOB deze mede werkers op zodat zij op een bekwame manier met deze risico’s om kunnen gaan. Elke medewerker krijgt een individueel traject aangeboden waarbij hij of zij zich bewust wordt van de gevaren in de cyberwereld. iBOB is opgebouwd uit diverse modules, waarin de onderwerpen rijkelijk variëren. Bijvoorbeeld van veilig plaats onafhankelijk werken tot het gebruik van certificaten, juridische beperkingen op het delen van informatie of de regels en richtlijnen rondom de Voorschrift Informatiebeveiliging Rijksoverheid (VIR). Scan de QR-code voor meer informatie over iBOB.


anoniem

Apps

Mobiel

Social media Burgerparticipatie Getuigen verklaring Foto

Hulpverlening

Crisismanagement

M

AR

AL

30 | TRENDS


Marcel Thaens

Omgaan met innovaties: Twitter enYouTube binnen de Politie Met enige regelmaat omarmt de Nederlandse politie verschillende soorten innovaties. Andere bijdragen in dit boekje (van o.a. Driessen en van De Jonge) laten dit zien. Sinds enige jaren gebruikt men ook Twitter en YouTube volop.

Recent onderzoek (zie de verwijzing aan het einde van dit artikel) heeft gekeken naar de manier waarop social media, zoals Twitter en YouTube wordt ingezet binnen de politie, met name met het oog op het versterken van opsporingsprocessen.

Typering van de ontwikkeling van het Twitter gebruik Wanneer de ervaringen met Twitter van verschillende onderzochte korpsen met elkaar worden vergeleken, dan vallen de volgende patronen op: −− Ten eerste waren er nauwelijks doelstellingen geformuleerd. Er bestonden wel specifieke doelen – bijvoorbeeld bekendmaken van stopdecriminaliteit.nl – maar al snel werd Twitter ook op allerlei andere manieren gebruikt en doelstellingen voor deze praktijken werden niet expliciet geformuleerd maar in de praktijk gezocht. −− Ten tweede is men veelal gestart met twitteren zonder vooraf beleid te vormen. Men is gewoon begonnen. Als er al beleid was, dan paste dat vaak op één A4’tje en dit A4’tje was in geen van de korpsen via de officiële lijn vastgesteld.

32 | TRENDS

−− Ten derde waren er geen richtlijnen. Voor veel korpsen was de enige richtlijn ‘code blauw’, de (gedrags)code die agenten altijd moeten hanteren. Meer richtlijnen waren in de eerste fase eigenlijk ook niet nodig volgens de korpsen. −− Ten vierde valt op dat er veel verzoeken kwamen vanuit de organisatie, vanaf de werkvloer, om te mogen twitteren. Dit kwam zeker niet vanuit de korpsleiding, maar het initiatief werd genomen door de afdeling communicatie en/of individuele agenten. Alle korpsen noemen een aantal initiatiefnemers, mensen die stonden te springen om mee te werken aan een pilot. Vanuit de korpsleiding is er de ruimte gekomen om te onderzoeken of Twitter ook binnen het korps geïmplementeerd kon worden. −− Ten vijfde valt op dat ‘gadgets’ het gebruik van Twitter aantrekkelijk maken. Agenten willen graag de beschikking hebben over een Black berry. Daarbij twitterden sommigen al privé en hadden daarom ook de behoefte dit voor hun werk te doen: ze wilden aansluiten bij druk vanuit de samenleving. Daarbij was het doel – beter contact met burgers – voor veel wijkagenten duidelijk en sluit dit aan bij de eigen behoefte om deze contacten te versterken.

Typering van de strategieën die worden gevolgd ten aanzien van het YouTube-gebruik We zien grote verschillen tussen korpsen voor wat betreft de ontwikkeling van het YouTube gebruik. Gebaseerd op onze waarnemingen in de praktijk onderscheiden we daarbij drie verschillende strategieën die worden gevolgd. −− Een eerste strategie kan ‘inventing’ worden genoemd. Eén van de ‘believers’ binnen een korps (vaak webbeheerders of social media adviseurs) begint met het plaatsen van beschikbaar videomateriaal op het YouTube kanaal. Gaandeweg worden de inspanningen uitgebreid. Binnen deze strategie starten korpsen dus laagdrempelig en eenvoudig en breiden ze het gebruik van YouTube ‘werkende weg’ en gebaseerd op ervaringen opgedaan in de praktijk uit. −− Een andere te herkennen strategie is te duiden als een ‘following’ strategie. Hierin werken korpsen samen met een opsporingsprogramma dat wordt uitgezonden op de regionale televisie. In Utrecht gaat het bijvoorbeeld om ‘Bureau Hengeveld’ en in Noord-Brabant om ‘Bureau Brabant’. In deze programma’s wordt een beperkt aantal onderwerpen aangesneden waarbij vaak een professioneel filmpje wordt gemaakt. Na uitzending worden de beelden vervolgens door het korps op


Marcel Thaens

YouTube geplaatst. Men doet in feite niet meer dan het volgen van de keuzes die in het kader van het televisieprogramma zijn gemaakt. Sommige korpsen laten het hierbij. Het is makkelijk en goedkoop en toch laat je je als korps zien op YouTube. −− Sommige andere korpsen starten vaak wel in lijn met de boven beschre ven ‘following’ strategie, maar willen dan na verloop van tijd meer doen met het YouTube kanaal. Korpsen gaan dan – in aanvulling op de beelden uit het televisieprogramma – soms zelf beelden uit andere dossiers en bronnen plaatsen. Vaak is dat dan materiaal waar men zelf weinig aan hoeft te doen zoals beelden uit bewakingscamera’s. Gaandeweg bouwt men dus het gebruik van YouTube als middel uit. Deze strategie kunnen we aanduiden als ‘innovating’. Men maakt een start en van daaruit ontdekt men nieuwe mogelijkheden en wordt de inzet van YouTube uitgebreid.

Een nadere beschouwing Als we de ervaringen met beide vormen van social media samen nemen, dan zien we dat, zeker in vergelijking met andere overheidsorganisaties, de innovatiedynamiek op het terrein van sociale media bij de politie groot is. Er zijn veel agenten die willen innoveren en zij weten op allerlei manieren ruimte te vinden binnen de organisatie om dit te doen. Ook blijken korpsen bereid om van elkaar te leren en vindt er een uitwisseling van ervaringen met het gebruik van nieuwe media plaats. Het onderling leervermogen lijkt ook groot. Het gebruik van sociale media bevindt zich echter nog wel in de experi mentele fase: inbedding/institutionalisering is de uitdaging voor de komende periode. Wat we in alle gevallen zien is dat er sprake is van ‘bottom-up initiatieven’. Er was steeds een individuele ‘rebel’ of een ‘rebellenclub’ die het gebruik van sociale media aanzwengelde. Dit resul teerde vervolgens in een experimentele groep en bij met name Twitter verspreidden die praktijken zich als een olievlek binnen de organisatie. Nu de praktijken van gebruik van sociale media voor de coproductie van veiligheid langzaam volwassen aan het worden zijn, wordt steeds meer aandacht besteed aan de ‘institutionalisering’: koppeling aan werkproces sen, opstellen van regels en ontwikkelen van beleid. Verschillende praktijken zijn nodig om te experimenteren en de mogelijk heden van het nieuwe medium te verkennen. De diversiteit aan praktijken heeft echter ook nadelen. Ten eerste kunnen experimenten resulteren in verschillen in rechtsgelijkheid. Welke informatie hoort een burger te krij gen? Wat mag met videomateriaal? Ook is onduidelijk wat burgers kunnen verwachten in termen van informatie van de politie. Een meer volwassen

34 | TRENDS

gebruik is nodig om deze nadelen weg te kunnen nemen en het medium sterker te koppelen aan het functioneren en de externe positionering van de politie. De institutionalisering kan resulteren in effectiever gebruik van sociale media maar brengt ook het risico van afnemend innovatief vermogen met zich mee. Hierbij is sprake van een spanning: er is een zekere mate van institutionalisering nodig om de innovatie breed te gebruiken binnen de organisatie. Tegelijkertijd is er een blijvende vernieuwing nodig om het potentieel van nieuwe technologieën te benutten voor de organisatie. Politieorganisaties staan – net als alle organisaties die met technologische turbulentie in de omgeving te maken hebben – voor de uitdaging om nieuwe media goed te gebruiken en tegelijkertijd open te staan voor nieuwe ontwikkelingen. Uitwisseling van succesverhalen heeft een grote rol gespeeld in de ver spreiding van het gebruik van het medium door korpsen en door agenten binnen de korpsen. Verspreiding van innovaties vindt niet zozeer plaats op basis van ‘evidence’ voor de bijdrage van deze innovaties aan politie praktijkenmaar veeleer op basis van verhalen. Overtuigende anekdotes kunnen in dit geval een veel sterker effect hebben op beslissingen over de adoptie van innovaties dan getalsmatige overzichten. De analyse laat ook zien dat er bij het gebruik van sociale media sprake is van een bepaalde mate van padafhankelijkheid: het gebruik van sociale media moet aansluiten op eerdere beleidskeuzen. Een voorbeeld hiervan is Utrecht. Burgernetberichten kunnen niet automatisch worden omgezet in tweets omdat het veelal gaat om voicemail. Daarin verschilt Utrecht van Haaglanden. Dit betekent dat politiekorpsen niet zonder meer succesvolle praktijken van elkaar kunnen overnemen. Bij het analyseren van successen dient goed te worden bekeken op welke voorgaande situatie wordt voort gebouwd. Dit laat zien dat padafhankelijkheid tot verschillende innovatie processen leidt en dat dit resulteert in verschillende mediapraktijken.

De toekomst: ruimte blijven geven aan innovatie Om sociale media goed te gebruiken en tegelijkertijd niet te verstarren dient de politieorganisatie te zijn ingericht op innovatie. Concreet kan structureel ruimte voor innovatie worden gecreëerd door innovatieve medewerkers tijdelijk in projectgroepen de ruimte te geven om ideeën te ontwikkelen en uit te werken. Capaciteit om vernieuwingen waar te nemen en op waarde te schatten is belangrijk. De politie dient te blijven reflecteren op wat er in de praktijk gebeurt en te blijven kijken naar wat andere organi saties doen met sociale media. De politie dient niet naar andere organisaties te kijken om hun patronen te kopiëren, maar om inspiratie op te doen die


vertaald moet worden naar de specifieke werkzaamheden en karakteris tieken van de Nederlandse politie. En wanneer experimenten met sociale media goed uitpakken dienen successen te worden gevierd en gedeeld. Ruimte voor innovatie kan ook ontstaan door ruimte te geven aan diversi teit. We hebben gezien dat de korpsen op verschillende manieren met de nieuwe media aan de slag gaan en vervolgens wel van elkaar leren. Zo kun nen patronen van variatie en selectie plaatsvinden en deze zijn cruciaal voor processen van innovatie. Ook binnen een landelijke politieorganisatie is het van groot belang dat deze ook de mogelijkheid biedt om verschillende praktijken te ontwikkelen: variatie blijft nodig om te innoveren. Ook hier geldt dat de snelle gelijkschakeling leidt tot afname van innovatief vermogen. De balans tussen volwassenheid en jeugdige energie is ook van belang in de directe aansturing en ondersteuning van politiemedewerkers. De politie dient uit te kijken met teveel regels en voorschriften en liever te werken met handreikingen en feedback. Leidinggevenden dienen in woord en daad uit te stralen dat zij experimenten op de werkvloer ondersteunen. En deze professionals dienen continu te zoeken naar verdere verbeteringen van hun werkpraktijken. Wat betekent Google+? Wat kan de politie met location based services? Zonder ruimte voor professionals zal de politie verworden tot een starre organisatie die zich loszingt van een snel veranderende samenleving. Continue aanpassing is en blijft de uitdaging voor de politie.

Auteur

prof. dr. M. (Marcel) Thaens Aandachtsgebieden: Innovatie, strategie en leiderschap in de publieke sector, ICT en strategisch innoveren, Emergent Leaderschip (omgaan met complexiteit). Thaens is principal consultant en Hoofd van het Centrum voor Strategie en Leiderschap bij PBLQ. Hij is bijzonder hoogleraar aan de Erasmus Universiteit Rotterdam.

Deze bijdrage is gebaseerd op: Meijer, A. S. Grimmelickhuijsen, D. Fictorie, M.Thaens en P. Siep (2013), Politie & Sociale Media. Van hype naar onderbouwde keuzen, Politie & Wetenschap, Apeldoorn. Het onderzoek is uitgevoerd in opdracht van het programma Politie & Wetenschap.

36 | TRENDS


Peter Siep

Filmende burgers: beelden voor en ván de politie

De zorg voor veiligheid is van oudsher een klassieke overheidstaak. Maar toenemende criminaliteit en een samenleving die steeds complexer wordt, vragen om nieuwe aanpakken en nieuwe ‘partners in veiligheid’.

Midden jaren tachtig komt de Commissie Roethof met het advies om het maatschappelijk middenveld actief te betrekken bij het veiligheids beleid. Maar pas in de jaren ‘90 komt met de nota ‘Veiligheidsbeleid 1995-1998’ van het kabinet Kok de burger zelf steeds meer in beeld bij de zorg voor veiligheid en leefbaarheid in de publieke ruimte. Toenemende individualisering, mondigheid en non-conformistisch gedrag aan collectieve normen en waarden zijn daarvan enkele onderliggende rede nen. Tegelijkertijd kunnen begrippen als mondigheid, zelfredzaamheid en de participatiesamenleving (of ‘doe-democratie’) bouwstenen zijn die, samen met het verbindend vermogen van nieuwe informatie technologie, invulling geven aan verantwoordelijkheid en eigentijds burgerschap op het veiligheidsdomein. Voorop staat dat er binnen de politie en de politiek een sterke overtuiging is dat burgerparticipatie een substantiële bijdrage kan leveren aan de effectiviteit van opsporing en handhaving. Vanuit de Erasmus Universiteit Rotterdam ben ik al een aantal jaren betrokken bij onderzoeken naar informatietechnologie en de implicaties voor het openbaar bestuur. Naast doorwerking in bijvoorbeeld publieke dienstverlening is ook het veiligheidsdomein een belangrijk aandachts gebied. Verschillende onderzoeken, uitgevoerd voor Politie & Weten schap, laten zien dat de Nederlandse politie sterk is in het neerzetten 38 | TRENDS

van nieuwe concepten, maar dat de doorwerking in de praktijk nog vaak te wensen overlaat. De huidige informatiesamenleving biedt echter uitgelezen kansen voor snelle uitwisseling van informatie, het leggen van slimme koppelingen en realtime ondersteuning op locatie. De belangrijkste bron voor het politiewerk, te weten informatie, kan daardoor substantieel worden verrijkt. Het opbouwen van een robuuste informatiepositie, hoogwaardige analyse en bruikbare intelligence wordt voor de complexe taakuitvoering steeds belangrijker. Op die manier zal, zo luidt de rede nering, kwalitatief betere informatie leiden tot betere kennis, gerichte interventies en dus betere resultaten. Naast allerlei nieuwe mogelijkheden om informatie te verzamelen ontstaat tegelijkertijd de opgave om dit goed te managen. Er manifesteren zich nog wel eens allerlei onverwachtse neveneffecten. Binnen de politie is er veel aandacht en belangstelling voor de manier waarop technologie kan helpen bij het uitvoeren van taken. De ‘doeners mentaliteit’ van politiemensen is concreet te zien in blogs, videokanalen op YouTube, twitterende wijkagenten en apps voor de mobiele telefoon. Het illustreert dat de politie handig gebruik maakt van de middelen die voor handen zijn. Zichtbaar is daardoor een verschuiving van het meer klassieke informatie zenden naar veel meer interactie met burgers. Er wordt niet alleen opsporingsinformatie verstrekt, maar bijvoorbeeld ook proce durele en statusinformatie. Bovendien maakt nieuwe technologie het mogelijk om steeds makkelijker, hetzij op verzoek van de politie dan wel op eigen initiatief, beeldopnamen aan de politie te sturen. Miniaturisering van hardware, relatieve betaal baarheid en gebruiksgemak van technologie leiden ertoe dat allerlei geavan ceerde functies geïntegreerd worden in ‘slimme’ objecten in de publieke ruimte en (huishoudelijke) apparaten. Ook de mobiele telefoon is tegen woordig bijzonder ‘smart’. Een geïntegreerde highresolution camera is wat dat betreft niet meer zo revolutionair, tegenwoordig gaat het om de vraag hoeveel camera’s er op je telefoon zitten. De mogelijkheid om met één druk op de knop situaties vast te leggen van vermeend onrecht, overlast, mishandelingen of overtredingen stelt burgers in staat om daadwerkelijk de ogen en oren van de politie op straat te zijn. Campagnes als ‘Pak de overvaller, Pak je mobiel’ en de uploadfunctie vanuit de (app of website) politie.nl doen een actief beroep op burgers de camerafunctie van hun mobiele telefoon te gebruiken. Bijkomend effect van de alom aanwezige mobiele camera in de publieke ruimte is dat het optreden en gedrag van politiemensen zélf nu ook op ieder willekeurig moment en in iedere situa tie kan worden vastgelegd en dit kan doorwerken in de publieke opinie over de politie. In voorkomende gevallen ontstaan daardoor flinke maatschap pelijke verontwaardiging en discussies, zeker omdat de context niet altijd duidelijk of volledig is. Bovendien ontstaat er nog wel eens een politieke dimensie doordat (lokale) politici zich actief met een incident bemoeien. Veiligheid en innovatie in de publieke sector | 39

Motieven om de politie te helpen bij het oplossen en de bestrijding van criminaliteit, overlast en misdaad hebben burgers al langer. Dit blijkt bij voorbeeld uit de hoge kijkcijfers van programma’s als Opsporing Verzocht en de massale aanmeldingen van burgers bij Burgernet. Maar de meer brede maatschappelijke onvrede ten aanzien van gevestigde instituties zoals de financiële sector, de overheid in brede zin, de gezondheidszorg en de wetenschap krijgt met de kracht die beeldopnamen kunnen hebben (in combinatie met social media) een stevige impuls. Strikt genomen is een foto of video gemaakt door een burger niet wezenlijk anders dan de klassieke getuigenverklaring. De informatierijkheid en impact die beelden kunnen hebben ten opzichte van woorden en tekst lijken weliswaar hoger, maar tegelijkertijd zijn er enkele nadelen zoals vaak het ontbreken van context en duiding. Reconstructie van een incident kan echter baat hebben bij beeldmateriaal omdat het, samen met andere bewijslast, een zaak vanuit zoveel mogelijk invalshoeken sterker onder bouwt. Naast informatierijkheid en impact die beelden kunnen hebben speelt natuurlijk de grote snelheid waarmee deze kunnen worden verspreid via internet een rol. Het tempo waarin verdachte personen soms worden opgespoord (of zichzelf melden) is ongekend, hoewel de regie daarbij niet altijd bij politie en justitie lijkt te liggen.

kent vele verschijningsvormen maar burgeropsporing is niet wenselijk omdat er snel (te) lichtzinnig wordt omgegaan met de bescherming van kernwaarden van de rechtsstaat waaronder de privacy van dader én slachtoffer. Een publieke uitvoeringsorganisatie zoals de politie is in staat stappen te zetten in het slimmer en effectiever uitvoeren van taken. Een rand voorwaarde daarbij is een goed zicht op nieuwe (ICT) ontwikkelingen en ruimte voor ‘early adopters’ binnen de organisatie. Steun aan de top van de organisatie kan zich uiten in kaderstellend beleid, waarmee in feite wordt vertrouwd op de professionaliteit van medewerkers. Deels betekent dat kwetsbaar opstellen als individu en als organisatie, maar heldere en vlotte communicatie kan de beeldvorming desondanks positief versterken.

Het rapport ‘Filmende burgers en politie’ is binnenkort te downloaden op www.politieenwetenschap.nl

Auteur Er kan gesproken worden van een sociale innovatie omdat het een vorm van cocreatie is tussen burgers en politie op het veiligheidsdomein. Het aanleveren van beelden gemaakt door burgers wordt op een makkelijke wijze gefaciliteerd en vormt een substantiële verrijking van de informatie positie. Tegelijkertijd (co-)evolueert een andere ontwikkeling daaraan, namelijk de transparantie van het politieoptreden. Naast een taakgerichte innovatie is er dus een ontwikkeling richting accountability van de politie. Zichtbaar is dat de politie deze ontwikkeling wel managed door ‘filmende burgers’ niet te bestrijden, maar opnamen als uitgangspunt benut om in de organisatie discussie te voeren met als doel uiteindelijk verbeteringen tot stand te brengen. Naast kansen in de bewijsvoering en effectieve opsporing zijn er bepaalde keerzijden, hoewel die ook gezien kunnen worden als uitdagingen. Een aspect is de manipuleerbaarheid, het ontbreken van context en het risico van enscenering. Het verspreiden van informatie via social media met daarbij beelden van een geheel andere situatie kan leiden tot het uitlokken van bepaalde (onterechte) reacties en in ernstige gevallen leiden tot onrust. Voor leidinggevenden binnen de politie is het creëren van awareness een aandachtspunt; laat je niet provoceren. Maar één van de belangrijkste keerzijden is de beperkte grip en regie die er soms lijkt te zijn op het opsporingsproces als intermediairen, personen achter sociale media of weblogs zelf op de stoel van de politie gaan zitten. Burgerparticipatie

40 | TRENDS

Drs. P.A. (Peter) Siep Aandachtsgebieden: Innovatie en (informatie) technologie in de publieke sector op het snijvlak van wetenschap en praktijk. Peter Siep is als onderzoeker verbonden aan het Center for Public Innovation, een onder zoeksinstituut van de Erasmus Universiteit Rotterdam.


Bart Driessen

De veiligheidscommunity

geïnformeerd over looproutes, OV-stations, EHBO-posten, de politie bureaus, de toiletten en andere praktische informatie. Ook kon de politie bezoekers een melding sturen om bijvoorbeeld niet naar het Museumplein te gaan. Daardoor konden de bezoekers zich voorbereiden, verplaatsen, keuzes maken en kregen berichten als dat noodzakelijk was. Een para digmashift. Geef de bewoners en bezoekers alle noodzakelijk informatie, zodat zij hun eigen verantwoordelijkheid kunnen nemen.

De veiligheidspartners en in het bijzonder de politie staan voor een forse uitdaging. Op welke manier maken we het veiliger in Nederland. Nog meer politie? Nog meer repressie? Nog meer technologie zoals in de film Minority Report? Of zijn er ook andere alternatieven? De kern van mijn zienswijze is om mensen in onze maatschappij, informatie en kennis te geven om criminaliteit te voorkomen en om schade en ongewenste effecten van niet gewild gedrag te beperken. Dat kan door een meer zakelijke benadering van de sociale media en het organiseren van een veiligheidscommunity.

Het hoeft geen betoog hoe sterk de groei is van smartphones, tablets en de 4G netwerken. Ook de ontwikkelingen van RFID’s, streaming video, geotagging, techniek in schoenen en kleding, horloges, brillen en vervoermiddelen gaan gestaag door. Ons straatbeeld verandert zowat dagelijks. De abdicatie op 30 april 2013 in Amsterdam was bijzonder en is alom geroemd om de goede organisatie van die troonswisseling. Het idee van ondergetekende om op die dag een app in te zetten voor crowd manage ment en control en massa communicatie realiseerde de politie in amper 100 dagen.

Het idee Amsterdam is een smart city. Bewoners en bezoekers maken intensief gebruik van smartphones. Het straatbeeld van enkele jaren geleden was dat mensen aan het bellen waren met hun mobieltjes. Nu zie je mensen naar hun smartphone kijken en reageren. Intelligente app’s maken het verschil. Internetsites verliezen het van de slimme app’s. De 30APPril app was er zo een. Een app met tientallen verschillende partners die content leverden. Dat was de kracht. Gebruikers werden op de dag zelf

42 | TRENDS

De intensieve samenwerking met veel partners zorgde ook voor nieuwe inzichten. “Dit is de tijd dat mensen mee willen doen en over en weer willen communiceren, voor, tijdens en na grote evenementen. De mensen willen zelf een belangrijk deel van de verantwoordelijk voor de veiligheid nemen. Geef ze dan ook daarvoor de gelegenheid. Zorg dat mensen zich gemakkelijk, via een app, goed kunnen voorbereiden op het feest. Een feest zal het gaan worden en deze uitstraling wenst de stad Amsterdam ook vanaf het begin te communiceren. Leg daarom niet teveel de nadruk op politie crowd management en control maar leg de nadruk op een feest in


de stad en informatie waar welke evenementen georganiseerd zijn en hoe de bezoekers zich daarop kunnen voorbereiden”, aldus Bartho Boer, Hoofd bestuursvoorlichting- en projecten van de gemeente Amsterdam. De 30APPril app werd volop gebruikt voor en tijdens de abdicatie. De bezoekers en bewoners konden zich daadwerkelijk goed voorbereiden en hun eigen verantwoording nemen voor hun welzijn en veiligheid. Interactie met die bezoekers en bewoners vond (nog) niet plaats. Daar was het eenvoudigweg te vroeg voor. Alleen de gemeente Amsterdam richtte een WebCareTeam in die de communicatie op de sociale mediaplatformen interactief verzorgde. De politie en haar veiligheidspartners kunnen veel meer doen om schade en ongewenste effecten van criminaliteit tegen te gaan door de zakelijke benadering van de sociale media. Mijn zienswijze is dat de politie WebCareTeams moet gaan inrichten die 24/7 aanwezig zijn. Het is een frontlijnorganisatie van de politie die als het ware in de broekzak van de gebruikers zit. Een dergelijk team reageert direct op allerlei mel dingendie met veiligheid en criminaliteit te maken hebben. Maar ook gerichte meldingen naar gebruikers is mogelijk, waar gevaar opdoemt of waar de politie de hulp van de burger in wil zetten. De laatste trends en ontwikkelingen komen direct in beeld met effectieve adviezen hoe crimi naliteit is te voorkomen en op welke wijze mensen elkaar kunnen helpen. De politie, die als enige in onze maatschappij geweld mag gebruiken, is altijd waakzaam en dienstbaar aanwezig om die mensen te hulp te komen bij meldingen dat iets niet in orde lijkt te zijn. Op alle grote sociale media platformen is de politie dan interactief. De verwachte effecten zijn voorspelbaar als we dit professioneel opzetten. Waar moeten we dan minimaal aan denken en hoe ziet deze toekomst eruit: 1. Een steeds groeiend aantal bezoekers en deelnemers doet mee. De politie deelt ideeën en gaat de dialoog aan met bezoekers en deelnemers. Dat motiveert mensen om terug te keren naar de politie platformen en om deel te nemen aan de veiligheidscommunity.

Auteur

G.W.J. (Bart) Driessen Aandachtsgebieden: Operationeel specialist opsporing Bart Driessen was verantwoordelijk voor de eerste Nederlandse Politie Opsporingssite met bijbehorende app. Hij is specialist in de zakelijke benadering van de sociale media en kwam met het idee van de evenementenapp 30APPril 2013.

3. De zakelijke benadering van de sociale media platformen raakt alle andere werkprocessen en strategieën van de politie. Die dienen opnieuw georganiseerd en gestructureerd te worden. Een overall strategie is onontbeerlijk. Als deze aspecten niet worden meegenomen zal het resultaat negatief en teleurstellend zijn. 4. Meer bezoekers en deelnemers komen naar de politie sociale media platformen. Daar publiceert de politie dagelijks belangrijke content in tekst en video, gericht op het voorkomen van allerlei misstanden. Wat zijn de trends van het moment en hoe kunnen mensen voorkomen dat zij of hun naasten slachtoffer worden. Het bereik van de sociale netwerken is ongelooflijk groot en een juist gebruik zal de veiligheid zeer ten goede komen.

2. Bezoekers en deelnemers doen meer meldingen en aangiften van allerlei zaken zoals ongewenst en strafbaar gedrag in het openbaar en privé, (rij) gedrag op de openbare wegen en in de publieke ruimte, misdrijven en overtredingen, misstanden en zaken waarvan mensen of dieren het slachtoffer van kunnen zijn. Professionele politiemensen gaan de dialoog aan met bezoekers en deelnemers hoe die misstanden op te lossen zijn.

44 | TRENDS


Elle de Jonge

Burgerparticipatie of politieparticipatie

Is burgerparticipatie iets waar we als politie gebruik van willen maken of moet de burger gebruik maken van politieparticipatie? Met andere woorden moeten we misschien meer samen werken aan veiligheid, maar daarbij ook de regiefunctie herbezien? Is de politie nog in “de lead” als het gaat om veiligheid in de buurt?1

Het Compronet project (Community Protection Network) is een pro ject dat is uitgevoerd als een Proof of Concept van een moderne manier van alerteren en communiceren met burgers en professionals (samen de participanten) waarbij real time ad-hoc groepen van participanten worden geformeerd die samen aan een incident werken. Het Compronet concept integreert een hoge mate van automatische verwerking van data en informatie om de reactie van participanten ten opzichte van een incident te versnellen en de omgevingsbewustheid van de participanten te verhogen (situational awareness). Doelstelling van Compronet is in eerste instantie het versnellen van de (hulpverlening)response op incidenten.

Wat doet Compronet? Compronet faciliteert sociale innovatie met behulp van technologie. Uiteindelijk is het belangrijkste product de samenwerking tussen verschillende groepen binnen de maatschappij. De burger en diverse soorten professionals moeten gaan samenwerken om de publieke ruimte veilig te maken. Daarbij is versnelling van de response op inci

denten van belang, maar ook zeker het delen van informatie. Vandaar het adagium “zien, delen, doen”. We zien met elkaar heel veel gebeuren in de publieke ruimte, veel meer dan in politiesystemen staat. Als we ‘delen’ wat we ‘zien’, dan kunnen we met elkaar heel veel meer ‘doen’. Dat is de essentie maar ook een probleem. De politie is voorzichtig met het delen van informatie aan burgers. Burgers hebben dat probleem niet, maar hebben weer veel meer moeite met het ‘doen’. Vaak vragen burgers ‘wat kan ik doen?’ en daar is geen handleiding over te schrijven. Dat is proberen de situatie in te schatten op basis van ‘gezond verstand’. Bij Compronet kan iedere participant die deelneemt een ALARM of een MELDING versturen. Daarbij ligt het initiatief niet altijd meer bij de (overheid) hulp verlening en dat is een paradigmashift in de zogenaamde ‘opvolging’. Ook iedere participant (binnen het gebied van het incident) wordt gevraagd om hulp. De professionele hulpverlener is dan een van die deelnemers aan het incident, maar is niet noodzakelijkerwijs de initiator van de hulp verlening. De professional moet de burger helpen met de hulpverlening, die door de burger in gang is gezet. Met andere woorden de regiefunctie verschuift. Is dat volstrekt nieuw? Nee, niet voor de burger maar mogelijk wel voor de professionals. Er zijn diverse initiatieven bekend dat groepen burgers zichzelf organiseren met behulp van bijvoorbeeld een ‘WhatsApp groep’, een facebookpagina, SMS e.d.. Het gebeurt dus al in de maat schappij. De overheid moet hierop inspelen. De huidige alarmerings systemen zijn veel overheidspush, denk aan Burgernet, Ambert Alert, NL alert. Het initiatief ligt bij de overheid, want zij initieert de melding. Bij Compronet kan iedereen die meedoet de melding of het alarm initiëren. Het is natuurlijk erg gemakkelijk om anoniem valse meldingen te geven. Daarbij is het wel van belang dat de participanten bekend zijn. Een alarm binnen Compronet is binnen seconden verdeeld over participanten die in de buurt zijn, op basis van het gebruik van een APP met de naam Meld! Participanten kunnen op de melding of het alarm reageren met het drukken op de knop ‘ik kom helpen’ of ‘ik kom niet’. Als een participant komt helpen krijgt hij of zij een chatbox ter beschikking waar alle participanten rondom het incident informatie met elkaar kunnen delen (tekst/foto's) e.d.. Ook is te zien (op basis van een kaart) wie er aan het incident meedoen en waar deze mensen zijn. Er zijn aparte automatische informatieregels voor professionele deelnemers. Alle tekst info wordt gedeeld tussen alle partici panten. Met foto’s wordt iets voorzichter omgegaan. Deze worden in principe alleen gedeeld met professionals. Het gehele incident is te volgen in de back-office waar eventueel ook kan worden ingegrepen.

1 De schrijver heeft dit artikel op persoonlijke titel geschreven en de inhoud reflecteert niet de mening van de Nationale Politie.

46 | TRENDS


Vijf live pilots zijn reeds uitgevoerd in Groningen, Assen en op Schiphol. Vervolg pilots zijn in voorbereiding. De pilots zijn uitvoerig geëvalueerd en in een rapportage aangeboden aan het Ministerie van Veiligheid en Justitie. Daarmee is het project op zich beëindigd. Het Ministerie heeft vier vragen gesteld ter evaluatie van het project: 1. 2. 3. 4.

Leidt het toepassen van het systeem tot lagere reactietijden? Zorgt het systeem voor minder inzet van personeel? Zorgt het systeem voor verhoogde burgerparticipatie? Vergroot het systeem het gevoel van veiligheid?

Auteur

E. (Elle) de Jonge MSSM Aandachtsgebieden: Politieparticipatie, Sensing en Innovatie Elle de Jonge is Projectleider Compronet.

De evaluatie laat zien dat in bijna alle gevallen deze vragen met een vol mondig JA kunnen worden beantwoord. Alleen de vraag of het concept leidt tot minder inzet van personeel kon niet goed worden beantwoord. Daarvoor waren de pilots te klein. Wel is gebleken dat we efficiënter met professioneel personeel kunnen omgaan, door bijvoorbeeld bij kleinere overlast incidenten een beroep te doen op stadstoezicht in plaats van op politiepersoneel. Vooral de burgerparticipanten geven aan dat het concept van Compronet het gevoel van veiligheid heeft verhoogd. Zij wilden dan ook graag doorgaan met de proef. Compronet is uitgevoerd met een subsidie van het Ministerie van Veiligheid en Justitie en additionele funding vanuit het Europese project Opening-UP (Interreg IVB North Sea regio Programm). Dit laatste heeft geleid tot voorbereidingen voor pilots in o.a. België. De gehele technische omgeving van Compronet is Open Source waardoor slechts hosting moet worden geregeld om de projectomgeving in de lucht te houden. Op dit moment zijn er geen plannen namens de Nederlandse overheid om Compronet verder te willen gebruiken. De open source constructie maakt het echter mogelijk om Compronet in de toekomst via een stichtingsvorm levensvatbaar te maken voor verder gebruik op basis van verschillende business modellen. Compronet is geen “politieding” en moet ook niet als zodanig worden gepositioneerd. Dat doet geen recht aan de gedachten waarmee dit stuk is begonnen, namelijk dat hulpverlening/overheid (politie, brandweer e.d.) moet gaan nadenken over de regievoering in de publieke ruimte. Compronet is een community tool waar we samen gebruik van moeten maken. Moeten we daarom per se Compronet gebruiken? Nee, dat hoeft natuurlijk niet. Het gaat om het idee in hoeverre de regiefunctie in de publieke ruimte bij de overheid moet blijven liggen en in hoeverre burgers die regiefunctie op verschillende onderwerpen kunnen en misschien moeten gaan oppakken. We praten veel over burgerweerbaar heid en ‘participerende samenleving’ is het nieuwe woord. Dan moeten we ook open staan voor andere vormen van samenwerking in de publieke ruimte dan de traditionele vormen. Dat is waar een concept als Compronet de discussie over wil initiëren.

48 | TRENDS


Informatieveiligheid

Cloud

Samenwerken

Gegevensstromen

Structure follows action Structure follows strategy

e-learning

Taskforce

50 | TRENDS


Henri van Mil

De ‘positieve businesscase’ van incidenten crisismanagement oplossingen

‘Dagelijks rendement door investeringen in veiligheid en technologie’

schade. Zaken die, als ze uit de hand lopen, de continuïteit en zelfs het voortbestaan van een organisatie in gevaar kunnen brengen. Het is lastig om de belangen van veiligheid versus continuïteit in bedrijfs voering tegen elkaar af te wegen. Laten we het er op houden dat beiden van cruciaal belang zijn. Wel is het prettig als beide zaken ‘hand in hand’ gaan, ze elkaar versterken en vooral beiden kunnen profiteren van dezelfde investering.

Veiligheid en Technologie

Geen veiligheidsoplossing meer zonder technologie. Veiligheidsvraagstukken worden steeds complexer en kunnen niet langer zonder integrale inzet van technologie worden opgelost. De beschikbare technieken worden echter steeds geavanceerder en sneller ontwikkeld, waardoor de besluitvorming ten aanzien van complexe veiligheidsvraagstukken steeds lastiger wordt.

Investeren in veiligheid is niet iets waar een organisatie direct op zit te wachten. Immers, op het eerste gezicht is het een investering om het hoofd te kunnen bieden aan situaties waarvan gehoopt wordt dat ze nooit optreden. Dergelijke investeringen lijken daarmee weinig toe te voegen aan de dagelijkse operatie en ze dragen niet bij aan het operatio nele resultaat waar een organisatie op af wordt gerekend. Hoe anders komen de kaarten te liggen als blijkt dat een veiligheids oplossing feitelijk wel degelijk kan bijdragen aan het efficiënter maken van de dagelijkse bedrijfsvoering. Als dat lukt, worden kosten plotseling opbrengsten!

Veiligheid of bedrijfsvoering? Als een groot incident plaatsvindt bij een (vitale) infrastructuurbeheer der, zoals ProRail, een energie-, of een waterbedrijf, is het natuurlijk van het eerste en grootste belang dat de veiligheid van mensen optimaal wordt gewaarborgd. Ook heel belangrijk is de continuïteit van de bedrijfsvoering, dat alles weer zo snel mogelijk up-and-running is, om te voorkomen dat er grote operationele schade wordt geleden. Zo kan er sprake zijn van grote financiële verliezen, maar ook van reputatie

52 | TRENDS

Bij veiligheid is natuurlijk regel 1 ‘voorkomen is beter dan genezen’. Maar bij veel bedrijfsprocessen zijn incidenten niet geheel te voorkomen. Indien zich dan een incident voor doet, hoe hou je het effect op de bedrijfsvoering dan beperkt en vooral beheersbaar... of zelfs nog een stap verder... als er een (tijdelijk) onbeheersbaar incident optreedt (‘crisis’), hoe krijg je het dan zo snel mogelijk weer beheersbaar? En, wat is de rol van technologie daarbij? Om effectief te kunnen optreden is het ten eerste van groot belang om zo snel mogelijk te beschikken over alle relevante gegevens die nodig zijn voor het bestrijden van de crisis. Crisismanagement is informatiemanagement. In de eerste momenten van een crisis is heel veel informatie nodig. Het gaat dan om gegevens over de situatie, de omgeving en bijvoorbeeld assets die betrokken zijn (kabels en leidingen, pompen, rails, gebouwen etc.). Infor matie die vooraf op orde gebracht moet zijn en beschikbaar gemaakt moet worden. Als elementaire informatie niet direct beschikbaar is kan dat fatale gevolgen hebben. Tevens is het van belang dat in de huidige tijd van ‘big data’ de juiste en meest relevante informatie bij de relevante partijen terecht komt. Iedereen van veel informatie voorzien is relatief eenvoudig; alleen dié informatie beschikbaar maken die op het juiste moment, voor dié persoon noodzakelijk is om de beste beslissing te nemen, is een stuk complexer.

‘Common Operational Picture en Netcentrisch Werken’ Als de omvang van het incident toeneemt en standaardprocedures niet meer voldoen, is het van belang om alle betrokkenen bij een incident snel van optimale en eenduidige informatie te voorzien zodat ze op basis van eigen inzicht en verantwoordelijkheden de juiste beslissingen kunnen nemen. We noemen dat een ‘Common Operational Picture’(COP). Tegelijk zijn de betrokken partijen vaak de ogen en oren tijdens een incident en spelen zij de rol van real time informatie leverancier ten behoeve van dat COP. Iedereen werkt dus met iedereen samen en iedereen voorziet elkaar van informatie. We noemen dat ‘Netcentrisch Werken’.


De samenwerking en de informatieuitwisseling en -verrijking, gaat daarbij natuurlijk over organisatiegrenzen heen. Immers, iedereen van iedere partij die betrokken is heeft maar één doel: de crisis beheersbaar maken en oplossen. In het belang van alles en iedereen.

Ramp of kleine proces verstoring... er is geen verschil Maar wat als we de ‘Common Operational Picture’ en ‘Netcentrisch Werken’ nu eens toepassen op ‘gewone’ incidenten, dat wil zeggen op ‘gewone’ verstoringen in bedrijfsprocessen die dagelijks optreden, naast incidenten waar de veiligheid direct in het geding is. Dat bijvoorbeeld op dezelfde manier wordt samengewerkt bij het oplossen van een wissel storing op het spoor als bij een treinongeluk met slachtoffers... samen werken over grenzen van organisaties heen, waarbij alle stakeholders betrokken zijn. Vanuit het perspectief van informatiemanagement en technologie is het ‘hetzelfde liedje’. Door de informatievoorziening en samenwerking tijdens een ‘gewoon’ incident ook werkelijk toe te passen als bij een crisis wordt dagelijks een verschil gemaakt!

Het mes snijdt aan twee kanten Een crisis is gelukkig een zeldzaamheid. Een goede informatievoorziening met locatie-intelligentie draagt bij aan het drastisch beperken van slachtoffers en operationele gevolgen. Het integreren van crisismanagement methodieken en technieken zoals de ‘Common Operational Picture’ en ‘Netcentrisch Werken’ in de dagelijkse bedrijfsprocessen levert elke dag een meetbare verbetering. Prestaties worden beter en/of operationele kosten lager.

Auteur

Ir. H. (Henri) van Mil Aandachtsgebieden: De kracht van locatie informatie ('location intelligence') onder andere in incident en crisis situaties Henri van Mil is directeur van Geodan en tevens lid van de raad van toezicht van DITSS, het Dutch Institute for Technology, Safety and Security. Geodan is gespecialiseerd in ruimte lijke informatievoorziening, in het bijzonder in incidenten crisissituaties. Geodan heeft ruim 28 jaar ervaring in het ontwikkelen en toepassen van nieuwe, innovatieve technologieën voor ruimtelijke informatie en geografische informatie systemen (GIS).

Het mes van een investering snijdt daarmee aan twee kanten en de business case voor de investering in veiligheid is tastbaar en zeer positief door een verbeterd dagelijks operationeel resultaat.

54 | TRENDS


Henk Wesseling

Informatieveiligheid; een kwestie van willen en moeten Diginotar, Lektober, Dorifel, het zijn inmiddels begrippen waarbij de gesprekspartner ernstig knikt als je deze ter sprake brengt. Ja, ja, het gaat bij deze incidenten om een ernstig vraagstuk; de informatieveiligheid was in gevaar. En informatieveiligheid gaat om beschikbaarheid, integriteit en vertrouwelijkheid (afgekort tot BIV) van de gegevensstromen bij de overheid; dat is een groot goed.

Informatieveiligheid is dagelijks in het nieuws. De overheidssector krijgt zijn deel van de commotie rond informatieveiligheid, net zoals de banken, de nieuwssites, de.., welke sector eigenlijk niet? Zo haalde begin november 2013 de Inspectie SZW nog fors uit naar gemeenten omdat zij persoonsgegevens van burgers niet goed beschermen. Kortom, in een wereld waarin digitale informatie cruciaal is geworden voor alle belangrijke publieke en private processen, is informatieveilig heid onmisbaar. Vanzelfsprekend zou je denken, maar niets is wat het lijkt... De aangeduide incidenten en met name het ernstige geval van Digi notar (het bedrijf dat beveiligingscertificaten voor overheidsites uitgaf t.b.v. veilige communicatie en medio 2011 gehackt was) was aanleiding voor een onderzoek van de Onderzoeksraad voor Veiligheid. De con clusies zijn niet mals; bestuur en ambtelijke top zijn in het algemeen niet gericht op informatieveiligheid. Het advies van de Onderzoeksraad was om ‘een programma te ontwikkelen dat bestuurders van overheids organisaties doordringt van het belang van digitale veiligheid en hen voorziet van voldoende inzicht en vaardigheden om hen in staat te stellen actief sturing te geven aan de beheersing van digitale veiligheid in hun organisatie’.

56 | TRENDS

Oprichting Taskforce Bestuur en Informatieveiligheid Dienstverlening Natuurlijk, niet veel bestuurders en topmanagers zullen zeggen dat infor matieveiligheid geen belangrijk vraagstuk is. Maar daarmee staat het nog niet op het vizier van diezelfde bestuurder of topmanager. Zoals vroeger ook veel bij financial control gebeurde, is er de neiging om bij dit vraagstuk te verwijzen naar specialisten en toevallige liefhebbers. Het veiligheids bewustzijn is sterk ‘incident-gedreven’ en dat bewustzijn kan en zal na een incident weer snel wegzakken. Bestuurders en managers doen digitale veiligheid nog al te vaak als een technische kwestie af. Een kwestie waar over ze vanzelf wel advies krijgen, toch?!? Bij een incident wordt er dan even stevig opgetreden en vervolgens geldt weer de orde van de dag. Bij privacygevoelige processen zoals de GBA (Gemeentelijke Basis administratie) wordt wel aandacht besteed aan de veiligheid, is soms ook wettelijk geregeld, maar vaak is dit niet verankerd in de top van de organisatie1. Toch is het niet zo dat er niets gebeurd: de afgelopen twee jaar zijn er allerlei initiatieven geweest om het vraagstuk meer systematisch en bestuurlijk te benaderen. Zoals bijvoorbeeld bij de oprichting van de informatie beveiligingsdienst voor gemeenten (IBD) en ook provincies en het Rijk hebben de laatste jaren een normatiek ontwikkeld (een zogenaamde baseline informatieveiligheid) op basis van de ISO-standaard. Tegenover die positieve ontwikkelingen staat echter dat veel organisaties niet in het minst de neiging vertonen tot een systematische aanpak. Kortom, het was tijd voor een initiatief dat deze positieve ontwikkelingen versterkt en de achterblijvers stimuleert. Begin dit jaar heeft minister Plasterk van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, mede als antwoord op het advies van Onder zoeksraad voor Veiligheid, dan ook de Taskforce Bestuur en Informatie veiligheid Dienstverlening (Taskforce BID) opgezet om het onderwerp informatieveiligheid op de agenda te krijgen bij bestuurders en topmanagers van overheidsorganisaties. De Taskforce BID bouwt hierbij voort op bestaande initiatieven en werkt nauw samen met de koepelorganisaties van waterschappen, provincies, gemeenten, rijksoverheid en zbo’s. Daarnaast is er een directe link met de partijen die een actieve rol hebben op dit thema zoals het Nationaal Cyber Security Centrum (NCSC), de Informatiebeveiligingsdienst voor gemeenten (IBD) en het Centrum Informatiebeveiliging en Privacybescherming (CIP) van de grote uit voeringsorganisaties.

1 OvV (juni 2012) Het diginotarinicident. Waarom digitale veiligheid de bestuurstafel te weinig bereikt. Veiligheid en innovatie in de publieke sector | 57

Henk Wesseling

De opdracht van de Taskforce BID komt er in het kort op neer dat in twee jaar, per overheidslaag en per organisatie daarbinnen, het onderwerp informatieveiligheid verankerd moet zijn. Zowel in voortdurende aandacht als in het reguliere functioneren, zodat er sprake is van een continu leer proces om informatieveiligheid blijvend te optimaliseren. Normen en audits alleen zullen niet voldoende zijn om de veiligheid te waarborgen. Het gaat er juist om dat het bestuur, het management en de medewerkers van een organisatie hun verantwoordelijkheid nemen. Dat bereik je het beste door zelfregulering. Het streven is dan ook om in nauwe samen werking met de koepels alle overheidsorganisaties tot ‘Verplichtende Zelfregulering’ te brengen.

Nu bijna een jaar aan de slag De Taskforce BID is nu bijna een jaar actief. We stapten begin dit jaar in een sterk gedifferentieerd veld. Het stadium dat bestuur en ambtelijke top informatieveiligheid niet als vraagstuk zien, zijn we inmiddels wel gepas seerd. De vraag is nu hoe de sturing er op te versterken. Informatie veiligheid is daarbij eerst en vooral een kwestie van omgang met risico’s. ‘Risico nul’ bestaat daarbij niet, dus moet er voortdurend sturing op en afweging van risico’s plaatsvinden. Moet deze informatie dan vertrouwelijk zijn, of mag die best openbaar worden? Moet deze informatie aan hoge betrouwbaarheidseisen voldoen, of is ze niet zo kritisch voor het bedrijfs proces? En wat als deze informatie even een tijdje niet beschikbaar is? Hoe erg is dat? Hebben we dan ‘fall-back scenario’s’? Verantwoorde omgang met risico’s is eerst en vooral een zaak van bestuur en topmanagers, die daarover helder communiceren, die begrijpen wat de techniek wel en niet kan regelen, die inzien welke risico’s er zijn en weten hoe daar mee om te gaan. Want als je als overheidsbestuurder je informatieveiligheid niet op orde hebt, dan zal dat je belemmeren in de dienstverlening, kan dat tot hoge kosten leiden en zelfs leiden tot ernstige reputatieschade en onder mijning van het publieke vertrouwen. Een goede informatieveiligheid daarentegen kan meer flexibiliteit en meer mogelijkheden bieden om de vruchten van de digitalisering te plukken. Om dit alles te ondersteunen werken we langs drie lijnen. Op de eerste plaats door binnen alle overheidslagen een systeem van Verplichtende Zelfregulering te stimuleren. Organisaties moeten zoals gezegd informatie veiligheid beschouwen als een vast onderdeel van de dagelijkse praktijk. Ze moeten een informatieveiligheidsbeleid hebben, met een risicoanalyse op basis van adequate normen voor veiligheid. Daarop vervolgens contro leren is essentieel, zowel door bestuur en politiek (bijvoorbeeld de gemeenteraad), alsook extern door de accountant. Verder is van tijd tot tijd een frisse externe blik wenselijk, bijvoorbeeld door het uitvoeren van een peer review, waarbij leren steeds centraal staat. Voor die cyclische veranke

58 | TRENDS

ring en dat leren, creëren we gezamenlijk en landelijk enkele goede kaders, met name als basis voor de normatiek (ISO-richtlijnen) die per overheids laag zelf invulling krijgen. In alle overheidslagen lopen nu al initiatieven om verder invulling te geven aan die Verplichtende Zelfregulering met de al genoemde baselines. De Taskforce BID ondersteunt niet alleen door hulp bij het proces van besluitvorming hierover, maar ook door allerlei instrumentontwikkeling. Zoals bijvoorbeeld handreikingen voor bestuur ders, studies naar normatiek, etc.. Als tweede lijn werken we aan het voeren van de daadwerkelijke gesprekken over informatieveiligheid. Of anders gezegd aan het daadwerkelijk gericht zijn daarop. Daartoe organiseren we samen met de koepelorganisaties en andere organisaties bijeenkomsten, roadshows en wat al niet meer. Zo is er een scala van leerinstrumenten zoals simulaties, confrontatieworkshops, dialoogsessies en ‘learn and share’ bijeenkomsten. Als derde lijn werken we aan een aantal stelselvragen, zoals de omgang met belangrijke ketens, waarin informatieveiligheid altijd een onderdeel is. Daarnaast werken we ook aan de verbetering van de normatiek, aan een systeem van monitoren van de voortgang in informatieveiligheid en -beleid en aan een vereenvoudiging van de auditprocedures door in te zetten op ‘single information and audit’. Ook werken we aan de vorming van bestuurlijke en ambtelijke netwerken die, gericht op de toekomst, informatieveiligheid op de agenda zetten. Bijvoorbeeld door de dialoog met burgers aan te gaan over al die opwindende technologische doorbraken die er al zijn of nog komen. Hoe gaan we om met ‘the cloud’, ‘big data’, ‘open data’, etc..

Uitdagingen en toekomst De erfenis van de Taskforce BID moet zijn dat informatieveiligheid is geborgd in de organisaties van alle overheidslagen. Naast inbedding van controle en coördinatie, plus voorzieningen zoals het opleidingsaanbod, willen we dat het overleg tussen de koepelorganisaties over hun leer systemen de normaalste zaak van de wereld is. De grootste uitdaging? Het structureel gericht zijn op informatieveiligheid om het onderwerp blijvend uit de sfeer van ‘incident gedreven’ te halen. Het opbouwen van toekomstgerichte interbestuurlijke netwerken, naast de vitale vormen van leren op organisatieniveau, zullen daar wezenlijk in zijn. Met oefeningen, met peerreviews, met benchmarks, etc.. Bij de Taskforce BID zeggen we altijd dat informatieveiligheid ‘aan de voor kant’ moet komen; het principe van security by design moet leidend zijn. Waar het om gaat is dat iedereen bij de eigen taak informatieveiligheid als


een integraal onderdeel van het eigen functioneren beleeft en hanteert. Want laten we een ding voorop stellen: de meeste onveiligheid komt door menselijk handelen. Ook door ‘klein’ handelen als onzorgvuldige omgang met wachtwoorden USB- sticks etc.. Het is net als bij het verkeer. We hebben regels nodig, een veilige infrastructuur, technologische vernieuwing, optreden tegen wegmisgebruikers, maar we moeten bovenal veilig bewegen. In dit geval veilig digitaal bewegen. En daar staan we allemaal voor aan de lat.

Auteur

Drs. H.W.M. (Henk) Wesseling Henk Wesseling is bestuurlijk hoofd van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) Hij werkt vanuit de visie op veranderingsprocessen als leerprocessen waarin innovatie plaats vindt. Hij publiceert daar regelmatig over, zoals recentelijk in Bestuurskunde over de decentralisaties. Zijn uitgebreide kennis over en ervaring met meerdere overheidslagen en met de begeleiding van deze leerprocessen draagt direct bij aan de werkwijze van de Taskforce BID: leren en verankeren, met samenwerking als bindend element.

60 | TRENDS


Aanjagers en de bureaucratie

Pieter Tops en Stavros Zouridis

Bestuurskundige lessen uit de Taskforce B5

Vanaf eind 2010 is in Noord-Brabant een bijzondere coproductie ontwikkeld in de strijd tegen de georganiseerde criminaliteit. In het verband van de Taskforce B5 werken niet alleen het Rijk (minister van Veiligheid en Justitie, Belastingdienst/FIOD, Openbaar Ministerie, Nationale Politie, Koninklijke Marechaussee) en gemeenten (Eindhoven, ’s-Hertogenbosch, Tilburg, Breda en Helmond) samen, maar ook werken deze bestuurlijke organen samen met de ‘strafketen’ (politie en Openbaar Ministerie). In relatief korte tijd (2011/2012) is dit samenwerkingsverband tot stand gekomen en in actie gekomen, onder meer door het in beslag nemen van drugs en vermogen en door het aanpakken van ‘vrijplaatsen’.

Het ontstaan en de ontwikkeling van de Taskforce hebben wij in een apart verschenen evaluatierapport1 beschreven. In dit artikel gaan wij specifiek in op de bestuurskundige betekenis van de Taskforce, temeer omdat deze uitdrukking van een organisatiepatroon is dat frequenter voorkomt in het openbaar bestuur2 3 4. Kennelijk hebben bureaucratische organisaties soms behoefte aan een externe aanjager, maar staan zij tegelijkertijd ook altijd in een haat-liefde verhouding tot deze bijzon dere constructies.

1 Zouridis, S., P.W. Tops, R. Peeters m.m.v.Vera Crompvoets en Anouk van der Slagt, Bestrijding van criminele ondermijning in Noord-Brabant, de Taskforce B5 als katalysator van samenwerking, Tilburg 2013 2 Tops. P.W., Vitale coalities in het openbaar bestuur, in: M. Dubbeldam en P.K.Jagersma, De passie van de professional, besturing van veranderingsprocessen, Assen, 2007 3 Peeters, Rik, M.A.van der Steen, M.J.M. van Twist, De logica van het ongepaste: over de professionaliteit van wijkmanagers in de onvolkomen organisatie, NSOB Nederlandse School voor Openbaar Bestuur, 2010 - 47 pagina’s 4 Zouridis, S (2013), Prikken in praktijken, receptuur voor een reflectieve onderzoeksstrategie, in: H. de Jong, P. Tops en M. van der Land, Prikken in praktijken, over de ontwikkeling van praktijkonderzoek, Den Haag, pag. 145-166 62 | TRENDS

Antipode De politie, het Openbaar Ministerie, de Belastingdienst en de FIOD, maar in veel opzichten ook gemeentelijke organisaties hebben als organisatie een aantal kenmerken gemeen. Ze opereren op basis van een (grond-) wette lijke taakopdracht, beschikken in dat kader over bevoegdheden en kennen een heldere verantwoordelijkheids- en verantwoordingsstructuur. Dat maakt dat deze organisaties doorgaans de dynamiek van (Weberiaanse) bureaucratieën volgen. De verantwoordelijkheden in de organisatie zijn als ambtelijke plichten belegd, de formele organisatie is leidend (in ieder geval in normatieve zin) en de organisatie kent daardoor een hoge mate van stabi liteit en betrouwbaarheid. Ook de doorgaans als nadelig gedefinieerde ken merken van bureaucratieën karakteriseren deze organisaties. Ze zijn gericht op hun eigen taken en prestaties en in mindere mate op prestaties en taken in keten- of netwerkverband, ze doen soms ‘verkokerd’ aan, de specialisatie leidt tot een sterk esprit de corps dat verbonden is met de primaire taak en de organisaties worden nogal eens ervaren als gesloten. De kracht van deze organisaties is dat ze hun taken doorgaans nauwgezet en consciëntieus uitvoeren, de zwakte is dat ze weinig flexibel en open zijn. Als organisatiepatroon is de Taskforce en het daarvan afgeleide programma bureau in veel opzichten de antipode van deze organisaties. Om te beginnen opereert de Taskforce eerder taakzoekend dan taakgericht. Er is geen (grond)wettelijke ‘eigen’ taak die als verantwoordelijkheid of plicht wordt opgelegd, maar wat de taken zijn of zullen worden is een kwestie van ver kennen of ‘leren’. Het zijn namelijk die taken waarvan in de loop van de tijd zal blijken of deze ook door de deelnemende organisaties worden toe gestaan dan wel taken waarin de deelnemers bereid zijn zich in een samen werkingsverband te schikken. Bij de start van de Taskforce is er niet veel meer dan een basisgevoel ‘we moeten samen optrekken’ tegen de georgani seerde criminaliteit. Omdat er nauwelijks betrouwbaar inzicht is in het probleem en slechts enkele onrustbarende verschijnselen aan de opper vlakte komen (liquidaties), is er bij de start van de Taskforce goed beschouwd niet meer voorhanden dan een gedeeld bestuurlijk gevoel van urgentie en het idee van een Taskforce (dat klinkt in ieder geval alsof het probleem stevig wordt aangepakt). Zelfs van gedeeld bestuurlijk gevoel (‘samen strijden tegen georganiseerde criminaliteit’) is maar beperkt sprake bij de partners van de Taskforce; sommige partners (bijvoorbeeld de Belastingdienst) zijn in de basis bereid om aan de Taskforce mee te werken, maar beschouwen het bestrijden van georganiseerde criminaliteit niet als hun primaire taak. Geleidelijk krijgt het urgentiegevoel ‘handen en voeten’ en het zijn met name de eerste successen (althans de eerste resultaten) die de Taskforce ‘vleugels’ geven. Wat nu de ‘taken’ van de Taskforce lijken te zijn geworden (lijken, omdat er nog steeds niets is vastgelegd of vanzelf sprekend aan de Taskforce wordt toebedeeld) is dus de resultante van de dynamiek welke de afgelopen jaren is doorlopen.



Moeizame start Deze dynamiek wordt vaak, ook in dit geval, gekenmerkt door een moei zame start. Deze heeft om te beginnen te maken met het niet voorhanden hebben van een operationeel plan (van aanpak) of concreet idee. De moei zame start heeft daarnaast te maken met het feit dat het gaat om een nieuw samenwerkingsverband waarin de partners eerst elkaars nieren moeten proeven en moeten werken aan het opbouwen van vertrouwen. De – straf rechtelijke – aanpak van georganiseerde criminaliteit is gebouwd op ver trouwelijkheid en vertrouwen, zeker van operationele informatie en ook in het fiscale domein is geheimhouding troef. Ook heeft de moeizame start, waarin de partners elkaar eerst moeten vinden, te maken met onbekend heid met elkaars organisaties, taken en bevoegdheden, werkwijzen en processen. Niet alleen onbekendheid, maar ook de soms daarmee gepaard gaande beeldvorming (bijvoorbeeld over elkaars taken – ‘gemeenten gaan over openbare orde’ of ‘gemeenten zijn te slap om te handhaven’ – of werk wijzen – ‘als Justitie binnenkomt, zetten ze oogkleppen op en maken ze meer kapot dan goed’) speelt daarbij een rol. Het eerste mechanisme dat zich in de dynamiek van deze ‘smeermiddel-achtige’ organisaties voordoet is dus een zekere incubatietijd. Er wordt veel gepraat, ogenschijnlijk nauwelijks met enig resultaat en op een hoog abstractieniveau. Geleidelijk kristalliseren zich de gedeelde belangen uit in concrete acties en actielijnen. Gerichte uitwisseling van operationele informatie blijkt nuttig en het RIEC (Regionaal Informatie en Expertise Centrum) ontwikkelt zich snel. De vrij plaatsenaanpak werpt vruchten af en motiveert de partners op alle niveaus. Het Integraal Afpakteam biedt voldoende ruimte voor professionele creati viteit en door de resultaten krijgt het de bestuurlijke rugdekking die hier voor nodig is. En zo krijgt de Taskforce in de loop van ruim anderhalf jaar gestalte, meer door de drijvende kracht van een klein aantal betrokkenen (enkele burgemeesters, programmadirecteur van de Taskforce, directeuren veiligheid, hoofdofficieren, regiodirecteur Belastingdienst) en hun bereid heid om in een ‘lerende’ aanpak elkaars mogelijkheden te verkennen dan door een planmatig opgezet programma. Kenmerkend voor de dynamiek in de eerste tijd is dus: −− de aandacht van de organisatie verplaatst zich van bereik van de organisatie, de taken, de structuren en onderlinge verhoudingen naar concrete acties (in het geval van de Taskforce de aanpak vrijplaatsen, afpakteam, opstellen A-selectie, enzovoort); −− in de acties leren de partners elkaar, zowel op operationeel als op bestuurlijk niveau, beter kennen en ontstaat bij diegenen die concreet met elkaar samenwerken meer onderling vertrouwen (bijvoorbeeld in het Integraal Afpakteam);

64 | TRENDS

−− door de acties wordt de meerwaarde van de samenwerking voor de afzonderlijke partners zichtbaar; geleidelijk ontdekken de partners op operationeel niveau dat samen meer mogelijk is (betere informatie, meer bevoegdheden beschikbaar, meer capaciteit, enzovoort).

Nooit vanzelfsprekend Ten minste twee andere kenmerken zijn karakteristiek voor dit type orga nisaties. Ten eerste zijn deze organisaties rondom actie(s) georganiseerd. De in de organisatietheorie bekende kreet ‘structure follows strategy’ moet voor dit type organisaties worden bijgesteld. Voor dit type organisaties geldt dat ‘structure follows action’. Structuren zijn letterlijk hulpstructuren voor de gemeenschappelijke actie. Ook dit kenmerk noopt tot een bijzon dere dynamiek. Waar in bureaucratische organisaties de structuur leidend is, in ieder geval in normatieve zin (iedereen is op de eigen rol, taak en positie aanspreekbaar), is in dit type organisaties de structuur vaak veranderlijk, flexibel en niet vastomlijnd. Dat maakt deze organisaties vaak ongrijpbaar, in ieder geval voor diegenen die gesocialiseerd zijn in het bureaucratische organisatiepatroon. Een tweede kenmerk van dit type organisaties is dat ze nooit vanzelfsprekend zijn. Ze hebben geen plaats in het geheel van taken en verantwoordelijkheden welke over het openbaar bestuur zijn verspreid, ze hebben geen ‘natuurlijke’ eigen positie die ze kunnen ‘claimen’ en macht is slechts verworven macht (‘achieved’ in plaats van ‘ascribed’). Ook dit kenmerk geeft deze organisaties een bijzondere dynamiek. Omdat ze niet vanzelfsprekend zijn, moeten ze hun legitimatie, hun resultaat en hun ambities dus permanent vernieuwen. Vernieuwen ze zichzelf enige tijd niet, dan komt er een moment dat ze ter discussie worden gesteld en mogelijk verdwijnen. De meerwaarde moet dus voortdurend worden waargemaakt en dat kan slechts als deze telkens opnieuw wordt gedefini eerd. In het geval van de Taskforce: zodra de informatie-uitwisseling goed is georganiseerd (in het RIEC), verdwijnt de noodzaak van de Taskforce en zal deze, als deze bestaansrecht wil blijven houden, een nieuwe – gemeenschappelijke – ambitie moeten formuleren.

Symbiotisch en spanningsvol Duidelijk zal zijn dat tussen de bureaucratische en de smeermiddel-achtige organisaties een symbiotische relatie bestaat die tegelijkertijd spanningsvol is. Enerzijds kunnen beide typen organisaties niet zonder elkaar, anderzijds zijn de mechanismen, oriëntaties en vaak ook de persoonlijkheden van de medewerkers zo verschillend dat deze spanningen veroorzaken. Deze spanningen zijn inherent aan de botsing der organisatiekenmerken en daarmee eigenlijk ook niet oplosbaar. Sterker nog, als ze zich niet voordoen mag de vraag worden gesteld of de bureaucratische organisatie dan wel de



‘smeermiddel-achtige’ organisatie niet goed functioneert (want dan lijken ze wellicht te veel op elkaar). Niet alleen zijn er spanningen tussen deze (typen) organisaties, de ‘smeermiddel-achtige’ organisatie kent ook een interne spanning. Dat heeft te maken met de behoefte (of het verlangen) naar institutionalisering dat doorgaans na enige tijd groeit, juist in de ‘smeermiddel-achtige’ organisatie zelf. Deze behoefte doet zich niet alleen in de organisatie voor maar ook in de uitgesproken verwachtingen bij de deelnemende bureaucratieën. Als hieraan wordt toegegeven, is daarmee waarschijnlijk het eind ingeluid van de ‘smeermiddel-achtige’ organisatie. Deze verliest dan immers het bestaansrecht en gaat concurreren met de deelnemende partners. Ook deze interne spanning is inherent aan het type organisatie en laat zich niet oplossen.

Konzertierte Aktion Als organisatiepatroon is de Taskforce dus rondom concrete acties gebouwd, hetgeen de beschreven kenmerken en dynamiek met zich meebrengt. Ook de acties zijn in enkele opzichten bijzonder, en vanuit bestuurskundig perspectief allerminst vanzelfsprekend. Het gaat immers niet om acties van één organisatie (bijvoorbeeld het opleggen van een aanslag door de Belastingdienst) en ook niet om acties van meerdere organisaties gezamenlijk onder een gezag of mandaat (zoals het opsporings onderzoek door de politie onder leiding van het Openbaar Ministerie). De acties van de Taskforce zijn het best te duiden als in samenhang voor bereide en uitgevoerde acties van afzonderlijke organisaties; denk bijvoor beeld aan een actiedag bij een vrijplaats of van het Integraal Afpakteam. In de bestuurskundige literatuur wordt dergelijke besluitvorming en uitvoering geduid als ‘Konzertierte Aktion’, geconcerteerd (afgestemd) handelen. De vanzelfsprekendheid van dit handelen in de dagelijkse bestuurlijke praktijk (het is toch ‘normaal’ dat bestuursorganen samen werken) verhult de ingewikkeldheid ervan vanuit meer theoretisch perspectief. Want hoe is eigenlijk te verklaren dat organisaties hun gedrag op elkaar afstemmen? Daarvoor zijn immers velerlei belemmeringen. Ten eerste is het vanuit de afzonderlijke organisaties niet altijd rationeel om te komen tot ‘Konzertierte Aktion’, bijvoorbeeld omdat de doelstellingen van de organisaties concurreren of elkaar soms in de weg zitten. Het niet op elkaar afstemmen van handelen is dan vanuit het perspectief van de organisatie rationeel, maar leidt op een wat hoger niveau (dat van het openbaar bestuur als geheel) tot suboptimalisatie. Denk bijvoorbeeld aan het binnenhalen van geld. Zowel de Belastingdienst (belastingen over winst of inkomen) als het Openbaar Ministerie (in het kader van de Plukze-wetgeving) hebben soms concurrerende belangen en dan is het voor deze organisaties niet rationeel om het handelen op elkaar af te stemmen, ook al kan het op het hogere niveau van het bestuur als geheel wel rationeel

66 | TRENDS

zijn. Er doet zich dan een ‘klassiek’ collectieve-actieprobleem voor dat doorbroken moet worden. Samenhangend optreden is dan immers niet vanzelfsprekend. Een tweede belemmering doet zich voor als afgestemd handelen wel rationeel is vanuit het organisatiebelang, maar de organisatieroutines of werkprocessen verhinderen dat het tot afstemming komt. Om te beginnen is de ‘blik’ van de organisatie beperkt door de eigen routines en werk processen, een fenomeen dat bekend staat als ‘parochialism’. Sommige (voor buitenstaanders) vanzelfsprekende afstemming tussen organisaties komt simpelweg niet tot stand omdat organisaties dat niet zien. Zo leidde bijvoorbeeld de ‘traditionele’ – en inmiddels achterhaalde – tegenstelling tussen openbare orde en opsporing in het verleden nogal eens tot ‘blind heid’ voor de overlap tussen de criminele patronen daarachter. Daarnaast zijn routines en werkprocessen niet altijd eenvoudig op elkaar af te stemmen. Prioriteiten in organisaties kunnen verschillen (het is niet vanzelfsprekend dat gemeenten prioriteit geven aan het aanpakken van georganiseerde criminaliteit), het juridisch regime kan verschillen (het fiscale, bestuursrechtelijke en strafrechtelijke regime dwingt tot andere processen) en de processen van opsporing en (eerder) bestuurlijk ingrijpen zijn niet zonder spanningen. Ten derde hoeft het, ook als het rationeel is en de werkprocessen zijn op elkaar af te stemmen, niet tot afstemming te komen simpelweg omdat dit dwingt tot het afstaan van macht bij de leiding of het bestuur. Afstemming betekent immers dat eigen soevereiniteit of macht over de eigen organisatie enigszins wordt ingeleverd ten gunste van een groter geheel. En ten vierde is er nog een constitutionele reden: vanuit het oogpunt van machtenscheiding (of ook wel zekerstellen van belangen), heeft de wet gever bij ontwerp (bewust) een verschillend belang bij verschillende organisaties belegd. In onderlinge afstemming en coördinatie moeten die tot gemeenschappelijk handelen zien te komen, maar vanzelfsprekend is dat nooit. Zeker de relatie tussen specifieke taakorganisaties als het OM, de politie en de Belastingdienst enerzijds en meer algemene (of brede) taakorganisaties als een gemeente, is daarbij per definitie spanningsvol. Wat voor de een de kern van zijn positie is (afweging en verzoening van belangen), is voor de ander een bron van onbetrouwbaarheid (andere belangen kunnen boven veiligheid gaan).

Drie verklarende factoren ‘Konzertierte Aktion’ is dus allerminst vanzelfsprekend, althans vanuit een theoretisch perspectief. De vraag die dan ook veeleer gesteld moet worden is waarom het ondanks de belemmeringen soms – tijdelijk – wel tot stand


komt. Eerder onderzoek hiernaar heeft een theorie opgeleverd die bestaat uit een combinatie van drie verklaringen5. Kort gezegd komt het tot ‘Konzertierte Aktion’ als er sprake is van concrete samenhang (een pro bleem dat daadwerkelijk beter kan worden aangepakt als het handelen op elkaar wordt afgestemd), als een onorthodoxe projectleider in staat is om de belemmeringen te omzeilen en als deze op cruciale momenten voorzien wordt van rugdekking door de ambtelijke en bestuurlijke leiding uit de verschillende organisaties. Ook de Taskforce bevestigt deze theorie in veel opzichten. De meerwaarde van afgestemd handelen moet eerst worden ontdekt, maar als deze eenmaal blijkt (bijvoorbeeld in het Integraal Afpak team, de vrijplaatsenaanpak of in het RIEC) zijn organisaties bereid om tot afgestemd handelen te komen. De projectleider die na enkele maanden van praten en vergaderen aantreedt is in staat om, vooral door soms ook onor thodox handelen – buiten de formele kaders en soms ook tegen de zin van sommige partners, het collectieve-actieprobleem te doorbreken. Lange tijd lukt dit door de bestuurlijke rugdekking van de Taskforce als gremium.

Opgaven Dit bestuurskundig perspectief biedt niet alleen verklaringen voor de suc cessen of het uitblijven daarvan van de Taskforce, het geeft ook aan welke opgaven er nog liggen. Met name het doorbreken van de in de routines en werkprocessen gelegen belemmeringen (inclusief die belemmeringen die door de uiteenlopende juridische regimes worden veroorzaakt) zou de vanzelfsprekendheid van een ‘geconcerteerd’ beleid en uitvoering voor het aanpakken van georganiseerde criminaliteit kunnen versterken. Ook geeft de toepassing van dit perspectief op de Taskforce aanleiding om nog een extra voorwaarde voor afgestemd handelen in de theorie op te nemen. Wat zeker in het begin van de Taskforce (en nog doorwerkend in het eerste jaar) een hoofdrol speelt is het bestuurlijk gevoel van urgentie. Ook bij ontstentenis van een concreet handelingsperspectief is het bestuur lijk gevoel van urgentie gedurende het eerste jaar de belangrijkste drijfveer voor de Taskforce en heeft de door bestuurders ervaren urgentie de ruimte gecreëerd om te experimenteren en langzaam de ‘doorwaadbare plaatsen’ te vinden.

Auteurs

Prof. Dr. Pieter Tops Aandachtsgebieden: openbaar bestuur, veiligheid, politie Pieter Tops is hoogleraar bestuurskunde aan de Universiteit van Tilburg. Hij ontwikkelt een onderzoeksprogramma rond de maatschap pelijke consequenties van ondermijning en georganiseerde criminaliteit. Tops is ook verbonden aan de Politieacademie, waar hij tot eind 2013 bestuurlijk verantwoordelijk was voor kennis, onderzoek en ontwikkeling.

Prof. dr. mr. S. (Stavros) Zouridis Stavros Zouridis is hoogleraar bestuurskunde aan Tilburg University en adviseur bij WagenaarHoes Organisatieadvies b.v.. Zijn onderzoek richt zich op het feitelijk functioneren van de rechtsstaat.

5 Tops. P.W. , Regimeverandering in Rotterdam, hoe een stadsbestuur zich opnieuw uitvond, Amsterdam, 2007

68 | TRENDS



innovatie in informatieveiligheid:

de Informatie beveiligingsdienst voor gemeenten Informatieveiligheid is een randvoorwaarde voor de gedigitaliseerde overheid. De toenemende vernetwerking van (overheids)organisaties vraagt om bestuur lijke innovatie om de gezamenlijke verantwoordelijkheid voor informatie veiligheid vorm te geven. Binnen het gemeentelijk domein zijn de oprichting van de gemeentelijke Informatiebeveiligingsdienst (IBD) en de invoering van een systeem van verplichtende zelfregulering op gebied van informatie veiligheid twee belangrijke bewegingen.

Het groeiend belang van informatieveiligheid Het thema veiligheid gaat van oudsher over de fysieke wereld. Door de toenemende digitalisering is informatieveiligheid echter ook steeds belang rijker geworden, dit is zeker ook voor overheidsorganisaties het geval. Uitval van computers of telecommunicatiesystemen, het kwijtraken van gegevensbestanden of het door onbevoegden kennisnemen van bepaalde gegevens kan ernstige gevolgen hebben voor de continuïteit van de bedrijfsvoering en het primaire proces. Een betrouwbare, beschikbare en correcte informatiehuishouding is randvoorwaardelijk voor de dienst verlening van overheidsorganisaties. Ook het imago van de overheid staat op het spel. Zo maakte de nationale ombudsman bijvoorbeeld bekend dat burgers zich zorgen maken over de beveiliging van hun gegevens bij de overheid. Het vertrouwen van burgers en bedrijven is voor de overheid essentieel en het is zaak om te bewijzen dat informatieveiligheid door de overheid professioneel wordt aangepakt.

Aanleiding: Diginotar en Lektober De Diginotar-crisis en Lektober in 2011 hebben aangetoond dat de ICTinfrastructuur van overheidsorganisaties kwetsbaar is. Uit de acties rondom Lektober bleek dat onder andere de gemeentelijke beveiliging van de ICT-infrastructuur niet altijd even goed op orde was. 70 | TRENDS

Diginotar Diginotar verzorgde de ssl-certificaten, die de veiligheid van websites moeten garanderen voor grote delen van de Nederlandse overheid. Doordat Diginotar gehackt werd, kon een legitieme website nagemaakt worden die niet van echt te onderscheiden is. Veel overheidswebsites waren hierdoor niet meer te vertrouwen, wat de digitale dienstverlening in gevaar bracht.

Lektober Tijdens 'lektober' legde Webwereld iedere werkdag een privacylek in een overheidsdienst of bedrijfsnetwerk bloot. Ook een aantal gemeenten bleek kwetsbaar voor bijvoorbeeld het overnemen van DigiD-sessies.

De Onderzoeksraad voor Veiligheid concludeerde na onderzoek naar het Diginotar-incident dat er te weinig bestuurlijke aandacht is voor het thema informatieveiligheid. De Onderzoeksraad deed twee belangrijke aanbevelingen: 1. Zorg dat bestuurders van alle overheidsorganisaties hun verant woordelijkheid nemen voor het beheersen van digitale veiligheid. 2. Schep voorwaarden zodat overheidsorganisaties hun digitale veiligheid systematisch beheersen.

Gemeenten nemen verantwoordelijkheid Ook een professionele gemeente is het aan burgers, bedrijven en keten partners verplicht om de informatieveiligheid op orde te hebben. Tijdens de Buitengewone Algemene Ledenvergadering (BALV) van de VNG in 2012 hebben gemeenten daarom ingestemd met de oprichting en structurele financiering van de gemeentelijke Informatiebeveiligingsdienst (IBD). De zakelijke rechtvaardiging van de oprichting van de IBD zit in vier punten: 1. De IBD biedt centrale coördinatie, regie en ondersteuning bij inciden ten; vanuit een gebundelde kennispositie worden in geval van informa tiebeveiligingsincidenten de juiste beslissingen genomen. 2. De IBD maakt hoogwaardige, schaarse, informatiebeveiligingkennis beschikbaar voor gemeenten. Veiligheid en innovatie in de publieke sector | 71


3. De IBD zorgt voor gezamenlijke activiteiten op het gebied van bewust wording, kennisdeling en aansluiting op landelijke netwerken waarmee aandacht en expertise in de gemeentelijke organisatie wordt geborgd. 4. Tijdens Diginotar en Lektober is crisisondersteuning ingericht bij VNG en KING. De inspanning die dit vroeg was niet gedekt in de formatie. Dit is niet structureel vol te houden en de IBD is hiervoor de oplossing.

Nieuw voor gemeenten: de Informatiebeveiligings dienst (IBD) De IBD is een systeeminnovatie op zowel een bestuurlijk als organisatorisch vlak. Bestuurlijk illustreert de structurele financiering uit het gemeente fonds van deze centrale dienst dat gemeentebestuurders de noodzaak van samenwerking op het gebied van informatieveiligheid beseffen. Door de digitalisering en vernetwerking vervagen organisatiegrenzen en de infor matieveiligheid wordt bepaald door de zwakste schakel in de keten. Door een gezamenlijke IBD te organiseren wordt voorkomen dat elke gemeente zelf het wiel gaat uitvinden en kan juist van elkaars expertise gebruik gemaakt worden. Schaarse expertise kan gezamenlijk worden ingekocht. Uiteraard blijft elke gemeente wel zelf verantwoordelijk voor de organisatie en de eigen informatieveiligheid. De IBD is ook een organisatorische innovatie vanwege de positie die de IBD inneemt tussen gemeenten en het Nationaal Cyber Security Centrum. De IBD heeft enerzijds als doel het preventief en structureel ondersteunen van gemeenten bij informatiebeveiliging. Anderzijds fungeert de IBD als Computer Emergency Respons Team (CERT), die integrale coördinatie en concrete ondersteuning bij incidenten en crisissituaties op het gebied van informatiebeveiliging aan gemeenten levert. Voor deze CERT-functie werkt de IBD nauw samen met het NCSC. Het NCSC heeft een internatio naal netwerk en technische kennis over cyberdreigingen. De IBD heeft juist specifieke kennis over de gemeentelijke informatievoorziening. Hierdoor kan de IBD als schakelorganisatie de link leggen tussen dreigingen en inci denten die het NCSC in kaart brengt en de impact hiervan op gemeenten. Dat gemeenten preventie, kennis en ondersteuning bij incidenten op het gebied van digitale veiligheid door middel van de IBD branchegewijs organiseren en niet meer per organisatie, is een grote vernieuwing voor het gemeentelijk domein en daarom een heuse systeeminnovatie.

72 | TRENDS

Verplichtende zelfregulering Door de toenemende complexiteit en ketens waar gemeenten onderdeel van uitmaken (zoals de SUWI-keten), neemt het belang van samenwerking op gebied van informatieveiligheid alleen maar toe. In het kader van de drie decentralisaties worden gemeenten verantwoordelijk voor nog meer taken en informatie(stromen). Gemeenten zijn het daarom aan burgers, bedrijven en ketenpartners verplicht om verantwoordelijkheid te nemen voor infor matieveiligheid. Naast het oprichten van de IBD nemen gemeenten dan ook verdere stap pen. Tijdens de BALV van de VNG in 2013 is ingestemd met de resolutie ‘Informatieveiligheid, randvoorwaarde voor een professionele gemeente’. Hiermee committeren gemeenten zich aan een, door de IBD opgesteld, gemeenschappelijk normenkader: de Baseline Informatiebeveiliging Gemeenten (BIG). Bovendien zorgen gemeenten voor bestuurlijke en organisatorische borging van informatieveiligheid en zullen gemeenten hierover transparant zijn. In ruil hiervoor vragen gemeenten het Rijk de auditlast vanuit verschillende beleidsdepartementen terug te dringen. Dit is de gemeentelijke invulling van ‘verplichtende zelfregulering’. Elke overheidslaag verplicht zichzelf om zich te houden aan vastgestelde afspraken. Hiervoor is gekozen omdat intrinsieke motivatie essentieel is voor informatieveiligheid. Een interbestuurlijke Taskforce Bestuur Informatieveiligheid Diensteverlening (BID), gefinancierd door BZK, ondersteunt elke overheidslaag bij de invoering van deze verplichtende zelfregulering. De overheidslagen blijven zelf uiteraard verantwoordelijk om dit systeem vorm te geven.

De (nabije) toekomst Het jaar 2014 staat voor de IBD en gemeenten in het teken van twee belang rijke doelen. Ten eerste zullen alle gemeenten moeten aansluiten bij de IBD. Dit betekent dat gemeenten de juiste contactpersonen aan de IBD doorgeven, die in geval van incidenten of crises direct kunnen worden benaderd. Dit is een essentiële randvoorwaarde voor de CERT-functie binnen de IBD en daarmee de weerbaarheid van gemeenten tegen cyber dreigingen. Ten tweede zullen gemeenten werk maken van verplichtende zelfregu lering. Bestuurlijk zal informatieveiligheid moeten worden belegd, het thema moet onderdeel worden van de Planning & Control-cyclus, gemeenten moeten de BIG implementeren en beginnen aan de transpa rantie over de voortgang op dit alles. Kortom, er zijn goede stappen gezet,


maar informatieveiligheid behoeft de komende tijd en uiteindelijk structu reel aandacht. In de toekomst de rol van ICT-leveranciers ook meer aan dacht krijgen. Hierbij kan gedacht worden aan beveiligingseisen bij aanbestedingen en in contracten, en zal gewerkt moeten worden vanuit het principe van ‘security by design’.

Auteurs

Drs. B.J. (Bart) Drewes Aandachtgebieden: Gemeentelijk informatiebeleid, de eOverheid en informatieveiligheid. Bart Drewes is coördinator informatiebeleid van de VNG en heeft uitgebreide kennis van de gemeentelijke wereld en de eOverheid. Hij is als coördinator spin in het web wat betreft alle aspecten van de eOverheid die het gemeentelijk domein raken.

K. (Koen) Wortmann Msc Aandachtgebieden: eOverheid en informatieveiligheid bij gemeenten. Koen Wortmann is informatiemanagement trainee bij PBLQ HEC. Hij is werkzaam als beleidsmedewerker bij de VNG en heeft kennis van zowel de operationele als bestuurlijke context van informatieveiligheid bij gemeenten, KING en de IBD.

74 | TRENDS


Bodycam

M

AR

AL

Ethische discussie

Virtual reality Cameratoezicht

Inspelen op de gevoelde beleving via onze zintuigen

76 | TRENDS

Veiligheidsbeleving

M

AR

AL


Arnaud Wirschell

De-escaleren van agressief gedrag met virtual reality Geweld en agressie tegen gezagsdragers staan hoog op de politieke en maatschappelijke agenda. Na ieder weekend verschijnen berichten in de media over gemolesteerde politieagenten, gehinderde brandweermannen en uitgescholden ambulancepersoneel. Volgens sommige onderzoekers kost het agressieve gedrag jegens overheidsmedewerkers de Nederlandse samenleving bijna vier miljard euro op jaarbasis. PBLQ ROI investeert in een grensverleggende trainingsmethode om die kosten te verlagen.

Als het werken met trainingsacteurs en eLeaning oefeningen beperkingen met zich meebrengen, wat is dan een beter alternatief? Dat is te vinden in oplossingen die zijn ontwikkeld voor Virtual Reality Exposure Therapy (VRET). Bij VRET worden patiënten geholpen die lijden aan bijvoorbeeld angststoornissen. Zo hebben sommige mensen last van vliegangst. De Technische Universiteit Delft en het bedrijf CleVR hebben een realis tisch virtueel vliegtuig ontwikkeld waarin die mensen onder begeleiding van een therapeut oefenen in het overwinnen van hun angst. Dat vliegtuig zien ze door een Virtual Reality (VR) bril met een draaicirkel van 360 graden, die meebeweegt met hun hoofd. Al honderden patiënten hebben deze therapie gedaan en 93 procent durft weer te vliegen. Het is niet alleen effec tief, maar ook efficiënt: de behandeltijd is sterk afgenomen. VRET is verder toegepast op stoornissen zoals hoogtevrees en sociale fobie. Angst voor agressie is (meestal) geen stoornis, maar de VRET-technologie is uitstekend geschikt voor het oefenen met nare situaties. Hoe pas je VR toe in het leren de-escaleren? De deelnemer oefent met een levensecht computerpersonage (avatar), niet op een schermpje, maar in een virtuele wereld. Dit is een wereld waarin je met een “tracker” kunt rond lopen, zodat het beeld met je meebeweegt. De meeste mensen zijn al na enkele seconden vergeten dat ze een VR-bril op hebben, zeker als het een

Ieder jaar worden er in Nederland honderden trainingen gegeven waarin je leert om agressieve mensen rustiger te maken. Vaak gebeurt dit met een trainingsacteur die overtuigend meerdere types kan spelen. Hij reageert direct op je lichaamstaal. Een nadeel van deze methode is dat je niet zoveel kunt oefenen, omdat er meer deelnemers dan trainingsacteurs zijn. En hoe professioneel de acteur ook is, er zijn grenzen aan de hoeveelheid types die hij overtuigend kan spelen. Er is dus tevens een beperking bij het inspelen op jouw persoonlijke allergieën en angsten. Er bestaan ook eLearning toepassingen waarin je een filmpje ziet met een agressieve situatie. Vervolgens moet je aangeven op welke manier je het beste kunt reageren. Op je antwoord volgen feedback en tips. Dit is een goede methode om je analytische vermogens te ontwikkelen, maar het heeft maar een beperkt nut in het leren omgaan met agressieve burgers. Want als iemand je op luide toon uitscheldt, dan is de eerste reflex voor veel mensen om te verstijven. Pas als je over die reactie heen bent, is het mogelijk om de agressor in te schatten. Door veel te oefenen met een hoge emotionele impact raak je gewend aan zulke situaties en kun je sneller weloverwogen reageren. Die impact is niet te bereiken met voorbeeldfilmpjes.

78 | TRENDS


spannende situatie is, zoals met een agressief persoon. Als je het goed doet, dan wordt het personage rustiger. Doe je het slecht, dan verergert de situatie. Het is belangrijk dat een trainer aanwezig is, om te voorkomen dat de emoties te hoog oplopen en de deelnemer blokkeert. De avatar reageert door kunstmatige intelligentie direct op verschillende variabelen, zoals hartslag, zweetniveau, lichaamshouding en stemhoogte. Deze geautomati seerde reacties vereisen grondig onderzoek op vakgebieden als psychologie, mens-machine interactie en didactiek. Auteur Als je tien sets met hardware en software gebruikt, heb je dus als het ware tien trainingsacteurs tot je beschikking. En dit zijn acteurs die alle leeftijden, geslachten en bevolkingsgroepen kunnen spelen, met behoud van een hoge emotionele impact! Dit instrument is in ontwikkeling en staat bekend als de D-Escalator.

Drs. A.G. (Arnaud) Wirschell

Zoals eerder gesteld, deze technologie wordt al toegepast in therapie. Een therapeut kan een dergelijke virtuele wereld dus ook gebruiken bij het helpen verwerken van traumatische ervaringen met agressie door patiënten. Dit helpt om het ziekteverzuim bij gezagsdragers te verlagen. De D-Escalator is verder relevant bij werving en selectie. Een werkgever in het veiligheidsdomein kan relatief goedkoop testen of sollicitanten werkelijk zo stressbestendig zijn als ze beweren. De kosten van de VR-bril zijn in de afgelopen jaren scherp gedaald, dus de uitvoering is betaalbaar geworden.

Aandachtsgebieden: beleidskunde, politiekbestuurlijke sensitiviteit, virtual reality

De toepassingsmogelijkheden zijn uitgebreid en veelbelovend. Daarom zijn uiteenlopende partijen zoals PBLQ ROI, de Politieacademie en bevei ligingsbedrijf Trigion bereid om te participeren in wetenschappelijk onderzoek naar de D-Escalator. Zodat we met VR een veiliger samenleving kunnen realiseren!

80 | TRENDS

Arnaud Wirschell is senior adviseur en docent bij PBLQ ROI. Hij is betrokken bij de ontwikkeling van de D-Escalator. Hij geeft lezingen en publiceert regelmatig over de toepassing van virtual reality in de publieke sector.

De auteur dankt prof.dr. Catholijn Jonker (Technische Universiteit Delft), prof.dr. Aske Plaat (Universiteit van Tilburg) en ir. Guntur Sandino (CleVR) voor hun inspanningen en de inhoudelijke ontwikkeling van de D-Escalator.


Peter van de Crommert

Ontwerpen van veiligheidsbeleving In de discussie over veiligheid is de afgelopen jaren veel aandacht gegeven aan technologische vernieuwingen. Denk aan vast of flexibel camera toezicht, inzet van drones, bodycams, vele nieuwe sensortypen en alarm knoppen en apps voor ouderen en bijvoorbeeld slachtoffers van huiselijk geweld. Op zich allemaal nuttige technologieën die door het Dutch Institute for Technology, Safety and Security (DITSS) regelmatig worden toegepast in nieuwe innovatieve omgevingen. De maatschappelijke, sociale en ethische discussie die daarbij hoort, wordt ook altijd meegenomen in de zgn. fieldlabs van het DITSS.

Eén van de actiepunten binnen de groep verbeteren veiligheid is ‘Inrichting gebouwde omgeving’. Onder de noemer ‘Designing Out Crime’ heeft de faculteit ‘Industrial Design’ van de TU/e hier de afgelopen jaren haar strepen verdiend: www.designingoutcrime.nl. Het ontwerpen van veiligheid in de openbare ruimte is hierbij het hoofdthema. Daarnaast loopt via de Human-Technology Interaction groep een onderzoeksproject onder de naam De-escalate waarbij men met behulp van gestuurde lichtbronnen een passende sfeer wil creëren en in escalerende situaties in de openbare ruimte de-escalatie lichtscenario’s toepast. Zoals eerder aangegeven werkt DITSS mee met een aantal fieldlabs. De volgende twee voorbeelden zijn fieldlabs waarbij het ontwerpen van veiligheid in een openbare ruimte centraal staat.

Stratumseind 2.0 Livinglab Het Stratumseind staat begin 2012 als unieke uitgaansstraat in Eindhoven-centrum voor een belangrijke opgave; de hoge con centratie van horecabedrijven, de homogeniteit van het horecaaanbod en veranderend uitgaansgedrag van bezoekers, hebben er toe geleid dat de straat zich in een neerwaartse ontwikkeling bevindt. De interne en externe uitstraling van de aanwezige horeca laat sterk te wensen over. Sterker nog, veel zaken zien er verwaarloosd uit. Stratumseind mist de aansluiting met frisse en vernieuwende horecaconcepten. Veel zaken kunnen worden aan geduid als ‘drinklokalen’ waar het tappen van bier de overhand heeft en iedere andere vorm van belevenis en gastheerschap niet aan de orde is. Het Stratumseind is begin 2012 geen visitekaartje voor de stad Eindhoven dat de titel Beste Binnenstad mag dragen tot 2013. Een deelproject onder de naam ‘Livinglab’ richt zich op het aan elkaar koppelen van diverse technische instrumenten (o.a. met betrekking tot bezoekersaantallen, weersomstandigheden, geluidsniveaus, loopstromen, verlichting etc.) om vanuit harde meetgegevens zicht te krijgen op de relevantie van interventies. Partners hierin zijn kennisinstellingen, bedrijven en overheden. Ook het De-escalate project gebruikt Stratumseind als één van haar proefgebieden.

Recent is het instituut betrokken bij een aantal fieldlabs waar niet zozeer wordt ingezet op bewaking en beveiliging door technologie maar veel meer op een positievere benadering door het veiligheidsgevoel positief te beïnvloeden en door de aantrekkelijkheid van de openbare ruimte te vergroten en daarmee in te spelen op de gevoelde beleving via onze zintuigen. Het Centrum Criminaliteitspreventie Veiligheid heeft recent een website gelanceerd over dit thema: www.ccv-veiligheidsbeleving.nl. Daarop is te lezen dat veiligheidsbeleving de manier is waarop mensen veiligheid ervaren. Het gaat dan om de beleving van sociale veiligheid. Veiligheidsbeleving wordt ook wel aangeduid als subjectieve veiligheid. Dit als tegenhanger van objectieve veiligheid. Hiermee wordt het feitelijk niveau van criminaliteit en overlast bedoeld; de subjectieve veiligheid geeft aan hoe mensen dit waarnemen en beleven. De door hen ontwikkelde zogenaamde ‘Tafel van 12’ biedt 12 analyse en actie gebieden verdeeld over drie hoofdgroepen: aanpakken onveiligheid, verbeteren veiligheid en publiek leiderschap.

82 | TRENDS


Auteur Willem II Passage Tilburg Om het vernieuwde Spoorzone gebied van Tilburg goed met de binnenstad te verbinden is een passage ter hoogte van de Willem II straat gepland. De Willem II passage moet de hoofdroute worden voor fietsers en voetgangers tussen de Spoorzone en de huidige binnenstad. In april 2013 heeft een startbijeenkomst plaatsgevonden voor de ontwerpfase van de geplande afbouw van deze Willem II Passage. De daaruit voortgekomen opdrachtformulering luidt: “Ontwerp, gebruik makend van de nieuwste inzichten en tech nieken, de veiligste, veiligst voelende passage… ook voor de lange termijn, als het ‘nieuwe’ er al vanaf is.” DITSS is gevraagd een ont werp te maken voor de scope van de aanbesteding van de realisatie (b.v. Design, Finance, Build, Operate and Evaluate). Hierbij wordt gebruik gemaakt van gedragsbeïnvloeding via licht, geluid, muziek, geur, beelden (foto/video) en communicatie/interactie met apps in Smartphones. In oktober 2013 zijn een viertal workshops georganiseerd vanuit ver schillende gezichtspunten met genodigde experts en stakeholders. Een (landschaps)architect zal met de verkregen resultaten aan de slag gaan. Er zullen met grote waarschijnlijkheid sensoren en actua toren worden gebruikt in het uiteindelijke ontwerp van de afbouw van de Willem II.

Drs. Ing. P.A. (Peter) van de Crommert Aandachtsgebieden: Innovatie- en programmamanagement op gebied veiligheid, beveiliging en (ruimtelijke) informatie voorziening. Peter van de Crommert is kwartiermaker en programmamanager bij DITSS en heeft uitgebreide expertise in innovatie- en business development bij overheden, infrastructuur beheerders en in de openbare orde en veiligheidsector.

Beïnvloeding van de aantrekkelijkheid en daarmee een positief veiligheids gevoel van het Stratumseind en de Willem II Passage zal via de voort durende status van fieldlab/livinglab steeds opnieuw worden voorzien van nieuwe technologische en sociale innovaties. Juist die combinatie en interactie tussen technologie in haar sociale en maatschappelijke context zullen elkaar versterken in het ultieme streven naar een prettige en veilige samenleving waarvoor het DITSS zich hard maakt.

84 | TRENDS


Interview met Jeroen van den Hoven, hoogleraar Ethiek en Technologie van de TU Delft

‘als je er niet uit komt, maak het ingewikkelder’ 'De discussie over digitale veiligheid kan niet tot een passende implementatie van veiligheidsmaatregelen leiden zolang niet eerst een aantal conceptuele problemen opgelost worden'. Jeroen van den Hoven, hoogleraar Ethiek en Technologie aan de TU Delft, meent dat de afweging tussen privacy en veiligheid niet gemaakt kan worden omdat er sprake is van onverenigbare eenheden.

Rond de onderwerpen privacy en veiligheid woedt een discussie met veel gevoeligheden, zowel persoonlijk als politiek. Daar zit een conceptueel probleem onder omdat de betrokkenen zelf niet goed kunnen definiëren wat ze onder privacy of veiligheid verstaan. Dan kan er ook geen consensus ontstaan, noch over de inhoud noch over het belang ervan. Jeroen van den Hoven is binnen het IT-domein op zoek gegaan naar een perspectief waar je wel wat mee kan; dat in staat is een verbinding te maken tussen veiligheid, privacy en persoonlijke gegevens. Een perspectief dat weer ruimte geeft in plaats van de klem van onverenigbaarheid van opvattingen, en het daarmee gepaard gaande gebrek aan zicht op acceptabele oplossingen. Van den Hoven ontwikkelt dat perspectief vanuit de inzet van TU Delft op safety en security. De TU Delft is bezig een Safety & Security Institute in te richten waarin breed wordt gekeken naar veiligheidsvraagstukken. Kennis en ervaring uit verschillende faculteiten wordt gebundeld. Zowel over risk management en compliance als over de harde veiligheid: de engineering knowledge over waar het fout gaat. Zijn afdeling Value, Technology & Innovation richt zich daarbij op conceptuele en meer filosofische vragen bij actuele thema’s zoals privacy in een digitale wereld. Hij ziet drie aan grijpingspunten voor het oplossen van het conceptuele probleem rond privacy en veiligheid.

86 | TRENDS

Jeroen van den Hoven

Het eerste punt is wat Van den Hoven noemt ‘the other privacy scandal’. Zijn constatering is dat er een grote diversiteit aan opvattingen is over het begrip ‘privacy’. Betrokkenen blijven langs elkaar heen praten en er ontstaat geen gemeenschappelijke basis voor beleid. En als die basis er niet is zal ook geen gemeenschappelijk kader ontstaan dat gebruikt kan worden voor het ontwerpen van, in dit geval, ICT-systemen. Deze diversiteit van opvattin gen en beleving komt mede doordat Europese en Amerikaanse begrippen en gevoeligheden door elkaar heen spelen. De Europese aandacht is meer gericht op dataprotectie, terwijl de Amerikaanse aandacht meer uitgaat naar (hun) veiligheid vanuit een andere beleving van privacy. Van den Hoven stelt daarom voor uit deze onbevredigende discussie te stappen en het terug te brengen naar een bekend en oplosbaar vraagstuk. Dat kun je doen door de vraag aan elkaar te stellen “Wat wil je beschermen?”. Met dat voor ogen kunnen vervolgens het waarom, waartegen, in welke mate en de discussie over mogelijke oplossingen van een richting voorzien. We kunnen met elkaar namelijk wel deze discussie aan; dat hebben we vaker gedaan over andere vraagstukken zoals bijvoorbeeld energie en milieu (windmolens, zonne-energie) en comfort en veiligheid (auto’s, telefoons). Door elkaar deze vraag naar bescherming te stellen komen ook de daarbij behorende morele uitgangspunten op tafel, zoals het willen voorkomen van pijn of beschadiging, het streven naar rechtvaardigheid, het beschermen tegen onbevoegd gebruik of inbreuk op persoonlijke eigen dom. Bijzonder is namelijk dat mensen met verschillende persoonlijke en politieke opvattingen het dan in de meeste gevallen wel eens kunnen wor den. En dan kun je ontwerpers vragen concreet te maken welke bescher mingsmaatregelen passen bij de te beschermen objecten als persoonlijke gegevens, patiëntendossiers, financiële gegevens enzovoorts. Zo kan het vraagstuk privacy in de gezondheidszorg teruggebracht worden tot privacy in het ziekenhuis en verder tot het niveau omgang met testgegevens in een laboratorium. Wat dus nodig is, is een ander conceptueel kader, met een met fijne(re) verdeling van eigenschappen. Het tweede aangrijpingspunt is ‘beyond balancing’. Het denken in ‘aan de ene kant, aan de andere kant’ werkt niet, aldus Van den Hoven. Dat veronderstelt vergelijkbare eenheden, die dus niet voldoende gevonden kunnen worden. Zijn ervaring is dat een afweging van mogelijkheden om met het vraagstuk van privacy en veiligheid om te gaan gemakkelijker via een gesprek over morele redenen gevonden worden. In het voorkomen van pijn of beschadiging (“harm”) vinden partijen en personen elkaar eerder dan in een discussie over wanneer privacy of veiligheid genoeg geborgd is. Het derde aangrijpingspunt is ‘responsible innovation’. Het is de vraag naar innovatie die aan meerdere eisen kan voldoen: zowel privacy als veiligheid. Bij TU Delft is dat een van de belangrijkste vraagstukken bij technologische vernieuwing. Om technologische vernieuwing zinvol en/of


kansrijk te laten zijn, is het nodig dat toekomstige eisen geformuleerd kunnen worden, al is het maar als een tot nu toe onoplosbaar dilemma. Zo heeft Duitsland bijvoorbeeld de spanning tussen economische groei en milieuvriendelijk produceren met innovatieve oplossingen kunnen verminderen en is nu marktleider in groene energie technieken. Ingenieurs vinden het leuk en interessant en worden uitgedaagd om een volgende generatie producten te ontwikkelen. Ze zoeken daarnaar, nemen nu nog lastige eisen mee in het design, experimenteren met nieuwe mogelijkheden en leren daarvan. Zo worden langzamerhand eigenschappen toegevoegd die we nu nog niet kennen. Dus binnenkort veilig tegen dreigingen èn in privacy. Als opdrachtgever kun je je verantwoordelijkheid nemen door te helpen vanuit morele overwegingen nieuwe eigenschappen te specificeren en onderzoek of experimenten te (laten) doen. Daar help je niet alleen jezelf mee, maar is ook voor onze kenniseconomie van grote waarde. Jeroen van den Hoven vindt het van belang dat we de tegenstelling tussen bepaalde begrippen aanvaarden. Het is immers een echt probleem dat steeds terugkomt. Vereenvoudiging heeft volgens hem dan geen zin. Dat houdt mensen verdeeld. Vanuit filosofisch perspectief is het normaal dat mensen, en opdrachtgevers en beleidsmakers, twijfelen. In plaats van het probleem dan te vereenvoudigen is het beter het ingewikkelder te maken. Daal af naar een lager detailniveau, totdat mensen wel hun morele overwegingen expliciet kunnen maken en daarbij eisen en wensen kunnen formuleren en keuzen maken. Tot slot geeft Van den Hoven nog mee:

Interview door drs. J.E. (Jan) van Veenen Geinterviewde

Prof. dr. M.J. (Jeroen) van den Hoven Aandachtsgebieden: Ethiek en informatie management en in het bijzonder gebruik beschikbare gegevens versus recht op privacy. Jeroen van den Hoven is hoogleraar Ethiek, voorzitter van de afdeling Values and Technology en vice-decaan bij de faculteit Techniek, Bestuur en Managment (TBM) van de TU Delft. Daarnaast is hij wetenschappelijk directeur van het 3TU Centre for Ethics and Technology.

“Doe niet alsof er maar één antwoord mogelijk is, want dat antwoord is dan waarschijnlijk fout”.

88 | TRENDS


Marcel Thaens

Tot slot: enkele observaties uit de bijdragen De bijdragen in dit boekje gaan in op uiteenlopende aspecten die te maken hebben met innovatie binnen het veiligheidsdomein. Soms gaat het om het beschrijven van een case of een bepaalde benadering, soms om een nadere beschouwing van een thema. Maar ook worden vragen opgeroepen en ervaringen gedeeld. Dit slothoofdstuk tracht enkele lijnen uit de verschillende bijdragen te identificeren. Welke inzichten komen naar voren na lezing van de verschillende bijdragen?

Het belang van inclusieve en verantwoordelijke innovatie ICT – of meer algemeen technologie – vormt zeker een katalysator voor vernieuwing, maar ICT alleen is niet genoeg om tot blijvend succes te komen. Daarvoor moet worden gezocht naar aanvullende zaken zoals andere verdienmodellen en andere manieren van organiseren. Verschillende bijdragen tonen dit op uiteenlopende manieren. Zo pleit Van Leeuwen in het kader van de nieuwe cybersecurity strategie voor wat hij noemt ‘inclusieve innovaties’. Dit zijn innovaties waarin economische groeikansen slim worden gecombineerd met borging van veiligheid en privacy. Dit komt redelijk overeen met wat Van den Hoven bedoelt met ‘responsible innovation’. Hij bedoelt hiermee innovatie die aan meerdere eisen kan voldoen: zowel privacy als veiligheid. De Jonge beschrijft in zijn bijdrage een concreet voorbeeld van een dergelijke innovatie. Hij stelt dat Compronet sociale innovatie faciliteert met behulp van technologie. Niet de technologische toepassing als zodanig levert meer veiligheid in het publieke domein, maar de andere samenwerking tussen verschillende groepen binnen de maatschappij, zoals de burger en diverse soorten professionals. Ook in de bijdrage van Van de Crommert klinkt door dat technologie alleen – hoe belangrijk dan ook - niet kan zorgen voor blijvend

90 | TRENDS

resultaat. Hij wijst erop dat het belangrijk is om het veiligheidsgevoel van burgers positief te beïnvloeden en om de aantrekkelijkheid van de openbare ruimte te vergroten. De bijdrage van Wirschell laat daarnaast zien dat het gebruik van Virtual Reality technologie ingebed in trainingen, een meer waarde kan hebben in het leren omgaan met agressie. Crux hierbij lijkt te zijn dat meerwaarde ontstaat als nieuwe technologie wordt gecombineerd met levensechte gedragspatronen uit het dagelijkse leven om zodoende reacties hierop te simuleren. Een laatste voorbeeld hiervan is het pleidooi van Ducastel om rond de digitale overheid te komen tot een kader waarin wordt gedacht in verschillende niveaus van betrouwbaarheid. Dit helpt om de afweging te maken tussen gebruikersgemak en veiligheid en tussen innovatie en kosten, aldus Ducastel.

Succesvolle innovatie vergt intensieve samenwerking(en) Om tot succesvolle innovaties te komen moeten verschillende partijen/ bronnen bij elkaar komen, zo leert de innovatieliteratuur ons. Diverse bijdragen laten zien dat dit in de praktijk telkens opnieuw wordt bewezen. Bijvoorbeeld in het essay van Tops en Zouridis waarin ze de Taskforce georganiseerde criminaliteit beschrijven en analyseren. Deze Taskforce is bij uitstek een ‘coproductie’ met alle dynamiek van dien. Een van de zaken waar rekening mee moet worden gehouden, is een moeizame start en het feit dat dit soort samenwerkingsverbanden nooit ‘vanzelfsprekend’ zijn. Dat betekent dat ze hun legitimatie, resultaat en ambities dus permanent moeten vernieuwen. Ondanks dit soort uitdagingen blijkt intensieve samenwerking toch aantrekkelijk en zelfs een noodzaak te zijn. Zie ook Van Leeuwen die aangeeft dat de overheid de realisatie van de nieuwe cybersecuritystrategie niet alleen kan. Daarom acht hij coalities nood zakelijk. Coalities van overheid, wetenschap en bedrijfsleven die het mogelijk maken inclusieve innovaties te realiseren, aldus Van Leeuwen. Een bijzondere samenwerkingsvorm die meerdere keren genoemd is, is die tussen de overheid en burgers. Innovatie maakt het mogelijk om meer en meer verantwoordelijkheid bij de burger zelf te leggen. Een voor beeld hiervan is het persoonlijk gezondheidsdossier zoals genoemd door Hooghiemstra. Ook de Koninginnedag app (30 APPril app) zoals beschre ven door Driessen gaat uit van het idee dat je bezoekers en bewoners vooral moet voorzien van noodzakelijke informatie zodat ze zelf hun eigen verantwoordelijkheid kunnen nemen. Tegelijkertijd zie je dat innovaties ook meer en meer betrekking hebben op het aangaan van coalities tussen overheid en burger waar het gaat om het organiseren van veiligheid. Siep beschrijft dat burgerparticipatie een


Marcel Thaens

substantiële bijdrage kan leveren aan de effectiviteit van opsporing en handhaving. Het project Compronet zoals beschreven door De Jonge is hiervan een goed voorbeeld.

Design en ontwerpen winnen aan belang Opvallend is dat in meerdere bijdragen wordt gewezen op het belang van design en ontwerpen. Het idee hierachter is dat er vooraf goed moet wor den nagedacht over waarden en aspecten die met veiligheidsoplossingen samenhangen, zoals privacy. Hierdoor wordt het mogelijk om al in het ont werp van een oplossing of bij de start van een innovatie hiermee rekening te houden. Dit komt het draagvlak, maar ook de kwaliteit van de geboden oplossing ten goede. Achteraf aanpassen van een oplossing omdat geen rekening gehouden is met bepaalde waarden of issues, is vaak erg duur en lastig. Van Leeuwen heeft het in dit kader over welfare by design, security by design en privacy by design. Ook in de bijdrage van Wesseling gaat het over security by design. Hij noemt dit een leidend principe voor het vorm geven van informatieveiligheid. Van de Crommert wijst erop dat design ook direct kan bijdragen aan het vergroten van veiligheid door publieke ruimten anders in te richten (designing out crime).

Doordenk hoe individuele organisaties omgaan met innovaties Innovaties op zich zijn vaak veelbelovend, maar gaan niet vanzelf. Vaak betekent het dat een organisatie die erbij betrokken is intern het nodige moet organiseren en/of veranderen. Zo ziet Driessen de mogelijk heden van social media als informatiebron voor de politie. Echter, om hier optimaal gebruik van te maken, zo stelt hij, zou de politie een 24/7 webcare team moeten instellen. Ook in het kader van de politie blijkt uit onderzoek uitgevoerd door o.a. Thaens dat na een vaak experimentele fase waarin men ‘speelt’ met de vernieuwing, een fase moet volgen van inbedding in de staande organisatie/institutionalisering. Dat kan resulteren in effectiever gebruik van de vernieuwing (in dit geval sociale media) maar brengt ook het risico van afnemend innovatief vermogen met zich mee. Van Mil wijst op een ander aspect hoe organisaties vaak omgaan met innovaties. Hij geeft aan dat men de investeringen hierin meestal ziet als kostenpost. Zijn stelling is juist dat ontwikkelde veiligheidsoplossingen vaak ook wel degelijk bijdragen aan het efficiënter maken van de dagelijkse bedrijfs voering. Het integreren van crisismanagementmethodieken en -technieken zoals de ‘Common Operational Picture’ en ‘Netcentrisch Werken’ in de dagelijkse bedrijfsprocessen levert, volgens Van Mil, elke dag een meetbare verbetering.

92 | TRENDS

Sluit de ogen niet voor de eventuele keerzijde van innovaties Innovatie in het veiligheidsdomein is kansrijk, zo tonen de bijdragen aan. Maar tegelijkertijd moet er ook voor een te rooskleurig beeld worden gewaakt. Er zijn keerzijden verbonden aan vernieuwingen en ook hierop dient gereflecteerd te worden. Zo beschrijft Siep ten aanzien van de inzet en gebruik van beelden dat de politie beelden van burgers kan gebruiken in de opsporing, maar dat ze ook het handelen van de politie zelf transparant kunnen maken. Dit kan doorwerken in de publieke opinie over de politie, aldus Siep. Een vaak naar voren komende zorg bij (met name technologische) inno vaties is dat ze ten koste kunnen gaan van bijvoorbeeld de privacy van burgers. Uit het interview met Van den Hoven komt naar voren dat hij van mening is dat deze lastige afweging tussen privacy en veiligheid eigenlijk niet kan worden gemaakt omdat er sprake is van onverenigbare eenheden. Dat vraagt volgens hem om een andere benadering waarin je zoekt naar de morele uitgangspunten van betrokkenen om zodoende uit de klem van onverenigbaarheid te komen. Hij biedt hiervoor ook enkele concrete aan grijpingspunten met mooie benamingen als ‘the other privacy scandal’ en ‘beyond balancing’. Een keerzijde van een geheel andere orde is dat we als gemiddelde burger te weinig geleerd hebben over het omgaan met gevaren die we lopen als we actief zijn in de digitale wereld. Volgens Spruit loopt de digitale wereld op dit punt flink achter bij de fysieke wereld en hij pleit dan ook voor meer onderwijs om als burger in cyberspace goed gewapend te zijn tegen pro blemen als cybercrime. Daarnaast dient de burger ook van overheidswege beschermd te worden tegen dit soort gevaren. Van Wifferen beschrijft dat er op EU-niveau zeker wel initiatieven op dit vlak worden ondernomen. Ze constateert echter dat het Europees cybercrimebeleid zich met telkens twee stappen vooruit en één terug lijkt te ontwikkelen. Veel snelheid zit er niet in het waarmaken van de ambities, maar vergeleken met bijvoorbeeld vijf jaar geleden is er volgens haar al ontzettend veel gebeurd. Zo hebben we inmiddels een cloud- en een cybercrimestrategie en er is wetgeving over cybercrime.

Veiligheid is meer dan alleen handelen rond incidenten Binnen het veiligheidsdomein trekken incidenten vaak veel aandacht. Innovaties zijn dan ook regelmatig het gevolg van het zoeken naar een ant woord op de vraag hoe dit soort incidenten in de toekomst te voorkomen.


In verschillende bijdragen wordt erop gewezen dat veiligheid niet alleen gericht moet zijn op het handelen naar aanleiding van incidenten. Beter is het om incidenten te voorkomen en dus te zoeken naar structurele verbete ringen binnen het veiligheidsdomein. Maar in de cyberwereld wordt nauwelijks op deze manier over veiligheid gepraat, zo constateert Spruit in zijn bijdrage. Alleen even na een incident, waarna iedereen weer over kan tot de orde van de dag. Deze ‘incident gedrevenheid’ is ook een doorn in het oog van Wesseling. Volgens hem is de grootste uitdaging voor de Taskforce Bestuur en Informatieveiligheid Dienstverlening om bestuurders struct u reel te richten op informatieveiligheid om het onderwerp blijvend uit de sfeer van ‘incident gedreven’ te halen. Dat betekent dus dat bestuurders van overheidsorganisaties doordrongen moeten raken van het belang van digitale veiligheid en dat ze moeten worden voorzien van voldoende inzicht en vaardigheden om ze in staat te stellen actief sturing te geven aan de beheersing van digitale veiligheid in hun organisatie. Voor gemeenten wordt aan structurele verbeteringen gewerkt via de Informatiebeveiligingsdienst (IBD). Drewes en Wortmann beschrijven dat de centrale positionering van deze IBD voorkomt dat elke gemeente zelf het wiel gaat uitvinden. De IBD draagt bij aan het generiek en structureel inbedden van informatieveiligheid bij gemeenten en helpt op deze manier dus als het goed is om incidenten te voorkomen. Het bovenstaande overziend kan de conclusie zijn dat de vele bijdragen ons toch boeiende en waardevolle inzichten opleveren over innoveren binnen het veiligheidsdomein. Maar bedacht moet wel worden dat de bijdragen vooral ook momentopnames zijn. Als ze één ding duidelijk maken, dan is het wel dat er enorm veel wordt geïnnoveerd binnen het veiligheidsdomein en in een hoog tempo. Een voorspelling over waar het heen zal gaan, is dan ook zonder waarde.

Prof. dr. M. (Marcel) Thaens

94 | TRENDS


Over PBLQ PBLQ bestaat uit drie organisaties, HEC, ROI en Zenc, die hun krachten hebben gebundeld om de publieke sector nog beter in zijn kerntaken bij te staan. PBLQ heeft zich in zijn expertise toegelegd op de voor beleid en uitvoering essentiële aspecten ‘organisatie’, ‘informatie’ en ‘personeel’. Bij PBLQ werken ruim 150 hooggeschoolde deskundigen met veelzijdige ervaring. Met betrokkenheid en passie voor de publieke sector helpen zij mensen en organisaties in binnen- en buitenland. PBLQ wordt gevraagd voor:

Onderzoek en innovatie Altijd op zoek naar nieuwe manieren om maatschappelijke vraagstukken op te lossen. Onderzoek, zowel actie-onderzoek als toegepast wetenschap pelijk onderzoek, naar het openbaar bestuur vormt daarbij een belangrijke voedingsbron. Door middel van het doen van onderzoek proberen we de nieuwste ontwikkelingen op te sporen en te analyseren. Ook wordt onderzoek gebruikt voor het in kaart brengen van best practices. Op die manier kunnen wij voorop blijven lopen in de oplossingen die wij onze doelgroepen aan kunnen reiken. Daarnaast worden wij gevraagd voor evaluatie- en beleidsonderzoek voor complexe projecten, kwaliteits controles, begeleiden van promoties en het signaleren van trends.

Project- en interim management Al jarenlang zijn wij een betrouwbare partner op het gebied van programma-, interim- en projectmanagement van complexe trajecten. Naast deze klassieke managementrollen vervullen wij ook steeds vaker de rol van verandermanager. Wij helpen daarbij vanuit een onafhankelijke en deskundige positie een ingrijpende verandering in een organisatie te realiseren.

Training, coaching en opleiding Strategische advisering Wij adviseren en ondersteunen uiteenlopende organisaties in het publieke domein op het gebied van ‘strategie, beleid en uitvoering’, met name op het snijvlak van openbaar bestuur en de inzet van ICT. De kloof tussen die werelden is vaak nog groot en wij zijn er in gespecialiseerd deze te over bruggen. Onze adviseurs kunnen bestuurlijke problemen en oplossingen uitleggen aan vertegenwoordigers van het ICT-domein, maar ook omge keerd. Wij leggen de verbinding tussen de werelden van het openbaar bestuur en ICT, tussen beleid en uitvoering, tussen overheden en overheidslagen onderling en tussen overheid en bedrijfsleven.

Wij hebben al meer dan 35 jaar ervaring met het opleiden en ontwikkelen van organisaties en mensen in de publieke sector. Dit doen wij met advies-, coachings- en opleidingstrajecten. Onze aanpak is persoonlijk, professio neel en op maat gesneden.

Traineeprogramma’s Vanuit onze traineeprogramma’s leiden wij jonge professionals op tot master of public information management en Human Resource manage ment. Dit zijn leerwerktrajecten waarin jonge academici met enige jaren werkervaring een stevige masteropleiding combineren met het werken in projecten binnen de publieke sector.

Audits en reviews en contra-expertise Opdrachtgevers vragen ons veelvuldig om over de schouder mee te kijken bij complexe organisatorische of ICT-vraagstukken. Vanuit onze onaf hankelijke positie en als ‘hoeders van de publieke zaak’ onderzoeken we de situatie, geven we een onderbouwd oordeel en doen we concrete aanbe velingen om de opdrachtgever verder te helpen. Onze aanpak en referentie kader snijden wij toe op uw vraag. Wij geven niet alleen een oordeel, maar bieden ook bestuurlijk relevante aanbevelingen en daarmee concreet handelingsperspectief. Daarbij kan het gaan om primaire overheidstaken, maar ook om de ondersteunende bedrijfsvoering. 96 | TRENDS

PBLQ heeft zijn fundament in Nederland, maar is ook actief in Europees verband en in zich ontwikkelende landen.

Meer informatie vindt u op de website www.pblq.nl.


colofon Redactie Marcel Thaens Bianca Valkenburg Laura Wijnants Ontwerp Smidswater Drukwerk Edauw+Johannissen ISBN 978-90-75239-44-7 Januari 2014

Alle rechten voor behouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, kan voor de afwezigheid van eventuele (druk)fouten en onvolledigheden niet worden ingestaan en aanvaarden de auteur(s), redacteur(en) en uitgever deswege geen aansprakelijkheid voor de gevolgen van eventueel voorkomende fouten en onvolledigheden.

98 | TRENDS

Trends


18 experts over veiligheid en innovatie in de publieke sector Trends | Veiligheid en innovatie in de publieke sector PBLQ

Trends. veiligheid en innovatie in de publieke sector

Recommend Documents