Skip to main content

Informatiebeveiliging bezien vanuit de rekenkamercommissie


Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Zo kan de rekenkamercommissie besluiten om onderzoek te doen naar de gemeentelijke informatievoorziening en of deze wel voldoende veilig en betrouwbaar is, en informatie van burgers in veilige handen is. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Aanleiding tot onderzoek

Een rekenkamercommissie (hierna RKC) doet onderzoek naar een onderwerp waarbij de gemeente substantiële risico’s loopt, waar veel geld in omgaat of waar veel burgers belang bij hebben. Informatiebeveiliging is zo’n onderwerp. De gemeentelijke dienstverlening gebeurt immers steeds meer digitaal. Door de groeiende hoeveelheid privacygevoelige informatie staan gemeenten, net als andere organisaties, voor grote uitdagingen op het vlak van informatiebeveiliging en privacy en zijn ze zich ook steeds meer bewust van de risico’s die incidenten op dit vlak met zich (kunnen) meebrengen. De urgentie om de informatiebeveiliging op orde te hebben en weerbaar te zijn tegen dreigingen als cybercrime, is als gevolg van deze ontwikkelingen de afgelopen jaren dan ook aanzienlijk toegenomen. Daarbij worden gemeenten met de komst van de AVG ook ‘gedwongen’ hun informatiebeveiliging op orde te hebben.

Kortom, genoeg redenen voor een RKC om het initiatief te nemen om een gemeente hierop te (laten) onderzoeken om te controleren of de informatiebeveiliging ook daadwerkelijk op orde is. Diverse RKC’s hebben de afgelopen jaren onderzoek naar informatiebeveiliging uitgevoerd of laten uitvoeren. Zo zullen velen zich nog het rapport ‘In onveilige handen’ van de Rekenkamer Rotterdam herinneren, dat in 2017 uitgebreid in het nieuws kwam. Hierin werden harde conclusies getrokken als het gaat om de informatiebeveiliging bij de gemeente Rotterdam. Destijds schreef ik een blog over welke lessen we hieruit konden trekken. Voor het schrijven van deze blog hebben we de (openbare) RKC-rapporten van de volgende gemeenten bekeken: Laarbeek, Leiden en Leiderdorp, Meppel, Venray, Emmen, Haarlem, Westland, Achtkarspelen en Tytsjerksteradiel, Rijswijk en Ridderkerk. Deze zijn vindbaar in het Raadsinformatiesysteem van de betreffende gemeenten.
(Al deze RKC-rapporten zijn als één ZIP-bestand te downloaden in ons download archief).

Welke zaken onderzoekt de RKC?

Een onderzoek van de RKC bestaat doorgaans uit een aantal invalshoeken die randvoorwaardelijk zijn voor een goede informatiebeveiliging. De RKC Achtkarspelen en Tytsjerksteradiel heeft het ISO27001 kader aangehouden als toetssteen voor een volwassen uitvoering van het informatiebeveiligingsbeleid. Dit kader bestaat uit de volgende zes invalshoeken. Per invalshoek geef ik ook een greep uit de (onderzoeks)vragen die in de diverse rekenkameronderzoeken op dit vlak onderzocht zijn:

  1. Leiderschap en aansturing (governance): Hoe is de organisatorische inrichting van de informatiebeveiliging? Zijn verantwoordelijkheden en rollen goed belegd? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het informatiebeveiligingsbeleid uit? Wordt de Raad periodiek geïnformeerd over de status van informatiebeveiliging?

    Lees ook onze eerdere blogs in dit kader:
  2. Compliance, voldoen aan wet en regelgeving: Hoe ver is de gemeente met de implementatie van de Algemene Verordening Gegevensbescherming (AVG)? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het privacybeleid uit?

    Lees ook onze eerdere blogs in dit kader:
  3. Risico-inschatting en -beoordeling: Heeft de gemeente de risico’s op informatiebeveiliging benoemd? Is de ernst/impact van een risico bepaalt? Is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden? En worden er op basis daarvan passende beheersmaatregelen genomen?

    Lees ook onze eerdere blogs in dit kader:
  4. Continuïteit en weerbaarheid: Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van een informatiebeveiligingsincident en hoe is dat geregeld? Welke maatregelen zijn getroffen rond back-ups? Weet de gemeente hoe te handelen bij een (ernstig) informatiebeveiligingsincident? Is er een crisisplan? Wordt er snel actie ondernomen bij incidenten? Worden er jaarlijks (zelf)evaluaties uitgevoerd, zoals audits, self assessments of pen-testen?

    Lees ook onze eerdere blogs in dit kader:
  5. Technologie en procedures: Zijn netwerk en bedrijfskritische systemen voldoende technisch beveiligd om ongeautoriseerde toegang te voorkomen? Voldoet de wijze waarop de gemeenten de informatiestroom in processen en applicaties organiseren aan de vereisten op het gebied van informatiebeveiliging en privacy? Zijn de autorisaties, wie van de medewerkers bij welke informatie moet of kan, zo ingericht dat een gebruiker alleen toegang heeft tot die systemen waar hij/zij toegang zou moeten krijgen? Is er extra aandacht voor de technische beveiliging van gevoelige informatie, zoals persoonlijke gegevens?

    Lees ook onze eerdere blogs in dit kader:
  6. Organisatiecultuur en i-bewustzijn: Zijn medewerkers zich voldoende bewust van informatiebeveiligingsrisico’s en is voor medewerkers duidelijk wat van hen verwacht wordt ten aanzien van informatiebeveiliging? Op welke wijze wordt aandacht besteed aan de bevordering van awareness bij medewerkers van de gemeenten? Is er een integrale aanpak voor organisatieleren op het gebied van informatiebeveiliging? Hoe houden de gemeenten kennis vast en bouwen zij hierop voort?

    Lees ook onze eerdere blogs in dit kader:

Welke aanpak hanteert een RKC?

In sommige gevallen voert de RKC het onderzoek zelf uit, maar in de meeste gevallen laten ze de uitvoering van het onderzoek over aan een extern onderzoeksbureau. Het onderzoek bestaat meestal uit een startgesprek/-bijeenkomst met de directbetrokkenen: leden RKC, onderzoeksteam, gemeentesecretaris, de Functionaris Gevensbescherming (FG) en de CIO. Tijdens dit gesprek wordt het doel, de aanpak en de planning toegelicht. Hierna wordt gestart met feitelijk onderzoek, zoals het verzamelen van data via interviews/gesprekken met gemeentelijke functionarissen en documentonderzoek.

Tot slot kan er ook gekozen worden voor het uitvoeren van penetratietesten, waarbij ethische hackers proberen binnen te dringen in de systemen van de gemeente. De (technische) penetratietest op de systemen wordt vaak gecombineerd met een fysieke penetratietest; bijvoorbeeld het zonder toestemming proberen binnen te dringen in de gebouwen van de gemeente (ook wel social engineering genoemd). Zo is er bij gemeente Haarlem een mystery guest ingezet. Maar hier kan ook gedacht worden aan een phishingtest (zoals bij gemeente Leiden en Leiderdorp en gemeente Westland) of verspreiden van een usb-stick. Tot slot worden alle bevindingen vastgelegd in een rapportage. Benieuwd hoe zo’n onderzoeksopzet eruitziet? In het rapport van de gemeente Meppel is dit in een stappenplan weergegeven met een meer gedetailleerde toelichting per stap.

Welke conclusies en aanbevelingen doet een RKC?

Nadat het onderzoek verricht is wordt als eindproduct een rapportage opgeleverd. Hierin staan de conclusies en aanbevelingen van de RKC aan de gemeente. De conclusie kan zijn dat uit het onderzoek blijkt dat het beleid en de organisatie rondom digitale veiligheid op orde zijn (gemeente Leiden en Leiderdorp). De gemeenten zijn zich bewust van de risico’s die de digitalisering met zich brengt en controleren hier ook regelmatig op.

Maar de uitkomst kan ook minder rooskleurig zijn en aantonen dat het informatiebeveiligingsbeleid onvoldoende geïmplementeerd is, waardoor de gemeente niet in control is (gemeente Haarlem) of dat de gemeente kwetsbaar is. Bijvoorbeeld doordat systemen toegankelijk en manipuleerbaar waren voor een ethische hacker en dat deze toegang heeft verkregen tot privacygevoelige informatie, zoals bij de gemeente Venray het geval was. De RKC zal dan sturen op het nemen van verbeteracties en aanvullende maatregelen. En dat is niet vrijblijvend. Binnen enkele maanden zal de gemeente moeten aantonen dat zij dit op orde hebben gebracht.  

100% veilig bestaat niet

Zoals je hebt kunnen lezen in de rapporten, worden er altijd wel kwetsbaarheden gevonden. Immers: 100% veilig bestaat niet. Middels deze blog hebben wij dan ook niet de genoemde gemeenten die aanbevelingen hebben gekregen van hun RKC in een negatief daglicht willen stellen. In tegendeel zelfs. Waar het om gaat is dat gemeenten juist kunnen leren van elkaar en hier lessen uit kunnen trekken. Zo blijkt uit de meeste rapporten dat één van de grootste risico’s rondom digitale veiligheid, en daarmee het belangrijkste aandachtspunt, bewustwording onder medewerkers is. Hoe je aan de slag kunt om een informatiebewuste gemeentecultuur te creëren én vast te houden, lees je in ons boek ‘Gemeenten. Bewustzijn. Privacy.‘ Maar ook de snelle ontwikkelingen rondom digitalisering vragen aandacht. Technieken veranderen in rap tempo, waardoor nieuwe risico’s ontstaan.

Kortom, de RKC adviseert gemeenten hun risico’s goed in beeld te hebben en te beheren. In veel gevallen gebeurt dit door het nemen van beveiligingsmaatregelen van zowel technische als organisatorische aard. Maar wil je echt inzicht in de veiligheid van je gemeentelijke informatie? Zorg dan dat je de effectiviteit van deze maatregelen ook structureel laat toetsen!

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…