Trends. veiligheid en innovatie in de publieke sector

Transcriptie

1 Trends veiligheid en innovatie in de publieke sector

2 TRENDS veiligheid en innovatie in de publieke sector

3 Inhoud Introductie 4 52 Henri van Mil Michel van Leeuwen Henk Wesseling Theo Hooghiemstra Pieter Tops en Ingrid van Wifferen 20 Stavros Zouridis Nathan Ducastel Bart Drewes en Marcel Spruit 26 Koen Wortmann Marcel Thaens Arnaud Wirschell Peter Siep Peter van de Crommert Bart Driessen Jeroen van den Hoven Elle de Jonge Tot slot: enkele observaties

4 Introductie Voorliggend boekje past binnen een traditie die zich begint af te tekenen. Dat begon twee jaar geleden met een PBLQ boekje over trends binnen de publieke sector. Vorig jaar werd dat gevolgd door een uitgave waarin nader werd stilgestaan bij een van de trends, te weten innovatie in de publieke sector. In het verlengde daarvan zoomen we dit jaar nog verder in. We richten ons nu op innovaties die spelen binnen het veiligheids domein. De keuze om dit jaar stil te staan bij dit specifieke domein is door meerdere redenen ingegeven. In de eerste plaats is veiligheid een relevant beleidsdomein. Het is een thema dat ieder van ons raakt en aangaat. En om die reden vinden we in de regel dan ook dat de overheid (of breder: de publieke sector) een belangrijke rol speelt (of dient te spelen) in het zorgen voor en borgen van veiligheid. Dit zowel op de schaal van de samenleving als geheel als op het niveau van de burger als individu. Na een dipje na het beëindigen van de koude oorlog is veiligheid als belangrijk (beleids)thema weer helemaal terug. De terreuraanslagen in 2001 en de dreiging van terreur sindsdien, zijn hierbij van grote betekenis geweest. Illustratief hiervoor is het feit dat we tegenwoordig in Nederland ook veiligheid weer terugzien in de naam van een ministerie (Ministerie van Veiligheid en Justitie). Daarnaast is het veiligheidsdomein vaak nauw verweven (geraakt) met andere beleidsdomeinen. Immers, veiligheid is vaak een aspect dat expliciet meegenomen moet worden bij het realiseren van andere (beleids)doelen. Snelwegen moeten niet alleen zorgen voor efficiënte verbindingen tussen A en B, maar moeten daarnaast ook veilig zijn. En voedsel moet niet alleen lekker, voedzaam en mooi voor het oog zijn, maar daarnaast ook veilig zijn om te eten en het moet uiteraard veilig zijn geproduceerd. Marcel Thaens Een derde rechtvaardiging om expliciet aandacht aan veiligheid te schenken is gelegen in de ontwikkeling van de samenleving. Steeds vaker wordt ons huidige type samenleving aangeduid als een netwerksamenleving. De ongekende mogelijkheden van ICT maken dit mogelijk en jagen dit aan. Vaak wordt echter de risicosamenleving gezien als keerzijde van de netwerk samenleving. Belangrijke karakteristieken van deze netwerksamen leving leiden ertoe dat veiligheid als thema blijvend hoog op de agenda komt te staan. Dat alles met alles verbonden lijkt te zijn en dat er sprake is van toenemende afhankelijkheid van technologie, versterkt het voorkomen van klassieke risico s en leidt tevens tot moderne risico s die we voorheen niet kenden. Denk aan cyberterrorisme, hacking of aan de diefstal van identiteit. Door bovengenoemde ontwikkelingen staat veiligheid dus hoog op de (beleids)agenda en mag het zich op een toenemende aandacht verheugen. Wat opvalt als je wat beter naar dit beleidsdomein kijkt, is dat er sprake is van een groot aantal en tevens ook veelsoortige innovaties. Het blijft gissen naar mogelijke verklaringen waarom dit zo is. Een van de verklaringen kan zijn dat het wellicht samenhangt met het feit dat met de toegenomen aandacht voor veiligheid ook meer middelen beschikbaar zijn gekomen. De verdeling van middelen volgt vaak immers de beleidsprioriteiten. Een tegengestelde verklaring lijkt echter even plausibel te zijn. Juist in deze tijden van taakstellingen en kortingen op budgetten wordt gezocht naar andere manieren om tot meer resultaat te komen. Ook dat is een stimulans voor innovatie. Mogelijk draagt ook de opkomst van moderne vormen van technologie bij aan het grote aantal innovaties. Moderne technologie leidt ertoe dat nieuwe werkwijzen, opsporing, detectie en preventie mogelijk worden die in het verleden niet voor handen waren (denk aan inzet van Drones en zoiets als predictive policing ). Een en ander wordt mogelijk nog versterkt doordat het besef steeds vaker doordringt dat de overheid niet in haar eentje de veiligheid van burgers en van de samenleving kan garanderen. Steeds vaker wordt daarvoor teruggevallen op arrangementen waarin publieke en private partijen en kennisinstellingen intensiever samenwerken en hun krachten bundelen. Juist het bij elkaar brengen van de verschillende expertises is wellicht ook een mogelijke bron voor de toename van het aantal innovaties op veiligheidsgebied. Wat ook de exacte reden is, er is vandaag de dag sprake van een groot aantal vernieuwingen op verschillende aspecten binnen het veiligheidsdomein. Deze vernieuwingen vinden zowel plaats vanuit de invalshoek van safety (hoe voorkomen we onbedoelde niet gewenste gebeurtenissen) als vanuit security (hoe voorkom je schade en ellende als gevolg van met opzet veroorzaakte niet gewenste gebeurtenissen). 4 TRENDS Veiligheid en innovatie in de publieke sector 5

5 Het is tegen deze achtergrond dat voorliggend trendboekje een aantal voorbeelden van vernieuwende praktijken en inzichten presenteert. Zo wordt stilgestaan bij onder andere crisis- en incidentmanagement oplossingen, het ontwerpen van veiligheidsbeleving, de inzet van een agressiesimulator binnen trainingen, een app gericht op crowd control en een toepassing die is ontworpen waarmee burgers en politie met social media samenwerken om overvallers en andere criminelen op te sporen. Aandacht is er ook voor de doorwerking van innovaties binnen het beleid rond veiligheid. Zo gaan bijdragen in op de noodzaak en de contouren van een nieuwe cybersecurity strategie in Nederland, de opmars van cybercrime als een Europees beleidsterrein en beschrijft een andere bijdrage de activiteiten die ondernomen worden ten aanzien van bestuur en informatiebeveiliging dienstverlening. Ook bijdragen die pleiten voor aandacht voor cybercrime in het onderwijs en een informatiebeveiligingsdienst voor gemeenten vallen in deze categorie. Tot slot biedt dit boekje ook ruimte om in te gaan op achtergronden die samenhangen met innovaties binnen het veiligheidsdomein en op het proces van innovatie zelf. In dit kader zijn er bijdragen over het gebruik van YouTube en Twitter voor opsporingsprocessen binnen de politie, een stuk over burgers die politieagenten filmen en wat dit vervolgens betekent. Ook zijn er bijdragen over privacy aspecten en over zaken als ethiek en integriteit. Passend bij de verschillende soorten bijdragen zijn sommige stukken korter en andere langer. Ook zijn sommige meer vanuit de praktijk beschreven en zijn anderen wat meer theoretisch. Ook bevat het boekje een interview en een wat langer beschouwend essay (over de aanpak van georganiseerde criminaliteit). Door de vorm van de bijdragen niet te veel te begrenzen hebben we getracht om recht te doen aan de verscheidenheid aan innovaties binnen het veiligheidsdomein en weerspiegelt dit boekje de veelvormigheid ervan. Prof. dr. M. (Marcel) Thaens 6 TRENDS Veiligheid en innovatie in de publieke sector 7

6 cybersecurity privacy Open digitale wereld Computer Europa Malware afluisteren NSA Online inzage in patiëntendossiers Sterke 24/7 kennisinfrastructuur PASSWORD: Cybercrime eoverheid PASSWORD: 8 TRENDS Veiligheid en innovatie in de publieke sector 9

7 Het belang van inclusieve innovaties in de cybersamenleving Does tracking babies every movement [..], make happier parents and healthier infants or are we turning our kids into tamagochies for no reason? Fast Company, november De digitale samenleving is bezig aan een onstuitbare opmars. Hij wordt ook wel de vijfde ruimte genoemd, of nog mooier in het Frans, le cinqième champ de bataille. De vijfde ruimte: na land, zee, lucht en ruimte. Verstoringen in deze ruimte, cyberspace, hebben een steeds grotere impact op onze fysieke ruimte. Waar vroeger internet het domein was van hobbyisten en waar informatie- en communicatietechnologie, ICT, vooral ons leven ondersteunde, is de verwevenheid met de fysieke wereld en onze afhankelijkheid ervan sterk toegenomen de laatste jaren. We gaan van always online via everywhere online naar everything online. Het einde van de groei is voorlopig nog niet in zicht. Wanneer zo n vijfde ruimte of digitale samenleving zich ontwikkelt komt ook steeds pregnanter de vraag van (be)sturing naar voren, het borgen van enig publiek belang en daarmee, overheidsoptreden. Hugo de Groot met zijn Mare Liberum gaf in 1609 richting aan de discussie over de vraag: van wie is de zee? Met de lancering van de Sputnik I in 1957 begonnen internationale discussies over regulering van de ruimte. Hoe moet dat nu met en in cyberspace? Michel van Leeuwen De ontwikkeling van de discussie over de digitale samenleving vanuit een veiligheidsperspectief is begonnen in de jaren 80. Met het ontluikende internet ontwikkelde zich computercriminaliteit. Centrale thema s daarbij waren fraude en kinderporno. Enkele jaren later, in 1988, na het verschijnen van de eerste worm (Morris), ontstonden in de jaren 90 teams die malware moesten bestrijden. Het vraagstuk van cybercrime breidde zich uit naar cybersecurity. Waar het eerste ging over opsporen van daders, voegde de laatste er ook het voorkomen en bestrijden van het middel, malware, aan toe. Tegenwoordig doet de term cyberresilience internationaal opgeld. Daarbij gaat het niet alleen meer om het opsporen, voorkomen en bestrijden van malware, maar ook het creëren van structuren, waarmee we het meest weerbaar zijn tegen cyberverstoringen en -aanvallen. Daarmee zijn thema s als crisisbeheersing, ketenveiligheid en herstel toegevoegd aan het palet van veiligheidsvraagstukken in cyberspace. Met het gebruik van ICT ontstaat er tevens een steeds grotere verzameling aan data. De hoeveelheid data is de afgelopen jaren exponentieel gegroeid en blijft volgens schattingen doorgroeien. Iedere minuut wordt er voor 48 uur aan filmmateriaal geupload bij YouTube. Waar in 2010 de grens van 1000 exabytes werd bereikt was die in 2013 al gestegen tot 4000 exabytes 1. Dat betekent dat driekwart van de data die er momenteel aanwezig zijn de afgelopen twee jaar is geproduceerd. Deze enorme hoeveelheid data krijgt daarmee waarde als fenomeen op zichzelf. We verzamelen meer, slaan alles op en hebben daarom ook meer te verbergen, zo lijkt het. Naast cybercrime en malware nemen ook incidenten met datalekken en data-inbreuken daarom in betekenis toe. En ondermeer meneer Snowden leerde ons dat ook (buitenlandse) inlichtingendiensten hier de waarde van inzien. Dat alles geeft de ontwikkeling van de digitale samenleving een nieuwe dimensie: die van het recht op privacy. Een zekere ontluikende polarisatie lijkt hier aan de orde. In de samenleving vandaag de dag zijn geluiden te horen over privacy in woorden als: ik heb niks te verbergen, en ik ben niet interessant voor die ander. Daartegenover staan mensen, die zich zeer bewust lijken van onze vrijheden en daarvoor vechten. Het lijkt dat een gebrek aan kennis en overzicht in het politieke en maatschappelijke debat ervoor zorgt dat de discussie nu nog vooral gepolariseerd lijkt. Een debat tussen de privacy-gelovigen en hen die stellen dat privacy dood is. Wat het in elk geval laat zien is dat het thema van vrijheden op internet een serieus te nemen kwestie is en terecht hoog op de agenda staat. 1 exabyte = 1 miljard gigabyte. OESO, Exploring data-driven innovation as a new source of growth, 18 juni TRENDS Veiligheid en innovatie in de publieke sector 11

8 Wat verder van belang is, is te kijken naar de drager van de data: de ICT hard- en software. Het is al geruime tijd gebruik in de ICT-wereld producten met een beta-status uit te brengen, bijvoorbeeld beta-software. Dit staat voor producten die nog niet helemaal af zijn, maar toch al worden gelanceerd. De gedachte is dat deze producten (die nog niet af zijn) door massaal gebruik rigoureus worden getest en dat met de testdata sneller dan in het laboratorium alle onvolkomenheden kunnen worden opgespoord en verholpen. Hiermee ontstaat een zeer efficiënt economisch model, waarmee men snel en tegen de laagste kosten tot innovatie komt. Dat leidt er overigens wel toe dat we in veel gevallen weinig illusies moeten hebben over de ingebouwde veiligheid en privacy van deze producten. Wie de moeite neemt om de voorwaarden voor het gebruik van betasoftware te lezen (en wie doet dat tegenwoordig?), zal zien dat er vaak geen garanties zijn op de kwaliteit van de software en dat gebruik in bedrijfskritische omgevingen wordt afgeraden. Auteur drs. M.H.G. (Michel) van Leeuwen Aandachtsgebieden: Nationaal en internationaal cybersecuritybeleid Michel van Leeuwen is hoofd Cybersecuritybeleid in de directie Cybersecurity van de Nationaal Coördinator Terrorismebestrijding en Veiligheid Wanneer we deze ontwikkelingen bij elkaar optellen, een sterkere afhankelijkheid van ICT, meer gevoelige data en een gebrekkige infrastructuur, dan wordt duidelijk dat bij ongewijzigde werkwijze de toekomst wellicht minder rooskleurig is dan het recente verleden. De dreigingen zijn reëel, zo blijkt ook uit ons jaarlijkse Cyber Securitybeeld Nederland. Wat mij als beleidsmaker daarom het meest bezig houdt is de vraag: wat is er nodig om de samenleving optimaal te laten blijven genieten van de mogelijkheden die internet en ICT ons te bieden hebben? Deze vraag ligt ook ten grondslag aan de recent verschenen tweede Nationale Cyber Security Strategie. In deze strategie hebben wij uiteengezet wat de kansen en bedreigingen van de moderne digitale samenleving zijn. Het stuk beoogt richting te geven aan de rol die de overheid en burger te vervullen hebben in de toekomst. Daarin staan bovenstaande thema s centraal. Thema s als economische en maatschappelijke groei, vrijheid en veiligheid. Met daarbij het perspectief dat de meest duurzame digitale samenleving ontstaat wanneer de innovaties inclusief zijn. Daarmee wordt bedoeld innovaties waarin economische groeikansen slim worden gecombineerd met borging van veiligheid en privacy. Welfare by design, security by design en privacy by design in één. Duidelijk is dat de overheid dit niet alleen kan. De vraag is zelfs of de overheid de belangrijkste speler is. Daarom zijn coalities noodzakelijk. Coalities van overheid, wetenschap en bedrijfsleven die het mogelijk maken deze inclusieve innovaties te realiseren. Nederland heeft daarvoor een prima startpositie: enerzijds een sterke kennisinfrastructuur gericht op innovatie en een traditie van overleg tussen de publieke en private sector. Dit alles kan en moet leiden tot een toekomst die cybersecure is. Cyber security in de breedste zin van het woord: een open digitale wereld die economisch maximaal groeit, veilig is en waar persoonlijke vrijheden worden gerespecteerd. 12 TRENDS Veiligheid en innovatie in de publieke sector 13

9 Zorg, Veiligheid & Privacy Theo Hooghiemstra gaat in op twee trends op het snijvlak van Zorg en Veiligheid waar we de komende tien jaar nog veel over zullen horen. Hij moedigt van harte de trend aan om via Privacy by design vertrouwen te creëren op het snijvlak van Zorg en Veiligheid. Daarnaast gaat hij in op de internationale trend van Persoonlijke Gezondheidsdossiers (PGD s), waar we ook in Nederland mee te maken krijgen. Om patiënten gegevens in PGD s voldoende te beschermen bepleit hij naast het medisch beroepsgeheim dat geldt voor dossiers van zorgverleners een patiëntengeheim voor patiënten die zelf hun dossier (laten) beheren. Trend: Privacy by design Wat is privacy by design eigenlijk, zult u waarschijnlijk denken. Dit begrip gaat uit van het principe dat in een vroeg stadium wordt nagedacht over het goede gebruik van persoonsgegevens binnen een organisatie, over de noodzaak van het gebruik van deze gegevens en over de bescherming ervan. Door bij het ontwikkelen van systemen privacy en bescherming van persoonsgegevens in te bouwen, is de kans op vertrouwen en daarmee op succes het grootst. Dat vertrouwen is noodzakelijk om de - bij vele actoren beschikbare - (zorg)data te kunnen verbinden en verrijken tot waardevolle informatie en kennis. Privacy by design in de praktijk Tot voor kort is bij de inrichting van informatiesystemen in de zorg vrijwel geen aandacht besteed aan het op voorhand afdwingen van privacynormen. Op dat gebied is er bij de ontwikkeling van het (lokale) elektronisch patiëntendossier (EPD) bijvoorbeeld slechts één initiatief te vinden, namelijk van het toenmalig psychiatrisch ziekenhuis Veldwijk. Hier had men bij het EPD de medische informatie en de Theo Hooghiemstra identificeerbare gegevens van elkaar gescheiden met behulp van zogenaamde identity protectors. Dit ziekenhuis maakte als een van de eersten gebruik van Privacy Enhancing Technologies (PETs), daartoe geïnspireerd door een privacy-audit van de toenmalige Registratiekamer (nu CBP). PETs zijn te definiëren als een samenhangend geheel van ICT-maatregelen dat de persoonlijke levenssfeer beschermt door het elimineren of verminderen van persoonsgegevens, of door het voorkomen van onnodige dan wel ongewenste verwerking van persoonsgegevens. Een en ander zonder verlies van de functionaliteit van het informatiesysteem waarbinnen de gegevens zijn gebruikt. PETs zijn onderdeel van een overkoepelende privacy by design -methodiek: het zijn de basisbouwblokken bij het ontwerpen en bouwen van privacyvriendelijke systemen. Ontwerpprincipes Verschillende ontwerpprincipes helpen bij het ontwerp van een privacyvriendelijk systeem 1. Select before you collect is één bijvoorbeeld. Dit principe staat ook wel bekend als het dataminimalisatieprincipe. Beoordeel of je een bepaald gegeven nodig hebt en verwerk het alleen als dit inderdaad zo is 2. Een tweede ontwerpprincipe is context separation. Dit principe vereist dat gegevens over een persoon uit de ene context niet gebruikt worden in een andere context, of gecombineerd met gegevens over deze persoon uit een andere context. In het geval van PETs betekent dit dat identiteits- en pseudo-identiteitsdomeinen binnen informatiesystemen gesplitst dienen te zijn via een identity protector. Ook anonimiseren is een ontwerpprincipe. Dit principe vereist dat we alle gegevens verwijderen die ervoor zorgen dat de informatie tot een persoon herleidbaar is. Dit is lang niet zo eenvoudig als het op het eerste gezicht lijkt. Vaak is het zo dat een aantal, ieder op zich vrij algemene, kenmerken een persoon uniek kunnen identificeren. Met big data is hernieuwde identificatie, door de toename van kwantiteit en variëteit van de informatie, veel gemakkelijker. Vanuit juridisch perspectief stelt de voorgestelde EU-verordening Gegevens bescherming het principe privacy by design verplicht 3. Dat betekent de verplichting tot het hanteren van de standaardinstellingen die de betrokkene de beste bescherming van zijn privacy bieden. Er zijn al goede praktische voorbeelden van privacy by design. Trusted Third Parties 1 J.H. Hoepman, T.F.M. Hooghiemstra, Goede code: de digitale samenleving in balans, in Regelmaat 2012 (27) 2 Jacobs, B. Select before you collect. Ars Aequi 54 (Dec. 2005), Proposal for a Regulation (EC), General Data Protection Regulation. Brussels , com(2012) 11 final. 14 TRENDS Veiligheid en innovatie in de publieke sector 15

10 Theo Hooghiemstra (TTPs) is er één van. Hiermee heb ik bij PBLQ zelf ervaring opgedaan bij het Parelsnoerinitiatief. Andere voorbeelden zijn de versleutelingstechnologie, de persoon op wie de informatie betrekking heeft automatisch op de hoogte stellen (sms), intelligente logging/softwareagents, en de Nederlandse privacyvriendelijke zoekmachine Ixquick ( Deze zoekmachine heeft als enige in Europa het Europese privacycertificaat. Je kunt er zonder privacyrisico s rondsnuffelen op internet, de zoeker is niet te traceren en blijft anoniem. Trend: Persoonlijk Gezondheidsdossier (PGD) Mede als gevolg van social media hebben we tegenwoordig een overdaad aan keuzes. Het Persoonlijk Gezondheidsdossier (PGD) is een voorbeeld van de manier waarop de burger die keuze- en informatievrijheid kan aanwenden in de zorg. PGD s zijn er in allerlei soorten en maten. Meestal wordt het PGD gedefinieerd als een database met persoonlijke gezondheidsinformatie, gecombineerd met tools die de patiënt helpen bij het gebruiken van de informatie. De afgelopen jaren is de populariteit van PGD s wereldwijd sterk gestegen. Sinds juli vorig jaar kunnen alle inwoners van Australië die dat willen zelfs al over een wettelijk geregeld PGD beschikken. In Zweden heeft de overheid het voornemen om zo n dossier ook aan te bieden met behulp van het private door Microsoft ontwikkelde HealthVault. In Nederland zijn er vooralsnog alleen private initiatieven zoals Patient1, Medlook, MijnDVN en Mijngezondheid.net. Maar ook in ons land wordt aan meer publieke varianten gewerkt. De KNMG, Zorgverzekeraars Nederland en de Nederlandse Patiënten Consumenten Federatie (NPCF) hebben in de Nationale Implementatie Agenda ehealth onlangs afgesproken dat het PGD een belangrijk speerpunt voor de komende jaren is. De RVZ bepleit al vele jaren in diverse rapporten patiënten online inzage in hun dossiers te geven. Een PGD kan daar heel behulpzaam bij zijn. Het gaat volgens mij niet om de vraag of het PGD in de plaats moet komen van bestaande zorgdocumentatie, zoals lokale en regionale zorgdocumentatie (EPD s) of de landelijke zorginfrastructuur, die beide juridisch gezien naar mijn idee terecht onder de dossierplicht van de zorgverlener vallen. We kunnen ook maar het beste de bestaande zorgdocumentatie behouden. Daarop zijn de PGD s dan een gewenste aanvulling, zodat de patiënt zelf meer zeggenschap krijgt en er meer relevante informatie beschikbaar kan komen. Overigens heeft het aan de RVZ gelieerde Centrum voor Ethiek en Gezondheid een argumentenwijzer gemaakt over onder andere PGD s, die wijzer is in te zien op: Veiligheid en vertrouwen met een PGD? Het PGD is een prima hulpmiddel als aanvulling op het dossier van de zorgverlener, als de patiënt het vrijwillig kan bijhouden. Ogenschijnlijk lijkt het dat de patiënt dan zelf de volledige macht heeft over het PGD. Vanuit juridisch perspectief draait het om de vraag of dit ook echt zo is. En wie is verantwoordelijke voor het PGD in de zin van de Wbp? Dat is vanuit juridisch oogpunt cruciaal. Is dat de patiënt, is dat een ICT-bedrijf, een (verzameling) zorginstelling(en), een zorgverzekeraar, een patiëntenorganisatie of mogelijk nog een andere partij? Als een andere partij dan de patiënt de macht heeft, dan zal die partij dienen te voldoen aan de plichten uit de Wbp. Bettine Pluut constateert in een rapport 4 voor de NPCF dat een PGD volgens veel wetenschappers de meeste waarde heeft wanneer het is verbonden met het EPD van de zorgverlener. Gegevens in het PGD voldoende beschermd? Als de Wbp van toepassing is op het PGD geldt er voor de verantwoordelijke een strikt beschermingsregime. Dan is er sprake van gezondheidsgegevens in de zin van artikel 21 Wbp: gegevens betreffende de geestelijke en/of lichamelijke gesteldheid van de patiënt. In de achtergrondstudie nummer 23 van het CBP is de algemene beveiligingsplicht nader ingevuld aan de hand van risicoklassen. Voor hoogwaardige authenticatie en machtiging bij PGD s kan te zijner tijd misschien de Elektronische Identiteitskaart of bijvoorbeeld eherkenning uitkomst bieden? Wanneer de partij die verantwoordelijk is voor het PGD geen zorgaanbieder is, maar bijvoorbeeld een commerciële aanbieder, mag deze partij volgens artikel 21 Wbp alleen gezondheidsgegevens verwerken wanneer dat op grond van een wet is toegestaan, of wanneer de patiënt toestemming heeft gegeven. Op een niet-zorgaanbieder als verantwoordelijke partij is het medisch beroepsgeheim niet van toepassing. Het is de vraag of het medisch beroepsgeheim wel geldt als een zorgaanbieder PGD s beheert, omdat het PGD immers geen dossier van de zorgaanbieder is in de zin van artikel 7:454 lid 1 BW. 4 Pluut, B., Wetenschappers over het PGD: een literatuurstudie naar persoonlijke gezondheidsdossiers. NPCF, november TRENDS Veiligheid en innovatie in de publieke sector 17

11 Advies: Privacy by design & Patiëntengeheim Naast mijn algemene advies om via Privacy by Design vertrouwen te creëren op het snijvlak van Zorg en Veiligheid adviseer ik specifiek voor PGD s: bestudeer of er zoiets als een patiëntengeheim moet komen voor het PGD 5. Weliswaar heeft de patiënt formeel de mogelijkheid om aan derden de toestemming tot het PGD te weigeren, maar dat beschermt hem of haar nog niet tegen de invloed van politie- en opsporingsdiensten, verzekeraars en andere financiële instellingen, ICT-bedrijven of tegen overige al dan niet commerciële partijen die wellicht macht uitoefenen om de inhoud van het PGD te bemachtigen. Auteur mr. drs. T.M.F. (Theo) Hooghiemstra Aandachtsgebieden: Privacy van persoonsgegevens en zorg Theo Hooghiemstra, algemeen secretaris/ directeur van de Raad voor de Volksgezondheid en Zorg (RVZ) en expert bescherming persoonsgegevens. Zijn pleidooi is gebaseerd op zijn ervaring en opgedane inzichten bij het College Bescherming Persoonsgegevens (CBP), het Nationaal ICT Instituut in de Zorg (Nictiz), Het Expertise Centrum (tegenwoordig PBLQ HEC) en nu bij de RVZ. 5 Theo Hooghiemstra en Pieter Ippel, Zeggenschap over het EPD, ethisch en juridisch perspectief, CEG, februari 2011, p TRENDS Veiligheid en innovatie in de publieke sector 19

12 schoorvoetend maar gestaag een Europees beleidsterrein Echt van harte gaat het niet, het Europese beleid rond cybercrime. Veel lidstaten houden vast aan hun eigen beleid en echte bevoegdheden en doorzettingsmacht van de EU ontbreken. Wetgeving rond cybercrime wordt deels aangenomen en deels uitgesteld, maar ondanks het gebrek aan daadkracht, snelheid en enthousiasme wordt er steeds meer op Europees niveau geregeld. De Europese Unie zet al jaren in op het op Europees niveau bestrijden van cybercrime. Vijf jaar geleden probeerde de Europese Commissie heel ambitieus om grote ICT-netwerken te bestempelen als kritieke overheidsystemen en deze aan Europese regels te onderwerpen. De lidstaten waren hier niet van gediend en nadat eerst ICT-systemen buiten wetgeving werden gehouden en de wet steeds verder werd uitgekleed, trok de Europese Commissie het wetsvoorstel terug. Ondanks deze tegenvaller is er wel vooruitgang geboekt op het gebied van cybercrime. Er is wetgeving aangenomen om straffen voor cybercriminaliteit te verzwaren. Er is een cybersecuritystrategie aange nomen en er wordt onderhandeld over Europese wetgeving die de risicomaatregelen die lidstaten moeten nemen aanzienlijk aanscherpt. Er worden ook veel best-practices uitgewisseld en er wordt veel onderzoek gedaan. De Commissie heeft inmiddels wel een Europees systeem voor het uitwisselen van informatie over cybercrime opgezet. Dit zogenaamde EISAS - European Information Sharing and Alert System - heeft een nationale component met de naam Information Sharing and Alert System (N)ISAS. De Europese Unie heeft ook een eigen Computer Emergency Response pre-configuration Team (CERT) opgericht. Dit team moet alle instellingen in de Unie beschermen tegen aanvallen Ingrid van Wifferen op de informatiesystemen. Het team bestaat uit IT beveiligingsexperts uit verschillende EU-instellingen. In Nederland wordt de CERT vormgegeven door het Nationaal Cyber Security Centrum. Europa roert zich ook rond het onderwerp cloudcomputing. Naar aanleiding van het spionageschandaal rond de VS en Edward Snowden vertrouwt het Europees Parlement de Amerikaanse cloudoplossingen niet meer. In het Europees Parlement gaan daarom stemmen op om een echte Europese cloud op te zetten. Parlementariërs wilden dit nog snel voor de Europese verkiezingen in mei 2014 juridisch regelen door middel van amendementen in nieuwe wetgeving rond privacybescherming. De regeringsleiders hebben dit voorlopig tegengehouden door de onderhandelingen rond deze privacywetgeving tot 2015 stil te leggen. Er wordt aan de praktische kant ondertussen wel doorgewerkt aan Europese cloudcomputing. Er is bijvoorbeeld een Europese cloudstrategie uit gebracht en er wordt aan Europese standaarden gewerkt binnen de CloudforEurope pilot. Zo bezien lijkt het Europees cybercrimebeleid zich met telkens twee stappen vooruit en één terug voort te bewegen. Dit lijkt inefficiënt en weinig daadkrachtig, maar ook met deze zeer omslachtige manier van voortbewegen kom je uiteindelijk wel vooruit. Veel ambities zijn niet waargemaakt maar vergeleken met bijvoorbeeld vijf jaar geleden is er al ontzettend veel gebeurd; er is een cloudstrategie opgesteld en een cybercrimestrategie, en er is wetgeving over cybercrime. Verder wordt er veel meer informatie uitgewisseld. Met de Europese verkiezingen in aantocht en een nieuwe Europese Commissie zullen de grote plannen voor de komende jaren weer ambitieus worden ingezet. Deze plannen zullen ongetwijfeld voor een groot deel niet lukken maar ondertussen zal er op Europees niveau steeds meer geregeld en afgestemd worden en zal de opmars van Europa op het gebied van cybercrime langzaam en gestaag doorzetten. Auteur Drs. I. (Ingrid) van Wifferen Aandachtsgebieden: Europese besluitvorming, monitoring en eoverheid. Ingrid van Wifferen heeft een uitgebreide kennis van Europees beleid op het gebied van de eoverheid en Europese besluitvormingsprocessen. 20 TRENDS Veiligheid en innovatie in de publieke sector 21

13 Betrouwbare digitale overheid A modern public sector is an essential part of Europe's answer to the challenges of the 21 st century. schrijft de Europese Commissie in haar jaarplan De Nederlandse overheid heeft de weg van eoverheid en ioverheid al jaren geleden ingeslagen en blijft onverminderd van belang. De samenhang en afhankelijkheden die dit met zich meebrengt, dwingen tot duidelijkere uitspraken over kwaliteit en betrouwbaarheid van gegevens en diensten. Nathan Ducastel die op briefjes op het bureau zijn geplakt en rapporten over overheden die de informatiebeveiliging nog niet voldoende op orde hebben, zijn aan de orde van de dag. Bewustzijn op dit gebied ontwikkelt zich langzaam, nu de effecten van verkeerd gebruik steeds vaker de media halen. Voor overheden betekent dit echter niet dat deze waarden niet belangrijk zijn. Immers het vertrouwen van de burger in monopolist de overheid is ermee gemoeid. En hoe sterker dat vertrouwen, hoe eenvoudiger, en goedkoper de overheid haar werk kan doen. De spanning tussen gebruiksgemak en veiligheid is een belangrijk aandachtspunt voor bestuurders; vanuit het perspectief van succes van de dienstverlening en vertrouwen, maar ook vanuit kosten (hoe veiliger, hoe duurder). Achter de schermen werken (overheids)organisaties in ketens samen om digitale dienstverlening mogelijk te maken. Gegevens worden uitgewisseld en diensten worden gecombineerd tussen overheden en overheidsdiensten, en gezamenlijk aangeboden. Goede voorbeelden hiervan zijn de berichtenbox, het gezamenlijke pensioenoverzicht en het vooringevulde aangifte inkomstenbelasting. Bij de uitwisseling van gegevens, en binnen de wettelijke kaders, is steeds de toegangsvraag relevant: Mag deze persoon of organisatie (verder: persoon) deze gegevens gebruiken? Het digitale kanaal is in opmars. Van het aanvragen van een vergunning tot een afspraak maken met de gemeente en van studiefinanciering tot het afhandelen van de inkomstenbelasting, het kan langs de digitale weg. Iedere dag innoveert de overheid verder. Succesvolle elektronische dienstverlening draagt bij aan een versnelling van een sterke economie. Voor burgers en bedrijven is het prettig om 24/7 diensten aan te kunnen vragen zonder de gang naar het loket af te hoeven leggen, of te wachten op toegezonden formulieren. Voor overheden biedt het digitale kanaal de kans om diensten sneller en efficiënter te verlenen, prettig in een tijd waar iedereen moet bezuinigen. Gebruikersgemak blijkt de sleutel tot succesvolle elektronische dienstverlening; het gebruik van de voorziening zelf, en het gemak van de waarde van de dienst die daarachter schuilgaat zijn de belangrijkste voorspellers van succes. Dit blijkt in Nederland maar ook in de ons omringende landen. Over veiligheid, betrouwbaarheid en privacy lijkt de gemiddelde gebruiker zich minder zorgen te maken. Persoonlijke gegevens die op allerlei fora worden achtergelaten, gebruikersnamen en wachtwoorden Dit geldt voor overheden onderling en voor de communicatie tussen burger/bedrijf en overheid. Daarbij gaat het in essentie om twee aspecten: Is deze persoon wie hij/zij claimt te zijn (elektronische identificatie en authenticatie eid) en heeft deze persoon de juiste bevoegdheden om de gegevens in te zien (autorisatie/vertegenwoordiging). Voor het eerste aspect zijn DigiD of eherkenning voor handen voor de interactie met burgers en bedrijven. Professionals hebben soms een sectorspecifiek middel zoals bijvoorbeeld de UZI-pas in het zorgdomein. Binnen het Europese STORK project (Secure identity across borders linked) is een indeling in vier maten van betrouwbaarheid van elektronische identificaties gemeengoed geworden, dit is in Nederland overgenomen. De indeling maakt het mogelijk om veiligheid en gebruiksgemak op elkaar af te stemmen en voor verschillende diensten, verschillende afwegingen te maken. Het Forum Standaardisatie heeft voor overheidsdienstaanbieders een handreiking eenvoudige risicoanalyse ontwikkeld om gevoel te krijgen bij het gewenste betrouwbaarheidsniveau voor een bepaalde dienst. Het tweede aspect gaat over bevoegdheden. Is deze persoon gemachtigd om namens iemand anders op te treden? Of is deze persoon gekwalificeerd, 22 TRENDS Veiligheid en innovatie in de publieke sector 23

14 bijvoorbeeld als medisch specialist en daarmee bevoegd om medische gegevens in te zien? Bevoegdheden liggen in de regel vast in registers. Bijvoorbeeld in een machtigingenregister of een beroepsregister. Net zoals er een indeling in betrouwbaarheidsniveaus geldt voor eid, is het ook van belang betrouwbaarheidsniveaus te koppelen aan autorisatie en vertegenwoordiging. Dit belang wordt groter naarmate de verwevenheid van elektronische diensten en dienstverlening stijgt, zoals nu het geval is. Binnen het Europese project STORK 2.0 dat momenteel loopt, wordt hieraan gewerkt. De berichten (attributen) die volgen op een bevraging aan een dergelijk register moeten niet alleen leiden tot een inhoudelijk antwoord, maar ook vergezeld gaan door een uitspraak over de betrouwbaarheid van het attribuut en het achterliggende gegeven. Daarmee geeft het register inkleuring aan de kwaliteit. Daarbij zijn bijvoorbeeld van belang: het registratieproces, de periodieke check op de gegevens in het register en de kwaliteit van het register zelf. Een dergelijk kader voor attributen én de achterliggende registers ontbreekt vooralsnog binnen de Nederlandse eoverheid. Met geïntegreerde, wederkerige, digitale dienstverlening, nog meer uitwisseling in ketens, en het digitale kanaal dat verder uitgroeit tot voorkeurskanaal, wordt het wel steeds belangrijker als onderdeel van het fundament. Auteur drs. N. (Nathan) Ducastel Aandachtsgebieden: egovernment, elektronische identiteiten, ruimtelijke informatie, Europa, Internationaal. Nathan Ducastel is director PBLQ Europe & International en adviseert over de eoverheid nationaal en internationaal. Europa als meest buitenste binnenland heeft daarbij zijn bijzondere aandacht. Hij kijkt naar de eoverheid vanuit een gebruiks- en organisatie perspectief. Het denken in verschillende niveaus helpt om de afweging te maken tussen gebruiksgemak en veiligheid, tussen innovatie en kosten. Het motto voor dienstverlening is daarbij niet: hoe veiliger, hoe beter maar passende betrouwbaarheid op basis van gekende kwaliteit. 24 TRENDS Veiligheid en innovatie in de publieke sector 25

15 Meer aandacht nodig voor cyber security in het onderwijs We leven sinds mensenheugenis in een fysieke wereld. Een wereld waarin we andere mensen ontmoeten, waar we wonen en werken in gebouwen en ons verplaatsen met voet, fiets, auto of openbaar vervoer. Sinds de vorige eeuw is daar de cyberwereld bijgekomen. Een wereld van computers en netwerken, van bits en bytes. Een wereld waarin afstanden geen rol spelen: thuis of Australië is in de cyberwereld om het even. Niemand ontkomt aan de cyberwereld. Van het ene op het andere moment zit je erin. Bijvoorbeeld als je belt, sms t, een mail stuurt, shopt of bankiert op internet, in een winkel betaalt met een pinpas of een mobiel, een verhuizing doorgeeft aan de gemeente, de belastingaangifte online invult, enzovoort. Minder bekend is dat maatschappelijk vitale objecten, zoals bruggen, sluizen, gemalen, waterzuivering en energiecentrales vanuit de cyberwereld worden bewaakt en bestuurd. Daardoor kunnen deze objecten met minder mensen sneller en beter bestuurd worden. En zo worden kosten bespaard. Bovendien kunnen vitale objecten via de cyberwereld constant gemonitord en bijgestuurd worden. En dat komt de veiligheid ten goede. Zo hoeft een waterbeheerder bij een plotselinge wolkbreuk niet meer bij nacht en ontij op pad om een gemaal aan te zetten, maar doet hij dat via het internet, van huis uit, direct wanneer dat nodig is. En bovendien kan hij van daaruit ook via het internet het waterpeil in de gaten houden, met sensoren die overal vandaan waterstanden doorgeven. Aan al dit gemak zit een keerzijde: als een waterbeheerder via het internet bij een gemaal kan, dan kunnen anderen dat ook. Dat kan iemand zijn die daar per ongeluk via het internet komt, maar het kan ook een cyber crimineel of terrorist zijn. Dat moeten we zien te voorkomen. Daarvoor zijn beveiligingsmaatregelen nodig. Maar het vergt kennis en inzicht om te kunnen bepalen wat aan beveiliging nodig is. Marcel Spruit Kennis en inzicht ten aanzien van beveiliging in de cyberwereld is dun gezaaid. Als het over veiligheid in de fysieke wereld gaat dan weet vrijwel iedereen waar het over gaat, wat er nodig is en wat de consequenties zijn als je beveiligingsmaatregelen aan je laars lapt. Zo hoef je niemand uit te leggen dat je s winters een jas aandoet om geen kou te vatten, dat je op de weg rechts houdt om botsingen te voorkomen en dat je geen slootwater drinkt als je dorst hebt. In de cyberwereld is beveiliging minder vanzelfsprekend. Zo zijn er weinig mensen die hun mobieltje na gebruik vergrendelen, kiezen veel mensen makkelijk te onthouden codes en wachtwoorden en geven ze allerlei geheimen prijs in sociale media. Hoe komt het dat beveiliging in de fysieke wereld zoveel vanzelfsprekender is dan in de cyberwereld? In de fysieke wereld is het de gewoonste zaak van de wereld dat iedereen van jongs af aan wordt opgevoed in veilig handelen. Dat begint al vroeg. Als een peuter net kan lopen, leren zijn ouders hem veilig over te steken: eerst links kijken, dan rechts kijken, dan weer links kijken, en als er dan nog niets aankomt mag je oversteken. Op de basisschool doen alle kinderen een verkeersexamen, waarin ze laten zien dat ze de verkeersregels kennen en veilig kunnen fietsen. Om auto te mogen rijden moeten we een scala aan veiligheidsregels tot ons nemen, vervolgens uitgebreid oefenen en dan met een theorie- en een praktijkexamen bewijzen dat we veilig kunnen rijden. In de cyberwereld gaat dat anders. De eerste de beste peuter krijgt eerder vroeg dan laat een moderne mobiele device. Veelal een exemplaar dat vader of moeder net heeft afgedankt, ten gunste van een gloednieuw en nog veelzijdiger exemplaar. Peuterlief leert in no-time hoe je hiermee al vegend over het scherm spelletjes kan doen. Desgewenst helpen vader of moeder nog even, zodat het nog sneller en soepeler gaat. Niemand die met een woord rept over wat je wel en niet zou moeten doen en waar gevaren loeren. Veel kinderen krijgen als ze naar de basisschool gaan voor hun mobieltje een abonnement waarmee ze de hele wereld binnen handbereik hebben, want dan kunnen de ouders ze te allen tijde bereiken om te horen dat het nog goed met ze gaat. Weer rept niemand over de do s en don ts. Op de basisschool en het voortgezet onderwijs worden alle leerlingen, zelfs zonder hun eigen mobiele devices, de cyberwereld ingeduwd, want dat leert zo fijn en het ontlast de docenten. En weer rept niemand over wat je wel en niet zou moeten doen en waar gevaren op de loer liggen. Ook op vervolgopleidingen is veiligheid in de cyberwereld geen onderdeel van de lesstof. 26 TRENDS Veiligheid en innovatie in de publieke sector 27

16 Een groter contrast tussen de fysieke wereld en de cyberwereld is nauwelijks mogelijk. In de fysieke wereld wordt veiligheid er bij iedereen van jongs af aan met de paplepel ingegoten. In de cyberwereld wordt nauwelijks over veiligheid gepraat. Alleen even na een incident, waarna iedereen weer over kan tot de orde van de dag. Is het misschien zo veilig in de cyberwereld dat veiligheid daar een nonissue is? Daar lijkt het niet op. Het lijkt er eerder op dat de cyberwereld nog onveiliger is dan de fysieke wereld. In de cyberwereld loop je zo een (computer)virus op. Op dit moment zijn er meer dan 50 miljoen verschillende virussen en andere malware bekend 1. Gelukkig hebben de meeste mensen antivirus op hun computers, waarmee ze de meeste virussen en malware tegenhouden. Maar niet allemaal 2. Bovendien hebben de meeste mensen geen antivirus op hun tablets, pda s en mobieltjes. Die zijn dus extra vatbaar voor virussen. In 2010 werd duidelijk dat sommige computervirussen ook fysiek uiterst schadelijk kunnen zijn. Het virus Stuxnet saboteerde toen een nucleaire installatie in Iran 3. Ook spionnen en criminelen hebben het internet ontdekt. Vrijwel dagelijks worden nieuwe gevallen van cyberspionage of cybercrime gemeld. Voorbeelden zijn het afluisteren door de NSA en andere geheime diensten, de onveilige sluisbesturing van de gemeente Veere en DDoS-aanvallen op banken en andere organisaties. Aangezien de meeste slachtoffers van cyberproblemen de openbaarheid mijden, zijn er waarschijnlijk nog veel meer gevallen waar we nooit van horen. Het lijkt er dus op dat veiligheid in de cyberwereld een zeer belangrijk onderwerp is, dat echter veel te weinig aandacht krijgt. De sterke groei en bloei van cybercriminaliteit en andere cyberdreigingen wordt mede mogelijk gemaakt door de onveilige omgang met internet, mobiele devices en andere informatietechnologie. En dat is natuurlijk niet zo gek als we daar zo weinig opleiding en training voor krijgen. Aangezien we hier een maatschappelijk probleem hebben dat onder meer aangepakt moet worden in het reguliere onderwijs, ligt het voor de hand dat de overheid hierin het voortouw neemt. Deels doet de overheid dit al met het programma Digivaardig & Digiveilig van het ECP (platform voor informatiesamenleving) 4, maar andere overheidsorganen zijn op dit terrein nog niet erg actief. Het is nog wachten tot het reguliere onderwijs de handschoen opneemt en dit probleem bij de bron gaat aanpakken ibob: online cursus veilig digitaal werken Auteur Dr. M.E.M. (Marcel) Spruit Aandachtsgebieden: cybersecurity en informatiemanagement Marcel Spruit is lector Cybersecurity & Safety aan de Haagse Hogeschool. Hij ontwikkelt nieuw onderwijs en onderzoek, vooral op het gebied van cybersecurity en doceert aan de opleiding Certified Public Controller. Daarnaast is hij kerndocent binnen de Master of Public Information Management die door de Erasmus Universiteit Rotterdam in samenwerking met PBLQ HEC wordt aangeboden. Een methode om medewerkers meer bewust te maken van de gevaren in de cyberwereld is ibob. ibob staat voor ibewust, iopgeleid en ibekwaam en heeft tot doel medewerkers bewust te maken van de risico s die zij lopen in een gedigitaliseerde wereld. Of het nu gaat om mobiel werken via tablets en smartphones, of beleidsmedewerkers die de hele dag gebruik maken van het internet om informatie te verzamelen en/of online te delen, er zijn risico s aan verbonden. Via een digitale training leidt ibob deze medewerkers op zodat zij op een bekwame manier met deze risico s om kunnen gaan. Elke medewerker krijgt een individueel traject aangeboden waarbij hij of zij zich bewust wordt van de gevaren in de cyber wereld. ibob is opgebouwd uit diverse modules, waarin de onder werpen rijkelijk variëren. Bijvoorbeeld van veilig plaats onafhankelijk werken tot het gebruik van certificaten, juridische beperkingen op het delen van informatie of de regels en richtlijnen rondom de Voorschrift Informatiebeveiliging Rijksoverheid (VIR). Scan de QR-code voor meer informatie over ibob. 28 TRENDS Veiligheid en innovatie in de publieke sector 29

17 anoniem Apps Mobiel Social media Burgerparticipatie Foto Getuigen verklaring Crisismanagement Hulpverlening ALARM 30 TRENDS Veiligheid en innovatie in de publieke sector 31

18 Omgaan met innovaties: Twitter enyoutube binnen de Politie Met enige regelmaat omarmt de Nederlandse politie verschillende soorten innovaties. Andere bijdragen in dit boekje (van o.a. Driessen en van De Jonge) laten dit zien. Sinds enige jaren gebruikt men ook Twitter en YouTube volop. Marcel Thaens Ten derde waren er geen richtlijnen. Voor veel korpsen was de enige richtlijn code blauw, de (gedrags)code die agenten altijd moeten hanteren. Meer richtlijnen waren in de eerste fase eigenlijk ook niet nodig volgens de korpsen. Ten vierde valt op dat er veel verzoeken kwamen vanuit de organisatie, vanaf de werkvloer, om te mogen twitteren. Dit kwam zeker niet vanuit de korpsleiding, maar het initiatief werd genomen door de afdeling communicatie en/of individuele agenten. Alle korpsen noemen een aantal initiatiefnemers, mensen die stonden te springen om mee te werken aan een pilot. Vanuit de korpsleiding is er de ruimte gekomen om te onderzoeken of Twitter ook binnen het korps geïmplementeerd kon worden. Ten vijfde valt op dat gadgets het gebruik van Twitter aantrekkelijk maken. Agenten willen graag de beschikking hebben over een Blackberry. Daarbij twitterden sommigen al privé en hadden daarom ook de behoefte dit voor hun werk te doen: ze wilden aansluiten bij druk vanuit de samenleving. Daarbij was het doel beter contact met burgers voor veel wijkagenten duidelijk en sluit dit aan bij de eigen behoefte om deze contacten te versterken. Recent onderzoek (zie de verwijzing aan het einde van dit artikel) heeft gekeken naar de manier waarop social media, zoals Twitter en YouTube wordt ingezet binnen de politie, met name met het oog op het versterken van op sporingsprocessen. Typering van de ontwikkeling van het Twitter gebruik Wanneer de ervaringen met Twitter van verschillende onderzochte korpsen met elkaar worden vergeleken, dan vallen de volgende patronen op: Ten eerste waren er nauwelijks doelstellingen geformuleerd. Er bestonden wel specifieke doelen bijvoorbeeld bekendmaken van stopdecriminaliteit.nl maar al snel werd Twitter ook op allerlei andere manieren gebruikt en doelstellingen voor deze praktijken werden niet expliciet geformuleerd maar in de praktijk gezocht. Ten tweede is men veelal gestart met twitteren zonder vooraf beleid te vormen. Men is gewoon begonnen. Als er al beleid was, dan paste dat vaak op één A4 tje en dit A4 tje was in geen van de korpsen via de officiële lijn vastgesteld. Typering van de strategieën die worden gevolgd ten aanzien van het YouTube-gebruik We zien grote verschillen tussen korpsen voor wat betreft de ontwikkeling van het YouTube gebruik. Gebaseerd op onze waarnemingen in de praktijk onderscheiden we daarbij drie verschillende strategieën die worden gevolgd. Een eerste strategie kan inventing worden genoemd. Eén van de believers binnen een korps (vaak webbeheerders of social media adviseurs) begint met het plaatsen van beschikbaar videomateriaal op het YouTube kanaal. Gaandeweg worden de inspanningen uitgebreid. Binnen deze strategie starten korpsen dus laagdrempelig en eenvoudig en breiden ze het gebruik van YouTube werkende weg en gebaseerd op ervaringen opgedaan in de praktijk uit. Een andere te herkennen strategie is te duiden als een following strategie. Hierin werken korpsen samen met een opsporingsprogramma dat wordt uitgezonden op de regionale televisie. In Utrecht gaat het bijvoorbeeld om Bureau Hengeveld en in Noord-Brabant om Bureau Brabant. In deze programma s wordt een beperkt aantal onderwerpen aangesneden waarbij vaak een professioneel filmpje wordt gemaakt. Na uitzending worden de beelden vervolgens door het korps op 32 TRENDS Veiligheid en innovatie in de publieke sector 33

19 Marcel Thaens YouTube geplaatst. Men doet in feite niet meer dan het volgen van de keuzes die in het kader van het televisieprogramma zijn gemaakt. Sommige korpsen laten het hierbij. Het is makkelijk en goedkoop en toch laat je je als korps zien op YouTube. Sommige andere korpsen starten vaak wel in lijn met de boven beschreven following strategie, maar willen dan na verloop van tijd meer doen met het YouTube kanaal. Korpsen gaan dan in aanvulling op de beelden uit het televisieprogramma soms zelf beelden uit andere dossiers en bronnen plaatsen. Vaak is dat dan materiaal waar men zelf weinig aan hoeft te doen zoals beelden uit bewakingscamera s. Gaandeweg bouwt men dus het gebruik van YouTube als middel uit. Deze strategie kunnen we aanduiden als innovating. Men maakt een start en van daaruit ontdekt men nieuwe mogelijkheden en wordt de inzet van YouTube uitgebreid. Een nadere beschouwing Als we de ervaringen met beide vormen van social media samen nemen, dan zien we dat, zeker in vergelijking met andere overheidsorganisaties, de innovatiedynamiek op het terrein van sociale media bij de politie groot is. Er zijn veel agenten die willen innoveren en zij weten op allerlei manieren ruimte te vinden binnen de organisatie om dit te doen. Ook blijken korpsen bereid om van elkaar te leren en vindt er een uitwisseling van ervaringen met het gebruik van nieuwe media plaats. Het onderling leervermogen lijkt ook groot. Het gebruik van sociale media bevindt zich echter nog wel in de experimentele fase: inbedding/institutionalisering is de uitdaging voor de komende periode. Wat we in alle gevallen zien is dat er sprake is van bottom-up initiatieven. Er was steeds een individuele rebel of een rebellenclub die het gebruik van sociale media aanzwengelde. Dit resulteerde vervolgens in een experimentele groep en bij met name Twitter verspreidden die praktijken zich als een olievlek binnen de organisatie. Nu de praktijken van gebruik van sociale media voor de coproductie van veiligheid langzaam volwassen aan het worden zijn, wordt steeds meer aandacht besteed aan de institutionalisering : koppeling aan werkprocessen, opstellen van regels en ontwikkelen van beleid. Verschillende praktijken zijn nodig om te experimenteren en de mogelijkheden van het nieuwe medium te verkennen. De diversiteit aan praktijken heeft echter ook nadelen. Ten eerste kunnen experimenten resulteren in verschillen in rechtsgelijkheid. Welke informatie hoort een burger te krijgen? Wat mag met videomateriaal? Ook is onduidelijk wat burgers kunnen verwachten in termen van informatie van de politie. Een meer volwassen gebruik is nodig om deze nadelen weg te kunnen nemen en het medium sterker te koppelen aan het functioneren en de externe positionering van de politie. De institutionalisering kan resulteren in effectiever gebruik van sociale media maar brengt ook het risico van afnemend innovatief vermogen met zich mee. Hierbij is sprake van een spanning: er is een zekere mate van institutionalisering nodig om de innovatie breed te gebruiken binnen de organisatie. Tegelijkertijd is er een blijvende vernieuwing nodig om het potentieel van nieuwe technologieën te benutten voor de organisatie. Politieorganisaties staan net als alle organisaties die met technologische turbulentie in de omgeving te maken hebben voor de uitdaging om nieuwe media goed te gebruiken en tegelijkertijd open te staan voor nieuwe ontwikkelingen. Uitwisseling van succesverhalen heeft een grote rol gespeeld in de verspreiding van het gebruik van het medium door korpsen en door agenten binnen de korpsen. Verspreiding van innovaties vindt niet zozeer plaats op basis van evidence voor de bijdrage van deze innovaties aan politiepraktijken maar veeleer op basis van verhalen. Overtuigende anekdotes kunnen in dit geval een veel sterker effect hebben op beslissingen over de adoptie van innovaties dan getalsmatige overzichten. De analyse laat ook zien dat er bij het gebruik van sociale media sprake is van een bepaalde mate van padafhankelijkheid: het gebruik van sociale media moet aansluiten op eerdere beleidskeuzen. Een voorbeeld hiervan is Utrecht. Burgernetberichten kunnen niet automatisch worden omgezet in tweets omdat het veelal gaat om voic . Daarin verschilt Utrecht van Haaglanden. Dit betekent dat politiekorpsen niet zonder meer succesvolle praktijken van elkaar kunnen overnemen. Bij het analyseren van successen dient goed te worden bekeken op welke voorgaande situatie wordt voortgebouwd. Dit laat zien dat padafhankelijkheid tot verschillende innovatieprocessen leidt en dat dit resulteert in verschillende mediapraktijken. De toekomst: ruimte blijven geven aan innovatie Om sociale media goed te gebruiken en tegelijkertijd niet te verstarren dient de politieorganisatie te zijn ingericht op innovatie. Concreet kan structureel ruimte voor innovatie worden gecreëerd door innovatieve medewerkers tijdelijk in projectgroepen de ruimte te geven om ideeën te ontwikkelen en uit te werken. Capaciteit om vernieuwingen waar te nemen en op waarde te schatten is belangrijk. De politie dient te blijven reflecteren op wat er in de praktijk gebeurt en te blijven kijken naar wat andere organisaties doen met sociale media. De politie dient niet naar andere organisaties te kijken om hun patronen te kopiëren, maar om inspiratie op te doen die 34 TRENDS Veiligheid en innovatie in de publieke sector 35

20 vertaald moet worden naar de specifieke werkzaamheden en karakteristieken van de Nederlandse politie. En wanneer experimenten met sociale media goed uitpakken dienen successen te worden gevierd en gedeeld. Ruimte voor innovatie kan ook ontstaan door ruimte te geven aan diversiteit. We hebben gezien dat de korpsen op verschillende manieren met de nieuwe media aan de slag gaan en vervolgens wel van elkaar leren. Zo kunnen patronen van variatie en selectie plaatsvinden en deze zijn cruciaal voor processen van innovatie. Ook binnen een landelijke politieorganisatie is het van groot belang dat deze ook de mogelijkheid biedt om verschillende praktijken te ontwikkelen: variatie blijft nodig om te innoveren. Ook hier geldt dat de snelle gelijkschakeling leidt tot afname van innovatief vermogen. De balans tussen volwassenheid en jeugdige energie is ook van belang in de directe aansturing en ondersteuning van politiemedewerkers. De politie dient uit te kijken met teveel regels en voorschriften en liever te werken met handreikingen en feedback. Leidinggevenden dienen in woord en daad uit te stralen dat zij experimenten op de werkvloer ondersteunen. En deze professionals dienen continu te zoeken naar verdere verbeteringen van hun werkpraktijken. Wat betekent Google+? Wat kan de politie met location based services? Zonder ruimte voor professionals zal de politie verworden tot een starre organisatie die zich loszingt van een snel veranderende samenleving. Continue aanpassing is en blijft de uitdaging voor de politie. Auteur prof. dr. M. (Marcel) Thaens Aandachtsgebieden: Innovatie, strategie en leiderschap in de publieke sector, ICT en strategisch innoveren, Emergent Leaderschip (omgaan met complexiteit). Thaens is principal consultant en Hoofd van het Centrum voor Strategie en Leiderschap bij PBLQ. Hij is bijzonder hoogleraar aan de Erasmus Universiteit Rotterdam. Deze bijdrage is gebaseerd op: Meijer, A. S. Grimmelickhuijsen, D. Fictorie, M.Thaens en P. Siep (2013), Politie & Sociale Media. Van hype naar onderbouwde keuzen, Politie & Wetenschap, Apeldoorn. Het onderzoek is uitgevoerd in opdracht van het programma Politie & Wetenschap. 36 TRENDS Veiligheid en innovatie in de publieke sector 37