Omroep Lingewaard

Is informatie bij de gemeente wel veilig?

De gemeente beschikt over heel veel informatie, die goed beveiligd moet zijn. Denk bv. aan persoonlijke informatie over haar inwoners maar ook aan informatie over woningbouwplannen of vergunningen. De vraag of informatie wel veilig is was onderwerp van onderzoek door de Rekenkamer Lingewaard, dat onlangs is gepubliceerd. Het onderzoek is uitgevoerd door Hoffmann Bedrijfsrecherche B.V.

Uit het onderzoek komt de conclusie naar voren, dat het beleidskader van de gemeente redelijk op orde is, maar dat er nadrukkelijk nog wel aandachtspunten zijn ter verbetering.

Er is een uitgebreid beleid, gericht op risico’s en maatregelen. De onderzoekers vinden nog wel verbeterpunten. Sommige onderdelen van het informatieveiligheidsbeleid hebben niet in alle teams in de organisatie voldoende prioriteit; bijvoorbeeld risicoanalyses en beheersplannen zijn nog niet voor alle teams gemaakt. Ook het maken van een praktische handleiding voor de praktijk is wenselijk.

Uit verschillende onderdelen van het onderzoek blijken mensen de zwakke schakel. Ondanks dat technische maatregelen in combinatie met oplettendheid van medewerkers en servicedesk in praktijk goed werken, zijn er toch mensen die in foute emails tuinen. Mensen zonder medewerkerspas op de afdeling worden niet aangesproken. De “clean desk policy” (in het Nederlands: “opgeruimd staat netjes”) wordt in de praktijk niet goed genoeg nageleefd.

De technologische beveiliging leek op orde. Het bleek wel mogelijk om ongeautoriseerde toegang te krijgen tot het interne draadloze ‘Lingewaard-Medewerkers’ netwerk van gemeente. Dit duidt op een potentiële kwetsbaarheid voor cyberaanvallen, maar dit is verder niet onderzocht. Het interne netwerk voor gasten bleek voldoende gesegmenteerd en voldoende beveiligd te zijn tegen hacken.

Het college van burgemeester en wethouders heeft op het onderzoek gereageerd en geeft daarbij aan wat er allemaal al is gedaan en nog gaat gebeuren op het gebied van informatiebeveiliging. Een conclusie van het bureau, dat de bedrijfsvoering veelal reactief is en de bestuurlijke betrokkenheid en bereidheid onvoldoende uitstraalt dat informatieveiligheid belangrijk is, laat het college zich dan ook niet welgevallen. “We hebben de afgelopen jaren veel geïnvesteerd in informatiebeveiliging en wij hebben vanuit het college en het management veel aandacht voor de ontwikkeling van de informatieveiligheid”, aldus het college. De Rekenkamer reageert daar verder niet op.

De gemeenteraad heeft het onderzoek besproken tijdens de Politieke Avond op 25 januari 2024. De voorzitter van de rekenkamer gaf daar aan, dat de beveiliging beter kan, maar dat Lingewaard die heel redelijk op orde heeft. In vergelijking met andere gemeenten komt Lingewaard er volgens hem heel goed van af. Wethouder Hubers liet daar weten, dat een ingeschakelde ethische hacker geen toegang heeft kunnen krijgen. In de raadsvergadering op 1 februari 2024 was het onderwerp een hamerstuk; bespreking was niet nodig. De raad stelt de conclusies uit het onderzoek vast en neemt de aanbevelingen over. Het college wordt gevraagd om binnen 3 maanden de raad over een uitgewerkt plan van aanpak te informeren.

De gemeenteraad kreeg op 18 april 2024 van het college een informatienota over de uitkomst van een verplichte jaarlijkse test. De conclusie is, dat de gemeente aan alle gestelde normen voldoet.

 

-De politieke redactie-