In onveilige handen

Door Rekenkamer Rotterdam, 6 april 2017.

Directeur Paul Hofstra trekt 7 conclusies uit zijn rapport naar aanleiding van het onderzoek bij de gemeente Rotterdam naar de informatiebeveiliging van gevoelige informatie. Een gedegen onderzoek, waarbij lessen kunnen worden getrokken voor alle gemeenten in Nederland, Rotterdam als een pars pro toto. Het is goed dat deze inzichten op tafel komen en worden gedeeld, zodat alle gemeenten van dit rapport kunnen leren.

Zijn eerste hoofdconclusie: “Over het algemeen is gevoelige informatie, zoals (bijzondere) persoonsgegevens, bij de gemeente Rotterdam onvoldoende in veilige handen. Er is namelijk sprake van een combinatie van:
a een tekortschietende beveiliging van digitale informatiesystemen voor aanvallen van binnenuit,
b falende fysieke beveiliging van meerdere kantoorlocaties en
c een tekort aan benodigde ‘social & security awareness’ bij medewerkers.

In zijn voorwoord ligt hij focus en aanpak van het onderzoek nader toe:

“Het overheidshandelen is de afgelopen jaren in rap tempo aan het veranderen door de steeds groter wordende afhankelijkheid van de alsmaar sneller ontwikkelende ICT. Waar voorheen gegevens met betrekking tot zowel interne bedrijfsvoering als primaire processen nog grotendeels in fysieke vorm werden verwerkt, is dat tegenwoordig vrijwel nergens meer het geval. Gegevens zijn digitaal van vorm en daarmee via internet en intranet in principe altijd benaderbaar en veranderbaar. Dat maakt de bescherming daarvan een meer dan essentieel onderdeel van het overheidsbeleid, zeker waar het de bijzondere persoonsgegevens betreft van burgers, die al dan niet verplicht zijn om deze gegevens aan diezelfde overheid aan te leveren.

In Rotterdam voldoet de bescherming van deze kwetsbare gegevens grotendeels niet aan de eisen die daar aan mogen worden gesteld. Deze harde conclusie is voor de rekenkamer op zich al voldoende reden geweest om een afweging te maken met betrekking tot de vraag of het rapport al dan niet vertrouwelijk naar de gemeenteraad moet worden verzonden. Leidend daarbij is de wet, in dit geval de bepalingen van de Gemeentewet (artikel 185, lid 1 en 5), waarin wordt gesteld dat rekenkamerrapporten openbaar zijn. Los hiervan weegt naar het oordeel van de rekenkamer het belang van de Rotterdamse burger om te weten op welke wijze de gemeente omgaat met zijn of haar bijzondere persoonsgegevens en het belang van de gemeenteraad om in de volle openbaarheid hierover een debat te kunnen voeren, zwaarder dan mogelijke risico’s voor de gemeente. In de afweging speelt tevens een belangrijke rol mee dat de gemeente al lange tijd op de hoogte was van de aangetoonde kwetsbaarheden en alle tijd heeft gehad om die te dichten. Dat dit niet heeft plaatsgevonden neemt de rekenkamer de gemeente erg kwalijk. Dat is geen fijne boodschap, maar de rekenkamer is nadrukkelijk van mening dat er op het punt van informatiebeveiliging nu echt grote stappen moeten worden genomen.”

Download het rapport In onveilige handen.