Tekst Nina van Aalst
Foto Wim van Beek

Medio 2019 komt er vanuit het Ministerie van Financiën een verzoek binnen bij SSC-ICT. Het ministerie wil graag kijken hoe het verspreiden van privacygevoelige informatie teruggedrongen kan worden, om zo het risico op datalekken te verkleinen. Project ‘Data Leakage Prevention’ (DLP) wordt opgezet. Vanuit Financiën schuift Tanja van Burgel (Hoofd Informatisering, CIO beleidsdepartement Financiën) aan in de stuurgroep, vanuit SSC-ICT neemt onder andere Geert Vuijk (technisch architect) deel aan het project. In deze editie van ‘De Klant aan het Woord’ vertellen Tanja en Geert alles over de implementatie en het belang van deze toevoeging aan de bestaande dienstverlening, de onderlinge samenwerking tijdens dit project en mogelijke toepassingen voor de nabije toekomst.

Data Leakage Prevention of DLP is een tool of techniek die ervoor zorgt dat een medewerker vertrouwelijke informatie niet per ongeluk kan verspreiden. DLP labelt (denk aan triggerwoorden in een document of e-mail waar DLP op aanslaat) en rubriceert alle documenten binnen de DWR-werkomgeving (Microsoft Office) automatisch: is dit stuk privacygevoelig, of misschien wel staatsgeheim? De medewerker zal tijdens het werken met of delen van informatie door middel van notificaties gevraagd worden of deze informatie correct gerubriceerd is, en of dit document gedeeld mag worden. Zo wordt het versturen van bijvoorbeeld een bijlage aan een e-mail een bewuste actie, waarbij altijd een bewuste keuze gemaakt moet worden: mag deze informatie gedeeld worden, ja of nee, en weet je zeker dat je dit wilt doen?

Wat was de directe aanleiding voor project Data Leakage Prevention?

Tanja:
‘Binnen Financiën hebben wij rond 2019 diverse gesprekken gevoerd, omdat er soms per ongeluk gegevens naar buiten werden gemaild. Je wilt uiteraard niet hebben dat er persoonsgegevens op straat komen te liggen, of dat nu bewust of onbewust gebeurt. Daarnaast loopt een organisatie het risico op imagoschade, wanneer deze negatief in het nieuws komt. We hadden het er intern al een tijdje over dat we graag een bewustere actie voor de eindgebruiker wilden integreren, voordat informatie gedeeld kan worden. Aangezien SSC-ICT voor het Ministerie van Financiën de leverancier is van onze digitale werkomgeving, heb ik contact gezocht met de relatiemanager om onze behoefte te uiten. We wilden graag weten wat SSC-ICT hierin voor ons kon betekenen. Ik heb daarna de rol van opdrachtgever op me genomen, aangezien ik vanuit Financiën de houder van de dienstverleningsovereenkomst (DVO) ben voor SSC-ICT.’

Geert:
‘Ja, de aanleiding vanuit Financiën was eigenlijk heel concreet. We hebben een aantal situaties meegemaakt waarin er data vanuit het ministerie op plekken is beland waar het eigenlijk niet hoort. Logischerwijs kwam uit dergelijke incidenten de vraag naar voren of er maatregelen te bedenken zijn om dit soort lekken in de toekomst te voorkomen. Vanuit onze rol als ICT-leverancier wilden wij uiteraard meedenken over een oplossing. Initieel was er een concrete aanleiding, maar de vraagstelling was nog vrij algemeen. Aangezien het Ministerie van Financiën het eerste departement was dat deze behoefte uitte, was het ook wel logisch dat er nog geen beeld bestond over hoe deze dienst er dan uit zou moeten gaan zien.’

Hoe maak je die vraag concreter?

Geert:
‘De rol van SSC-ICT is om de functionele vraag van de klant te vertalen naar de implementatie in de techniek. Om zoiets te kunnen realiseren, moet je ook wel goed snappen wat de behoefte precies betekent en inhoudt. In de beginfase van dit project betekende het dat we veel moesten aftasten, sparren en user cases hebben doorlopen. Omdat Financiën de eerste klant was die deze behoefte uitte, had SSC-ICT nog geen kant-en-klare oplossing op de plank liggen. Binnen de contracten met Microsoft waren er echter mogelijkheden om de bestaande dienstverlening op dit gebied uit te breiden. Om die reden hebben we Microsoft gevraagd om ook deel te nemen aan de overleggen. Zo konden we met drie partijen kijken wat nou precies de behoefte was en hoe we de vraag vanuit Financiën concreet konden vertalen naar een oplossing. Vanuit SSC-ICT zagen we al snel dat dit een hele relevante casus was, met potentie voor onze andere klanten.’

En hoe ziet de uitwerking van zo’n vraagstuk er in de praktijk uit?

Geert:
‘Wij kunnen als dienstverlener van tevoren allerlei oplossingen bedenken. Maar uiteindelijk hebben we te maken met medewerkers binnen een departement, de mensen die dagelijks achter hun laptop zitten en ermee moeten werken. Al onze theorie moet in de praktijk ook wel werken én gebruiksvriendelijk zijn. Ervaring leert dat het daar nog wel eens mis kan gaan: wij als techneuten bedenken allerlei technische trucjes, maar de medewerker is uiteindelijk degene die het moet begrijpen en gebruiken. We zijn gestart met een ontwerp, vervolgens kwam de realisatie van dat ontwerp en daarna zijn we begonnen met een pilotperiode met eindgebruikers. Ze gingen een aantal weken met de tool werken die we inmiddels ontwikkeld hadden, en gaven dan feedback: wat werkt er niet, wat is te ingewikkeld, wat is verstorend? Dat is wel een belangrijke factor, want uiteindelijk ga je bij een medewerker in de primaire taken iets toevoegen. Als iemand een mail verstuurt, verschijnt er een melding of je die informatie echt wilt delen. De eindgebruiker moet dan bewust gaan nadenken over de handeling.’

Tanja:
‘Het is bij dit soort projecten altijd even zoeken wie wat op gaat pakken, en hoe snel plannen gerealiseerd kunnen worden. SSC-ICT heeft uiteraard de meer technische kant opgepakt, en wij zijn ons intern bezig gaan houden met het uitrollen van de pilot, het verzorgen van heldere communicatie en workshops voor de eindgebruikers. De pilotfase verliep niet zonder slag of stoot. Er zijn ook directies geweest die hebben gezegd dat ze dit hun afdeling niet aan wilden doen in verband met extra werkverschaffing: 130 notificaties per dag ontvangen is ook wel erg veel. Dat gaat ten koste van wat je wilt bereiken, want dan wordt extra dienstverlening alleen maar als vervelend ervaren. In zulke gevallen ben ik gaan kijken hoe we er toch voor konden zorgen dat de DLP-tool naar ieders tevredenheid ingezet kon worden, door meer directie-specifiek te kijken naar passende labels en indelingen. Dat heeft wel geholpen, want het werkt nu goed. Wat ik heb gemerkt is dat het ontzettend belangrijk is dat er voldoende aandacht is, zowel voor communicatie, maar ook voor een stukje begeleiding, en voor die uitrol naar de business. Want dit is echt geen technisch project, het gaat vooral om de acceptatie aan de kant van alle medewerkers. En hoe gaan zij daarmee om? Ik denk dat wij dat in het begin wel een beetje onderschat hebben.’

Data Leakage Prevention in Microsoft Office-applicaties.

Geert:
‘Het belangrijkste doel van dit project was eigenlijk het creëren van bewustwording bij de medewerker, en om de ‘oeps-momenten’ – wanneer een medewerker per ongeluk een bijlage naar de verkeerde persoon verstuurt – af te vangen. Daarom was de pilotfase en de daaruit voortkomende feedback ook zo waardevol. Wij zijn begonnen met elf labels voor documenten, en omdat dit niet werkbaar bleek hebben we dit aantal teruggebracht naar vier. De feedback heeft uiteindelijk bepaald welke definitieve richting we binnen de techniek hebben gekozen. Het geeft heel veel inzicht, maar er komen ook dingen naar voren die tot discussies hebben geleid: dat er soms informatie wordt verwerkt op de werkomgeving die daar helemaal niet thuishoort, bijvoorbeeld. Uiteindelijk is het belangrijkste wat uit zo’n project naar voren komt dat je voor een uitrol echt draagvlak moet hebben binnen een organisatie van de klant, tot op het hoogste niveau.’

Zijn jullie nog ergens anders tegenaan gelopen tijdens dit project?

Tanja:
‘We hebben in het begin aan beide kanten best wel wat discussie gehad over hoe we dit zouden gaan aanpakken. Enerzijds natuurlijk omdat het hier maatwerk betrof, waardoor er een Niet Standaard Klantaanvraag (NSK) ingediend moest worden. Die procedure kost veel tijd bij SSC-ICT.  Aan onze kant hebben we ook wat wisselingen van projectleiderscapaciteit gehad – dat hielp ook niet mee – en we hebben wel gemerkt dat het qua implementatie binnen onze organisatie best een lastig project was. Ik had gelukkig wel goed contact met SSC-ICT en andersom ook, dus we konden elkaar wel snel vinden. We hadden een stuurgroep die regelmatig bij elkaar kwam omdat alle partijen onderkenden dat dit een belangrijk project was (en is!).  Dat zorgt er ook voor dat als je problemen hebt, je die redelijk snel de kop in kunt drukken.’

Geert:
‘Er zijn inderdaad zowel aan de kant van Financiën als aan onze kant wat wisselingen van de wacht geweest. Daarnaast maakt de oplossing van Microsoft gebruik van clouddienstverlening. Er ligt inmiddels, anno 2022, wel een cloudbeleid dat langs de Tweede Kamer gegaan is. Daarin staat helder vermeld wat de overheid wel en niet mag opslaan in de cloud. Maar toen we startten met project DLP in 2019, toen was dat er nog helemaal niet. Men was toen best huiverig binnen de overheid om gebruik te gaan maken van de cloud, zeker ook in verband met security. Dat was wel een drempel die we over moesten, en die ook tijd kostte. Maar daar hebben we een goede weg in gevonden, door bijvoorbeeld de Audit Dienst Rijk (ADR) als onafhankelijke partij te laten oordelen over de door ons voorgestelde oplossing. Natuurlijk zijn er wat frustraties als de uitwerking langer duurt dan gewenst. Maar aan de andere kant: je bent als SSC-ICT wel met iets nieuws bezig. Je bent met clouddienstverlening bezig, terwijl daar op dat moment nog geen gebaande paden voor bestaan. Dan moeten we soms accepteren dat dit soort dingen iets langer duurt.’

Geert Vuijk en Tanja van Burgel

Hoe kijken jullie terug op dit project?

Tanja:
‘Het belang van het project voor het Ministerie van Financiën was natuurlijk dat er geen informatie per ongeluk gelekt zou worden, en daarnaast wilden we graag imagoschade in de toekomst beperken. Hoewel de uitwerking aan de kant van SSC-ICT uiteindelijk langer duurde dan gehoopt, en we intern nog wel wat hobbels hebben moeten nemen qua implementatie, wil ik dit project zeker wel een succes noemen. Het was misschien niet het gemakkelijkste project, maar ik denk dat het resultaat er wel naar is. En ik denk dat SSC-ICT hiermee ook een goede aanvulling te bieden heeft op de standaard werkplek.’

Geert:
‘Wij hadden dit stukje nog niet in onze standaarddienstverlening zitten. Het was dus een hele mooie aanleiding dat Financiën met hun aanvraag naar ons toe gekomen is. We hadden anders deze stap ook wel gezet, maar pas later. We hadden nu een eerste klant die zei: wij vinden dit echt van belang. Tot op de dag van vandaag is er nog geen ander departement geweest dat heeft gezegd: wij willen dit ook! Dat is ook wel bijzonder, want eigenlijk zou elk departement dit moeten willen.’

Wat zijn de vervolgstappen met betrekking tot DLP?

Tanja: 
‘In principe is de uitrol nu afgerond, we werken bij Financiën naar alle tevredenheid met de ‘waarschuwingstool’. Wel zitten we in een pilotfase wat betreft de mogelijkheid om een soort track and trace op documenten te plaatsen. Dat gaat dan om bijvoorbeeld rapporten die alleen voor intern bestemd zijn, maar toch op de één of andere manier op plekken belanden waar je ze niet had voorzien. Door op die documenten een bepaald label te zetten kun je bijhouden waar die stukken zijn geweest en wat ermee is gebeurd. Zo kun je onverhoopte datalekken ook weer beter voorkomen en indien nodig, traceren. Verder hebben wij een aantal directoraten generaal en een directie met een eigen omgeving, zoals de Belastingdienst en het Domein Roerende Zaken. We zijn ook hier aan het kijken naar de mogelijkheden om de DLP-werkwijze te implementeren.’

Geert: 
‘We zien bij SSC-ICT dat het belang van een project als Data Leakage Prevention steeds groter wordt. We zijn nu bezig met de uitrol van MS Teams, we gaan steeds meer richting dataopslag in de cloud. We willen steeds meer informatie online uitwisselen, of in de cloud opslaan. Zo’n notificatiehulp zoals bij DLP zou ook geïntegreerd kunnen worden in MS Teams, waarbij je dan weer aanvullende maatregelen kunt treffen om ook daar veilig documenten te kunnen delen. Ook bij de migratie naar clouddienstverlening – wat aansluit op onze meerjarenstrategie – is het een heel essentieel onderdeel.’

Maar hoe gaat SSC-ICT er dan voor zorgen dat elk departement dit stukje nieuwe dienstverlening ook kan krijgen?

Geert:
‘Zoals eerder aangegeven zagen wij direct potentie in de vraag die Financiën bij ons neerlegde in 2019. We zien project DLP als een basis die we verder uit kunnen gaan werken voor toepassingen met andere doeleinden. We vinden het echt een belangrijke ontwikkeling. Zo belangrijk, dat we het onderdeel gaan maken van onze basisdienstverlening. We gaan deze tooling dan ook opnemen in onze Producten- en Dienstencatalogus (PDC) per 2023, daar loopt nu een aanvraag voor. Onze hoop is dat andere departementen ook gebruik gaan maken van deze aanvulling op de bestaande dienstverlening.’