Rapport informatiebeveiliging in Ridderkerk, informatie in goede handen?
De rekenkamercommissie heeft een rapport uitgebracht over de informatiebeveiliging in Ridderkerk. De centrale vraag bij het onderzoek was: “In welke mate voldoet de informatiebeveiliging van de gemeente Ridderkerk aan de geldende wettelijke en gangbare vereisten, sinds de invoering van de AVG?”
Alle gemeenten in Nederland beheren en gebruiken diverse persoonsgegevens in digitale vorm. Een maatschappij waar cybercrime een groeiend risico is vraagt dat gegevensbeheer en informatiebeveiliging voldoende zijn geregeld om deze risico’s af te dekken. Daarnaast is iedere gemeente verplicht om op de juiste manier met de privacy van haar burgers om te gaan. Voldoende redenen voor de rekenkamercommissie van de gemeente Ridderkerk om onderzoek te doen naar zowel de informatiebeveiliging als de privacy regelingen binnen de gemeente.
De rekenkamercommissie van Ridderkerk heeft het onderzoek laten uitvoeren door onderzoeksbureau Necker van Naem, in samenwerking met Guardian360, in de periode juni 2019 – februari 2020.
100% informatiebeveiliging creëert een onwerkbare situatie. Voor iedere organisatie is het dus zaak de risico’s in kaart te brengen en op basis van dat inzicht de nodige maatregelen te treffen om die risico’s voldoende te beperken. Dit vraagt dus om een bewuste afweging of onderbouwing. Bij sommige in het onderzoek geconstateerde kwetsbaarheden, is niet duidelijk of een dergelijke afweging is gemaakt. Voor de gemeenteraad is die afweging in ieder geval niet beschikbaar.
1. Het privacy- en informatiebeveiligingsbeleid is té laat up-to-date gebracht;
2. Er is onvoldoende aandacht voor het informatiebeveiligingsbeleid in individuele beleidsstukken;
3. De voorbereiding op de Algemene Verordening Gegevensbescherming kwam te laat tot stand;
4. De organisatie van informatiebeveiliging is niet ingericht volgens de eigen kaders;
5. Capaciteit voor informatiebeveiliging is zeer centraal georiënteerd: vaste structuur op de afdelingen ontbreekt;
6. Rapportagelijnen worden niet volledig ingezet of worden niet goed gebruikt;
7. Over informatiebeveiliging en privacy worden weinig vragen vanuit de raad gesteld en de beantwoording is beperkt;
8. Controle en toezicht op externe partijen vindt alleen plaats middels het werken met verwerkersovereenkomsten;
9. Processen in de uitvoering zijn kwetsbaar, veel informatiebeveiliging is handwerk;
10. Communicatie richting inwoners is niet centraal geregeld;
11. Veel aandacht voor communicatie en bewustwording van medewerkers. Bewustzijn van belang privacy bij medewerkers is op orde.
Dit betekent dat het onderzoek geen zware beveiligingsrisico’s heeft gevonden, maar wel heeft geconstateerd dat organisatie en invulling van informatiebeveiliging zuinig en weinig efficiënt is.
Op basis van de conclusies doet de rekenkamercommissie een aantal aanbevelingen. Informatiebeveiliging en privacy zijn thema’s die grotendeels over uitvoering gaan. Daarom zijn de aanbevelingen voornamelijk gericht aan het college:
1. Breng de I-organisatie op orde;
Breng centrale en decentrale inzet voor informatiebeveiliging en privacy in balans.
2. Breng in kaart welke processen door automatisering veiliger zouden worden;
Ga kritische informatiebeveiligingsprocessen die nu handmatig beheerd en uitgevoerd worden zo veel mogelijk automatiseren.
3. Richt het toezicht op externe partijen verder in;
Ga over naar daadwerkelijk controleren van de informatiebeveiliging bij de externe partijen
4. Laat een externe partij tweejaarlijks de staat van informatiebeveiliging controleren.
Maak de stap van de huidige “zelfevaluaties” naar geregelde externe audits.
De laatste aanbeveling is specifiek aan de raad gericht:
5. Vergroot de betrokkenheid van de raadsleden op de thema’s privacy en informatieveiligheid.
Zorg minimaal dat de raad transparant inzicht heeft in de informatiebeveiligingsrisico’s en de maatregelen die daarvoor genomen worden net zoals de raad een basaal inzicht verdient in alle andere bedrijfsvoeringfacetten van de gemeente.
In haar nawoord spreekt de rekenkamercommissie over gemengde gevoelens bij het rapport over de informatiebeveiliging bij de gemeente Ridderkerk omdat: – dit onderzoek langer heeft geduurd dan gepland; – de oorspronkelijke opzet: het belichten van de logische structuur van strategisch beleid via tactisch beleid naar concrete (technische) maatregelen, niet is gelukt; – de BAR-organisatie duidelijk ook worstelt met deze taaie en in eerste instantie weinig productieve materie.
Dat maakt het rapport wel weer waardevol. Informatiebeveiliging heeft zeker de aandacht van de BAR-organisatie, waar mogelijk zelfs meer dan bij het college of bij de gemeenteraad van Ridderkerk. Het vermogen om tot een strakke organisatie van dit vraagstuk te komen blijkt echter beperkt. Meerdere aspecten van de informatiebeveiligingsproblematiek, zoals de organisatie van de informatiebeveiliging, de snelheid van beleidsimplementatie en de sterk handmatige uitvoering van alle beveiligingsmaatregelen dragen daaraan bij.
U kunt het rapport vinden op www.ridderkerk.nl/rekenkamercommissie.
Comments
This post currently has no comments.