‘In Grimbergen wilden we meer inzetten op digitalisering en cloud-toepassingen. Maar daarmee stel je je wel bloot aan meer gevaren. Daarom lieten we allereerst een audit uitvoeren. We wilden weten wat onze verbeterpunten waren. Wat bleek: het begon al bij de basis, onze wachtwoorden,’ vertelt Philip Roosen, schepen van Digitalisatie. Dus zetten ze toegangsbeheer boven aan hun prioriteitenlijst: een digitale werkplek moet namelijk ook een veilige werkplek zijn.
In samenwerking met de Vlaamse overheid, VERA en hun data protection officer (DPO) begonnen ze aan het traject om multifactorauthenticatie te introduceren bij hun medewerkers. Met multifactorauthenticatie moet een medewerker een wachtwoord ingeven en vervolgens zijn identiteit nog extra bevestigen. Dat kan op verschillende manieren gebeuren. ‘Wij kozen voor e-identificatie als extra controle. De meeste mensen zijn hiermee intussen vertrouwd. Denk aan aanmelden bij Tax-on-web of het gebruik van itsme dat sterk in opmars is,’ vertelt Arne Defurne, DPO vanuit VERA (Vlaams-Brabants steunpunt e-government). E-identificatie brengt nog extra mogelijkheden met zich mee: je kunt je gsm gebruiken om je identiteit te bevestigen, maar je kunt ook je e-identiteitskaart gebruiken met de laptop. Dat verlaagt het risico dat je niet kunt werken wanneer je je gsm of kaart thuis vergeet.
‘Voor de introductie van MFA neem je maar beter voldoende tijd,’ benadrukt Philip Roosen. In Grimbergen hebben ze ongeveer vijf maanden tests uitgevoerd. Niet enkel in de eigen omgeving kunnen er problemen opduiken, maar ook bij andere applicaties: ze moesten bijvoorbeeld even zoeken naar een oplossing bij de applicaties die gebruik maken van de MFA van Microsoft Office.
Vervolgens hebben ze de invoering gefaseerd doorgevoerd, eerst voor een kleine testgroep, dan voor de meeste medewerkers en nu voor een laatste slotgroep. De lancering is toch altijd een beetje spannend, zowel voor de medewerkers als voor de uitvoerders. ‘De samenwerking met de Vlaamse overheid verliep zeer vlot. Dat bij de implementatie het best alle betrokken partijen aanwezig zijn, ook de personeelsleden van de Vlaamse overheid, was een belangrijke les om mee te nemen voor de projectleider,’ vertelt Arne Defurne.
Naast het technische traject ook het menselijke
De lancering is vlot verlopen, maar daar ging naast het technische traject ook een menselijk traject aan vooraf. Eva De Wulf, afdelingshoofd beleidsondersteuning, vertelt over de stappen die zij zetten om de medewerkers te ondersteunen in de digitale transformatie: ‘Tijdens corona is zeer duidelijk gebleken dat zeker nog niet alles gedigitaliseerd was. Ook de samenwerking met collega’s verliep nog niet zo gemakkelijk. Er werden op snel tempo nieuwe systemen geïnstalleerd en dat kwam boven op het reguliere werk van onze medewerkers. Het moest behapbaar blijven voor hen en we mochten zeker niet aannemen dat iedereen voldoende digitaal onderlegd is. We wilden er dus voor zorgen dat ze enerzijds genoeg ondersteuning zouden krijgen en dat ze zich anderzijds ook verbonden konden voelen met de andere medewerkers. Heel wat projecten werden namelijk organisatiebreed ingevoerd. Daarom hebben we hiervoor een kader ingevoerd: Finaal iedereen digitaal. Zo voelde iedereen zich verbonden.’
Dat menselijke traject heeft ook geholpen bij de invoering van de multifactorauthenticatie. In het begin waren er heel wat vraagtekens bij de medewerkers: ‘Als de gemeente gehackt wordt, kunnen ze dan ook aan mijn gegevens geraken?’ of ‘Mijn gsm is van mij persoonlijk, waarom moet ik die nu gebruiken voor mijn werk?’ Via nieuwsbrieven maakten ze de medewerkers bewust van de gevaren en legden ze de stappen van de implementatie uit. Zo viel het uiteindelijk allemaal wel mee. ‘Zodra itsme geïnstalleerd was en werkte, waren de meeste medewerkers vertrokken met het systeem. Het feit dat er voldoende technische ondersteuning was en dat deze hand in hand ging met ook de menselijke begeleiding, maakte van dit project een succes,’ vertelt Eva De Wulf.
Philip Roosen voegt daaraan toe: ‘Elk lokaal bestuur staat voor deze uitdaging, want het is de basis voor alle andere systemen die je zult invoeren. Het is geen saus die je er achteraf overheen kunt gieten.’ Daarnaast raadt hij ook aan om de juiste kennis in huis te halen. ‘Ga eens aankloppen bij andere lokale besturen. Zet er tijdelijk een externe consultant op.’ Eva De Wulf vult nog aan: ‘En vergeet ook niet te blijven communiceren met je medewerkers. Neem ruime tijd voor de testfase en betrek er vooral je DPO van in het begin bij!’ —
Eliene Rijcken is VVSG-projectmedewerker communicatie en kennisdeling en
Dieter Peeters is VVSG-stafmedewerker digitale transformatie
Voor Lokaal 11 | 2022
Het wachtwoord achterhaald, een stap naar een veilige digitale werkplek
Al vroeg bij het ontstaan van het internet ontdekten we de noodzaak van veilige wachtwoorden. Algauw kwamen de adviezen om die wachtwoorden te versterken met een cijfer, een speciaal teken en langer te maken… Wachtwoorden werden wachtzinnen. Maar dit alles volstaat niet om een veilige digitale gebruiksomgeving te creëren. Hoe kan een lokaal bestuur daar dan toch voor zorgen? De VVSG organiseert een inspirerend webinar op 18 november om je daarbij te helpen. Digitaal Vlaanderen onderzocht hoe de verschillende gebruikersrechten en toegangen tot centrale databanken en programma’s bij lokale besturen geregeld worden. Uit dit onderzoek kunnen we belangrijke lessen trekken over hoe we onze werkomgeving nog beter beveiligen en welke Vlaamse veiligheidsbouwstenen al een oplossing kunnen bieden.
In de gemeente Grimbergen werken ze al met een van de veiligheidsbouwstenen. Dankzij multifactorauthenticatie verhogen ze daar de sterkte van hun netwerk. Maar hoe begin je daaraan? Hoe overtuig je je medewerkers? En hoe zorg je dat dit bijna probleemloos verloopt? De Grimbergers bieden ons een praktische kijk op dit proces.
Schrijf je in op vvsg.be/opleidingen