Informatiebeveiliging bezien vanuit de rekenkamercommissie


Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Zo kan de rekenkamercommissie besluiten om onderzoek te doen naar de gemeentelijke informatievoorziening en of deze wel voldoende veilig en betrouwbaar is, en informatie van burgers in veilige handen is. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Aanleiding tot onderzoek

Een rekenkamercommissie (hierna RKC) doet onderzoek naar een onderwerp waarbij de gemeente substantiële risico’s loopt, waar veel geld in omgaat of waar veel burgers belang bij hebben. Informatiebeveiliging is zo’n onderwerp. De gemeentelijke dienstverlening gebeurt immers steeds meer digitaal. Door de groeiende hoeveelheid privacygevoelige informatie staan gemeenten, net als andere organisaties, voor grote uitdagingen op het vlak van informatiebeveiliging en privacy en zijn ze zich ook steeds meer bewust van de risico’s die incidenten op dit vlak met zich (kunnen) meebrengen. De urgentie om de informatiebeveiliging op orde te hebben en weerbaar te zijn tegen dreigingen als cybercrime, is als gevolg van deze ontwikkelingen de afgelopen jaren dan ook aanzienlijk toegenomen. Daarbij worden gemeenten met de komst van de AVG ook ‘gedwongen’ hun informatiebeveiliging op orde te hebben.

Kortom, genoeg redenen voor een RKC om het initiatief te nemen om een gemeente hierop te (laten) onderzoeken om te controleren of de informatiebeveiliging ook daadwerkelijk op orde is. Diverse RKC’s hebben de afgelopen jaren onderzoek naar informatiebeveiliging uitgevoerd of laten uitvoeren. Zo zullen velen zich nog het rapport ‘In onveilige handen’ van de Rekenkamer Rotterdam herinneren, dat in 2017 uitgebreid in het nieuws kwam. Hierin werden harde conclusies getrokken als het gaat om de informatiebeveiliging bij de gemeente Rotterdam. Destijds schreef ik een blog over welke lessen we hieruit konden trekken. Voor het schrijven van deze blog hebben we de (openbare) RKC-rapporten van de volgende gemeenten bekeken: Laarbeek, Leiden en Leiderdorp, Meppel, Venray, Emmen, Haarlem, Westland, Achtkarspelen en Tytsjerksteradiel, Rijswijk en Ridderkerk. Deze zijn vindbaar in het Raadsinformatiesysteem van de betreffende gemeenten.
(Al deze RKC-rapporten zijn als één ZIP-bestand te downloaden in ons download archief).

Welke zaken onderzoekt de RKC?

Een onderzoek van de RKC bestaat doorgaans uit een aantal invalshoeken die randvoorwaardelijk zijn voor een goede informatiebeveiliging. De RKC Achtkarspelen en Tytsjerksteradiel heeft het ISO27001 kader aangehouden als toetssteen voor een volwassen uitvoering van het informatiebeveiligingsbeleid. Dit kader bestaat uit de volgende zes invalshoeken. Per invalshoek geef ik ook een greep uit de (onderzoeks)vragen die in de diverse rekenkameronderzoeken op dit vlak onderzocht zijn:

  1. Leiderschap en aansturing (governance): Hoe is de organisatorische inrichting van de informatiebeveiliging? Zijn verantwoordelijkheden en rollen goed belegd? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het informatiebeveiligingsbeleid uit? Wordt de Raad periodiek geïnformeerd over de status van informatiebeveiliging?

    Lees ook onze eerdere blogs in dit kader:
  2. Compliance, voldoen aan wet en regelgeving: Hoe ver is de gemeente met de implementatie van de Algemene Verordening Gegevensbescherming (AVG)? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het privacybeleid uit?

    Lees ook onze eerdere blogs in dit kader:
  3. Risico-inschatting en -beoordeling: Heeft de gemeente de risico’s op informatiebeveiliging benoemd? Is de ernst/impact van een risico bepaalt? Is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden? En worden er op basis daarvan passende beheersmaatregelen genomen?

    Lees ook onze eerdere blogs in dit kader:
  4. Continuïteit en weerbaarheid: Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van een informatiebeveiligingsincident en hoe is dat geregeld? Welke maatregelen zijn getroffen rond back-ups? Weet de gemeente hoe te handelen bij een (ernstig) informatiebeveiligingsincident? Is er een crisisplan? Wordt er snel actie ondernomen bij incidenten? Worden er jaarlijks (zelf)evaluaties uitgevoerd, zoals audits, self assessments of pen-testen?

    Lees ook onze eerdere blogs in dit kader:
  5. Technologie en procedures: Zijn netwerk en bedrijfskritische systemen voldoende technisch beveiligd om ongeautoriseerde toegang te voorkomen? Voldoet de wijze waarop de gemeenten de informatiestroom in processen en applicaties organiseren aan de vereisten op het gebied van informatiebeveiliging en privacy? Zijn de autorisaties, wie van de medewerkers bij welke informatie moet of kan, zo ingericht dat een gebruiker alleen toegang heeft tot die systemen waar hij/zij toegang zou moeten krijgen? Is er extra aandacht voor de technische beveiliging van gevoelige informatie, zoals persoonlijke gegevens?

    Lees ook onze eerdere blogs in dit kader:
  6. Organisatiecultuur en i-bewustzijn: Zijn medewerkers zich voldoende bewust van informatiebeveiligingsrisico’s en is voor medewerkers duidelijk wat van hen verwacht wordt ten aanzien van informatiebeveiliging? Op welke wijze wordt aandacht besteed aan de bevordering van awareness bij medewerkers van de gemeenten? Is er een integrale aanpak voor organisatieleren op het gebied van informatiebeveiliging? Hoe houden de gemeenten kennis vast en bouwen zij hierop voort?

    Lees ook onze eerdere blogs in dit kader:

Welke aanpak hanteert een RKC?

In sommige gevallen voert de RKC het onderzoek zelf uit, maar in de meeste gevallen laten ze de uitvoering van het onderzoek over aan een extern onderzoeksbureau. Het onderzoek bestaat meestal uit een startgesprek/-bijeenkomst met de directbetrokkenen: leden RKC, onderzoeksteam, gemeentesecretaris, de Functionaris Gevensbescherming (FG) en de CIO. Tijdens dit gesprek wordt het doel, de aanpak en de planning toegelicht. Hierna wordt gestart met feitelijk onderzoek, zoals het verzamelen van data via interviews/gesprekken met gemeentelijke functionarissen en documentonderzoek.

Tot slot kan er ook gekozen worden voor het uitvoeren van penetratietesten, waarbij ethische hackers proberen binnen te dringen in de systemen van de gemeente. De (technische) penetratietest op de systemen wordt vaak gecombineerd met een fysieke penetratietest; bijvoorbeeld het zonder toestemming proberen binnen te dringen in de gebouwen van de gemeente (ook wel social engineering genoemd). Zo is er bij gemeente Haarlem een mystery guest ingezet. Maar hier kan ook gedacht worden aan een phishingtest (zoals bij gemeente Leiden en Leiderdorp en gemeente Westland) of verspreiden van een usb-stick. Tot slot worden alle bevindingen vastgelegd in een rapportage. Benieuwd hoe zo’n onderzoeksopzet eruitziet? In het rapport van de gemeente Meppel is dit in een stappenplan weergegeven met een meer gedetailleerde toelichting per stap.

Welke conclusies en aanbevelingen doet een RKC?

Nadat het onderzoek verricht is wordt als eindproduct een rapportage opgeleverd. Hierin staan de conclusies en aanbevelingen van de RKC aan de gemeente. De conclusie kan zijn dat uit het onderzoek blijkt dat het beleid en de organisatie rondom digitale veiligheid op orde zijn (gemeente Leiden en Leiderdorp). De gemeenten zijn zich bewust van de risico’s die de digitalisering met zich brengt en controleren hier ook regelmatig op.

Maar de uitkomst kan ook minder rooskleurig zijn en aantonen dat het informatiebeveiligingsbeleid onvoldoende geïmplementeerd is, waardoor de gemeente niet in control is (gemeente Haarlem) of dat de gemeente kwetsbaar is. Bijvoorbeeld doordat systemen toegankelijk en manipuleerbaar waren voor een ethische hacker en dat deze toegang heeft verkregen tot privacygevoelige informatie, zoals bij de gemeente Venray het geval was. De RKC zal dan sturen op het nemen van verbeteracties en aanvullende maatregelen. En dat is niet vrijblijvend. Binnen enkele maanden zal de gemeente moeten aantonen dat zij dit op orde hebben gebracht.  

100% veilig bestaat niet

Zoals je hebt kunnen lezen in de rapporten, worden er altijd wel kwetsbaarheden gevonden. Immers: 100% veilig bestaat niet. Middels deze blog hebben wij dan ook niet de genoemde gemeenten die aanbevelingen hebben gekregen van hun RKC in een negatief daglicht willen stellen. In tegendeel zelfs. Waar het om gaat is dat gemeenten juist kunnen leren van elkaar en hier lessen uit kunnen trekken. Zo blijkt uit de meeste rapporten dat één van de grootste risico’s rondom digitale veiligheid, en daarmee het belangrijkste aandachtspunt, bewustwording onder medewerkers is. Hoe je aan de slag kunt om een informatiebewuste gemeentecultuur te creëren én vast te houden, lees je in ons boek ‘Gemeenten. Bewustzijn. Privacy.‘ Maar ook de snelle ontwikkelingen rondom digitalisering vragen aandacht. Technieken veranderen in rap tempo, waardoor nieuwe risico’s ontstaan.

Kortom, de RKC adviseert gemeenten hun risico’s goed in beeld te hebben en te beheren. In veel gevallen gebeurt dit door het nemen van beveiligingsmaatregelen van zowel technische als organisatorische aard. Maar wil je echt inzicht in de veiligheid van je gemeentelijke informatie? Zorg dan dat je de effectiviteit van deze maatregelen ook structureel laat toetsen!

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Goed voorbeeld doet goed volgen – deel 2

Volgens Ferdinand Grapperhaus moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren van Muel Kaptein kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).