Nederlandse Vereniging van Rekenkamers & Rekenkamercommissies

Metadossier Informatiebeveiliging

Onderzoeksaanpak

Exporteer als CSV

's Hertogenbosch (2021)

Documentonderzoek

-

Interview

-

Analyse bestaande gegevens

Discussienotitie "Privacy, verantwoord datagebruik, en de rol van de raad: Een verkenning van beleid en uitvoering." is gebaseerd op twee verkennende onderzoeken:

  • PBLQ onderzocht de wijze waarop het privacy-beleid is vastgelegd in beleidskaders en andere documenten. En hoe het beleid in de organisatie is vormgegeven.
  • NSOB gaat in op het toenemend gebruik van data door de overheid, meer in het bijzonder de gemeente ‘s-Hertogenbosch. Wat betekent de rol van de
    gemeenteraad voor het verantwoord gebruik van data? Er is ingezoomd op het gebruik van data in het sociaal domein in ‘s-Hertogenbosch.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Achtkarspelen en Tytsjerksteradiel (2019)

Documentonderzoek

Documenten op informatiebeveiligings- en privacybeleid zijn bestudeerd en geanalyseerd. De informatie uit de deskresearch vormde de input voor de interviews met ambtenaren, management en portefeuillehouders.

Interview

Interviews met ambtenaren, management en portefeuillehouders.

Analyse bestaande gegevens

Documenten op informatiebeveiligings- en privacybeleid zijn bestudeerd en geanalyseerd. De informatie uit de deskresearch vormde de input voor de interviews met ambtenaren, management en portefeuillehouders.

Enquête

-

Participerende observatie

-

Bijeenkomsten

startbijeenkomst waarin de onderzoeksopzet is gepresenteerd aan raadsleden en ambtenaren. Tevens zijn twee groepsgesprekken met raadsleden van de twee gemeenten gehouden om verwachtingen ten aanzien van het onderzoek
te inventariseren.

werkconferentie met raadsleden over de voorlopige onderzoeksresultaten

waarderende sessie mket stakeholders (betrokken ambtenaren en bestuurders) over bevindingen

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

Twee processen waarin de gemeente persoonsgegevens verwerkt zijn nader bestudeerd. De twee processen zijn een aanvraag uitkering in het kader van de Participatiewet en het indienen van een klacht in het kader van de leefomgeving. Onderzocht is onder andere welke (bijzondere) persoonsgegevens geregistreerd worden, wie geautoriseerd zijn de gegevens in te zien en/of te bewerken, met welke externe partijen deze gedeeld worden en welke gevoeligheden de gegevens hebben.

Amersfoort (2021)

Documentonderzoek

Aan het begin van het onderzoek zijn diverse relevante documenten geraadpleegd.

Interview

Er zijn interviews afgenomen bij verschillende medewerkers van de gemeente.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

In twee workshops, met een aantal medewerkers, is de omgang met persoonsgegevens in het kader van de Wet verplichte geestelijke gezondheidszorg (Wvggz) en privacyoverwegingen bij de inzet van algoritmen onderzocht. De workshops hadden het doel inzicht te verkrijgen in de cultuur van de
organisatie en hoe er in de dagelijkse praktijk met privacydilemma’s wordt omgegaan.

Om een goede indruk te krijgen van het perspectief van inwoners is er in het kader van dit onderzoek gesproken met organen waarin inwoners zich hebben verenigd.

Tot slot is er een raadsessie gehouden om de input van de raad op te halen.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Berg en Dal (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met: Portefeuillehouder ICT, Chief Information Security Officer/ENSIA-coördinator, Functioneel beheerder, Gemeentesecretaris, Kwaliteitsmedewerker Documentaire, Informatievoorziening, Opgavemanager, Teamleider Team Informatie
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Functionaris Gegevensbescherming, Kwaliteitsmedewerker Jeugd/Wmo, Teamleider Sociaal Team en Regieteam, Teamleider Team Informatie
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Beuningen (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met:Burgemeester / portefeuillehouder ICT, Chief Information Security Officer, Functioneel beheerder, Gemeentesecretaris, Informatie Adviseur, Manager Informatie & Bedrijfsvoering
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Burgemeester / portefeuillehouder ICT, Beleidsmedewerker Integrale Veiligheid en Openbare Orde, Functionaris Gegevensbescherming, Juridisch Kwaliteitsadv. Sociaal Domein, Kwaliteitsmedewerker Dienstverlening
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Blaricum, Eemnes en Laren (BEL gemeenten) (2017)

Documentonderzoek

Analyse van relevante beleidsdocumenten, protocollen en overeenkomsten

Interview

startgesprek met ambtelijke directie
gesprekken met:

  • verantwoordelijk manager (van de gemeente Huizen)
  • medewerkers die betrokken zijn bij de beleidsvoorbereiding.
  • operationeel betrokken medewerker van jeugdzorg Eemnes

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Breda (2016)

Documentonderzoek

documentenonderzoek

Interview

gesprekken met informatie- en ICT-medewerkers, de verantwoordelijk wethouder en sleutelpersonen binnen enkele afdelingen (zoals Concerncontrol en de griffie) en een kort vragenlijstje naar alle afdelingshoofden over informatiebeveiliging.

Analyse bestaande gegevens

Daarnaast zijn de landelijke normen en ontwikkelingen, en de uitkomsten van enkele landelijke, provinciale en gemeentelijke onderzoeken in kaart gebracht.

Enquête

een korte enquête onder alle afdelingshoofden van de gemeente Breda.

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Een kwetsbaarhedenscan en hackpogingen om op verschillende manieren ‘binnen’ te komen in de digitale systemen van de gemeente Breda, zowel van buitenaf zonder enige voorkennis, als met (enige) voorkennis. Dat laatste om te onderzoeken hoe ver iemand kan doordringen tot interne gemeentelijke (en vertrouwelijke) bestanden en informatie, als iemand eenmaal in het bezit is van een (gast)account of een toegang heeft gevonden;

Awareness test

-

Casestudie

Een Forensic readiness scan, waarin onderzocht is in hoeverre de gemeente Breda voorbereid is op cyberaanvallen of lekken, hoeveel schade deze kunnen aanrichten en in hoeverre de gemeente kan achterhalen (forensisch onderzoek) door wie c.q. vanaf welke internetadres deze aanval is ingezet of het lek heeft plaatsgevonden.

Cranendonck, Heeze-Leende, Valkenswaard (Samenwerking A2-gemeenten) (2020)

Documentonderzoek

Er is gekeken naar de beleidskaders rondom informatieveiligheid en de uitvoering daarvan.

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

  • Externe penetratietest (hierna genoemd: pentest), uitgevoerd vanaf het internet.
  • Pentest werkplek; de onderzoekers hebben de pentest uitgevoerd op ‘werkplek.a2samenwerking.nl’ vanaf het internet.
  • Pentest intern; de onderzoekers hebben op een flexwerkplek bij de gemeente Cranendonck,
    representatief voor de overige twee gemeenten, een intern onderzoek uitgevoerd.
  • Pentest WiFi-Netwerk; de onderzoeker heeft tijdens de test een ‘Rogue Acces Point’ opgezet en een Man In the Middle (MITM)-aanval uitgevoerd op het SSID ‘govroam’.

Awareness test

Mail phishing
Mystery guest bezoek

Casestudie

-

Delft (2018)

Documentonderzoek

analyse van algemene documentatie en van (internet) bronnen

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Externe pentesten
Interne pentesten

Awareness test

Mail phishing
fysieke Mystery Guest actie
telefonische Mystery Guest actie

Casestudie

-

Delfzijl, Appingedam en Loppersum (DAL); nu: Eemsdelta (per 1/1//2021) (2018)

Documentonderzoek

notitie van de rekenkamer van de gemeente Den Haag en de Taskforce Bestuur & Informatieveiligheid
Dienstverlening (Taskforce BID).

Analyse van documenten van de gemeenten m.b.t.

  • informatiebeveiliging: beleid, plan van aanpak, controle en verbetermaatregelen;
  • stukken m.b.t. ENSIA, autorisaties, websitebeheer en CMS;
  • GAP-analyse, ICT-beveiligingsassessments, verslag visitatiecommissie informatieveiligheid VNG

Interview

interviews met CISO, concerncontrollers, coördinatoren ENSIA en met afdelingshoofden bedrijfsvoering van de DAL-gmeenten

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Dronten (2019)

Documentonderzoek

documentanalyse van bronmateriaal geleverd door de gemeente
analyse van open bronnen en documenten

Interview

Interviews met wethouders en medewerkers van de gemeente;
Interviews met medewerkers van zorginstellingen

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

observaties in het gemeentehuis in:

  • centrale ontvangstruimte
  • balies klantencontactcentrum
  • afdeling sociaal domein

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Eindhoven (2021)

Documentonderzoek

documentanalyse

Interview

interviews met de betrokken ambtenaren en de portefeuillehouder

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

externe, interne penetratietesten en penetratietest van het WiFi-netwerk.

Awareness test

reacties van medewerkers zijn getoetst op phishing

Casestudie

-

Gelderland - RK Oost-Nederland (2019)

Documentonderzoek

  • We zijn onder andere nagegaan of en in welke documenten verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatieveiligheid zijn toegekend aan de verschillende functies binnen de provinciale organisatie.

  • We hebben het beleidskader informatieveiligheid geanalyseerd en zijn nagegaan hoe er in de praktijk invulling wordt gegeven aan dit beleid.

  • De waarborgen voor het beschermen van informatie voor toegang door onbevoegden zijn door een externe partij onderzocht.

  • We hebben (de uitvoering van) het bewustwordingsprogramma en andere activiteiten die mogelijk worden ondernomen om bewustwording van informatieveiligheid te bevorderen, geanalyseerd. Ook dit heeft de externe partij in de praktijk onderzocht.

  • We zijn nagegaan of informatieveiligheid een plek heeft in de P&C-documenten en of een onafhankelijke toets en zelfevaluatie is uitgevoerd.

Interview

-

Analyse bestaande gegevens

Door de provincies is ook onderzoek gedaan naar informatieveiligheid. Deze onderzoeken hebben we - voor zover mogelijk - meegenomen in ons onderzoek om dubbelwerk te voorkomen.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

  • externe penetratietest: het testen van de beveiliging van buitenaf (vanaf het internet) tot de infrastructuur van de provincie.

  • interne penetratietest: het testen van de beveiliging van binnenuit (het lokale netwerk) tot de infrastructuur van de provincie.

  • wifi test: het testen van de draadloze netwerken van de provincie.

Awareness test

  • social engineering test: het testen van de bewustwording van medewerkers van de provincie door middel van een inlooptest (inclusief het achterlaten van geprepareerde usb-sticks) en spear phishing.

Casestudie

-

Gooise Meren (2017)

Documentonderzoek

Analyse van gemeentelijke documenten over de inrichting en uitvoering van het privacybeleid

Interview

interviews met

  • functionarissen, werkzaam in het sociaal domein en die zich bezighouden met privacy- en beveiligingsbeleid;
  • medewerkers inkoop- en contractmanagement en juridische zaken van de Regio Gooi en Vechtstreek (RGV);
  • voormalig beleidsmedewerker van het regionale programma Samenkracht!;
  • vertegenwoordigers van de Adviesraad Wmo/Jeugd en van de Adviesraad Werk en Inkomen;
  • twee zorgaanbieders

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

verificatiesessie met gemeentelijk medewerkers.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Haarlem (2019)

Documentonderzoek

Hiervoor zijn vele documenten (zie bronnenlijst) bestudeerd en naar aanleiding daarvan zijn vragen gesteld aan de gemeentelijke organisatie

Interview

Hiervoor zijn vele documenten (zie bronnenlijst) bestudeerd en naar aanleiding daarvan zijn vragen gesteld aan de gemeentelijke organisatie

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Penetratietest Haarlem
De penetratietest is uitgevoerd in april en mei 2018 en bestond uit drie verschillende onderdelen:

  • Externe penetratietests vanaf een locatie buiten de gemeente
    Een black box test vanaf het internet. Hierbij is bij alle vanaf het internet benaderbare systemen getoetst of het mogelijk was binnen te dringen. De gemeente heeft hiervoor de IP-adressen verstrekt.

  • Interne penetratietests vanaf locaties binnen de gemeentegebouwen:

  • Blackbox
    Met een meegebrachte laptop via een van de vele vrij toegankelijk netwerkaansluitingen in de muur proberen toegang te krijgen tot het netwerk.

  • Greybox

  • Vanaf een werkstation van de gemeente

  • Vanaf een werklocatie van de gemeente buiten de kantoren van de gemeente.

  • Het wifi-netwerk in de gemeentegebouwen

  • Fysieke penetratietests bij de drie grote kantoorgebouwen van de gemeente

Bij de externe en interne pentests is gebruik gemaakt verschillende soorten aanvalstechnieken en tools, die grotendeels standaard zijn en vrij beschikbaar op het internet. Voor de fysieke pentest is een mystery guest ingezet.
Bij de externe penetratietest is vanwege de organisatorische impact niet de vaak succesvolle techniek van social engineering of spear phishing toegepast: de methodiek waarbij bijvoorbeeld door een mail met een geprepareerde bijlage of een usb-stick via medewerkers wordt getracht toegang te krijgen tot de systemen.

Awareness test

Voor de fysieke pentest is een mystery guest ingezet.

Bij de externe penetratietest is vanwege de organisatorische impact niet de vaak succesvolle techniek van social engineering of spear phishing toegepast: de methodiek waarbij bijvoorbeeld door een mail met een geprepareerde bijlage of een usb-stick via medewerkers wordt getracht toegang te krijgen tot de systemen.

Casestudie

-

Hillegom en Lisse (2022)

Documentonderzoek

Analyse van documenten in deskresearch.
De documenten bevatten beleid en rapportages van de gemeente Lisse en HLTsamen op het gebied van informatiebeveiliging. In HLTsamen werken de gemeente Hillegom, Lisse en Teylingen samen.

Interview

Interviews met vier bestuurders en functionarissen van de gemeente Lisse en HLTsamen.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

Een inlooptest, uitgevoerd door een mystery guest op de locatie van het gemeentehuis van Lisse.

Casestudie

-

Hoeksche Waard (2021)

Documentonderzoek

analyse van documenten in deskresearch en interviewverslagen. De documenten
bevatten beleid en rapportages van de gemeente Hoeksche Waard op het gebied van informatiebeveiliging.

Interview

interviews met vier bestuurders en functionarissen van de gemeente Hoeksche Waard.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

De pentesten zijn in de periode augustus-november 2021 uitgevoerd door Hoffmann.

Awareness test

-

Casestudie

-

Hof van Twente (2022)

Documentonderzoek

Analyse van documenten in deskresearch.
De documenten bevatten beleid en rapportages van de gemeente Hof van Twente op het gebied van informatiebeveiliging.

Interview

Functionarissen van de gemeente Hof van Twente + raadsleden:
Afdelingsmanager, Burgemeester, CISO (in dienst tot augustus 2021), CISO (in dienst vanaf 15 januari 2022), Controller, Gemeentesecretaris, Griffier, 6 gesprekken met verschillende raadsleden (in totaal zijn 8 raadsleden van alle 7 fracties geïnterviewd), Teamcoördinator

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Laarbeek (2019)

Documentonderzoek

analyse van diverse beschikbare audit rapporten en opvolging van de bevindingen opgenomen in die rapporten, het
bestuderen van de diverse interne verantwoordingen en daarop gegeven opvolging en diverse vastlegging rond en in de beheerprocessen

Interview

interviews met sleutelfunctionarissen

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Limburg - Zuidelijke Rekenkamer (2018)

Documentonderzoek

Analyse van documenten van de provincie: begrotingen, jaarstukken, accountantverslagen, boardletters, nota's I(C)T-beleid en informatiebeveiligingsbeleid, evaluaties, schriftelijke vragen PS, memo's en statenmededelingen
info van derden.

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Pentest: ethische hacking en phishingmail

Awareness test

Mystery Guest

Casestudie

-

Limburg - Zuidelijke Rekenkamer (2022)

Documentonderzoek

Analyse van documenten van de provincie: stukken van GS en PS, beleidsnotities en -rapporten, mededelingen Gedeputeerde, verkenningen, (interne) nota's
verslagen van technisch beveiligingsonderzoek door Secura

Interview

interviews met Senior adviseur Organisatie en Informatie / CISO en met de Clustermanager Organisatie en Informatie van de provincie
interviews met Senior adviseur en verandermanager bij BMC, twee consultants Corporate & Cybersecurity bij Hoffmann en Senior Security Specialist & Public Speaker bij Secura B.V.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Maasdriel (2018)

Documentonderzoek

-

Interview

Er is gesproken met: teammanager informatisering en automatisering, Chief Information Security Officer (CISO), burgemeester

De teammanager informatisering en automatisering van de Bedrijfsvoeringseenheid Bommelerwaard en de zogenoemde Chief Information Security Officer (CISO), ook werkzaam vanuit de Bedrijfsvoeringseenheid. Beiden zijn actief voor zowel Maasdriel als Zaltbommel door omstandigheden is in eerste instantie alleen met laatstbedoelde, dus met de CISO een goed voorbereid, maar bewust ‘open’ interview afgenomen. Nadien, toen die CISO wegens ziekte langer afwezig was, zijn contacten onderhouden met de plaatsvervangend CISO (gegevensbeheerder-informatiebeveiligingsfunctionaris)

dat verkregen beeld is verbreed en deels ook (nader) getoetst in een gesprek met de verantwoordelijk bestuurder, in casu burgemeester Henny van Kooten. Aan dat gesprek namen ook de teammanager informatisering en automatisering en de plaatsvervangend CISO deel.

Analyse bestaande gegevens

op specifiek verzoek van de Rekenkamercommissie, maar ook op eigen initiatief van de CISO is vervolgens een grote hoeveelheid documenten ontvangen en bestudeerd. Uit de combinatie van stukken, uitkomsten van het interview en opvolgende contacten met de plaatsvervangend CISO heeft de Rekenkamercommissie zich een beeld gevormd van de opzet, inbedding, werking, borging en bestuurlijke aandacht van (en voor) het onderwerp beveiliging van informatie

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Nijmegen (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met: portefeuillehouder ICT, Chief Information Security Officer (CISO), Concernmanager Veiligheid, Juridische Zaken en Bestuursondersteuning, Concernmanager Personeel, Informatie en Facilitair, Functionaris Gegevensbescherming, Functioneel beheerder, Gemeentesecretaris, Manager Basis- en GEO-informatie, Manager Ontwikkel Informatisering en Automatisering (I&A) / Chief Information Officer
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Burgemeester, Chief Information Security Officer (CISO), Functionaris Gegevensbescherming, Informatiecoördinator Zorg- en Veiligheidshuis, Inhoudelijk Coördinator Back Office Wmo/Jeugd, Klachtencoördinator, Kwaliteitsmedewerker Regionaal Ondersteuningsbureau, Manager Zorg- en Veiligheidshuis, Privacy Officer, Procesmanager Cluster Ondermijning & Informatiegestuurd Werken, Senior Juridisch Beleidsadviseur
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Noord-Brabant - Zuidelijke Rekenkamer (2018)

Documentonderzoek

Analyse van documenten van de provincie: begrotingen, jaarstukken, accountantverslagen, boardletters, nota's I(C)T-beleid en informatiebeveiligingsbeleid, evaluaties, schriftelijke vragen PS, memo's en statenmededelingen
info van derden.

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Pentest: ethische hacking en phishingmail

Awareness test

Mystery Guest

Casestudie

-

Noord-Brabant - Zuidelijke Rekenkamer (2022)

Documentonderzoek

Analyse van documenten van de provincie: stukken van GS en PS, beleidsnotities en -rapporten, mededelingen en statenvoorstellen Gedeputeerden, (interne) nota's
Baseline Informatiebeveiliging Overheid, versie 1.04, 4 november 2019 en nadere info hierover

Interview

interview met Chief Information Officer (CIO) van de provincie
interviews met Senior adviseur onderzoek en verandermanagement bij BMC, consultant Corporate & Cybersecurity bij Hoffmann en Senior Security Specialist & Public Speaker bij Secura B.V.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Opmeer (RKC Koggenland) (2022)

Documentonderzoek

nota's, rapportages, meldingen over informatieveiligheidsbeleid, de inrichting en organisatie hiervan, toegangsbeveiliging, datalek

Interview

Interviews met CISO (Chief Information Security Officer), ISO (Information Security Officer) Functionaris gegevensbescherming, Privacy officer, Gegevens- en contractmanager, Sectorhoofd bestuur- en organisatie gemeente Opmeer

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

externe en interne penetratietest

Awareness test

-

Casestudie

-

Overbetuwe (2021)

Documentonderzoek

Overbetuwe is voorafgaand aan de interviews gevraagd documentatie aan te leveren waarmee zij aantoont dat aan de BIO wordt voldaan (‘show it’). Denk hierbij aan beleidsstukken, audit resultaten, ENSIA-rapportages, overige rapportages en interne documentatie zoals procedures of artikelen. Daarnaast is via openbare bronnen gezocht naar relevante informatie.

Interview

Om een goed beeld te kunnen vormen van de mate waarin informatiebeveiliging geïntegreerd is in de dagelijkse werkzaamheden van Overbetuwe zijn meerdere functionarissen van de gemeente op strategisch, tactisch en operationeel niveau geïnterviewd. Om de privacy van de betrokken medewerkers te beschermen worden er geen namen genoemd in dit rapport of wordt verwezen naar gedane uitspraken. Van elk interview is een verslag opgesteld dat is afgestemd is met de betrokken functionaris (‘hoor en wederhoor’) en met hun instemming is gebruikt in dit onderzoek.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Overijssel - RK Oost-Nederland (2019)

Documentonderzoek

  • We zijn onder andere nagegaan of en in welke documenten verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatieveiligheid zijn toegekend aan de verschillende functies binnen de provinciale organisatie.

  • We hebben het beleidskader informatieveiligheid geanalyseerd en zijn nagegaan hoe er in de praktijk invulling wordt gegeven aan dit beleid.

  • De waarborgen voor het beschermen van informatie voor toegang door onbevoegden zijn door een externe partij onderzocht.

  • We hebben (de uitvoering van) het bewustwordingsprogramma en andere activiteiten die mogelijk worden ondernomen om bewustwording van informatieveiligheid te bevorderen, geanalyseerd. Ook dit heeft de externe partij in de praktijk onderzocht.

  • We zijn nagegaan of informatieveiligheid een plek heeft in de P&C-documenten en of een onafhankelijke toets en zelfevaluatie is uitgevoerd.

Interview

-

Analyse bestaande gegevens

Door de provincies is ook onderzoek gedaan naar informatieveiligheid. Deze onderzoeken hebben we - voor zover mogelijk - meegenomen in ons onderzoek om dubbelwerk te voorkomen.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

  • externe penetratietest: het testen van de beveiliging van buitenaf (vanaf het internet) tot de infrastructuur van de provincie.

  • interne penetratietest: het testen van de beveiliging van binnenuit (het lokale netwerk) tot de infrastructuur van de provincie.

  • wifi test: het testen van de draadloze netwerken van de provincie.

Awareness test

  • social engineering test: het testen van de bewustwording van medewerkers van de provincie door middel van een inlooptest (inclusief het achterlaten van geprepareerde usb-sticks) en spear phishing.

Casestudie

-

Pijnacker-Nootdorp (2018)

Documentonderzoek

Ten behoeve van het onderzoek is kennisgenomen van relevante documenten. Naast beleidsdocumenten betreft dat ook overzichten van de binnen de organisatie geldende afspraken en procedures. Ook is kennisgenomen van eerdere verkenningen en beoordelingen van de uitvoeringspraktijk, zoals audits

Interview

Vervolgens hebben interviews plaatsgevonden met personen binnen de organisatie die betrokken zijn bij het beleid of in hun uitvoerende activiteiten direct te maken hebben met het privacybeleid.
Er is gesproken met: ENSIA-coördinator, Informatiemanager, CISO, Concerncontroller / lid DT, Burgemeester / portefeuillehouder, Gemeentesecretaris, Jurist / beleidsmedewerker privacy, Jurist (inkoop-, aanbestedings- en contractmanager, Afdelingshoofd RBG, Teamleider basisregistraties, Gegevensbeheerder BRP, Teammanager Sociaal Domein, Adviesraad Sociaal Domein

Analyse bestaande gegevens

Ten behoeve van het onderzoek is kennisgenomen van relevante documenten. Naast beleidsdocumenten betreft dat ook overzichten van de binnen de organisatie geldende afspraken en procedures. Ook is kennisgenomen van eerdere verkenningen en beoordelingen van de uitvoeringspraktijk, zoals audits

Enquête

-

Participerende observatie

-

Bijeenkomsten

Om meer zicht te krijgen in de vraag hoe in de dagelijkse praktijk de medewerkers van de gemeente omgaan met privacy zijn er bovendien twee groepssessies georganiseerd om werkprocessen door te lopen op privacyaspecten. Dat is uitgevoerd voor het proces 'vergunningverlening', in het bijzonder de vergunningen voor kinderdagverblijven, en voor processen in het sociaal domein: de 'aanvraag van een uitkering Participatiewet', 'aanvraag voor een Wmo-voorziening' en het proces 'melding en intake kernteam'.

Deelnemers mini-Privacy Impact Assessment Vergunningen: Strategisch adviseur, teamleider Ruimte a.i., Frontofficemedewerker, Teamleider Milieu/Handhaving, Afdelingshoofd RBG

Deelnemers mini-Privacy Impact Assessment Sociaal Domein: Teamleider participatie, Kwaliteitsmedewerker bedrijfsbureau, Gedragswetenschapper, lid kernteam, Administratief Medewerker, Consulent W&I

Deelnemers Convergentiesessie: (Interim) FG, (Interim) CISO, Jurist / beleidsmedewerker privacy, ENSIA-coördinator (tot 1/4/2018), Gegevensbeheerder BRP, Teamleider participatie, Kwaliteitsmedewerker bedrijfsbureau, Directiestaf

Op basis van de voorgaande stappen hebben de onderzoekers zich een beeld kunnen vormen over het privacybeleid en hoe daar in de praktijk inhoud aan wordt gegeven. Om dat beeld scherper te stellen hebben we een convergentiesessie georganiseerd. Hierin zijn de voorlopige bevindingen gepresenteerd en bediscussieerd. Op die manier was het mogelijk om de bevindingen te toetsen, te verdiepen en aan te scherpen of te nuanceren. Aan deze sessie is deelgenomen door het merendeel van medewerkers die we eerder hadden geïnterviewd.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Ridderkerk (2020)

Documentonderzoek

uitgebreide documentanalyse

Interview

(groeps)interviews
Gesproken met:
Portefeuillehouder gemeente Ridderkerk en FG (Functionaris Gegevensbescherming)
en namens de BAR-organisatie (Barendrecht, Albrandswaard en Ridderkerk) gesproken met:
CISO (Chief Information Security Officer), FG (Functionaris Gegevensbescherming), PO (Privacy Officer), Uitvoerend medewerkers

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

demonstratiesessie in het bijzijn van een security engineer van Guardian360

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Rotterdam (2017)

Documentonderzoek

De rekenkamer heeft onder meer de volgende documenten geraadpleegd:

  • documenten die inzicht geven in het beleid van de gemeente op het terrein van informatiebeveiliging;
  • rapportages van onderzoeken die zijn uitgevoerd naar het datalek uit februari 2016;
  • rapportages van onderzoeken en penetratietesten die eerder in opdracht van de gemeente zijn uitgevoerd;
  • documenten die inzicht geven in de staat van informatiebeveiliging van de vijf onderzochte applicaties.

Interview

De rekenkamer heeft met diverse personen binnen en buiten de gemeente Rotterdam gesproken of per e-mail contact gehad.
Binnen de gemeente Rotterdam is gesproken met:

  • de CISO;
  • de security information officers;
  • de security manager;
  • ambtenaren van de afdeling IIFO (o.a. van technisch beheer);
  • ambtenaren van de verschillende clusters (BCO, Dienstverlening, Maatschappelijke Ontwikkeling, Stadsbeheer, Werk en Inkomen en Stadsontwikkeling) die betrokken zijn bij de vijf onderzocht applicaties;
  • directeur Gemeentebelastingen;
  • kwartiermaker functionaris gegevensbescherming;
  • ambtenaren van Concern Auditing

Analyse bestaande gegevens

De rekenkamer heeft onder meer de volgende documenten geraadpleegd:

  • documenten die inzicht geven in het beleid van de gemeente op het terrein van informatiebeveiliging;
  • rapportages van onderzoeken die zijn uitgevoerd naar het datalek uit februari 2016;
  • rapportages van onderzoeken en penetratietesten die eerder in opdracht van de gemeente zijn uitgevoerd;
  • documenten die inzicht geven in de staat van informatiebeveiliging van de vijf onderzochte applicaties.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Ethical hack test:
De rekenkamer heeft door een gespecialiseerd bureau een ethical hack laten uitvoeren. Ten eerste is een externe penetratietest uitgevoerd. Daarbij is geprobeerd vanuit een niet-gemeentelijke locatie via internet in de gemeentelijke informatiesystemen door te dringen. Ten tweede is een interne penetratietest uitgevoerd, waarbij vanuit een gemeentelijke locatie (een werkruimte, vergaderzaal) geprobeerd is oneigenlijke toegang te verkrijgen.

Awareness test

Social engineering test:
Ten slotte is een social engineering test gedaan, waarin de “awareness” van medewerkers is getoetst. De social engineering test bestond uit een inlooptest, het achterlaten van USB-sticks en het versturen van phising-mails.

Casestudie

Applicatie test:
De rekenkamer heeft vijf applicaties geselecteerd waarin veel persoonsgegevens omgaan en de staat van informatiebeveiliging bij deze applicaties nader onderzocht. De rekenkamer heeft in dit verband gesprekken gevoerd met de functioneel beheerders van de applicaties en andere bij de applicaties betrokken medewerkers, waaronder eigenaren van de data die in de applicaties omgaat. Ook heeft de rekenkamer alle onderzochte applicaties ingezien.

Son en Breugel (2020)

Documentonderzoek

documentenanalyse

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Utrecht (2021)

Documentonderzoek

We hebben de relevante beleidsdocumenten, documenten uit de begrotingscyclus en andere raadsinformatie over informatieveiligheid bestudeerd. Hiermee hebben wij in kaart gebracht welk beleid de gemeente Utrecht voert. Voor het inzicht in de risico’s die zijn geïdentificeerd en de beheersmaatregelen hebben wij onder andere de risicorapportages van de gemeente ingezien. De uitkomsten van beveiligingstesten, zelfassessments en audits van de gemeente zijn met name gebruikt ter voorbereiding op de testen die de rekenkamer door een extern bureau heeft laten uitvoeren. V

Interview

Er zijn interviews gehouden met de medewerkers van de gemeente die nauw betrokken zijn bij informatieveiligheid. Bij deze gesprekken gingen wij in op het gevoerde beleid en de processen, een globaal inzicht in de menskracht en het geld dat hiervoor beschikbaar is, de manier waarop bewustwording onder medewerkers onderdeel van beleid en uitvoering uitmaakt, en de mogelijke maatregelen die zij zien voor verdere optimalisatie van de informatieveiligheid.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Penetratietesten (pen-testen): Dit onderdeel is zowel intern als extern uitgevoerd. Er is zowel vanaf een gemeentelijke locatie (werkruimte) als via internet geprobeerd oneigenlijk toegang te krijgen tot informatie.

Awareness test

Social engineering test: Dit onderdeel bestaat uit een mail-phishing test (verzoek per e-mail om informatie te delen), het verspreiden van USB-sticks die bij gebruik malware zouden kunnen installeren (baiting), en inlooptesten op het Stadskantoor en het Stadhuis om ongeautoriseerd toegang te krijgen tot een kantoorruimte. Daarnaast is een laptop van de gemeente aan een analyse onderworpen om na te gaan of deze voldoende beschermd is tegen aanvallen in onveilige netwerken en tegen diefstal en verlies.

Casestudie

-

Wassenaar, Voorschoten, Oegstgeest, Leidschendam-Voorburg (2021)

Documentonderzoek

gemeentelijke documenten bestudeerd over informatiebeveiliging

Interview

gesprekken gevoerd met de chief information security officer (CISO), de functionaris gegevensbescherming (FG) en de griffier van elke gemeente + met verbonden partijen

Analyse bestaande gegevens

-

Enquête

een digitale vragenlijst verstuurd naar verbonden partijen en met hen gesproken

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

penetratietesten en kwetsbaarhedenscans

Awareness test

-

Casestudie

-

Wijchen (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met: Burgemeester, Chief Information Security Officer, Functionaris Gegevensbescherming, Functioneel beheerder, Gemeentesecretaris, i-adviseur, Kwartiermaker Informatiemanagement, Manager Bedrijfsvoering, Strategisch Informatiemanager,
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Burgemeester, Portefeuillehouder ICT, Beleidsadviseur Openbare Orde en Veiligheid, Beleidsadviseur Zorg en Veiligheid, Beleidsmedewerker Jeugd, Wmo, Gezondheid, Functionaris Gegevensbescherming
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Zoetermeer (2017)

Documentonderzoek

-

Interview

Er is gesproken met: wethouders, coördinator informatiebeveiliging/CISO, directeur bedrijfsvoering/CISO, privacyfunctionaris, teammanager I&A, security specialist I&A

Analyse bestaande gegevens

De Rekenkamercommissie Zoetermeer heeft zich voor dit onderzoek deels gebaseerd op een notitie van de rekenkamer van de gemeente Den Haag en de Taskforce Bestuur & Informatieveiligheid Dienstverlening (Taskforce BID). De vragen uit de notitie gaan in op de belangrijkste aspecten van de BIG. Deze vragen zijn aangevuld en aangepast aan de situatie van Zoetermeer.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

De rekenkamer heeft door een gespecialiseerd bureau een ethical hack laten uitvoeren. Ten eerste is een externe penetratietest uitgevoerd. Daarbij is geprobeerd vanuit een niet-gemeentelijke locatie via internet in de gemeentelijke informatiesystemen door te dringen. Ten tweede is een interne penetratietest uitgevoerd, waarbij vanuit een gemeentelijke locatie (een werkruimte, vergaderzaal) geprobeerd is oneigenlijke toegang te verkrijgen.

Awareness test

-

Casestudie

-

Handleiding

Bovenaan iedere pagina in dit metadossier vind je de hoofdonderwerpen uit de rapporten. Bij de hoofdonderwerpen Onderzoeksopzet en Uitkomsten hebben we (onder de paginatitel) ook de mogelijkheid gemaakt om te switchen tussen onderdelen. In Onderzoeksopzet kun je switchen tussen Hoofdvragen, Normen en Onderzoeksvragen, in Uitkomsten tussen Onderzoeksvragen, Conclusies en Aanbevelingen.

Op iedere pagina kun je met de groene knop Exporteer als CSV de informatie die daar getoond wordt exporteren naar je eigen computer. De blauwe knop Rekenkamers openen zorgt er voor dat alle gemeentes op deze pagina opengeklapt worden.

In de linker kolom van iedere pagina vind je filters. Je kunt de informatie filteren op Onderwerpen en op Rekenkamers (gemeentes). Het derde filter is Inwonersaantal: hiermee kun je gemeentes selecteren die vergelijkbaar zijn met 'jouw' gemeente.

Het filter Onderwerpen is bij iedere hoofdpagina anders, omdat de onderzochte onderwerpen natuurlijk verschillen per hoofdpagina.

Als je één van de filters onder Rekenkamers of Inwonersaantal hebt geselecteerd, blijft deze aan staan, ook als je naar een andere hoofdpagina gaat. Als je bijvoorbeeld het filter '20.000 tot 50.000' inwoners hebt aangeklikt plus het filter 'Amsterdam' zie je in de resultaten steeds alle gemeentes met een inwonersaantal tussen de 20.000 en 50.000 *plus* Amsterdam.