Rapportage Informatieveiligheid, mens, organisatie en techniek

Rapport rekenkamercommissie gemeente Assen

Managementsamenvatting: “Door de toenemende afhankelijkheid van ICT, is de beveiliging van de gegevens in de systemen van de gemeente Assen ook steeds belangrijker geworden. Zo worden de gegevens van burgers niet meer met de hand geschreven op papieren documenten en in kasten gearchiveerd. Gegevens van burgers worden door de digitalisering nu digitaal bewaard. Bovendien werken gemeenten en burgers steeds meer samen omdat de digitalisering die nieuwe mogelijkheden ondersteund. Met de digitalisering heeft de gemeente ook een extra verantwoordelijkheid gekregen om zorgvuldig om te gaan met de gegevens van haar burgers. En dat betreft niet alleen de veiligheid (security) maar ook de privacy. Want de gegevens van burgers mogen niet rondslingeren en in verkeerde handen komen. Bovendien is de wettelijk druk daaromtrent ook fors toegenomen. Denk aan de verplichte melding van datalekken aan de Autoriteit Persoonsgegevens en ook aan de recente verhoging van de boetecategorie die de Autoriteit Persoonsgegevens kan opleggen (820.00 euro). Daarnaast wordt met de inwerkingtreding van de Europese Algemene Verordening Gegevensbescherming in mei 2018 de druk op de gemeenten en andere publieke organisaties nog groter. Van de gemeenten zal nog meer worden verwacht om de security en privacy van haar burgers aantoonbaar te borgen.

Door de decentralisatie van het sociale domein naar de gemeenten zijn er ook allerlei informatiesystemen toegevoegd. Het betreft veelal complexe systemen die veel persoonsgegevens bevatten en bovendien worden gebruikt door vele betrokkenen.

Tegelijkertijd verandert de wereld om ons heen snel. Ontwikkelingen zoals ‘cloud’ maar ook nieuwe dreigingen zoals ‘phishing’ vragen om een meer proactieve benadering van informatieveiligheid. En tot slot willen de burgers ook steeds meer zekerheid over het niveau van informatieveiligheid van de gemeente Assen en kunnen zij vragen naar de door de gemeente Assen getroffen beveiligingsmaatregelen.

In 2015 is in opdracht van de Rekenkamercommissie Assen door Insite Security een nulmeting informatieveiligheid uitgevoerd. De resultaten gaven aanleiding voor gemeente Assen tot het nemen van verschillende technische en organisatorische maatregelen. Ook is aandacht besteed aan het verhogen van het niveau van beveiligingsbewustzijn van de medewerkers van gemeente Assen. Er is bijvoorbeeld een e-learning phishing aangeboden om de medewerkers het onderscheid te leren tussen legitieme e-mail en phishing e-mail.

In het vervolgonderzoek 2017 heeft de Rekenkamercommissie, ten opzichte van de in 2015 uitgevoerde nulmeting laten vaststellen:

  • Of het niveau van informatieveiligheid al dan niet is verbeterd.
  • Welke resterende, nog niet verholpen, risico’s er zijn geconstateerd.
  • Welke eventuele nieuw geconstateerde risico’s er zijn geconstateerd.
  • Welke eventuele aanvullende beveiligingsrisico’s zich voordoen door de (ICT) samenwerking met derde partijen.

Evenals de nulmeting in 2015 heeft het onderzoek zich gericht op de verschillende aspecten die raken aan informatieveiligheid, oftewel menselijk gedrag, de organisatie (IT Governance en beheersing) en de inrichting en werking van de techniek. ”

Download rapport