Metadossier Informatiebeveiliging

Beleid informatiebeveiliging en privacybescherming

Er is uit de onderzoeken naar voren gekomen dat de gemeente de bestaande regelgeving op het gebied van privacy correct uitvoert en onderdeel laat uitmaken van de processen op de werkvloer. Wat de onderzoeken ook laten zien is dat er nog altijd keuzes te maken zijn die door de politiek gemaakt moeten worden. Regelgeving bepaalt in grote lijnen niet hoeveel data je als gemeentebestuur wilt toepassen, wanneer je die wilt toepassen en bovenal waarvoor je die wilt toepassen.

Het onderzoek toont aan dat de gemeente alle relevante beleidsdocumenten heeft ontwikkeld en deze regelmatig actualiseert. Daarnaast wordt er sinds jaren (door PBLQ is dit herleid tot tenminste 2001) gewerkt met een informatiebeveiligingsbeleid. Ook op dat vlak beschikt de gemeente over beleids- en uitvoeringsplannen en wordt er regelmatig geactualiseerd.

is het beleid conform BIO (BIG)

De relaties tussen processen, gegevens, systemen, beheer en de gerelateerde Baseline Informatiebeveiliging Gemeenten (BIG)-normen zijn vastgelegd in een systeem, zodat er overzicht is en er grip op kan worden gehouden.

Er kan worden geconstateerd dat het beleid van de gemeente grotendeels voldoet aan de bepalingen van de BIG en de AVG.

wordt voldaan aan de AVG

In de voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) zijn in nagenoeg alle onderdelen van de organisatie de relevante processen geïnventariseerd en geanalyseerd. Indien nodig zijn ze heringericht. Er wordt een gestructureerde auditsysteem toegepast om voldoende garantie te bieden voor een adequate bescherming van de privacy van burgers.

Er kan worden geconstateerd dat het beleid van de gemeente grotendeels voldoet aan de bepalingen van de BIG en de AVG. Ten tijde van het onderzoek (2018) moest nog wel het verwerkersregister worden voltooid.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De beide onderzoeken maken voor de rekenkamercommissie duidelijk dat er voor de gemeenteraad van ’sHertogenbosch een verantwoordelijkheid ligt om kaders te stellen voor het verantwoord datagebruik door de gemeente zelf.

Wat de onderzoeken ook laten zien is dat er nog altijd keuzes te maken zijn die door de politiek gemaakt moeten worden. Regelgeving bepaalt in grote lijnen niet hoeveel data je als gemeentebestuur wilt toepassen, wanneer je die wilt toepassen en bovenal waarvoor je die wilt toepassen.

Het onderzoek toont aan dat de raad van ’s-Hertogenbosch zich op verschillende momenten heeft gebogen over het vraagstuk van privacy-beleid en datagebruik. Er is geconstateerd dat de onderwerpen privacy en verantwoord datagebruik meerdere malen in de raad zijn besproken de afgelopen jaren. Het is echter de vraag of de raad zich de afgelopen jaren voldoende met deze vraagstukken heeft bezig gehouden.

Controlerende rol gemeenteraad / PS

Het onderzoek toont aan dat de raad van ’s-Hertogenbosch zich op verschillende momenten heeft gebogen over het vraagstuk van privacy-beleid en datagebruik. Er is geconstateerd dat de onderwerpen privacy en verantwoord datagebruik meerdere malen in de raad zijn besproken de afgelopen jaren. Het is echter de vraag of de raad zich de afgelopen jaren voldoende met deze vraagstukken heeft bezig gehouden.

werkprocessen monitoren, bewaken en verbeteren

Er wordt een gestructureerde auditsysteem toegepast om voldoende garantie te bieden voor een adequate bescherming van de privacy van burgers.

Het onderzoek constateert dat er een procedure is voor datalekken. Deze procedure wordt als leerinstrument gebruikt en niet om medewerkers op af te rekenen.

Checks - Audits - Evaluatie - Risicoanalyse

Er wordt een gestructureerde auditsysteem toegepast om voldoende garantie te bieden voor een adequate bescherming van de privacy van burgers.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Er is uit de onderzoeken naar voren gekomen dat de gemeente de bestaande regelgeving op het gebied van privacy correct uitvoert en onderdeel laat uitmaken van de processen op de werkvloer.

Daarnaast werd in het betreffende onderzoek geconcludeerd dat het privacy-beleid nog een regulier onderdeel moest worden van de PDCA-cyclus, waarbij de verantwoording over de naleving nadrukkelijk de aandacht moet krijgen. Tot slot benoemden de onderzoekers de dubbelfunctie van de Functionaris Gegevensbescherming (FG) en de Chief Information Security Officer (CISO) als een punt van aandacht.

Er bestaan in de organisatie voor bijna alle processen uitgewerkte procesbeschrijvingen die een basis vormen voor de informatiehuishouding die getoetst is aan de criteria van de AVG. Het onderzoek constateert dat er een procedure is voor datalekken. Deze procedure wordt als leerinstrument gebruikt en niet om medewerkers op af te rekenen. Het beeld dat uit het onderzoek naar voren komt is dat er veel energie is gestoken in de bewustwording van medewerkers. Dit is gedaan door op basis van een Onderwijs- en communicatieplan kennis over te dragen door middel van e-learning en een bewustwordingscampagne. Daarnaast is er een privacy-organisatie ingericht. Dit betekent concreet dat elke afdeling een aanspreekpunt (of buddy) kent die als vraagbaak fungeert en die eventueel zelf te rade kan gaan bij de gespecialiseerde privacy officer en de Functionaris Gegevensbescherming.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Het onderzoek constateert dat er een procedure is voor datalekken. Deze procedure wordt als leerinstrument gebruikt en niet om medewerkers op af te rekenen. Het beeld dat uit het onderzoek naar voren komt is dat er veel energie is gestoken in de bewustwording van medewerkers. Dit is gedaan door op basis van een Onderwijs- en communicatieplan kennis over te dragen door middel van e-learning en een bewustwordingscampagne. Daarnaast is er een privacy-organisatie ingericht. Dit betekent concreet dat elke afdeling een aanspreekpunt (of buddy) kent die als vraagbaak fungeert en die eventueel zelf te rade kan gaan bij de gespecialiseerde privacy officer en de Functionaris Gegevensbescherming.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De gemeente kent een model voor convenanten met ketenpartners waarin privacy is opgenomen, modellen voor verwerkersovereenkomsten en een procedure voor datalekken.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamercommissies concluderen dat het beleid actueel is, dat cruciale functies zijn ingevuld. Maatregelen worden (terecht) vanuit de afweging van het risico geprioriteerd. In alle geledingen is men er zich van bewust dat informatieveiligheid en privacybescherming hoog op de agenda moeten. Dat bewustzijn is laat op gang gekomen.

Verder wachten nog grote uitdagingen doordat de bedreigingen toenemen en de verdere implementatie van de AVG en nieuwe landelijke normeringen forse inspanningen vereisen. Er is kortom werk aan de winkel!

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Verder wachten nog grote uitdagingen doordat de bedreigingen toenemen en de verdere implementatie van de AVG en nieuwe landelijke normeringen forse inspanningen vereisen.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

De rekenkamercommissies concluderen dat de raden wel, maar te summier worden ingelicht over de voortgang en de maatregelen. De raden hebben hun informatiebehoefte inmiddels uitgesproken en landelijke ontwikkelingen in het kader van de jaarrapportage geven voldoende aanknopingspunten om het informatieverkeer tussen de colleges en de raden in overleg te verbeteren. Gelet op de kritieke risico’s die gemeenten en burgers lopen op dit terrein is de controlerende rol van de raden essentieel.

organisatie, werkprocessen en uitvoering

In alle geledingen is men er zich van bewust dat informatieveiligheid en privacybescherming hoog op de agenda moeten. Dat bewustzijn is laat op gang gekomen.

De daadwerkelijke uitvoering van dat beleid en de handhaving via beheersmaatregelen (als patchmanagement en logging) is niet op het nodige niveau.

In de afgelopen periode hebben andere zaken (als de reorganisatie) invloed gehad op de urgentie en inzet maar dat mag en kan geen excuus zijn of blijven. Er is echter voldoende draagvlak om stappen te zetten. Dat is ook nodig omdat er op dit moment te veel risico wordt gelopen. Het is niet goed genoeg.

calamiteiten en risicobeheersing

Maatregelen worden (terecht) vanuit de afweging van het risico geprioriteerd.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het privacybeleid voldoet in hoofdlijnen aan de AVG en hier wordt in de praktijk naar gehandeld. De verschillende eisen en principes van de AVG zijn adequaat uitgewerkt in beleid en werkprocessen. Dit geldt ook voor de afspraken die worden gemaakt met derden.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Het privacybeleid voldoet in hoofdlijnen aan de AVG en hier wordt in de praktijk naar gehandeld. De verschillende eisen en principes van de AVG zijn adequaat uitgewerkt in beleid en werkprocessen. Dit geldt ook voor de afspraken die worden gemaakt met derden.

budget en personele inzet

-

Sturende rol college / GS

Bij het opstellen van beleid zijn de relevante organen, zoals het college en de raad, meegenomen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Bij het opstellen van beleid zijn de relevante organen, zoals het college en de raad, meegenomen.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

De raad wordt omtrent privacy op de hoogte gehouden door raadsinformatiebrieven en presentaties. Daarnaast is de raad actief betrokken bij de uitgangspunten waarop het huidige privacybeleid nog steeds is gestoeld en wordt de raad direct geïnformeerd bij ernstige datalekken. Minder ernstige datalekken worden binnen reguliere bijeenkomsten besproken. Omtrent informatiebeveiliging is de raad nog beperkt betrokken. De raad wordt daarover geïnformeerd via de jaarrekening en het jaarverslag.

organisatie, werkprocessen en uitvoering

Wat opvalt is de sterke ontwikkeling van het privacybeleid binnen de organisatie. Deze is de afgelopen jaren op verschillende punten sterk verbeterd. Hierbij is allereerst de aandacht gegaan naar de uitwerking van uitgangspunten. Het beleid dat nu wordt gehanteerd, is een concretere uitwerking die richting geeft aan hoe mogelijke knelpunten moeten worden opgelost. Bij het opstellen van beleid zijn de relevante organen, zoals het college en de raad, meegenomen. Dat het beleid vervolgens in verschillende overleggen terug is gekomen, heeft ertoe geleid dat het brede bekendheid geniet.

De AVG wordt over het algemeen niet als knellend of belemmerend ervaren. Dit hangt samen met de constructieve houding tegenover privacy. Er zijn geen signalen verkregen op basis waarvan kan worden geconcludeerd dat er een oneigenlijk beroep wordt gedaan op de AVG. Wel doen er zich soms lastige situaties voor waarbij het niet helemaal duidelijk is hoe de AVG samengaat met andere wetgeving. Ook vraagt de AVG een nieuwe manier van werken die vraagt dat bestaande IT-systemen worden aangepast of anders worden ingericht. De organisatie werkt aan dit laatste en hoopt in de toekomst meer stappen te kunnen zetten met privacy en security by design.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Er is veel aandacht geweest voor de invloed van de cultuur in de organisatie voor de omgang met persoonsgegevens. Dit is te zien aan kleine zaken, zoals dat er actief wordt gewerkt aan een prettig werkklimaat waar medewerkers mogelijke fouten durven toe te geven, zoals het versturen van een mail naar een verkeerd adres. Het is ook terug te zien in structurele aanpassingen, zoals het aanstellen van sleutelpersonen om ervoor te zorgen dat het makkelijk is om iemand in elke afdeling te vinden waarbij vragen over privacy kunnen worden gesteld. Aanvullend zijn er in de organisatie professionals die lastige, technische of juridische vragen kunnen beantwoorden.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Met derden worden consistente afspraken gemaakt in de vorm van overeenkomsten of convenanten. Aan derden waar gegevens mee worden gedeeld, worden dezelfde eisen gesteld als de eisen waar de gemeente zichzelf aan houdt op het gebied van privacy en informatiebeveiliging. Er kunnen nog stappen worden gemaakt bij de monitoring van de gemaakte afspraken. De eerste stappen in de vorm van een nieuw systeem zijn hiervoor al gezet.

communicatie en betrokkenheid burgers

De gemeente heeft beperkt inzicht in de houding van inwoners ten aanzien van privacy. Er wordt via de gangbare wegen, zoals de website en aan de balie, gecommuniceerd over privacy aan inwoners. Het is voor inwoners lastig om te beoordelen wanneer hun rechten in het gedrang zijn. Privacy is al snel een lastig onderwerp voor veel inwoners. Klachten worden afgehandeld. Op basis van de klachten is het niet mogelijk een algemeen beeld vast te stellen over het perspectief van inwoners. Hoewel de communicatie naar inwoners op dit moment voldoende is, zou de gemeente hier een proactievere rol in kunnen nemen die past bij de houding die intern in de afgelopen jaren is bevorderd.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

is het beleid conform BIO (BIG)

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

wordt voldaan aan de AVG

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

budget en personele inzet

-

Sturende rol college / GS

In onze gemeenten en binnen iRvN zijn de professionals zich zeer bewust van deze kwetsbaarheid. De colleges zijn zich hier ook van bewust, maar kunnen en moeten meer doen om de risico’s te verminderen. Hun rol is cruciaal: informatiebeveiliging en privacybescherming zijn ‘Chefsache’, zou je à la Angela Merkel kunnen zeggen. Als zij het belang voortdurend benadrukken, ruimte scheppen en rugdekking bieden aan de medewerkers die ermee bezig zijn, dan maakt dat verschil. De VNG heeft daartoe 10 cruciale bestuurlijke principes voor informatiebeveiliging geformuleerd. Die principes zijn in onze gemeenten in het beleid opgenomen, maar de meeste bestuurders geven aan de principes in de praktijk niet te hanteren.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

betrokkenheid samenwerkende gemeenten

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Op relatief grote afstand van deze dagelijkse gang van zaken staan de gemeenteraden. Dat is niet persé erg, maar de raad moet wel zijn verantwoordelijkheid kunnen waarmaken: als gegevens van inwoners niet veilig zijn en dienstverlening op enig moment in gevaar zou komen, is de gemeenteraad daarop aanspreekbaar. Raadsleden moeten hun controlerende taak kunnen waarmaken. Dat gebeurt nu echt onvoldoende.

werkprocessen monitoren, bewaken en verbeteren

Het organiseren van informatiebeveiliging en privacybescherming moet in organisaties verlopen via de Plan-Do-Check-Act-cyclus. Die PDCA-cyclus is geen onnodig managementjargon, maar een essentiële cyclus die elke organisatie voortdurend moet doorlopen: van beleid, uitvoeringsplannen en concrete maatregelen (Plan), via implementatie en uitvoering (Do), naar toetsen en evalueren (Check) en uiteindelijk verantwoorden en bijsturen (Act). Het onderzoek laat zien dat de gemeenten dit niet goed genoeg doen.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Onze gemeenteraden weten in het algemeen (te) weinig van de staat van de informatiebeveiliging en privacybescherming in hun gemeente. Er zijn lichte verschillen tussen de gemeenten en in elke raad zijn enkele raadsleden die er meer belangstelling voor hebben. Maar de raad als geheel is in geen van onze gemeenten goed in staat om te controleren of de beheersing voldoende is, ook omdat de informatievoorziening vanuit het college daarvoor niet geschikt is. Het is een taak van het college om de raad goed te informeren over de stand van zaken en de risico’s die de gemeente loopt, zo nodig in beslotenheid. Vandaar ook de titel van dit rapport: ‘Weten wat je moet weten’. Dat is geen sinecure, op complexe beleidsterreinen met veel jargon, waar de meeste bestuurders ook niet in zijn gespecialiseerd. Maar het moet en kan echt beter dan nu gebeurt.

organisatie, werkprocessen en uitvoering

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

calamiteiten en risicobeheersing

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

bewustwording, kennis en kunde in de organisatie

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen. Op basis van het onderzoek maken de onderzoekers de inschatting dat de gemeenten zich ergens tussen volwassenheidsniveau 1,5 en 2 bevinden, zowel voor informatiebeveiliging als voor privacybescherming. Alleen voor Nijmegen schatten de onderzoekers het volwassenheidsniveau voor privacybescherming hoger: tussen de 2 en 3. Zoals aangegeven is voor iRvN alleen een inschatting gemaakt van het volwassenheidsniveau voor informatiebeveiliging. Dit ligt rond niveau 2. Deze schattingen zijn gebaseerd op een totaaloordeel over alle 15 aandachtsgebieden van het NBA-LIO en NOREA-volwassenheidsmodel (voor informatiebeveiliging) en alle 13 thema’s uit de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming (voor privacybescherming). Om volledig en aantoonbaar in control te zijn, moeten de organisaties over de volle breedte minimaal op volwassenheidsniveau 3 zitten. Dat is voor geen van de gemeenten aan de orde. Overigens geldt voor de meeste gemeenten in Nederland dat ze nog niet op volwassenheidsniveau 3 (of hoger) zitten.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

is het beleid conform BIO (BIG)

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

wordt voldaan aan de AVG

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

budget en personele inzet

-

Sturende rol college / GS

In onze gemeenten en binnen iRvN zijn de professionals zich zeer bewust van deze kwetsbaarheid. De colleges zijn zich hier ook van bewust, maar kunnen en moeten meer doen om de risico’s te verminderen. Hun rol is cruciaal: informatiebeveiliging en privacybescherming zijn ‘Chefsache’, zou je à la Angela Merkel kunnen zeggen. Als zij het belang voortdurend benadrukken, ruimte scheppen en rugdekking bieden aan de medewerkers die ermee bezig zijn, dan maakt dat verschil. De VNG heeft daartoe 10 cruciale bestuurlijke principes voor informatiebeveiliging geformuleerd. Die principes zijn in onze gemeenten in het beleid opgenomen, maar de meeste bestuurders geven aan de principes in de praktijk niet te hanteren.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

betrokkenheid samenwerkende gemeenten

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Op relatief grote afstand van deze dagelijkse gang van zaken staan de gemeenteraden. Dat is niet persé erg, maar de raad moet wel zijn verantwoordelijkheid kunnen waarmaken: als gegevens van inwoners niet veilig zijn en dienstverlening op enig moment in gevaar zou komen, is de gemeenteraad daarop aanspreekbaar. Raadsleden moeten hun controlerende taak kunnen waarmaken. Dat gebeurt nu echt onvoldoende.

werkprocessen monitoren, bewaken en verbeteren

Het organiseren van informatiebeveiliging en privacybescherming moet in organisaties verlopen via de Plan-Do-Check-Act-cyclus. Die PDCA-cyclus is geen onnodig managementjargon, maar een essentiële cyclus die elke organisatie voortdurend moet doorlopen: van beleid, uitvoeringsplannen en concrete maatregelen (Plan), via implementatie en uitvoering (Do), naar toetsen en evalueren (Check) en uiteindelijk verantwoorden en bijsturen (Act). Het onderzoek laat zien dat de gemeenten dit niet goed genoeg doen.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Onze gemeenteraden weten in het algemeen (te) weinig van de staat van de informatiebeveiliging en privacybescherming in hun gemeente. Er zijn lichte verschillen tussen de gemeenten en in elke raad zijn enkele raadsleden die er meer belangstelling voor hebben. Maar de raad als geheel is in geen van onze gemeenten goed in staat om te controleren of de beheersing voldoende is, ook omdat de informatievoorziening vanuit het college daarvoor niet geschikt is. Het is een taak van het college om de raad goed te informeren over de stand van zaken en de risico’s die de gemeente loopt, zo nodig in beslotenheid. Vandaar ook de titel van dit rapport: ‘Weten wat je moet weten’. Dat is geen sinecure, op complexe beleidsterreinen met veel jargon, waar de meeste bestuurders ook niet in zijn gespecialiseerd. Maar het moet en kan echt beter dan nu gebeurt.

organisatie, werkprocessen en uitvoering

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

calamiteiten en risicobeheersing

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

bewustwording, kennis en kunde in de organisatie

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen. Op basis van het onderzoek maken de onderzoekers de inschatting dat de gemeenten zich ergens tussen volwassenheidsniveau 1,5 en 2 bevinden, zowel voor informatiebeveiliging als voor privacybescherming. Alleen voor Nijmegen schatten de onderzoekers het volwassenheidsniveau voor privacybescherming hoger: tussen de 2 en 3. Zoals aangegeven is voor iRvN alleen een inschatting gemaakt van het volwassenheidsniveau voor informatiebeveiliging. Dit ligt rond niveau 2. Deze schattingen zijn gebaseerd op een totaaloordeel over alle 15 aandachtsgebieden van het NBA-LIO en NOREA-volwassenheidsmodel (voor informatiebeveiliging) en alle 13 thema’s uit de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming (voor privacybescherming). Om volledig en aantoonbaar in control te zijn, moeten de organisaties over de volle breedte minimaal op volwassenheidsniveau 3 zitten. Dat is voor geen van de gemeenten aan de orde. Overigens geldt voor de meeste gemeenten in Nederland dat ze nog niet op volwassenheidsniveau 3 (of hoger) zitten.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Blaricum, Eemnes en Laren hebben samen met Huizen een intergemeentelijke afdeling Maatschappelijke Zaken ingericht. De gemeente Huizen geeft invulling aan de uitvoeringsorganisatie voor het sociaal domein voor de BEL Combinatie, met uitzondering van jeugdzorg van Eemnes. De BEL-gemeenten hebben de borging van privacy daarmee op afstand gezet. Dat neemt niet weg dat de colleges van B&W van Blaricum, Eemnes en Laren zelf eindverantwoordelijk zijn voor de kwaliteit van de privacyborging voor hun inwoners.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

De beleidsmatige juridische borging van de privacy van burgers is zichtbaar in het Privacyprotocol Sociaal Domein HBEL, het Handboek Informatiebeveiliging en de ambtseed. Deze voldoen aan de Wet bescherming persoonsgegevens en de Basisregistratie personen.

budget en personele inzet

De BEL Combinatie staat op afstand en heeft geen zicht op de risico’s. De BEL-gemeenten zijn voor hun informatie afhankelijk van de initiatieven uit de uitvoerende organisaties. Om deze in beeld te krijgen moet de CISO een GAP - en risicoanalyse uitvoeren, maar dit is nog niet gebeurd vanwege een capaciteitstekort.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

Er is een aantal verbeterpunten. Zo is er geen managementinformatie vanuit de uitvoerende gemeenten richting de BEL-gemeenten. De BEL Combinatie staat op afstand en heeft geen zicht op de risico’s. De BEL-gemeenten zijn voor hun informatie afhankelijk van de initiatieven uit de uitvoerende organisaties. Om deze in beeld te krijgen moet de CISO een GAP - en risicoanalyse uitvoeren, maar dit is nog niet gebeurd vanwege een capaciteitstekort.

Enkele verbeteringen zijn al zichtbaar in de BEL- (en de HBEL-) organisatie; zo wil de CISO graag samenwerken met de CISO’s uit Huizen en Amersfoort.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Er is een aantal verbeterpunten. Zo is er geen managementinformatie vanuit de uitvoerende gemeenten richting de BEL-gemeenten. De BEL Combinatie staat op afstand en heeft geen zicht op de risico’s. De BEL-gemeenten zijn voor hun informatie afhankelijk van de initiatieven uit de uitvoerende organisaties. Om deze in beeld te krijgen moet de CISO een GAP - en risicoanalyse uitvoeren, maar dit is nog niet gebeurd vanwege een capaciteitstekort.

Checks - Audits - Evaluatie - Risicoanalyse

De BEL Combinatie staat op afstand en heeft geen zicht op de risico’s. De BEL-gemeenten zijn voor hun informatie afhankelijk van de initiatieven uit de uitvoerende organisaties. Om deze in beeld te krijgen moet de CISO een GAP - en risicoanalyse uitvoeren, maar dit is nog niet gebeurd vanwege een capaciteitstekort.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Enkele verbeteringen zijn al zichtbaar in de BEL- (en de HBEL-) organisatie; zo wil de CISO graag samenwerken met de CISO’s uit Huizen en Amersfoort.

calamiteiten en risicobeheersing

In geval van calamiteiten is er in Huizen en in Amersfoort oog voor privacy van de inwoners van de BEL-gemeenten.

Zowel Huizen als de BEL Combinatie geven aan dat er de afgelopen jaren geen privacy-issues zijn geweest. Eemnes heeft één voorval met een verkeerd geadresseerde e-mail gehad.

Het beveiligd mailen is in de zomer van 2016 ingevoerd, waardoor er een risico aanzienlijk is ingeperkt

bewustwording, kennis en kunde in de organisatie

Ten slotte is er op meerdere niveaus binnen de uitvoeringsorganisatie oog voor het belang van het creëren van een meldcultuur. Men beseft dat dit een ingewikkeld proces is, dat niet draait om strikte procedures met verwijzingen naar sancties, maar om een procedure waarin medewerkers zich veilig voelen eventuele datalekken te melden.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Het Privacyprotocol Sociaal Domein, het Handboek Informatievoorziening en de ambtseed zijn gericht op de intergemeentelijke uitvoeringsorganisatie en hebben geen status voor de ketenpartners; er is geen uniform beleid ten aanzien van privacy in de gehele keten.

Elke partner heeft eigen regels en richtlijnen, waarbij de gemeente soms optreedt als informeel adviseur. Het privacyprotocol is een gezamenlijk product van Huizen, Blaricum, Eemnes en Laren, maar niet van toepassing op Amersfoort. Voor Amersfoort is de bepaling opgenomen dat Amersfoort moet voldoen aan de relevante wet- en regelgeving.

communicatie en betrokkenheid burgers

Het privacyprotocol is online raadpleegbaar en voorziet op die manier in een passieve informatievoorziening aan inwoners. De actieve informatievoorziening vindt plaats op het moment dat inwoners gebruik gaan maken van de diensten binnen het sociaal domein. De gemeente Huizen maakt op verschillende manieren inzichtelijk waarom gegevens verwerkt worden en welke mogelijkheden inwoners daarbij hebben. Het Jeugd- en Gezinsteam Eemnes heeft dezelfde informatie en een link naar het privacyprotocol op zijn website.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De Rekenkamer constateert overall dat de gemeente Breda werk maakt van informatiebeveiliging, maar dat op belangrijke punten zeker nog extra inzet nodig is.

Gaande het rekenkameronderzoek heeft de gemeente Breda al een aantal acties ingezet (zoals langere wachtwoorden, berichten over informatieveiligheid op Intranet, mystery guest-onderzoek in de organisatie) en een aantal maatregelen/stappen voorgenomen, die in 2016-2017 uitgevoerd gaan worden. De ambities om het informatieveiligheidsbeleid zo goed mogelijk vorm te geven, zijn wel aanwezig bij de gemeente Breda. Het advies van de Rekenkamer is om de hiervoor aangegeven zaken en de voornemens in het Informatieveiligheidsplan 2016-2017 (juni 2016) nu voortvarend ter hand te gaan nemen en uit te gaan voeren.

is het beleid conform BIO (BIG)

De bevindingen in het rekenkameronderzoek en het Bredase visitatierapport van de visitatiecommissie sluiten goed op elkaar aan en beide concluderen dat de gemeente Breda bezig is om aan de landelijke normen te gaan voldoen. Daarin moeten nog wel belangrijke stappen gezet gaan worden, zo blijkt uit de bevindingen van de Rekenkamer. Naast het werken aan een breed gedragen informatieveiligheidsaanpak in de gehele organisatie, gaat het onder meer om het versterken van de urgentie en de bewustwording omtrent informatiebeveiliging intern bij alle medewerkers, een duidelijke en uitgewerkte aanpak van de privacybescherming en van de beveiligingsafspraken met externe organisaties.

wordt voldaan aan de AVG

De bevindingen in het rekenkameronderzoek en het Bredase visitatierapport van de visitatiecommissie sluiten goed op elkaar aan en beide concluderen dat de gemeente Breda bezig is om aan de landelijke normen te gaan voldoen. Daarin moeten nog wel belangrijke stappen gezet gaan worden, zo blijkt uit de bevindingen van de Rekenkamer. Naast het werken aan een breed gedragen informatieveiligheidsaanpak in de gehele organisatie, gaat het onder meer om het versterken van de urgentie en de bewustwording omtrent informatiebeveiliging intern bij alle medewerkers, een duidelijke en uitgewerkte aanpak van de privacybescherming en van de beveiligingsafspraken met externe organisaties.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Gaande het rekenkameronderzoek heeft de gemeente Breda al een aantal acties ingezet (zoals langere wachtwoorden, berichten over informatieveiligheid op Intranet, mystery guest-onderzoek in de organisatie) en een aantal maatregelen/stappen voorgenomen, die in 2016-2017 uitgevoerd gaan worden. De ambities om het informatieveiligheidsbeleid zo goed mogelijk vorm te geven, zijn wel aanwezig bij de gemeente Breda. Het advies van de Rekenkamer is om de hiervoor aangegeven zaken en de voornemens in het Informatieveiligheidsplan 2016-2017 (juni 2016) nu voortvarend ter hand te gaan nemen en uit te gaan voeren.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Belangrijk is dat informatiebeveiliging momenteel nog te veel vooral als een ict-kwestie wordt gezien en dat het zich nog beperkt tot een relatief kleine groep van ingewijden binnen de gemeente. De gemeente Breda moet nog extra stappen zetten om te komen tot een strategisch gemeentebreed informatiebeveiligingsbeleid en een brede verankering van de uitvoering. De Visitatiecommissie Informatieveiligheid (juni 2016) stelt dat informatieveiligheid eigenlijk een vast onderdeel zou moeten zijn van alle bedrijfsprocessen en bestuurlijke vraagstukken en ‘bij iedereen moet gaan voelen als voorwaarde voor succes’. Zo ver is het in Breda nog niet.

De bevindingen in het rekenkameronderzoek en het Bredase visitatierapport van de visitatiecommissie sluiten goed op elkaar aan en beide concluderen dat de gemeente Breda bezig is om aan de landelijke normen te gaan voldoen. Daarin moeten nog wel belangrijke stappen gezet gaan worden, zo blijkt uit de bevindingen van de Rekenkamer. Naast het werken aan een breed gedragen informatieveiligheidsaanpak in de gehele organisatie, gaat het onder meer om het versterken van de urgentie en de bewustwording omtrent informatiebeveiliging intern bij alle medewerkers, een duidelijke en uitgewerkte aanpak van de privacybescherming en van de beveiligingsafspraken met externe organisaties.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Belangrijk is dat informatiebeveiliging momenteel nog te veel vooral als een ict-kwestie wordt gezien en dat het zich nog beperkt tot een relatief kleine groep van ingewijden binnen de gemeente. De gemeente Breda moet nog extra stappen zetten om te komen tot een strategisch gemeentebreed informatiebeveiligingsbeleid en een brede verankering van de uitvoering. De Visitatiecommissie Informatieveiligheid (juni 2016) stelt dat informatieveiligheid eigenlijk een vast onderdeel zou moeten zijn van alle bedrijfsprocessen en bestuurlijke vraagstukken en ‘bij iedereen moet gaan voelen als voorwaarde voor succes’. Zo ver is het in Breda nog niet.

De bevindingen in het rekenkameronderzoek en het Bredase visitatierapport van de visitatiecommissie sluiten goed op elkaar aan en beide concluderen dat de gemeente Breda bezig is om aan de landelijke normen te gaan voldoen. Daarin moeten nog wel belangrijke stappen gezet gaan worden, zo blijkt uit de bevindingen van de Rekenkamer. Naast het werken aan een breed gedragen informatieveiligheidsaanpak in de gehele organisatie, gaat het onder meer om het versterken van de urgentie en de bewustwording omtrent informatiebeveiliging intern bij alle medewerkers, een duidelijke en uitgewerkte aanpak van de privacybescherming en van de beveiligingsafspraken met externe organisaties.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Qua digitale beveiliging lijkt de gemeente Breda niet uit de toon te vallen ten opzichte van andere gemeenten: qua digitale beveiliging doet de gemeente Breda het op sommige punten relatief goed (bijvoorbeeld de beveiliging van de website en de beveiliging van SUWInet, op andere punten moeten nog extra stappen gezet worden.

aansluiting op Informatiebeveiligingsdienst (IBD)

Breda is volledig aangesloten bij de IBD. Er wordt veel gebruik gemaakt van IBD-kennis en - instrumenten. Daarnaast is ambtelijk contact met de VNG en is men actief in diverse KINGnetwerken.

inschakeling externen, (keten)partners én controle

De bevindingen in het rekenkameronderzoek en het Bredase visitatierapport van de visitatiecommissie sluiten goed op elkaar aan en beide concluderen dat de gemeente Breda bezig is om aan de landelijke normen te gaan voldoen. Daarin moeten nog wel belangrijke stappen gezet gaan worden, zo blijkt uit de bevindingen van de Rekenkamer. Naast het werken aan een breed gedragen informatieveiligheidsaanpak in de gehele organisatie, gaat het onder meer om het versterken van de urgentie en de bewustwording omtrent informatiebeveiliging intern bij alle medewerkers, een duidelijke en uitgewerkte aanpak van de privacybescherming en van de beveiligingsafspraken met externe organisaties.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

Ook voor de oprichting van de IBD was Breda al lid van Govcert. Breda is één van de gemeenten die experimenteert met honeypots: een systeem dat bewust is opgezet om te hacken met als bedoeling hackers te verleiden en zo inzicht in werkwijzen te krijgen.

Op bestuurlijk niveau gaat de wethouder regelmatig in gesprek over informatieveiligheid, vooral om verhalen en inspiratie op te halen die verder richting kunnen geven aan de praktijk in Breda. Ook is de wethouder aanwezig bij congressen zoals het VNG-KING jaarcongres, om nieuwe kennis te verzamelen.

Beleid informatiebeveiliging en privacybescherming

De A2 gemeenten werken volgens de regels van de Baseline Informatiebeveiliging Overheid (BIO). Het beleid en gedragscodes zijn vastgesteld. In de code is aandacht voor alle facetten van informatieveiligheid. De code geeft aan hoe medewerkers om moeten gaan met informatie, wachtwoorden, melden van datalekken et cetera. Ook is een governancestructuur opgezet waarin duidelijk de taken en rollen omtrent de informatieveiligheid zijn beschreven.

is het beleid conform BIO (BIG)

De A2 gemeenten werken volgens de regels van de Baseline Informatiebeveiliging Overheid (BIO). Het beleid en gedragscodes zijn vastgesteld. In de code is aandacht voor alle facetten van informatieveiligheid. De code geeft aan hoe medewerkers om moeten gaan met informatie, wachtwoorden, melden van datalekken et cetera. Ook is een governancestructuur opgezet waarin duidelijk de taken en rollen omtrent de informatieveiligheid zijn beschreven.

wordt voldaan aan de AVG

-

budget en personele inzet

Er zijn vooralsnog voldoende middelen beschikbaar.

Sturende rol college / GS

Directie, bestuur en afdelingsmanagement kennen het beleid op het gebied van informatieveiligheid en geven hieraan invulling. Er zijn vooralsnog voldoende middelen beschikbaar.

betrokkenheid samenwerkende gemeenten

Voor de vier A2-organisaties is op basis van de BIG/BIO een governancesturctuur opgesteld en deze is ingevuld.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Alle gemeenten leggen jaarlijks verantwoording af middels een zelfevaluatie ENSIA.
Sinds 2019 wordt jaarlijks een penetratietest uitgevoerd.

Het toetsen van de beveiligingsmaatregelen gebeurt in de praktijk nog nauwelijks doordat implementatie nog plaatsvindt, beperkte capaciteit en andere prioriteiten.

informatie voor college / GS

-

informatie voor de raad / PS

De raden worden over de aard en omvang van datalekken op hoofdlijnen geïnformeerd via de paragraaf in het jaarverslag. Als er een datalek van grotere omvang plaatsvindt, worden de raden direct geïnformeerd, middels e-mail of een raadsinformatiebrief.

organisatie, werkprocessen en uitvoering

De ENSIA-coördinator stuurt op informatiebeveiliging, hierin ondersteund door de externe IT-auditor die onderzoekt in hoeverre de noodzakelijke beveiligingsmaatregelen zijn genomen rondom het gebruik van DigiD en Suwinet. Op basis van eventueel geconstateerde tekortkomingen stuurt de CISO op het oplossen van deze tekortkomingen, in overleg met het verantwoordelijk management en ICT.

Directie, bestuur en afdelingsmanagement kennen het beleid op het gebied van informatieveiligheid en geven hieraan invulling. Er zijn vooralsnog voldoende middelen beschikbaar.

calamiteiten en risicobeheersing

De code geeft aan hoe medewerkers om moeten gaan met informatie, wachtwoorden, melden van datalekken et cetera.
Er is een procedure datalekken.
De gemeenten hebben niet te maken met grote datalekken, een enkele keer met een klein lek.

De phishing mail, de toegankelijkheid van wachtwoorden en het bezoek van de mystery guest laten het verschil tussen beleid en daadwerkelijke bewustwording zien.

bewustwording, kennis en kunde in de organisatie

Medewerkers worden geschoold, bijvoorbeeld door workshops, webinars en e-learning, en in teamoverleggen wordt hieraan aandacht besteed.

Het resultaat van de phishing mail laat zien dat een deel van de medewerkers zich bewust was dat de mail een phishing mail betrof maar dat er nog ruimte is voor verbetering.

beveiliging en autorisatie

De code geeft aan hoe medewerkers om moeten gaan met informatie, wachtwoorden, melden van datalekken et cetera.

Er is aandacht voor de niveaus van toegang van digitale informatie die medewerkers nodig hebben om hun werk te kunnen doen.

Er wordt gewerkt met een ‘druppel’ om de gebouwen te kunnen betreden. Er wordt zo weinig mogelijk gewerkt met papieren dossiers en de ruimten waar papieren dossiers worden bewaard zijn afgesloten, al blijkt het mogelijk hier toegang tot de krijgen.

Uit de ‘pentest werkplek’ kwam naar voren dat medewerkers soms teveel rechten hebben, een groot aantal medewerkers zwakke wachtwoorden gebruikt en wachtwoorden opslaan in leesbare tekst in homefolders.

Het resultaat van de phishing mail laat zien dat een deel van de medewerkers zich bewust was dat de mail een phishing mail betrof maar dat er nog ruimte is voor verbetering.

Vastgesteld is dat het voor onbevoegden mogelijk is om de panden van de gemeentes te betreden en om toegang te verkrijgen tot ruimtes die niet toegankelijk zijn voor publiek (kantooromgeving). Een mysteryguest is er op eenvoudige wijze in geslaagd om diverse (vertrouwelijke) fysieke informatie te bereiken bij de gemeentes Cranendonck, Heeze-Leende en Valkenswaard. Het is mogelijk om de eigen laptop aan te sluiten op het netwerk van de gemeente, zonder authenticatie.

kwetsbaarheid ICT en Informatiesystemen

Ondanks de inspanning op gebied van informatieveiligheid blijkt er uit de uitgevoerde tests door Hoffmann dat er nog ruimte is voor verbetering.

Er zijn geen bijzondere kwetsbaarheden naar boven gekomen via de ‘externe pentest’.

Uit de ‘interne pentest’ kwam dat er beveiligingsmaatregelen genomen zijn maar dat er aandachtspunten blijven, met name het gebruik van verouderde besturingssystemen en het toepassen van beveiligingsupdates. Via de ‘pentest wifi netwerk’ bleek het mogelijk om via het WiFinetwerk de inloggegevens en wachtwoorden van gebruikers te achterhalen.

Het resultaat van de phishing mail laat zien dat een deel van de medewerkers zich bewust was dat de mail een phishing mail betrof maar dat er nog ruimte is voor verbetering.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

De gemeente Delft beschikt over een IB-beleid dat aansluit bij de uitdaging waar de organisatie voor staat en dat voldoet aan de landelijke normen, zoals vastgelegd in de Baseline Informatiebeveiliging Gemeenten (BIG).

wordt voldaan aan de AVG

Op 25 mei 2018 was de gemeente voldoende AVG-proof. Maatregelen waren uitgevoerd, dan wel in voorbereiding of uitvoering.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

De uitvoering van werkzaamheden in de dagelijkse praktijk toont aan dat er ruimte is voor interpretatie van het door het college vastgestelde IB-beleid. Hierdoor maken management en medewerkers soms keuzes die niet alleen anders zijn dan beoogd maar ook ongewenst zijn.

Door toenemende complexiteit van I(C)T en regelgeving neemt de werkdruk op de IT-afdeling sterk toe.

De FG vervult tevens de functie van CISO. Het uitoefenen van beide functies kan voor de FG leiden tot een belangenconflict.

calamiteiten en risicobeheersing

Persoonsgegevens en andere gevoelige informatie zijn bij de gemeente Delft grotendeels in goede / veilige handen. Er is veel goed geregeld. Dat neemt niet weg dat nog een aantal zaken (beter of anders) geregeld moet worden.

De beveiligingsrisico’s worden op hoofdlijnen systematisch door de CISO, IT-auditor en IT-afdeling in beeld gebracht en beoordeeld. Tijdens het onderzoek zijn echter op diverse detail-aspecten serieuze beveiligingsrisico’s ontdekt, die kunnen leiden tot misbruik door onbevoegde partijen.

Voor medewerkers is het niet altijd duidelijk of een onbekend persoon zich bevoegd of onbevoegd op de werkvloer bevindt en hoe zij daarmee moeten omgaan. Onbevoegde aanwezigheid op de werkvloer kan leiden tot IB-incidenten.

Het bleek meervoudig mogelijk, zowel van buitenaf als van binnenuit, om door middel van (“ethisch”) hacken oneigenlijk toegang te krijgen tot applicaties die ook gevoelige (persoons)gegevens bevatten. De geconstateerde gebreken zijn direct door de IT-organisatie op adequate wijze opgelost.

bewustwording, kennis en kunde in de organisatie

Het management en de medewerkers leggen de verantwoordelijkheid voor naleving van het IB-beleid snel bij de IT-afdeling neer en hebben de eigen verantwoordelijkheid niet altijd scherp voor ogen.

Voor medewerkers is het niet altijd duidelijk of een onbekend persoon zich bevoegd of onbevoegd op de werkvloer bevindt en hoe zij daarmee moeten omgaan. Onbevoegde aanwezigheid op de werkvloer kan leiden tot IB-incidenten.

Medewerkers hebben behoefte aan meer begeleiding vanuit het management om de informatiebeveiliging in hun werkomgeving te vergroten. Beschikbare kennis wordt niet optimaal benut.

De interpretatieruimte die het vastgestelde IB-beleid biedt leidt tot het regelmatig kiezen voor gemak van werken. Het management blijkt zich onvoldoende bewust dat zij het IB-beleid zo met bepaalde keuzes feitelijk ondergraaft. Dit kan leiden tot verlies van (de betrouwbaarheid van) data.

Ongeveer een kwart van de medewerkers en gemeenteraadsleden blijkt gevoelig voor phishing e-mails en mystery guest acties.

beveiliging en autorisatie

Het bleek meervoudig mogelijk, zowel van buitenaf als van binnenuit, om door middel van (“ethisch”) hacken oneigenlijk toegang te krijgen tot applicaties die ook gevoelige (persoons)gegevens bevatten. De geconstateerde gebreken zijn direct door de IT-organisatie op adequate wijze opgelost.

Ongeveer een kwart van de medewerkers en gemeenteraadsleden blijkt gevoelig voor phishing e-mails en mystery guest acties.

Er is geen eenduidig overkoepelend systeem voor het administreren en beheren van de toegangscontrole van de gebruikers op applicaties en systemen (Identity and Access Management).

kwetsbaarheid ICT en Informatiesystemen

Er is geen eenduidig overkoepelend systeem voor het administreren en beheren van de toegangscontrole van de gebruikers op applicaties en systemen (Identity and Access Management).

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Het is onduidelijk of en, in dat geval, hoe de gemeente Delft toeziet op de manier waarop haar 100%-deelnemingen gebruikmaken van persoonsgegevens die afkomstig zijn van de gemeente.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De drie gemeenten hebben zaken op informatiebeveiliging al op orde, maar er is nog geen gevoel bij de ambtelijke leiding aanwezig van ‘in control zijn’. De rekenkamercommissie constateert dat dit met een aantal aspecten te maken heeft. Enerzijds gaat het om de extra inspanningen om informatiebeveiligingsbeleid op peil te brengen om adequaat met hedendaagse en toekomstige uitdagingen om te gaan.

is het beleid conform BIO (BIG)

In het algemeen kan geconstateerd worden dat Delfzijl, Appingedam en Loppersum sturen op de uitgangspunten van de BIG. Het informatiebeveiligingsbeleid is gebaseerd op een GAP-analyse ten opzichte van de maatregelen uit de BIG en een risicoanalyse. Deze zijn ongeveer anderhalf jaar geleden geupdate in de drie gemeenten en hun informatiebeveiligingsbeleid wordt daarop aangepast.

wordt voldaan aan de AVG

Enerzijds gaat het om de extra inspanningen om informatiebeveiligingsbeleid op peil te brengen om adequaat met hedendaagse en toekomstige uitdagingen om te gaan. Dat geldt ook voor de implementatie van de AVG, die per 25 mei 2018 volledig van kracht is.

budget en personele inzet

Momenteel ervaren de gemeenten moeite met het werven van geschikte kandidaten voor de daarvoor benodigde functies en expertise. De gemeenten zijn op informatiebeveiligingsvlak afhankelijk van ingehuurde kennis.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Ook de gemeenteraden beschikken over vertrouwelijke en privacygevoelige informatie en maken gebruik van de gemeentelijke automatisering. Daarnaast is informatiebeveiliging een kritieke succesfactor van de gemeentelijke dienstverlening en daarmee voor de burger van groot belang. Het is vanuit met het oog op de kaderstellende en controlerende rol van de raad essentieel op dit terrein aangehaakt te zijn bij het beleid. Daarnaast is de bescherming van gegevens van burgers en hoe de gemeenten, en derden die deze voor gemeenten verwerken, van groot belang. De nieuwe Eenduidige Normatiek Single Information Audit (ENSIA) gaat hierin voor een deel in de informatievoorziening voorzien.

Controlerende rol gemeenteraad / PS

Ook de gemeenteraden beschikken over vertrouwelijke en privacygevoelige informatie en maken gebruik van de gemeentelijke automatisering. Daarnaast is informatiebeveiliging een kritieke succesfactor van de gemeentelijke dienstverlening en daarmee voor de burger van groot belang. Het is vanuit met het oog op de kaderstellende en controlerende rol van de raad essentieel op dit terrein aangehaakt te zijn bij het beleid. Daarnaast is de bescherming van gegevens van burgers en hoe de gemeenten, en derden die deze voor gemeenten verwerken, van groot belang. De nieuwe Eenduidige Normatiek Single Information Audit (ENSIA) gaat hierin voor een deel in de informatievoorziening voorzien.

werkprocessen monitoren, bewaken en verbeteren

De gemeenten voldoen aan de vereisten van de jaarlijkse audits en testen van de applicaties. Onder andere daarover wordt gerapporteerd in het geautomatiseerde informatiemangementsysteem (ISMS). Dat voedt de planning- en controlcyclus. Het ISMS is nog niet gekoppeld aan de leer- of PDCAcyclus. Daardoor worden mogelijk kansen gemist om te leren van de op informatiebeveiliging gegenereerde managementinformatie.

Tevens constateert de rekenkamercommissie dat er bij de gemeenten, noch bij het GemCC, een incidentenregistratiesysteem aanwezig is.

Checks - Audits - Evaluatie - Risicoanalyse

Het informatiebeveiligingsbeleid is gebaseerd op een GAP-analyse ten opzichte van de maatregelen uit de BIG en een risicoanalyse.

De gemeenten voldoen aan de vereisten van de jaarlijkse audits en testen van de applicaties. Onder andere daarover wordt gerapporteerd in het geautomatiseerde informatiemangementsysteem (ISMS). Dat voedt de planning- en controlcyclus. Het ISMS is nog niet gekoppeld aan de leer- of PDCAcyclus. Daardoor worden mogelijk kansen gemist om te leren van de op informatiebeveiliging gegenereerde managementinformatie.

Risicobewustzijn, of awareness op informatiebeveiliging is bij de medewerkers van de gemeenten nog niet op het gewenste niveau, volgens de respondenten. De gemeenten maken weinig gebruik van de zogenoemde penetratietesten (pentesten) om na te gaan hoe inbraakgevoelig de digitale e/of fysieke omgeving van de gemeente is. Zoals met een ‘mystery guest’ of een ethisch hacker. De gemeenten maken ook geen gebruik van het materiaal dat de IBD hierop aanbiedt. Dat leidt tot de volgende aanbeveling.

informatie voor college / GS

-

informatie voor de raad / PS

Gemeenteraden kunnen daarnaast zelf bepalen waarop en met welke regelmaat zij geïnformeerd willen worden. Het is aan te raden daarover met de colleges in gesprek te raken.

organisatie, werkprocessen en uitvoering

Op basis van hun informatiebeveiligingsbeleid worden prioriteiten vastgesteld en in jaarplannen ingebracht.

De drie gemeenten werken op automatisering samen in het GemCC, op hardware. De bedoeling was om eind 2017 daar ook een aanstelling van een gezamenlijk Chief information security officer (CISO) te realiseren. Dat is nog niet gerealiseerd. Aansturing van een gemeenschappelijke regeling die op afstand van de eigen organisatie staat is vaak lastig. Dat vraagstuk lost zich bij het GemCC op als de beoogde fusie doorgaat. Tot dan is het zaak om een goede link te leggen tussen de uitvoering in de GR en de gemeentelijke apparaten. Door de aanstelling van een informatiemanager bij het GemCC willen de gemeenten ook meer en meer samenwerken op dat terrein. Ten tijde van de ambtelijke hoor en wederhoor was daarvoor nog een vacature, en aangegeven wordt dat het lastig is daarvoor geschikte kandidaten te vinden.

Momenteel ervaren de gemeenten moeite met het werven van geschikte kandidaten voor de daarvoor benodigde functies en expertise. De gemeenten zijn op informatiebeveiligingsvlak afhankelijk van ingehuurde kennis.

calamiteiten en risicobeheersing

In de risicoanalyses bij de gemeenten is het risico op (zware) aardbevingen niet meegenomen. Het continuïteitsplan van het GemCC dateert van voor de zware aardbeving van 2012. Dit risico heeft uiteraard een breder effect op de continuïteit van de dienstverlening van de gemeente dan alleen op het terrein van informatiebeveiliging. Gezien de zeer recente ervaringen in de regio acht de rekenkamercommissie het aan te bevelen dit risico expliciet in de risicoanalyse voor informatiebeveiliging mee te nemen. Datzelfde geldt uiteraard ook voor het GemCC, waar een groot deel van de hardware van de drie gemeenten gehuisvest wordt.

Uit de gesprekken blijkt dat bij het GemCC een continuïteitsplan aanwezig. De rekenkamercommissie constateert dat deze dateert uit 2010, van voor de periode van aardbevingen in de provincie vanaf 2012. Voor burgerzaken bij de gemeenten is een aparte uitwijk met hetzelfde doel georganiseerd, de andere applicaties worden bij een verstoring door andere gemeenten overgenomen. De rekenkamercommissie constateert dat de drie gemeenten geen eigen continuïteitsplan hebben en dat er bij onverhoopte calamiteiten geen team klaarstaat bij de drie gemeenten om snel in te grijpen, zoals een Computer emergency response team (CERT) bedoeld is. Tevens constateert de rekenkamercommissie dat er bij de gemeenten, noch bij het GemCC, een incidentenregistratiesysteem aanwezig is.

bewustwording, kennis en kunde in de organisatie

Bij het management en de ambtelijke staf op informatiebeveiliging constateert de rekenkamercommissie een duidelijk gevoel van urgentie voor de opgave die de gemeenten op informatiebeveiliging en gegevensbescherming wacht. Dat gevoel begint langzaam ook bij de colleges en de medewerkers in de lijn te ontstaan. Daar is nog terrein te winnen.

Risicobewustzijn, of awareness op informatiebeveiliging is bij de medewerkers van de gemeenten nog niet op het gewenste niveau, volgens de respondenten. De gemeenten maken weinig gebruik van de zogenoemde penetratietesten (pentesten) om na te gaan hoe inbraakgevoelig de digitale e/of fysieke omgeving van de gemeente is. Zoals met een ‘mystery guest’ of een ethisch hacker. De gemeenten maken ook geen gebruik van het materiaal dat de IBD hierop aanbiedt. Dat leidt tot de volgende aanbeveling.

beveiliging en autorisatie

De rekenkamercommissie constateert dat autorisaties op de applicaties, dat wil de zeggen de toegangsrechten tot de gegevens in de applicaties met persoonsgegevens, bij in- en uitdiensttreding gecheckt worden. Maar niet consequent periodiek bij functiemutaties.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

De drie gemeenten hebben pas stap 1 en 2 gerealiseerd van de aansluiting bij de Informatiebeveiligingsdienst voor gemeenten (IBD), namelijk het benoemen van de algemene en vertrouwelijke contactpersonen voor de IBD. Stap 3 (doorgeven van de door de gemeenten gebruikte IP- en webadressen of url’s) en stap 4 (doorgeven van de gebruikte hard- en software) zijn nog niet gezet. Dat zorgt er voor dat de gemeenten of GemCC niet op maat van de gebruikte hard- en software toegesneden kwetsbaarheidsmeldingen en waarschuwingen krijgen van de IBD. Daardoor lopen de gemeenten risico voor hen van toepassing zijnde meldingen op softwareproblemen en -risico’s mis te lopen.

inschakeling externen, (keten)partners én controle

Geconstateerd wordt dat degenen die bij de gemeenten met informatiebeveiliging bezig zijn weinig zicht hebben op de informatiebeveiligingsaspecten bij de verwerkersovereenkomsten die de gemeenten met derden sluiten. Ook constateert de rekenkamercommissie dat nog niet met alle partijen een verwerkersovereenkomst aanwezig is. Mede met het oog op de implementatie van de Algemene Verordening Gegevensbescherming en de privacyaspecten die daarmee gemoeid zijn leidt dat tot de volgende aanbeveling.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De gemeente Dronten heeft op strategisch- en uitvoerend niveau aandacht voor privacy en informatieveiligheid. Toch is dit vaak reactief, en lijkt de gemeente (te) weinig urgentie voor het thema te voelen. Dit is onder andere terug te zien in de manier waarop relevante stukken worden opgesteld. In 2015 werd gestart met het opstellen van het eerder genoemde privacyconvenant, maar het is nooit afgerond door 'capaciteitstekort en ingewikkeldheid van het vraagstuk'.

De oplevering van een gemeentebreed privacybeleid was voorzien voor het eerste kwartaal van 2019, maar dat beleid is er nog niet. Het informatiebeveiligingsbeleid is wel up-to-date.

Op uitvoeringsniveau zijn de AVG en de gevolgen van deze wetgeving voor de werkwijzen bekend. Op sturingsniveau kan dit echter nog beter verankerd worden, bijvoorbeeld door het opstellen van beleid. Hoewel het nu goed gaat, zijn dergelijke kaders nodig voor het geval er toch een incident plaatsvindt of aanpassingen nodig zijn.

is het beleid conform BIO (BIG)

Binnen de wettelijke kaders hebben gemeenten keuzeruimte voor het waarborgen van privacy en informatiebeveiliging. In de keuzes die de gemeente Dronten maakt, staat 'werkbaarheid' centraal.

wordt voldaan aan de AVG

Binnen de wettelijke kaders hebben gemeenten keuzeruimte voor het waarborgen van privacy en informatiebeveiliging. In de keuzes die de gemeente Dronten maakt, staat 'werkbaarheid' centraal.

budget en personele inzet

-

Sturende rol college / GS

De gemeenteraad stelt geen kaders vast ten aanzien van privacy en informatieveiligheid: in die zin ligt de verantwoordelijkheid voor dit thema voornamelijk bij het college en de ambtelijke organisatie.

In dit onderzoek is gekeken naar de mogelijkheid om objectief vast te stellen of de kosten en doorlooptijden in het sociaal domein (onnodig) oplopen ten gevolge van de AVG of andere regelgeving. De wijze waarop het administratief systeem is ingericht, maakte dit niet mogelijk en dus kunnen hierover geen uitspraken gedaan worden. Wel geven medewerkers aan dat hun werkzaamheden meer tijd vragen dan vóór de implementatie van de AVG. Bovendien is landelijk de verwachting dat de kosten zullen oplopen, waarbij de wijze waarop de AVG geïmplementeerd is, bepalend is.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

In 2015 werd gestart met het opstellen van het eerder genoemde privacyconvenant, maar het is nooit afgerond door 'capaciteitstekort en ingewikkeldheid van het vraagstuk'. Pas nadat de raad hierin juni 2016 naar vroeg, is geconcludeerd dat één convenant niet werkbaar is en is er voor gekozen om externe partners te laten bewijzen dat ze AVG-proof werken.

De gemeenteraad stelt geen kaders vast ten aanzien van privacy en informatieveiligheid: in die zin ligt de verantwoordelijkheid voor dit thema voornamelijk bij het college en de ambtelijke organisatie.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoewel zowel de gemeente Dronten als zorgpartners merken dat de AVG soms maakt dat men geen informatie meer durft te delen die wel gedeeld mag worden, is het uitgangspunt dat de gemeente en externe partners samen zoeken naar een werkbare methode. Deze pragmatische, doelgerichte aanpak is bijvoorbeeld terug te zien in de keuze voor de Leertuinmethode, die wordt gebruikt voor het delen van gegevens met externen en collega-ambtenaren binnen de gemeente. In deze methode wordt niet met toestemmingsverklaringen gewerkt, maar met een afwegingskader om gegevens te delen. Met deze insteek voorkomt de gemeente dat er onnodig tijd gaat zitten in het 'organiseren' van privacy.
Dit is bijvoorbeeld ook terug te zien in de afspraken over gegevensuitwisseling met externen. Toen bleek dat het niet mogelijk was om één convenant op te stellen voor alle partners, heeft Dronten er voor gekozen om alle externe partners aan te laten tonen dat ze AVG-proof werken. De verantwoordelijkheid ligt daarmee bij de organisaties, zodat extra werk voor de gemeente werd voorkomen. Deze pragmatische insteek zorgt ervoor dat uitvoerend medewerkers zich kunnen richten op het bieden van ondersteuning en in mindere mate op administratieve handelingen. Daarmee staat de werkbaarheid hoog in het vaandel.

Andere signalen dat urgentie maar beperkt wordt gevoeld, ziet de rekenkamer in het feit dat de voorbereidingen op de AVG pas laat van start gingen: een kleine drie maanden van tevoren werd een externe adviseur aangetrokken om te ondersteunen in de voorbereidingen. Dit leidde ertoe dat ook na de inwerkingtreding van de AVG nog veel geregeld moest worden. Er is voor 0,2 fte een Functionaris Gegevensbescherming aangetrokken, maar de werkzaamheden van deze FG kosten meer tijd dan van tevoren bedacht.

De gemeenteraad stelt geen kaders vast ten aanzien van privacy en informatieveiligheid: in die zin ligt de verantwoordelijkheid voor dit thema voornamelijk bij het college en de ambtelijke organisatie.

Tegelijkertijd geven betrokkenen aan dat in de organisatie het gevoel van eigenaarschap voor bepaalde processen of handelingswijzen (zoals het opstellen van een verwerkersovereenkomst bij een nieuwe contractant) soms mist. Op uitvoeringsniveau voelen de medewerkers zich verantwoordelijk voor hun dossiers, en voor het bieden van goede ondersteuning. Medewerkers hebben onderling regelmatig contact over het al dan niet delen van gegevens. Op het gebied van informatieveiligheid kunnen een aantal faciliteiten nog beter benut worden.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Daarnaast geven medewerkers aan dat zij zich bewust zijn van privacy en informatieveiligheid, en dat dit bewustzijn toenam door de invoering van de AVG, maar rondde slechts 28,5% van de genodigden een e-learning module over privacy af. In dat kader valt ook op dat 31,5% van de gemeentelijke genodigden in het kader van dit rekenkameronderzoek de enquête invulde, tegenover 62,5% van de externe partners. Privacy en informatieveiligheid heeft een logische plek in de dagelijkse praktijk, maar voor het thema an sich is er weinig belangstelling.

In het kader van dit onderzoek hebben de onderzoekers een dagdeel op de afdeling van het sociaal domein gewerkt. Hier werd duidelijk dat men bewust omgaat met informatiebeveiliging, maar dat er ook enkele verbeterpunten zijn.

beveiliging en autorisatie

Zo waren er met sleutels afsluitbare kasten beschikbaar op de afdeling, die niet allemaal op slot zaten of waar de sleutel zelfs in zat, terwijl de desbetreffende kamer niet werd gebruikt. Het betreft hier een afdeling waar niet iedereen zomaar binnen kan lopen, maar het toont wel aan dat optimaal gebruik maken van de faciliteiten een aandachtspunt is. In het nieuwe/verbouwde gemeentehuis gaat de gemeente over op digitaal werken en komen er lockers voor de medewerkers. Hiermee wordt naar verwachting ook een verbeterslag gemaakt.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Dit is bijvoorbeeld ook terug te zien in de afspraken over gegevensuitwisseling met externen. Toen bleek dat het niet mogelijk was om één convenant op te stellen voor alle partners, heeft Dronten er voor gekozen om alle externe partners aan te laten tonen dat ze AVG-proof werken. De verantwoordelijkheid ligt daarmee bij de organisaties, zodat extra werk voor de gemeente werd voorkomen.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

Uit de ervaringen van ambtenaren en externe partners blijkt niet dat de wijze waarop de AVG is geïmplementeerd een voor de inwoners merkbare invloed op de kwaliteit van dienstverlening heeft. Zowel positieve als negatieve effecten worden benoemd. Een aandachtspunt hierbij is de samenwerking tussen verschillende afdelingen: vanuit privacy-oogpunt is dit niet altijd mogelijk, maar gewaakt moet worden voor tegenstrijdige adviezen van de verschillende bij een inwoner betrokken afdelingen.

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

Binnen de organisatie zijn de risico’s onvoldoende breed bekend en is er (nog) geen aansturing vanuit beleid. Mogelijk dat het nieuw opgestelde beleid (niet beoordeeld) meer draagvlak en bijbehorende aansturing vanuit de directie krijgt. Het algehele beeld dat is dat informatiebeveiliging onvoldoende op de agenda staan van het College en de Raad en dit de uitwerking in praktijk bemoeilijkt.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Binnen de organisatie zijn de risico’s onvoldoende breed bekend en is er (nog) geen aansturing vanuit beleid. Mogelijk dat het nieuw opgestelde beleid (niet beoordeeld) meer draagvlak en bijbehorende aansturing vanuit de directie krijgt. Het algehele beeld dat is dat informatiebeveiliging onvoldoende op de agenda staan van het College en de Raad en dit de uitwerking in praktijk bemoeilijkt.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Informatiebeveiliging is binnen de gemeente Eindhoven momenteel teveel een “bottom up” proces. Een aantal verantwoordelijke functionarissen werken hard aan het verbeteren van de veiligheid en beveiliging van de informatie binnen de gemeente, echter ervaren beperkte steun vanuit de organisatie.
Binnen de organisatie zijn de risico’s onvoldoende breed bekend en is er (nog) geen aansturing vanuit beleid.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Binnen de organisatie zijn de risico’s onvoldoende breed bekend en is er (nog) geen aansturing vanuit beleid.

Naar aanleiding van 2.955 verstuurde phishing e-mails hebben 686 gebruikers (23%) de unieke link in de e-mail geopend. In totaal zijn er 613 inlogpogingen van unieke gebruikers met geldige emailadressen geregistreerd (21%). Dit laat zien dat het merendeel van de medewerkers zich bewust was dat de e-mail een phishing mail betrof of op tijd de waarschuwingen van collega’s over deze e-mail meekreeg. Echter gezien de hoeveelheid inlogpogingen is er zeker nog ruimte voor verbetering.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Tijdens het onderzoek zijn kritieke kwetsbaarheden geconstateerd die onmiddellijk met het team ICTbeleid en -beheer zijn gedeeld. Vanwege de diepgang en vertrouwelijkheid zijn de technische uitkomsten en aanbevelingen van de pentesten gedeeld met de ambtelijke organisatie.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De afgelopen jaren ging er veel tijd en aandacht naar de uitbesteding van de ITtaken en daardoor minder naar andere zaken rondom informatieveiligheid. Dat zien we ook terug in het beleid en de praktijk die op meerdere - soms cruciale - punten niet op elkaar aansluiten. Enerzijds is het beleid op onderdelen niet uitgevoerd waar dit wel wenselijk is. Zo zijn enkele belangrijke controles niet (goed) gedaan. Anderzijds is het beleid op onderdelen niet actueel. Dit brengt onnodige risico’s met zich mee.

• Het managementteam van de afdeling Informatievoorziening & Automatisering stelde het informatiebeveiligingsbeleid op 9 februari 2016 vast. Het beleid is gebaseerd op de Interprovinciale Baseline Informatieveiligheid. Het beleid is door organisatorische en wettelijke wijzigingen niet actueel meer.
• In het beleid staat dat er een meerjarenplanning en jaarplannen voor informatieveiligheid worden gemaakt. De afgelopen jaren is er in de praktijk niet gewerkt met een meerjarenplanning, op één jaar na waren er wel jaarplannen. Hierin stonden doelen en een activiteitenoverzicht voor betreffend jaar.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

Informatieveiligheid is belegd bij de gedeputeerde met informatievoorziening & automatisering’ in de portefeuille. GS zijn tot nu toe vooral betrokken bij datalekken. Er zijn geen structurele rapportages aan GS over informatieveiligheid.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo is het beleid niet vastgesteld door de directie, was de monitoring van maatregelen de afgelopen jaren beperkt en is er niet structureel verantwoording afgelegd aan directie en bestuur.

De directie stelt het informatiebeveiligingsbeleid niet vast en ontvangt geen halfjaarlijkse rapportages conform beleid. Afgesproken is dat zij worden geïnformeerd rondom projecten die gaan over / raken aan informatieveiligheid (bv. AVG) en als er iets speelt (bv. incidenten of testen).

Er zijn de laatste jaren geen structurele rapportages over informatieveiligheid aan directie en management gestuurd. Zij zijn wel geïnformeerd als er iets speelt, bijvoorbeeld bij testresultaten of een datalek.

Checks - Audits - Evaluatie - Risicoanalyse

De provincie heeft in 2016 voor het laatst een zelfevaluatie gedaan om te zien in hoeverre zij de Interprovinciale baseline informatieveiligheid heeft geïmplementeerd. Gelderland scoorde (behalve op het onderdeel beleid) lager dan de provincies gemiddeld. Zij haalde - net als de andere provincies - het gestelde ambitieniveau niet.

• Onafhankelijke toetsen vinden periodiek plaats in de vorm van een jaarlijks onderzoek van de accountant.
• De provincie heeft in 2016 voor het laatste een zelfevaluatie gedaan. Dit ging over de implementatie van de Interprovinciale Baseline Informatieveiligheid.
• De provincie heeft in de periode tussen 2013 en 2018 geen praktijktesten zoals inloop-, phishing en pentesten laten uitvoeren. De uitbesteding van ITtaken (langer geduurd dan gepland) en de verbouwing van het provinciehuiswerden als redenen genoemd.
• In 2018 heeft een nulmeting plaatsgevonden bij provincies op de implementatie van de ISO 27001 (over het managementsysteem voor informatiebeveiliging). Op een groot aantal punten - uitgezonderd communicatie en documentatie - voldoet de provincie Gelderland nog niet.

informatie voor college / GS

De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo is het beleid niet vastgesteld door de directie, was de monitoring van maatregelen de afgelopen jaren beperkt en is er niet structureel verantwoording afgelegd aan directie en bestuur.

Er zijn geen structurele rapportages aan GS over informatieveiligheid.

Het afdelingsmanagement wordt geïnformeerd als er iets speelt bijvoorbeeld een datalek of testresultaten. In die gevallen hebben zij ook een taak: namelijk GS informeren respectievelijk opvolging faciliteren.

Er zijn de laatste jaren geen structurele rapportages over informatieveiligheid aan directie en management gestuurd. Zij zijn wel geïnformeerd als er iets speelt, bijvoorbeeld bij testresultaten of een datalek.

Informatieveiligheid maakt nog geen deel uit van de bestuurlijke P&C-cyclus. Er wordt niet over gerapporteerd in de begroting en de jaarstukken. Wel is daarin aandacht voor de (risico’s omtrent) datalekken en - sinds 2017 - voor de AVG. PS hebben een aantal keer een brief/notitie danwel een uitnodiging voor een bijeenkomst ontvangen die ging over of raakte aan informatieveiligheid.

informatie voor de raad / PS

Informatieveiligheid maakt nog geen deel uit van de bestuurlijke P&C-cyclus. Er wordt niet over gerapporteerd in de begroting en de jaarstukken. Wel is daarin aandacht voor de (risico’s omtrent) datalekken en - sinds 2017 - voor de AVG. PS hebben een aantal keer een brief/notitie danwel een uitnodiging voor een bijeenkomst ontvangen die ging over of raakte aan informatieveiligheid.

organisatie, werkprocessen en uitvoering

De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo is het beleid niet vastgesteld door de directie, was de monitoring van maatregelen de afgelopen jaren beperkt en is er niet structureel verantwoording afgelegd aan directie en bestuur.

De afgelopen jaren ging er veel tijd en aandacht naar de uitbesteding van de ITtaken en daardoor minder naar andere zaken rondom informatieveiligheid. Dat zien we ook terug in het beleid en de praktijk die op meerdere - soms cruciale - punten niet op elkaar aansluiten. Enerzijds is het beleid op onderdelen niet uitgevoerd waar dit wel wenselijk is. Zo zijn enkele belangrijke controles niet (goed) gedaan. Anderzijds is het beleid op onderdelen niet actueel. Dit brengt onnodige risico’s met zich mee.

De directie heeft de verantwoordelijkheid voor informatieveiligheid gedelegeerd naar de afdelingsmanager I&A.

Het management is vooral betrokken op het niveau van de afdelingsmanager. Met name het management van I&A heeft een aantal besluiten genomen, bijvoorbeeld de vaststelling van het informatiebeveiligingsbeleid en een aantal uitwerkingen daarvan. Het afdelingsmanagement wordt geïnformeerd als er iets speelt bijvoorbeeld een datalek of testresultaten. In die gevallen hebben zij ook een taak: namelijk GS informeren respectievelijk opvolging faciliteren.

De provincie Gelderland heeft in haar informatiebeveiligingsbeleid aandacht voor verdeling van verantwoordelijkheden binnen de organisatie. Deze sluit echter niet op alle punten aan op de huidige praktijk. Zo komt het operationeel security team niet aan de orde en IB-coördinatoren en het vakberaad informatieveiligheid worden wel genoemd, maar die bestaan niet.

De provincie besteedt sinds kort een groot deel van haar IT-taken uit. Informatieveiligheid is in de aanbesteding meegenomen. De implementatie loopt moeizaam. Het informatiebeveiligingsplan van de externe dienstverlener is december 2018 definitief geworden.

Uit de praktijktest kwamen een aantal voorbeelden waaruit bleek dat niet alle beheersmaatregelen voor patching en toegangsbeheer waren opgevolgd (back ups waren geen onderdeel van de praktijktest).

calamiteiten en risicobeheersing

Uit de praktijktesten van de systemen en netwerken blijkt dat de provincie meerdere effectieve beschermingsmaatregelen heeft genomen om weerbaar te zijn tegen cyberaanvallen. Het is binnen redelijke termijn niet gelukt om bij de ‘kroonjuwelen’ te komen noch de rechten van systeembeheer te verwerven. De provincie schenkt op verschillende manieren aandacht aan het vergroten van de bewustwording rondom informatieveiligheid bij haar medewerkers. De praktijktest onderstreept dat aandacht voor bewustwording nodig blijft.

Het afdelingsmanagement wordt geïnformeerd als er iets speelt bijvoorbeeld een datalek of testresultaten. In die gevallen hebben zij ook een taak: namelijk GS informeren respectievelijk opvolging faciliteren.

Er wordt binnenkort gestart met een tool om op meer systematische wijze te bepalen welke beveiligingseisen in contracten opgenomen moeten worden.

bewustwording, kennis en kunde in de organisatie

De provincie schenkt op verschillende manieren aandacht aan het vergroten van de bewustwording rondom informatieveiligheid bij haar medewerkers. De praktijktest onderstreept dat aandacht voor bewustwording nodig blijft.

• De provincie heeft in haar beleid aandacht voor bewustwording.
• Er zijn diverse activiteiten uitgevoerd om de bewustwording van medewerkers te vergroten. Bijvoorbeeld: workshops, berichten op intranet en het neerleggen van kaartjes wanneer een pc’s niet zijn afgesloten.
• De provincie heeft medewerkers via een aantal documenten bekend gemaakt met hun verantwoordelijkheden bij informatieveiligheid.

De provincie neemt maatregelen voor de fysieke beveiliging. Tegelijkertijd zijn er voor de uitwerking in de praktijk nog verbeterpunten, zo blijkt uit de Cibo-monitor en de praktijktest. Die liggen voor een belangrijk deel bij de bewustwording van medewerkers.

beveiliging en autorisatie

Fysieke beveiliging is onderdeel van het informatiebeveiligingsbeleid. De provincie heeft het voornemen dit verder uit te werken in een protocol.

De provincie neemt maatregelen voor de fysieke beveiliging. Tegelijkertijd zijn er voor de uitwerking in de praktijk nog verbeterpunten, zo blijkt uit de Cibo-monitor en de praktijktest. Die liggen voor een belangrijk deel bij de bewustwording van medewerkers.

Het doel van de provincie is dat medewerkers zich bewust zijn van informatieveiligheid. Uit de inlooptest en (spear) phishing testen bleek dat dit nog niet het geval is. Bij de inlooptest is ongeautoriseerd toegang tot nietpublieke ruimtes en beperkte toegang tot dossiers en gegevens verkregen.

Het versturen van spear phishing e-mails leidde tot het verkrijgen van toegang tot accounts en bestanden en tot het verkrijgen van inloggegevens. Twee van de achtergelaten geprepareerde usb-sticks werden gevonden en adequaat afgehandeld. Bij de phishing-actie in opdracht van de provincie klikte iets minder dan de helft van de ontvangers op de link.

kwetsbaarheid ICT en Informatiesystemen

Binnen de provincie lijkt er overeenstemming over wat essentiële en qua informatieveiligheid gevoelige systemen/applicaties en ruimten zijn. In 2016 bij de BIA’s op de hoofdprocessen is de beschikbaarheid van deze essentiële systemen betrokken. De applicaties en bijbehorende classificatie zijn vastgelegd in een database.

De naleving van de Business Impact Analyses (op basis waarvan aanvullende maatregelen worden bepaald) wordt nog niet gecheckt. Soms wordt bij aanbestedingen getoetst of aan de beveiligingseisen wordt voldaan, maar dat gebeurt in de minderheid van de gevallen.

De provincie Gelderland had in januari 2018 drie van de vijf verplichte informatieveiligheidsstandaarden voor haar website en e-mail geïmplementeerd.

In het beleid staan beheersmaatregelen over patching, toegangsbeheer en back ups. Uitwerkingen hiervan zijn deels vastgesteld (accountbeleid en patchbeleid wel, back up beleid nog niet formeel).

Uit de testen van de systemen en netwerken blijkt dat de provincie meerdere effectieve beschermingsmaatregelen heeft genomen om weerbaar te zijn tegen cyberaanvallen. Er zijn ook een aantal kwetsbaarheden gevonden die een risico vormen voor de informatieveiligheid. Het ging in één geval om een kritisch risico: er kon toegang verkregen worden tot informatie doordat een beveiligingsupdate niet was toegepast. De provincie bleek op dit punt haar eigen beleid niet te hebben gevolgd.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De provincie besteedt sinds kort een groot deel van haar IT-taken uit. Informatieveiligheid is in de aanbesteding meegenomen. De implementatie loopt moeizaam. Het informatiebeveiligingsplan van de externe dienstverlener is december 2018 definitief geworden.

Patching, toegangsbeheer en back ups zijn onderdeel van de uitbesteding van de IT-diensten en daarmee momenteel op sommige punten nog in ontwikkeling

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Uit het onderzoek is duidelijk geworden dat de gemeente Gooise Meren informatiebeveiliging en het beschermen van de privacy van de inwoners voortvarend ter hand heeft genomen. Het beleid doet recht aan wettelijke eisen en richtlijnen. De verdere uitwerking heeft de aandacht.

is het beleid conform BIO (BIG)

Eveneens kan worden opgemerkt dat de functie en de verantwoordelijkheden van de CISO’s nog niet zijn uitgekristalliseerd en dat de gemeente nog niet voldoet aan alle vereisten van de Baseline Informatiebeveiliging Gemeenten.

wordt voldaan aan de AVG

Over het geheel genomen wordt recht gedaan aan wettelijke basisvereisten met betrekking tot privacy.

Verder bestaat er nog geen duidelijkheid over de FG (Functionaris Gegevensbeheer). Deze functie moet krachtens de AVG in mei 2018 ingevuld zijn.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Aan de raad wordt geen verslag uitgebracht over de stand van zaken en de ontwikkelingen rond het privacybeleid. Het beleid, de naleving en verbeteracties zouden meer aandacht van de raad kunnen krijgen en onderwerp in bestuursrapportages kunnen zijn.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Ook wordt het privacybeleid en de uitvoering daarvan niet structureel geëvalueerd en wordt daarover geen verantwoording afgelegd aan de gemeenteraad.

informatie voor college / GS

-

informatie voor de raad / PS

Ook wordt het privacybeleid en de uitvoering daarvan niet structureel geëvalueerd en wordt daarover geen verantwoording afgelegd aan de gemeenteraad.4

Aan de raad wordt geen verslag uitgebracht over de stand van zaken en de ontwikkelingen rond het privacybeleid. Het beleid, de naleving en verbeteracties zouden meer aandacht van de raad kunnen krijgen en onderwerp in bestuursrapportages kunnen zijn.

organisatie, werkprocessen en uitvoering

Er is een privacyprotocol en medewerkers van de gemeente zijn bekend met de regels en zeggen daar naar te handelen. Kwaliteitsmedewerkers binnen het sociaal domein letten er op dat medewerkers niet meer informatie in een dossier opnemen dan strikt noodzakelijk is voor de dienstverlening. Ook heeft de gemeente er voor gezorgd dat de persoonlijke gegevens van inwoners alleen toegankelijk zijn voor medewerkers die deze informatie nodig hebben om hun werk uit te voeren. De procedures voor deze autorisaties zijn op orde.

Binnen de gemeente Gooise Meren bestaat er veel aandacht voor informatiebeveiliging. In dat verband zijn ook verschillende aspecten van het privacybeleid via systemen, procedures en applicaties ingeregeld. Er zijn Chief Information Officers (CISO’s) aangesteld, die nu als belangrijke taak hebben om in de relatief jonge gemeente de basis van de informatiehuishouding en -beveiliging op orde te krijgen.

Nieuwe medewerkers worden bij het inwerken vertrouwd gemaakt met zowel het belang van het waarborgen van de privacy als de gemaakte afspraken en geldende procedures. Indien binnen de organisatie naar mening van betrokkenen onnodig veel informatie wordt gedeeld, spreken medewerkers elkaar hier op aan. Dit gebeurt op ad hoc basis. Het beleid zou echter meer structureel in het dagelijks handelen van de medewerkers kunnen worden verankerd.

De relatief jonge gemeente Gooise Meren is nog steeds druk bezig met het inregelen van verschillende procedures, afspraken en functies. Bij de inrichting van het beleid is gebruik gemaakt van de expertise van de jurist die werkzaam is bij de Regio Gooi- en Vechtstreek. Formeel is dat momenteel niet meer mogelijk. Het is de vraag of een dergelijke juridische functie nog steeds nodig is om de vertaling te maken van regelgeving naar praktijk. Deze vraag is vooralsnog niet expliciet aan de orde gesteld binnen de gemeente, waardoor het voor sommige medewerkers niet duidelijk is tot wie zij zich met specifieke juridische vragen met betrekking tot privacy kunnen wenden.
Verder bestaat er nog geen duidelijkheid over de FG (Functionaris Gegevensbeheer). Deze functie moet krachtens de AVG in mei 2018 ingevuld zijn.
Eveneens kan worden opgemerkt dat de functie en de verantwoordelijkheden van de CISO’s nog niet zijn uitgekristalliseerd en dat de gemeente nog niet voldoet aan alle vereisten van de Baseline Informatiebeveiliging Gemeenten.

calamiteiten en risicobeheersing

Uit het onderzoek is naar voren gekomen dat er geen sprake is van acute of urgente problemen of tekortkomingen als het gaat om het waarborgen van de privacy van cliënten.

bewustwording, kennis en kunde in de organisatie

Er is een privacyprotocol en medewerkers van de gemeente zijn bekend met de regels en zeggen daar naar te handelen.

Nieuwe medewerkers worden bij het inwerken vertrouwd gemaakt met zowel het belang van het waarborgen van de privacy als de gemaakte afspraken en geldende procedures. Indien binnen de organisatie naar mening van betrokkenen onnodig veel informatie wordt gedeeld, spreken medewerkers elkaar hier op aan. Dit gebeurt op ad hoc basis. Het beleid zou echter meer structureel in het dagelijks handelen van de medewerkers kunnen worden verankerd.

beveiliging en autorisatie

Ook heeft de gemeente er voor gezorgd dat de persoonlijke gegevens van inwoners alleen toegankelijk zijn voor medewerkers die deze informatie nodig hebben om hun werk uit te voeren. De procedures voor deze autorisaties zijn op orde.

kwetsbaarheid ICT en Informatiesystemen

Naar mening van direct betrokkenen in de gemeentelijke organisatie is de basis dusdanig stevig ingericht dat er in de dagelijkse uitvoeringspraktijk geen bijzondere aandacht hoeft te worden besteed aan het realiseren van waarborgen voor de privacy van de cliënten. Bij de inrichting van het sociale domein heeft dit immers al afdoende plaatsgevonden.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Het onderzoek heeft ook een aantal verbeterpunten in beeld gebracht. Vertegenwoordigers van cliëntenorganisaties hebben vragen én zorgen bij het privacybeleid. Vooralsnog worden zij in dit verband te weinig gerust gesteld door het beleid en de voorlichting daarover.

communicatie en betrokkenheid burgers

Uit het onderzoek is naar voren gekomen dat er geen sprake is van acute of urgente problemen of tekortkomingen als het gaat om het waarborgen van de privacy van cliënten. Tegelijkertijd is wel gebleken dat vertegenwoordigers van cliëntenorganisaties vragen én zorgen hebben bij het privacybeleid. Vooralsnog worden zij in dit verband te weinig gerust gesteld door de gemeentelijke organisatie. In de voorlichting heeft de gemeente te weinig aandacht voor het perspectief van de cliënten en de aldaar bestaande zorgen.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

1. Het informatiebeveiligingbeleid is onvoldoende geïmplementeerd waardoor de gemeente niet in control is.
   In opzet heeft de gemeente Haarlem sinds 2014 een volwaardig informatiebeveiligingsbeleid dat voldoet aan de BIG. Het is echter vooral een papieren beleid. Van het bestaan van het beleid in de praktijk is weinig sprake. Kernelementen van beleid als risicoanalyses, jaarplannen, verantwoordelijkheid bij lijnmanagement worden onvoldoende toegepast ondanks de jaren die al zijn verstreken sinds het vaststellen van het beleid. Een zelfde conclusie geldt voor de verantwoordingsstructuur van het beleid. Het management en bestuur (college en gemeenteraad) zijn er weinig inhoudelijk op aangehaakt. Voortgangsrapportages worden niet opgesteld en dus ook niet besproken.

Verder moet het informatiebeveiligingsbeleid uit 2014 tenminste eens in de vier jaar worden vastgesteld, maar dit is in 2018 nog niet gebeurd.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De informatiesystemen kennen meerdere (ernstige) kwetsbaarheden
Uit de penetratietesten die Hoffmann Cybersecurity binnen de beperkte scope van het onderzoek heeft uitgevoerd, kwamen verschillende zwakke plekken in de informatiesystemen naar voren, waarvan enkele ernstig en tevens onbekend bij de organisatie waren. Deze onvoldoende werking van het beleid is (mede) het gevolg van het onvoldoende bestaan van het beleid. Met andere woorden: door het niet uitvoeren van het eigen beleid was er sprake van onbekende en grote risico’s. Uit met name de interne penetratietest bleken grote kwetsbaarheden. Dit is uiteraard ongewenst. De resultaten zijn direct met de organisatie gedeeld en een aantal kwetsbaarheden is inmiddels verholpen en verschillende andere worden binnenkort verholpen. Het is van groot belang op de hoogte te zijn van de actuele kwetsbaarheden en dus de risico’s van de informatiesystemen en deze middels risicomanagement te beheren.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

De raad is onvoldoende geïnformeerd De paragrafen in de jaarverslagen zijn heel algemeen en vereisen een goede lezer om alert te raken over de stand van zaken met betrekking tot de informatiebeveiliging. Zo moet proactief handelen vanzelfsprekend zijn. Ook lijkt het jaarverslag tegenstrijdigheden te bevatten over de mate van compliancy als er staat dat de beveiliging op het BIG-niveau is, maar tegelijkertijd ook nog op dat niveau moet komen. Gap-analyses zijn in 2014 en 2016 uitgevoerd, maar daarna niet meer. Verder moet het informatiebeveiligingsbeleid uit 2014 tenminste eens in de vier jaar worden vastgesteld, maar dit is in 2018 nog niet gebeurd.

De ter kennisname geagendeerde ENSIA-verklaring bevat geen informatie die de raad inhoudelijk op de hoogte brengt over de stand van zaken.

organisatie, werkprocessen en uitvoering

1. Het informatiebeveiligingbeleid is onvoldoende geïmplementeerd waardoor de gemeente niet in control is.
   In opzet heeft de gemeente Haarlem sinds 2014 een volwaardig informatiebeveiligingsbeleid dat voldoet aan de BIG. Het is echter vooral een papieren beleid. Van het bestaan van het beleid in de praktijk is weinig sprake. Kernelementen van beleid als risicoanalyses, jaarplannen, verantwoordelijkheid bij lijnmanagement worden onvoldoende toegepast ondanks de jaren die al zijn verstreken sinds het vaststellen van het beleid. Een zelfde conclusie geldt voor de verantwoordingsstructuur van het beleid. Het management en bestuur (college en gemeenteraad) zijn er weinig inhoudelijk op aangehaakt. Voortgangsrapportages worden niet opgesteld en dus ook niet besproken.

calamiteiten en risicobeheersing

Kernelementen van beleid als risicoanalyses, jaarplannen, verantwoordelijkheid bij lijnmanagement worden onvoldoende toegepast ondanks de jaren die al zijn verstreken sinds het vaststellen van het beleid.

bewustwording, kennis en kunde in de organisatie

De informatiesystemen kennen meerdere (ernstige) kwetsbaarheden
Uit de penetratietesten die Hoffmann Cybersecurity binnen de beperkte scope van het onderzoek heeft uitgevoerd, kwamen verschillende zwakke plekken in de informatiesystemen naar voren, waarvan enkele ernstig en tevens onbekend bij de organisatie waren. Deze onvoldoende werking van het beleid is (mede) het gevolg van het onvoldoende bestaan van het beleid. Met andere woorden: door het niet uitvoeren van het eigen beleid was er sprake van onbekende en grote risico’s. Uit met name de interne penetratietest bleken grote kwetsbaarheden. Dit is uiteraard ongewenst. De resultaten zijn direct met de organisatie gedeeld en een aantal kwetsbaarheden is inmiddels verholpen en verschillende andere worden binnenkort verholpen. Het is van groot belang op de hoogte te zijn van de actuele kwetsbaarheden en dus de risico’s van de informatiesystemen en deze middels risicomanagement te beheren.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

De informatiesystemen kennen meerdere (ernstige) kwetsbaarheden
Uit de penetratietesten die Hoffmann Cybersecurity binnen de beperkte scope van het onderzoek heeft uitgevoerd, kwamen verschillende zwakke plekken in de informatiesystemen naar voren, waarvan enkele ernstig en tevens onbekend bij de organisatie waren. Deze onvoldoende werking van het beleid is (mede) het gevolg van het onvoldoende bestaan van het beleid. Met andere woorden: door het niet uitvoeren van het eigen beleid was er sprake van onbekende en grote risico’s. Uit met name de interne penetratietest bleken grote kwetsbaarheden. Dit is uiteraard ongewenst. De resultaten zijn direct met de organisatie gedeeld en een aantal kwetsbaarheden is inmiddels verholpen en verschillende andere worden binnenkort verholpen. Het is van groot belang op de hoogte te zijn van de actuele kwetsbaarheden en dus de risico’s van de informatiesystemen en deze middels risicomanagement te beheren.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het Strategisch Informatiebeveiligingsbeleid 2021-2023 is actueel en voor de periode 2021- 2023 vastgesteld. Dit beleid is pas laat vastgesteld, evenals het jaarlijks te updaten informatiebeveiligingsplan met activiteiten voor 2021-2022. Het informatiebeveiligingsplan is niet gebaseerd op een uitgebreide risicoanalyse maar op de ENSIA-rapportage. De laatste versie bevat geen prioriteitsafweging op basis van geconstateerde risico's.

is het beleid conform BIO (BIG)

De CISO heeft bij de introductie van de BIO in 2019, met managers en medewerkers de risico's geïnventariseerd. Daarmee is het eigenaarschap met betrekking tot informatiebeveiliging bij de lijn- of uitvoeringsorganisatie neergelegd, waar die thuis hoort. De risicoanalyse onder het huidig voorgestelde Informatiebeveiligingsplan 2021-2022 is gedaan op basis van de ENSIA-rapportage, in plaats van op basis van een diepgaande risicoanalyse, zoals voorgeschreven in de BIO. Dit is gedaan uit overwegingen die te maken hebben met capaciteit en efficiency. Het beleid is deels risico gebaseerd, zoals bedoeld in de BIO, maar voldoet strikt genomen niet geheel aan de eisen van de BIO.

wordt voldaan aan de AVG

-

budget en personele inzet

Op informatiebeveiliging en privacy wordt de formatie verhoogd per 1-1- 2022. Gelet op het volwassenheidsniveau van de organisatie zijn de functionarissen vooral nog operationeel-tactisch bezig met de ondersteuning en borging van informatiebeveiliging en privacy in de bedrijfsprocessen en rapportages. Aan de controlerende en adviserende rol komen de CISO, FG en PO nog te weinig toe en worden op die rol niet tijdig of te weinig geconsulteerd. De verwachting is dat verhoging van de formatie dat deels zal oplossen.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

De CISO en FG rapporteren jaarlijks aan de directie van HLTsamen en de colleges over de voortgang op respectievelijk de BIO en AVG. Daarnaast rapporteert de gemeente Lisse op basis van het ENSIA-format verticaal, richting de landelijke toezichthouders en horizontaal, richting de gemeenteraad. Los van deze jaarlijkse ENSIA-rapportages wordt niet aan de gemeenteraad gerapporteerd, behalve bij zeer ernstige datalekken.

Kaderstellende rol gemeenteraad / PS

De raad heeft net als op andere beleidsterreinen op informatiebeveiliging en privacy een kaderstellende en controlerende rol. De uitvoering is in het HLTsamen-verband ondergebracht en staat daardoor meer op afstand. Via het jaarverslag en de ENSIArapportages wordt de raad geïnformeerd over informatiebeveiliging en privacy. Er wordt geen gebruik gemaakt van de vrije ruimte binnen ENSIA om de raad over bijzondere punten te rapporteren. Gelet op de risico's die gemeenten lopen en op basis van de bevindingen lijkt de conclusie getrokken te kunnen worden dat de raad zich actiever mag opstellen met betrekking tot informatiebeveiliging en privacy,

Controlerende rol gemeenteraad / PS

De raad heeft net als op andere beleidsterreinen op informatiebeveiliging en privacy een kaderstellende en controlerende rol. De uitvoering is in het HLTsamen-verband ondergebracht en staat daardoor meer op afstand. Via het jaarverslag en de ENSIArapportages wordt de raad geïnformeerd over informatiebeveiliging en privacy. Er wordt geen gebruik gemaakt van de vrije ruimte binnen ENSIA om de raad over bijzondere punten te rapporteren. Gelet op de risico's die gemeenten lopen en op basis van de bevindingen lijkt de conclusie getrokken te kunnen worden dat de raad zich actiever mag opstellen met betrekking tot informatiebeveiliging en privacy,

werkprocessen monitoren, bewaken en verbeteren

Over de gehele linie kan meer aandacht besteed worden aan het systematisch vastleggen en verantwoorden van de activiteiten en controles op informatiebeveiliging.

Het managementinformatiesysteem op informatiebeveiliging, ISMS, is recent aangeschaft. Het systeem moet nog gevuld worden en met de PDCA-cyclus verbonden worden. Het ISMS kan ook voor privacy gebruikt worden, maar daarvoor is extra overleg met andere partijen nodig. Tot nu toe voelt het vullen van de ENSIA voor de betrokkenen vooral als een administratieve last.

Checks - Audits - Evaluatie - Risicoanalyse

Ten tijde van het onderzoek zijn op zes processen, met een hoog risicoprofiel waarin persoonsgegevens worden verwerkt, 'data protection impact assessments' (DPIA's) afgerond en akkoord verklaard. Het gaat onder andere om processen op het gebied van ondermijning en datagedreven werken. Op een groot aantal andere processen zijn deze DPIA’s nog niet afgenomen. Er zijn na afronding van de onderzoeksperiode meer DPIA's gehouden, waaronder één in het sociaal domein. De DPIA’s worden nog niet volgens een gestructureerd plan uitgevoerd.

De technische infrastructuur is in dit rekenkameronderzoek niet getest. De back-up procedures worden doorlopen en er worden uitwijktesten uitgevoerd. De beveiliging van de clouddienst van de afnemer wordt door een externe partij getest.
Vanuit HLTsamen worden periodiek pentesten op de systemen uitgevoerd. Pentesten, of penetratietesten, worden gedaan om op zoek te gaan naar zwakke plekken in de beveiliging van de systemen en infrastructuur. Uit de testen kunnen indien nodig verbeteracties voortkomen. Uit de pentest die is uitgevoerd in 2021 kwamen geen grote kwetsbaarheden naar voren. Dat wil niet zeggen dat er achterover geleund kan worden, de beveiliging behoeft continu aandacht en controle.

Op basis van de resultaten van de inlooptest van oktober 2021, uitgevoerd door een ethisch hacker in opdracht van de RKC HL, kan geconstateerd worden dat er technische verbeteringen aan het pand in Lisse nodig zijn. Tevens levert de test verbeterpunten op voor het gedrag van de medewerkers van HLTsamen.

informatie voor college / GS

De CISO en FG rapporteren jaarlijks aan de directie van HLTsamen en de colleges over de voortgang op respectievelijk de BIO en AVG. Daarnaast rapporteert de gemeente Lisse op basis van het ENSIA-format verticaal, richting de landelijke toezichthouders en horizontaal, richting de gemeenteraad. Los van deze jaarlijkse ENSIA-rapportages wordt niet aan de gemeenteraad gerapporteerd, behalve bij zeer ernstige datalekken.

informatie voor de raad / PS

De CISO en FG rapporteren jaarlijks aan de directie van HLTsamen en de colleges over de voortgang op respectievelijk de BIO en AVG. Daarnaast rapporteert de gemeente Lisse op basis van het ENSIA-format verticaal, richting de landelijke toezichthouders en horizontaal, richting de gemeenteraad. Los van deze jaarlijkse ENSIA-rapportages wordt niet aan de gemeenteraad gerapporteerd, behalve bij zeer ernstige datalekken.

De raad heeft net als op andere beleidsterreinen op informatiebeveiliging en privacy een kaderstellende en controlerende rol. De uitvoering is in het HLTsamen-verband ondergebracht en staat daardoor meer op afstand. Via het jaarverslag en de ENSIArapportages wordt de raad geïnformeerd over informatiebeveiliging en privacy. Er wordt geen gebruik gemaakt van de vrije ruimte binnen ENSIA om de raad over bijzondere punten te rapporteren. Gelet op de risico's die gemeenten lopen en op basis van de bevindingen lijkt de conclusie getrokken te kunnen worden dat de raad zich actiever mag opstellen met betrekking tot informatiebeveiliging en privacy,

organisatie, werkprocessen en uitvoering

De CISO heeft bij de introductie van de BIO in 2019, met managers en medewerkers de risico's geïnventariseerd. Daarmee is het eigenaarschap met betrekking tot informatiebeveiliging bij de lijn- of uitvoeringsorganisatie neergelegd, waar die thuis hoort. De risicoanalyse onder het huidig voorgestelde Informatiebeveiligingsplan 2021-2022 is gedaan op basis van de ENSIA-rapportage, in plaats van op basis van een diepgaande risicoanalyse, zoals voorgeschreven in de BIO. Dit is gedaan uit overwegingen die te maken hebben met capaciteit en efficiency. Het beleid is deels risico gebaseerd, zoals bedoeld in de BIO, maar voldoet strikt genomen niet geheel aan de eisen van de BIO.

De functies op informatiebeveiliging en privacy (CISO, sinds kort de TISO, FG en PO) zijn ingevuld. De FG, CISO en PO zijn vooralsnog bij de afdeling Juridische Zaken gepositioneerd. Zij moeten onafhankelijk van de lijn gepositioneerd zijn, met een directe link naar gemeentesecretaris en portefeuillehouder. Dat laatste is geregeld. En de positionering wordt geëvalueerd en meegenomen in de organisatieontwikkeling. Een van de opties is positionering bij het team Control.

calamiteiten en risicobeheersing

Om ‘in control’ te zijn, moet de gemeente weten welke risico's men loopt en daar structureel actie op ondernemen. Daarvoor zijn diepgaande risicoanalyses nodig. Het volwassenheidsniveau van de gemeentelijke organisatie op informatiebeveiliging wordt indicatief geschat op 2 (op een schaal van 1 tot 5 van NOREA, zie bijlage 4). Er wordt weliswaar vaak gehandeld op basis van de richtlijnen, maar nog niet alles is volgens deze richtlijnen vastgelegd. De ambitie om naar niveau 3 te ontwikkelen is nog niet vastgesteld. Dat vergt de nodige inspanning. De RKC HL constateert dat het vaststellen van een dergelijk toetsingskader nodig is om op het onderwerp informatiebeveiliging 'in control' te zijn.

bewustwording, kennis en kunde in de organisatie

Randvoorwaarde voor het informatiebeveiligingsbeleid is dat de kennis en bewustzijn over informatiebeveiliging en privacy actief wordt bevorderd en geborgd. Op Intranet van HLTsamen staat veel materiaal. Daarnaast houden de FG en CISO regelmatig presentaties. Medewerkers geven aan dat ze de betreffende functionarissen weten te vinden. Vanaf 2018 wordt e-learning aangeboden, met verschillende modules. Het voornemen is hierop een leerportaal op te zetten. Omdat niet in alle teams wordt gestuurd op bevordering van bewustwording op informatiebeveiliging, wordt geconstateerd dat het urgentiegevoel bij sommige managers daarop ontbreekt.

beveiliging en autorisatie

Op een aantal vlakken zijn richtlijnen en protocollen vastgesteld, maar nog niet op alle terreinen waar het zou kunnen of zelfs moeten. Zo is er nog geen integraal bedrijfscontinuïteitsplan. Naar verluidt wordt hier aan gewerkt. Ook zijn het toekennen van autorisaties en de logging (vastleggen van dataverkeer en de toegang tot gegevens) op een aantal systemen nog niet goed vastgelegd. Op de verplichte ENSIA-onderdelen, zoals Suwinet, is geconstateerd dat de controle op gebruikers en de toegang tot de informatie onvoldoende was.

kwetsbaarheid ICT en Informatiesystemen

Op basis van de resultaten van de inlooptest van oktober 2021, uitgevoerd door een ethisch hacker in opdracht van de RKC HL, kan geconstateerd worden dat er technische verbeteringen aan het pand in Lisse nodig zijn. Tevens levert de test verbeterpunten op voor het gedrag van de medewerkers van HLTsamen.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het beleid van de gemeente Hoeksche Waard op het gebied van informatiebeveiliging en privacy is grotendeels op orde.

De aanbevelingen uit het onderzoek van de Rekenkamercommissie Hoeksche Waard 2016 zijn deels opgevolgd.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

De gemeente Hoeksche Waard werkt in principe volgens de regels van de AVG en besteedt extra aandacht aan de DPIA’s.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De gemeente Hoeksche Waard kan de lerende houding ten opzichte van informatiebeveiliging verder versterken.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

De gemeente Hoeksche Waard stimuleert het bewust omgaan met informatiebeveiliging.

calamiteiten en risicobeheersing

De risico’s bij informatiebeveiliging en privacy bij de gemeente Hoeksche Waard zouden meer in kaart gebracht kunnen worden, met name op tactisch niveau ontbreekt de kennis.

De gemeente Hoeksche Waard werkt in principe volgens de regels van de AVG en besteedt extra aandacht aan de DPIA’s.

bewustwording, kennis en kunde in de organisatie

De gemeente Hoeksche Waard stimuleert het bewust omgaan met informatiebeveiliging.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

De technische informatiebeveiliging van de gemeente Hoeksche Waard is merendeels op orde, maar de menselijke kant vertoont kwetsbaarheden.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De gemeente Hoeksche Waard heeft in beeld met welke partijen (bijzondere) persoonsgegevens worden gedeeld, maar bij kleinere of oudere contracten kunnen zich risico’s voordoen op het gebied van informatiebeveiliging en/of privacy.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De gemeente Hof van Twente had een beleid op Informatisering en Automatisering vastgesteld. Het beleid was volgens de normen die daarvoor gelden adequaat. De risico's waren wat betreft opzet en bestaan van het beleid in beeld, maar de werking van het beleid en de monitoring ervan kwamen onvoldoende in beeld. De monitoring op de uitvoering van het informatiebeveiligingsbeleid was niet toereikend om de hack periode voorafgaand aan de hack tijdig te detecteren of te voorkomen.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

De IBD van de VNG pleitte in 2020 gezien het dreigingsbeeld op informatieveiligheid voor versterking van de positie van de CISO. De CISO-functie was gepositioneerd in de stafafdeling van de gemeente en was voor 0,2 fte ingevuld. Dat is relatief weinig voor een gemeente als Hof van Twente. De CISO had geen eigen budget, in weerwil van de adviezen van de IBD. Dit gegeven heeft niet geleid tot verminderde activiteit op informatiebeveiliging, maar wierp een onnodige drempel op voor activiteiten die de CISO nodig achtte en leidde niet tot een stevige positie van de CISO.

De financiering van ICT en navenant informatiebeveiliging van de gemeente Hof van Twente was beneden de benchmark met vergelijkbare gemeenten. Dat tekent de aandacht voor ICT en draagvlak voor investeringen hierop bij college en raad.

Sturende rol college / GS

De digitale infrastructuur is in 2018 aan een externe partij uitbesteed. Er waren servicelevel agreements afgesproken met de externe partij waar het ICT-systeembeheer aan was uitbesteed. Op operationeel niveau bleken geringe haperingen in de communicatie en de dienstverlening. Op strategisch en tactisch niveau ontbrak daarop de regie en sturing. De gemeente handelde in de relatie met de leverancier te veel vanuit vertrouwen in plaats van regie, sturing en controle. Een zakelijke samenwerking ontbrak tussen gemeente en de externe leverancier.

Vanwege de grote bestuurlijke, publicitaire en financiële risico's is duidelijk dat ICT en informatieveiligheid op de politieke agenda thuishoren. Fouten op dit terrein kunnen enorme consequenties hebben voor de dienstverlening van de overheid aan inwoners, bedrijven en instellingen, naast de reputatie- en financiële schade voor de overheid en een dalend vertrouwen in de overheid. Dit heeft de gemeente Hof van Twente aan den lijve ondervonden. De indruk bestaat dat de gemeente veel werk heeft verzet na de hack, maar dat de aandacht enigszins verslapt. Dit wordt afgeleid uit het feit dat er sinds de zomer van 2021 geringe aandacht is vanuit de raad voor informatiebeveiliging, de ICT-auditcommissie gestart is in december 2021 en het feit dat slechts twee partijen in hun verkiezingsprogramma van maart 2022 aandacht geven aan informatiebeveiliging.

In de samenwerking tussen college en raad is het college leidend en initiërend. De raad neemt weinig regie en laat zich leiden.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Vanwege de grote bestuurlijke, publicitaire en financiële risico's is duidelijk dat ICT en informatieveiligheid op de politieke agenda thuishoren. Fouten op dit terrein kunnen enorme consequenties hebben voor de dienstverlening van de overheid aan inwoners, bedrijven en instellingen, naast de reputatie- en financiële schade voor de overheid en een dalend vertrouwen in de overheid. Dit heeft de gemeente Hof van Twente aan den lijve ondervonden. De indruk bestaat dat de gemeente veel werk heeft verzet na de hack, maar dat de aandacht enigszins verslapt. Dit wordt afgeleid uit het feit dat er sinds de zomer van 2021 geringe aandacht is vanuit de raad voor informatiebeveiliging, de ICT-auditcommissie gestart is in december 2021 en het feit dat slechts twee partijen in hun verkiezingsprogramma van maart 2022 aandacht geven aan informatiebeveiliging.

In de samenwerking tussen college en raad is het college leidend en initiërend. De raad neemt weinig regie en laat zich leiden.

Controlerende rol gemeenteraad / PS

Vanwege de grote bestuurlijke, publicitaire en financiële risico's is duidelijk dat ICT en informatieveiligheid op de politieke agenda thuishoren. Fouten op dit terrein kunnen enorme consequenties hebben voor de dienstverlening van de overheid aan inwoners, bedrijven en instellingen, naast de reputatie- en financiële schade voor de overheid en een dalend vertrouwen in de overheid. Dit heeft de gemeente Hof van Twente aan den lijve ondervonden. De indruk bestaat dat de gemeente veel werk heeft verzet na de hack, maar dat de aandacht enigszins verslapt. Dit wordt afgeleid uit het feit dat er sinds de zomer van 2021 geringe aandacht is vanuit de raad voor informatiebeveiliging, de ICT-auditcommissie gestart is in december 2021 en het feit dat slechts twee partijen in hun verkiezingsprogramma van maart 2022 aandacht geven aan informatiebeveiliging.

In de samenwerking tussen college en raad is het college leidend en initiërend. De raad neemt weinig regie en laat zich leiden.

werkprocessen monitoren, bewaken en verbeteren

De gemeente Hof van Twente had een beleid op Informatisering en Automatisering vastgesteld. Het beleid was volgens de normen die daarvoor gelden adequaat. De risico's waren wat betreft opzet en bestaan van het beleid in beeld, maar de werking van het beleid en de monitoring ervan kwamen onvoldoende in beeld. De monitoring op de uitvoering van het informatiebeveiligingsbeleid was niet toereikend om de hack periode voorafgaand aan de hack tijdig te detecteren of te voorkomen.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

In de verantwoordingsrapportages leek de gemeente 'in control' op informatieveiligheid, namelijk te weten wat de risico's zijn en daar maatregelen op te treffen. Onderdelen van het informatiebeveiligingsbeleid waren in 2020 nog in ontwikkeling. Bepaalde onderdelen waren op papier gerealiseerd, zoals het 2FA-beleid en bleken in de praktijk niet consequent te worden uitgevoerd. Er bleek een groot verschil tussen de bestuurlijke werkelijkheid en de dagelijkse praktijk.

De IBD van de VNG pleitte in 2020 gezien het dreigingsbeeld op informatieveiligheid voor versterking van de positie van de CISO. De CISO-functie was gepositioneerd in de stafafdeling van de gemeente en was voor 0,2 fte ingevuld. Dat is relatief weinig voor een gemeente als Hof van Twente. De CISO had geen eigen budget, in weerwil van de adviezen van de IBD. Dit gegeven heeft niet geleid tot verminderde activiteit op informatiebeveiliging, maar wierp een onnodige drempel op voor activiteiten die de CISO nodig achtte en leidde niet tot een stevige positie van de CISO.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Diepgaande kennis over ICT was niet voldoende aanwezig op sleutelposities in de ambtelijke en bestuurlijke organisatie om de naleving van beleid en protocollen af te dwingen of te controleren. Er kwamen vanaf begin 2019 en in de periode voorafgaand aan de hack via de accountant en een enkele pentest (zomer 2020) signalen op onvolkomenheden op informatieveiligheid binnen bij de organisatie. Deze signalen zijn niet voldoende doorgedrongen bij management, college en de raad. De kennis over informatiebeveiliging was beperkt om de risico's op informatieveiligheid adequaat te duiden en erop door te vragen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De digitale infrastructuur is in 2018 aan een externe partij uitbesteed. Er waren servicelevel agreements afgesproken met de externe partij waar het ICT-systeembeheer aan was uitbesteed. Op operationeel niveau bleken geringe haperingen in de communicatie en de dienstverlening. Op strategisch en tactisch niveau ontbrak daarop de regie en sturing. De gemeente handelde in de relatie met de leverancier te veel vanuit vertrouwen in plaats van regie, sturing en controle. Een zakelijke samenwerking ontbrak tussen gemeente en de externe leverancier

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Geconstateerd wordt dat:

• het beleid nog moet worden geactualiseerd voor de komende jaren;
• op beleid en procedureel niveau een en ander meer in detail kan worden gestandaardiseerd en uitgewerkt.

De gemeente Laarbeek beschikt nog niet over specifiek privacy beleid. Wel heeft zij een ‘Privacyverklaring gemeente Laarbeek’ op internet gepubliceerd met een aantal uitgangspunten. Tevens heeft zij een classificatie van verwerkingen opgesteld van ‘Openbaar’ tot ‘Geheim’ maar deze nog niet verder gedefinieerd en uitgewerkt naar de impact voor de te definiëren (beveiligings)maatregelen. Privacy beleid is nog onderhanden.

is het beleid conform BIO (BIG)

Op basis van het nog geldende informatiebeveiligingsbeleid constateren wij dat deze nog handvatten ontbeert voor een aantal belangrijke onderdelen van informatiebeveiliging die bij de gemeente Laarbeek ook nog niet (voldoende) zijn ingericht. Wij bevelen aan deze onderdelen expliciet op te nemen in het nieuwe informatiebeveiligingsbeleid.

wordt voldaan aan de AVG

De classificatie van gegevens is nog beperkt uitgewerkt in het bestaande beveiligingsbeleid.

De implementatie van maatregelen om te voldoen aan de AVG (Algemene verordening gegevensbescherming) is onderhanden. Binnen de gemeente Laarbeek bestaat al een procedure “Protocol datalek Gemeente Laarbeek en Laarbeek”. Met ondersteuning van deskundigen zijn diverse activiteiten opgestart of verder vormgegeven.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Geconstateerd wordt dat:

• binnen de organisatie de aandacht voor informatiebeveiliging is belegd en ook bij een incident tot en met de gemeenteraad is opgeschakeld;

werkprocessen monitoren, bewaken en verbeteren

Geconstateerd wordt dat:
dat op basis van de uitkomsten van een nulmeting uit 2014 de nodige verbeterslagen hebben
plaatsgevonden.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Geconstateerd wordt dat:

• het beleid nog moet worden geactualiseerd voor de komende jaren en daarop aansluitende maatregelen of uitwerking van bestaande maatregelen moet plaatsvinden;
• binnen de organisatie de aandacht voor informatiebeveiliging is belegd en ook bij een incident tot en met de gemeenteraad is opgeschakeld;

calamiteiten en risicobeheersing

Geconstateerd wordt dat:

• dat risicomanagement nog de aandacht vraagt.

Een afhankelijkheden- en kwetsbaarheden analyse ontbreekt nog.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De provincie Limburg heeft in de periode 2014 tot begin 2018 vooruitgang geboekt in de wijze waarop de informatiebeveiliging in opzet en praktijk is ingericht. De informatiebeveiliging is in opzet (beoogde invulling) grotendeels goed ingericht. Er zijn kaders, richtlijnen en een uitvoeringsplan met een overzicht van de beoogde maatregelen opgesteld. Deze zijn helder/navolgbaar en sluiten goed op elkaar aan. De documentatie en beschrijving van procedures, processen en maatregelen schieten echter op punten nog te kort en blijven daarmee een aandachtspunt.

is het beleid conform BIO (BIG)

De provincie moet nog het nodige werk verzetten om te voldoen aan het door haar, samen met de andere provincies, gekozen basisambitieniveau (implementatie van de Interprovinciale Baseline Informatiebeveiliging (IBI)). Volgens een interprovinciale monitor over 2016 behoorde de provincie namelijk, samen met enkele andere, tot één van de laagst scorende provincies

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Provinciale Staten hebben tot nu toe geen kaderstellende rol gehad bij het informatie(beveiligings)beleid. Wel zijn ze actief geïnformeerd over de totstandkoming van het informatiebeleid waar informatiebeveiliging onderdeel van uit maakt.

PS hebben overigens zelf ook alleen in 2017 aandacht gevraagd voor het onderwerp. Destijds vroegen ze om informatie naar aanleiding van verschillende (inter)nationale beveiligingsincidenten en naar aanleiding van bevindingen van de accountant. De aandacht van PS voor informatieveiligheid lijkt tot nu toe dan ook niet structureel, maar vooral incidentgedreven. Van een structurele dialoog tussen PS en GS over het onderwerp is dan ook nog geen sprake geweest.

Controlerende rol gemeenteraad / PS

In 2011 en 2016 zijn ze via het overkoepelende strategisch informatiebeleid (SIBL) op hoofdlijnen geïnformeerd over de opzet van informatieveiligheid. Over de uitvoering van het informatiebeveiligingsbeleid zijn PS tot 2017 nauwelijks tot niet geïnformeerd. Dit komt het uitvoeren van hun controlerende rol niet ten goede. Begin 2017 zijn ze via een mededeling portefeuillehouder voor het eerst uitgebreid geïnformeerd over de voortgang van het informatiebeveiligingsbeleid, de in 2016 uitgevoerde acties en over beveiligingsincidenten. PS hebben overigens zelf ook alleen in 2017 aandacht gevraagd voor het onderwerp. Destijds vroegen ze om informatie naar aanleiding van verschillende (inter)nationale beveiligingsincidenten en naar aanleiding van bevindingen van de accountant. De aandacht van PS voor informatieveiligheid lijkt tot nu toe dan ook niet structureel, maar vooral incidentgedreven. Van een structurele dialoog tussen PS en GS over het onderwerp is dan ook nog geen sprake geweest.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Provinciale Staten hebben tot nu toe geen kaderstellende rol gehad bij het informatie(beveiligings)beleid. Wel zijn ze actief geïnformeerd over de totstandkoming van het informatiebeleid waar informatiebeveiliging onderdeel van uit maakt. In 2011 en 2016 zijn ze via het overkoepelende strategisch informatiebeleid (SIBL) op hoofdlijnen geïnformeerd over de opzet van informatieveiligheid. Over de uitvoering van het informatiebeveiligingsbeleid zijn PS tot 2017 nauwelijks tot niet geïnformeerd. Dit komt het uitvoeren van hun controlerende rol niet ten goede. Begin 2017 zijn ze via een mededeling portefeuillehouder voor het eerst uitgebreid geïnformeerd over de voortgang van het informatiebeveiligingsbeleid, de in 2016 uitgevoerde acties en over beveiligingsincidenten. PS hebben overigens zelf ook alleen in 2017 aandacht gevraagd voor het onderwerp. Destijds vroegen ze om informatie naar aanleiding van verschillende (inter)nationale beveiligingsincidenten en naar aanleiding van bevindingen van de accountant. De aandacht van PS voor informatieveiligheid lijkt tot nu toe dan ook niet structureel, maar vooral incidentgedreven. Van een structurele dialoog tussen PS en GS over het onderwerp is dan ook nog geen sprake geweest.

organisatie, werkprocessen en uitvoering

De uitvoering verloopt eveneens voor een groot deel zoals voorgenomen. Echter de voorgenomen beveiligingsmaatregelen zijn te veelomvattend gebleken om uit te voeren in de looptijd die in de opzet wordt gemeld: het tempo van de implementatie van deze maatregelen gaat (veel) langzamer dan voorzien. Dit als gevolg van gebrek aan voldoende capaciteit en de impact van sommige maatregelen binnen de organisatie (door de natuurlijke spanning tussen het niveau van beveiliging en het gebruikersgemak/openheid).

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Dat de provincie kwetsbaar is, is onder andere gebleken uit een penetratietest die door de rekenkamer is uitgevoerd. Tijdens deze test is zowel digitaal (via onder andere ‘ethisch hacking’ en een phishingmail), als fysiek ongeautoriseerde toegang verkregen tot (vertrouwelijke) informatie waarover de provincie beschikt. Opmerkelijk hierbij is dat soortgelijke typen bevindingen naar voren kwamen als bij een penetratietest die de provincie zelf in 2015 liet uitvoeren. Een aantal bevindingen hiervan had niet opnieuw naar voren moeten zijn gekomen, omdat de maatregelen daarvoor al getroffen hadden kunnen zijn

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamer concludeert dat de provincie Limburg na ons vorige onderzoek goede en flinke stappen heeft gezet waardoor sprake is van een duidelijke verbetering op het gebied van informatieveiligheid. Het rekenkameronderzoek blijkt daarbij een flinke stimulans te zijn geweest, waardoor de provincie van reactief naar proactief is gaan handelen bij het waarborgen van een goede beveiliging van haar informatie.

is het beleid conform BIO (BIG)

Er wordt namelijk nog niet voldaan aan het nagestreefde basisniveau voor informatiebeveiliging en het is niet gelukt om op korte termijn procedures, processen en maatregelen in het managementsysteem te verwerken. De provincie Limburg is daarmee nog niet klaar voor certificering op de nagestreefde ISO27001-norm en de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) welke het basisniveau voor informatiebeveiliging geeft. In 2022 moeten dus nog stappen worden gezet om uiterlijk 1 januari 2023 klaar te zijn voor voornoemde certificering, zoals afgesproken in interprovinciaal verband.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De provincie moest van ver komen. De opdracht van PS om onze aanbevelingen op te volgen is serieus opgepakt en er is flinke beweging geweest. Het is echter nog niet gelukt om de opdracht helemaal uit te voeren.

Controlerende rol gemeenteraad / PS

Ook PS hebben niet geheel voldaan aan de opdracht. Structurele aandacht voor informatieveiligheid blijft voor PS een aandachtspunt.

werkprocessen monitoren, bewaken en verbeteren

Er wordt namelijk nog niet voldaan aan het nagestreefde basisniveau voor informatiebeveiliging en het is niet gelukt om op korte termijn procedures, processen en maatregelen in het managementsysteem te verwerken.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Er wordt namelijk nog niet voldaan aan het nagestreefde basisniveau voor informatiebeveiliging en het is niet gelukt om op korte termijn procedures, processen en maatregelen in het managementsysteem te verwerken.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Er wordt namelijk nog niet voldaan aan het nagestreefde basisniveau voor informatiebeveiliging en het is niet gelukt om op korte termijn procedures, processen en maatregelen in het managementsysteem te verwerken.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De Rekenkamercommissie ziet diverse (verplichte) documentatie, maar stelt tegelijk vast dat die op meerdere punten nog concepten bevatten of onvolledig zijn. Het plan voor het informatiebeveiligingsbeleid was in het najaar van 2017 nog niet door het college van Maasdriel vastgesteld.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

De Rekenkamercommissie heeft vastgesteld dat er sinds kort een incidentregistratie is ingericht. De komende tijd zal moeten worden beoordeeld in hoeverre medewerkers alle incidenten (en eventuele bijna-incidenten) melden en of die meldingen, na een eerste zichtbare weging, gestructureerd worden opgevolgd. Hiervoor geldt hetzelfde als wat bij het vorige punt is opgenomen: er is beslist behoefte aan merkbare aandacht vanuit het hoogste ambtelijke niveau en vanuit het college van de gemeente Maasdriel.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

De Rekenkamercommissie heeft vastgesteld dat er sinds kort een incidentregistratie is ingericht. De komende tijd zal moeten worden beoordeeld in hoeverre medewerkers alle incidenten (en eventuele bijna-incidenten) melden en of die meldingen, na een eerste zichtbare weging, gestructureerd worden opgevolgd. Hiervoor geldt hetzelfde als wat bij het vorige punt is opgenomen: er is beslist behoefte aan merkbare aandacht vanuit het hoogste ambtelijke niveau en vanuit het college van de gemeente Maasdriel.

bewustwording, kennis en kunde in de organisatie

Er is sinds eind 2017 een communicatieplan. De Rekenkamercommissie stelt vast dat op basis daarvan op een goede manier kan worden gewerkt aan ‘awareness’ onder de medewerkers, maar denkt dat daaraan nog veel – en op heel korte termijn – moet worden gedaan. Uiteraard vanuit de Bedrijfsvoeringseenheid en gericht op zowel Maasdriel als Zaltbommel, maar voor wat betreft Maasdriel ook zichtbaar en actief gesteund door de gemeentesecretaris-algemeen directeur en door persoonlijke bemoeienis in en vanuit het college.

De Rekenkamercommissie heeft vastgesteld dat er sinds kort een incidentregistratie is ingericht. De komende tijd zal moeten worden beoordeeld in hoeverre medewerkers alle incidenten (en eventuele bijna-incidenten) melden en of die meldingen, na een eerste zichtbare weging, gestructureerd worden opgevolgd. Hiervoor geldt hetzelfde als wat bij het vorige punt is opgenomen: er is beslist behoefte aan merkbare aandacht vanuit het hoogste ambtelijke niveau en vanuit het college van de gemeente Maasdriel.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

is het beleid conform BIO (BIG)

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

wordt voldaan aan de AVG

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

budget en personele inzet

-

Sturende rol college / GS

In onze gemeenten en binnen iRvN zijn de professionals zich zeer bewust van deze kwetsbaarheid. De colleges zijn zich hier ook van bewust, maar kunnen en moeten meer doen om de risico’s te verminderen. Hun rol is cruciaal: informatiebeveiliging en privacybescherming zijn ‘Chefsache’, zou je à la Angela Merkel kunnen zeggen. Als zij het belang voortdurend benadrukken, ruimte scheppen en rugdekking bieden aan de medewerkers die ermee bezig zijn, dan maakt dat verschil. De VNG heeft daartoe 10 cruciale bestuurlijke principes voor informatiebeveiliging geformuleerd. Die principes zijn in onze gemeenten in het beleid opgenomen, maar de meeste bestuurders geven aan de principes in de praktijk niet te hanteren.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

betrokkenheid samenwerkende gemeenten

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Op relatief grote afstand van deze dagelijkse gang van zaken staan de gemeenteraden. Dat is niet persé erg, maar de raad moet wel zijn verantwoordelijkheid kunnen waarmaken: als gegevens van inwoners niet veilig zijn en dienstverlening op enig moment in gevaar zou komen, is de gemeenteraad daarop aanspreekbaar. Raadsleden moeten hun controlerende taak kunnen waarmaken. Dat gebeurt nu echt onvoldoende.

werkprocessen monitoren, bewaken en verbeteren

Het organiseren van informatiebeveiliging en privacybescherming moet in organisaties verlopen via de Plan-Do-Check-Act-cyclus. Die PDCA-cyclus is geen onnodig managementjargon, maar een essentiële cyclus die elke organisatie voortdurend moet doorlopen: van beleid, uitvoeringsplannen en concrete maatregelen (Plan), via implementatie en uitvoering (Do), naar toetsen en evalueren (Check) en uiteindelijk verantwoorden en bijsturen (Act). Het onderzoek laat zien dat de gemeenten dit niet goed genoeg doen.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Onze gemeenteraden weten in het algemeen (te) weinig van de staat van de informatiebeveiliging en privacybescherming in hun gemeente. Er zijn lichte verschillen tussen de gemeenten en in elke raad zijn enkele raadsleden die er meer belangstelling voor hebben. Maar de raad als geheel is in geen van onze gemeenten goed in staat om te controleren of de beheersing voldoende is, ook omdat de informatievoorziening vanuit het college daarvoor niet geschikt is. Het is een taak van het college om de raad goed te informeren over de stand van zaken en de risico’s die de gemeente loopt, zo nodig in beslotenheid. Vandaar ook de titel van dit rapport: ‘Weten wat je moet weten’. Dat is geen sinecure, op complexe beleidsterreinen met veel jargon, waar de meeste bestuurders ook niet in zijn gespecialiseerd. Maar het moet en kan echt beter dan nu gebeurt.

organisatie, werkprocessen en uitvoering

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

calamiteiten en risicobeheersing

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

bewustwording, kennis en kunde in de organisatie

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen. Op basis van het onderzoek maken de onderzoekers de inschatting dat de gemeenten zich ergens tussen volwassenheidsniveau 1,5 en 2 bevinden, zowel voor informatiebeveiliging als voor privacybescherming. Alleen voor Nijmegen schatten de onderzoekers het volwassenheidsniveau voor privacybescherming hoger: tussen de 2 en 3. Zoals aangegeven is voor iRvN alleen een inschatting gemaakt van het volwassenheidsniveau voor informatiebeveiliging. Dit ligt rond niveau 2. Deze schattingen zijn gebaseerd op een totaaloordeel over alle 15 aandachtsgebieden van het NBA-LIO en NOREA-volwassenheidsmodel (voor informatiebeveiliging) en alle 13 thema’s uit de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming (voor privacybescherming). Om volledig en aantoonbaar in control te zijn, moeten de organisaties over de volle breedte minimaal op volwassenheidsniveau 3 zitten. Dat is voor geen van de gemeenten aan de orde. Overigens geldt voor de meeste gemeenten in Nederland dat ze nog niet op volwassenheidsniveau 3 (of hoger) zitten.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De provincie Noord-Brabant heeft in de periode eind 2012 tot eind 2017 duidelijk vooruitgang geboekt in de wijze waarop de informatiebeveiliging in opzet en in de praktijk is ingericht. De informatiebeveiliging is in opzet (beoogde invulling) voldoende ingericht. Er zijn kaders en richtlijnen opgesteld, maar er is verbetering mogelijk in de duidelijkheid over de samenhang en in de overzichtelijkheid van het informatiebeleid. Van dit bredere beleid vormt ook informatiebeveiliging een onderdeel. Daarnaast dient het informatiebeveiligingsbeleid geactualiseerd te worden. Op dit moment is de provincie daar overigens al mee bezig

is het beleid conform BIO (BIG)

In interprovinciaal verband hebben de provincies gezamenlijk een basisambitieniveau gekozen waaraan ze willen voldoen, de Interprovinciale Baseline Informatiebeveiliging (IBI). De provincie Noord-Brabant is hierin verder dan andere provincies. Uit monitoring blijkt dat ze daarbij namelijk tot een van de best presterende provincies behoort

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Provinciale Staten hebben in 2013 kaders vastgesteld voor informatiebeveiliging als onderdeel van het informatiebeleid. Ze zijn daarmee zeer op hoofdlijnen geïnformeerd over de opzet van informatieveiligheid.

Controlerende rol gemeenteraad / PS

De aandacht van PS zelf, voor informatieveiligheid lijkt incidentgedreven. Van een structurele dialoog tussen PS en GS over het onderwerp is dan ook nog geen sprake geweest.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Provinciale Staten hebben in 2013 kaders vastgesteld voor informatiebeveiliging als onderdeel van het informatiebeleid. Ze zijn daarmee zeer op hoofdlijnen geïnformeerd over de opzet van informatieveiligheid. Over de uitvoering van het informatiebeveiligingsbeleid zijn PS niet via de reguliere planning- en controlcyclus geïnformeerd, zoals was beoogd, maar via enkele onderzoeksrapportages. Via deze documenten zijn PS in de betreffende jaren (2014-2016) voldoende geïnformeerd over de uitvoering. Een uitzondering daarop vormen de financiële middelen/kosten van informatiebeveiliging. Daarover is geen informatie verstrekt. PS hebben met de informatie over de uitvoering inzicht kunnen verkrijgen in zaken die goed gaan en zaken die aandacht behoeven.

organisatie, werkprocessen en uitvoering

De maatregelen omtrent informatiebeveiliging worden voor een groot deel zoals voorgenomen uitgevoerd.

Een aantal zaken blijkt echter nog voor verbetering vatbaar: bij het beheersen van informatieveiligheidsrisico’s is de provincie de afgelopen jaren namelijk op enkele punten kwetsbaar gebleken. Dit wordt voornamelijk veroorzaakt doordat kaders, richtlijnen, procedures en andere gemaakte afspraken nog niet altijd worden nageleefd. In een aantal gevallen gebeurt dat onbewust, maar soms ook bewust. Ook wordt er niet genoeg gestuurd op de naleving van de richtlijnen en afspraken.

calamiteiten en risicobeheersing

Een aantal zaken blijkt echter nog voor verbetering vatbaar: bij het beheersen van informatieveiligheidsrisico’s is de provincie de afgelopen jaren namelijk op enkele punten kwetsbaar gebleken. Dit wordt voornamelijk veroorzaakt doordat kaders, richtlijnen, procedures en andere gemaakte afspraken nog niet altijd worden nageleefd. In een aantal gevallen gebeurt dat onbewust, maar soms ook bewust. Ook wordt er niet genoeg gestuurd op de naleving van de richtlijnen en afspraken. Ook wordt er niet genoeg gestuurd op de naleving van de richtlijnen en afspraken.

bewustwording, kennis en kunde in de organisatie

Op het gebied van digitale/technische beveiliging is een inhaalslag gemaakt (techniek, systemen) en het informatieveiligheidsbewustzijn is in de loop der jaren gegroeid (mens).

De provincie zet steeds weer in op verbeteringen, maar deze komen in de praktijk soms langzaam van de grond. Het is hierbij vooral moeilijk gebleken om te sturen op gedrag. Dit is ook lastig, maar het is wel een cruciale factor in het ondervangen van kwetsbaarheden.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Op het gebied van digitale/technische beveiliging is een inhaalslag gemaakt (techniek, systemen) en het informatieveiligheidsbewustzijn is in de loop der jaren gegroeid (mens).

Dat de provincie kwetsbaar is, is onder andere gebleken uit een penetratietest die de rekenkamer in de tweede helft van 2017 door een extern bureau heeft laten uitvoeren. Hoewel het aantal aangetroffen kwetsbaarheden daarbij relatief laag was, is er tijdens de test zowel digitaal als fysiek ongeautoriseerde toegang verkregen tot (vertrouwelijke) informatie waarover de provincie beschikt. Opmerkelijk hierbij is dat enkele soortgelijke typen bevindingen naar voren kwamen als bij de penetratietesten die de provincie zelf in 2014 en begin 2017 liet uitvoeren. Een enkele daarvan had niet opnieuw naar voren moeten zijn gekomen, omdat al afspraken waren gemaakt over het voorkomen daarvan.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

Voor het na te streven kader vanuit de rijksoverheid (Baseline Informatiebeveiliging Overheid) en interprovinciale afspraken (NEN-ISO 27001), is Noord-Brabant de eerste en enige2 provincie die hiervoor is gecertifieerd.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Ook PS hebben grotendeels voldaan aan de opdracht, maar structurele aandacht voor Informatieveiligheid blijft een aandachtspunt.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

De rekenkamer concludeert dat de provincie Noord-Brabant in korte tijd grote stappen heeft gezet, waarbij informatieveiligheid daadwerkelijk naar een hoger niveau is getild.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het informatieveiligheidsbeleid in de gemeente Opmeer is niet op orde. Het beleid is op een te hoog abstractieniveau geschreven en daardoor moeilijk te operationaliseren en net zo moeilijk te monitoren.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

Het bewustzijn van medewerkers – ambtelijk en bestuurlijk – is onder de maat. Zowel bij het mysterie guest bezoek als bij de penetratietest gaven medewerkers toegang tot fysieke ruimtes respectievelijk ICT-systemen.

betrokkenheid samenwerkende gemeenten

De samenwerking met andere gemeenten binnen De Som - met verschillende prioritering tussen verschillende gemeenten - leidt tot trage besluitvorming, gebrek aan regie en kan daardoor leiden tot extra risico’s.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Het bewustzijn van medewerkers – ambtelijk en bestuurlijk – is onder de maat. Zowel bij het mysterie guest bezoek als bij de penetratietest gaven medewerkers toegang tot fysieke ruimtes respectievelijk ICT-systemen.

Het onderzoeksbureau heeft voor De Som geen afschrift van ISO-certificering in de gemeente Opmeer aangetroffen, de beveiliging was niet op orde, Hoffmann heeft kunnen inbreken in de systemen. Waar Shared Service Center De Som zorgen uit handen zou moeten nemen, noemen meerdere medewerkers De Som juist als een risico.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Het informatieveiligheidsbeleid in de gemeente Opmeer is niet op orde. Het beleid is op een te hoog abstractieniveau geschreven en daardoor moeilijk te operationaliseren en net zo moeilijk te monitoren.

Het bewustzijn van medewerkers – ambtelijk en bestuurlijk – is onder de maat. Zowel bij het mysterie guest bezoek als bij de penetratietest gaven medewerkers toegang tot fysieke ruimtes respectievelijk ICT-systemen.

In de uitvoering zijn op alle drie de onderzochte onderdelen mens, organisatie en techniek onvolkomenheden gevonden. Dit levert risico’s op alle drie onderdelen.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Het bewustzijn van medewerkers – ambtelijk en bestuurlijk – is onder de maat. Zowel bij het mysterie guest bezoek als bij de penetratietest gaven medewerkers toegang tot fysieke ruimtes respectievelijk ICT-systemen.

Met het aantrekken van een nieuwe CISO zijn inmiddels stappen gezet om het beleid te verbeteren. Hoewel de onderzoekers hierover positief gestemd zijn, is de nieuwe CISO logischerwijze nog onvoldoende ver gevorderd om over de kwaliteit van dit beleid een eindoordeel te geven.

In de uitvoering zijn op alle drie de onderzochte onderdelen mens, organisatie en techniek onvolkomenheden gevonden. Dit levert risico’s op alle drie onderdelen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Het bewustzijn van medewerkers – ambtelijk en bestuurlijk – is onder de maat. Zowel bij het mysterie guest bezoek als bij de penetratietest gaven medewerkers toegang tot fysieke ruimtes respectievelijk ICT-systemen.

In de uitvoering zijn op alle drie de onderzochte onderdelen mens, organisatie en techniek onvolkomenheden gevonden. Dit levert risico’s op alle drie onderdelen.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Het onderzoeksbureau heeft voor De Som geen afschrift van ISO-certificering in de gemeente Opmeer aangetroffen, de beveiliging was niet op orde, Hoffmann heeft kunnen inbreken in de systemen. Waar Shared Service Center De Som zorgen uit handen zou moeten nemen, noemen meerdere medewerkers De Som juist als een risico.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

Overbetuwe heeft nog onvoldoende inzicht in de mate waarin ICT voldoet aan de beheersmaatregelen van de BIO en stuurt / monitort hier niet actief op.

Overbetuwe heeft in onvoldoende mate zicht op naleving van de eisen van de BIO en de effectiviteit en doeltreffendheid van reeds getroffen beveiligingsmaatregelen.

Volledige BIO-compliancy betekent dat Overbetuwe op alle vier de hoofdgebieden aantoonbaar aan niveau 4 Gemanaged zou moeten voldoen (objectief vast te stellen in een externe audit). In 2018 is de komst van de BIO aangekondigd en dat deze per 01.01.2020 effectief in werking treedt, ergo verplicht is. Hierbij is gecommuniceerd dat 2019 een overgangsjaar is om de migratie van BIG naar BIO te bewerkstelligen. Concreet betekent dit dat Overbetuwe in 2020 minimaal aantoonbaar op niveau 2 zou moeten kunnen staan. Realistisch is om vervolgens verder door te groeien zodat eind 2021 aantoonbaar aan niveau 3 wordt voldaan en eind 2022 aan niveau 4. Dit is op dit moment niet het geval.

Overbetuwe heeft geen inzicht in welke mate waarin zij momenteel (aantoonbaar) voldoet aan de eisen van de BIO. De laatste gap-analyse stamt uit 2017 en was gebaseerd op de BIG12, het vervallen normenkader voor informatiebeveiliging. Uit de analyse van de ontvangen documentatie en de interviews is gebleken dat er in zeer beperkte mate informatie beschikbaar is waaruit blijkt hoe Overbetuwe informatiebeveiliging in de bedrijfsprocessen heeft geborgd. In bijlage D is, voor zover dat mogelijk was, is op maatregel niveau toegelicht welke bevindingen er zijn. Geconcludeerd kan worden dat aan het overgrote deel van de BIO niet aantoonbaar wordt voldaan. Dit wil niet zeggen dat zaken ook niet geregeld zijn, maar wel dat dit in ieder geval nog onvoldoende kan worden aangetoond.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

. De 114 beheersmaatregelen van de BIO zijn verplicht voor alle Nederlandse overheden, dus ook voor Overbetuwe. Het feit dat zij haar ICT volledig heeft uitbesteed zorgt ervoor dat het zorgdragen voor het aantoonbaar voldoen aan de BIO primair bij de gemeente Lingewaard ligt. Ongeveer 60% van de BIO-beheersmaatregelen heeft direct betrekking op ICT. Dit is echter niet de verantwoordelijkheid van Lingewaard, maar van Overbetuwe (‘je kunt alles uitbesteden, behalve je verantwoordelijkheid’).

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Overbetuwe heeft nog onvoldoende inzicht in de mate waarin ICT voldoet aan de beheersmaatregelen van de BIO en stuurt / monitort hier niet actief op. Daarnaast vinden er geen controles plaats om vast te stellen of processen correct worden uitgevoerd of dat beveiligingsrisico’s adequaat beheerst worden. De CISO en ISO hebben inhoudelijk overleg met ICT, maar vanuit het (senior) management is hier nog te weinig aandacht voor. Monitoren op technische kwetsbaarheden kan verder worden verbeterd en basisprocessen zijn niet aantoonbaar op orde.

Overbetuwe heeft software aangeschaft om controlewerkzaamheden en bewijslast (‘evidence’) te registreren en te onderhouden, maar maakt hier tot op heden nauwelijks gebruik van

Checks - Audits - Evaluatie - Risicoanalyse

Daarnaast vinden er geen controles plaats om vast te stellen of processen correct worden uitgevoerd of dat beveiligingsrisico’s adequaat beheerst worden.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Overbetuwe heeft in onvoldoende mate zicht op naleving van de eisen van de BIO en de effectiviteit en doeltreffendheid van reeds getroffen beveiligingsmaatregelen. Ook heeft zij beveiligingsrisico’s nog onvoldoende in kaart gebracht en wordt hierop nauwelijks gestuurd. De doelstellingen zijn niet SMART geformuleerd en er wordt niet gerapporteerd over de mate waarin de doelstellingen worden bereikt. Voor een groot deel van de BIO ontbreekt het aan tactische en operationele regels en richtlijnen, waardoor informatiebeveiliging nog niet op eenduidige wijze aantoonbaar wordt toegepast.

De CISO en ISO hebben inhoudelijk overleg met ICT, maar vanuit het (senior) management is hier nog te weinig aandacht voor.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Overbetuwe heeft zicht op de beveiligingsrisico’s die gepaard gaan met menselijk gedrag en heeft hier ook aantoonbaar in geïnvesteerd om dit in positieve zin te beïnvloeden. De verantwoordelijkheden, taken en bevoegdheden ten aanzien van informatiebeveiliging zijn nog niet volledig vertaald naar de dagelijkse praktijk waardoor het lijnmanagement in de praktijk nog in onvoldoende mate informatiebeveiligingsactiviteiten uitvoert, hierop stuurt of controleert.

Het beveiligingsbewustzijn is over alle medewerkers gezien nog onder de maat. Dit blijkt uit verschillende onderzoeken en metingen, maar Overbetuwe heeft flink geïnvesteerd om dit te structureel te verbeteren. In 2021 zal gemeten worden of de investeringen de gewenste resultaten hebben opgeleverd.

beveiliging en autorisatie

Er is geen toegangsbeleid vastgesteld waaruit blijkt op welke wijze bedrijfsmiddelen beschermd (moeten) worden in gebouwen, specifieke zones of ruimten en welk gedrag daarbinnen (on)wenselijk is. De mate waarin beveiliging wordt toegepast binnen de gebouwen van de gemeente berust momenteel primair bij Buitenruimten en Vastgoed. Het is onduidelijk of alle aspecten van informatiebeveiliging hierbij in acht worden genomen.

kwetsbaarheid ICT en Informatiesystemen

Overbetuwe heeft nog onvoldoende inzicht in de mate waarin ICT voldoet aan de beheersmaatregelen van de BIO en stuurt / monitort hier niet actief op. Daarnaast vinden er geen controles plaats om vast te stellen of processen correct worden uitgevoerd of dat beveiligingsrisico’s adequaat beheerst worden. De CISO en ISO hebben inhoudelijk overleg met ICT, maar vanuit het (senior) management is hier nog te weinig aandacht voor. Monitoren op technische kwetsbaarheden kan verder worden verbeterd en basisprocessen zijn niet aantoonbaar op orde.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het beleid sluit op meerdere - soms cruciale - punten niet aan op de praktijk. Enerzijds zijn belangrijke controles niet uitgevoerd terwijl dit wel in het beleid staat. Anderzijds is het beleid niet volledig en op onderdelen niet actueel. Dit brengt onnodige risico’s met zich mee.

• In het strategisch informatieplan (STIP) zijn doelen opgenomen voor informatieveiligheid.
• Aanvullend is informatieveiligheidsbeleid vastgesteld door het concern management (directie en hoofd eenheden). Daarin is uitgewerkt hoe de doelen uit het STIP behaald kunnen worden.
• Het informatieveiligheidsbeleid is vastgesteld in 2016. Een herziening staat gepland in de nieuwe coalitieperiode.
• Het beleid is op een aantal punten niet bijgewerkt of geactualiseerd terwijl daar wel aanleiding toe is. Dit wordt mede veroorzaakt door beperkte personele capaciteit.
• Het huidige informatieveiligheidsbeleid is gebaseerd op de standaard ISO27002 en sluit daarmee grotendeels aan op de IBI.

is het beleid conform BIO (BIG)

Het huidige informatieveiligheidsbeleid is gebaseerd op de standaard ISO27002 en sluit daarmee grotendeels aan op de IBI.

wordt voldaan aan de AVG

-

budget en personele inzet

De personele bezetting is beperkt. Dit brengt risico’s met zich mee waar
Concerncontrol begin 2018 al op heeft gewezen. In november 2018 is de
personele capaciteit nog niet aangepast.

Sturende rol college / GS

• Informatieveiligheid is onderdeel van de portefeuille van de Commissaris van de Koning.
• GS zijn betrokken bij informatieveiligheid bij grote gebeurtenissen zoals bij het opstellen van informatieveiligheidsbeleid of interprovinciaal convenant. Ze worden niet regelmatig geïnformeerd over de stand van zaken van informatieveiligheid.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo wordt informatieveiligheid wel getest, maar is de structurele monitoring op onderdelen te beperkt en is de verankering van informatieveiligheid in de organisatie niet op alle niveaus goed geregeld.

De directie heeft het informatieveiligheidsbeleid vastgesteld. In het beleid is omschreven dat de directie jaarlijks een rapportage ontvangt. In de praktijk gebeurt dit niet.

Er zijn de laatste jaren geen structurele rapportages over informatieveiligheid aan directie en management gestuurd. Zij zijn wel geïnformeerd als er iets speelt, bijvoorbeeld bij testresultaten of een datalek.

Checks - Audits - Evaluatie - Risicoanalyse

De provincie heeft in 2017 voor het laatst een zelfevaluatie gedaan om te zien in hoeverre zij de Interprovinciale Baseline Informatieveiligheid heeft geïmplementeerd. Overijssel scoort niet op alle punten in overeenstemming met haar ambitieniveau. Tegenover het gemiddelde van alle provincies scoort Overijssel relatief hoog.

• In opdracht van de Rekenkamer zijn in oktober 2018 praktijktesten uitgevoerd op de aandachtsgebieden ict en mens & organisatie. De provincie heeft in 2018 een inlooptest en phishing-campagne laten uitvoeren.

• Uit de testen blijkt dat de provincie meerdere effectieve beschermingsmaatregelen heeft genomen om weerbaar te zijn tegen cyberaanvallen.

• Er zijn een aantal kwetsbaarheden gevonden die een risico vormen voor de informatieveiligheid. Het ging in één geval om een kritisch risico. Via malware is toegang verkregen tot meerdere systemen waardoor vertrouwelijke informatie toegankelijk werd.

• Uit de test komen enkele kwetsbaarheden naar voren die ook uit de vorige penetratietest (april 2018) naar voren kwamen.

• Onafhankelijke toetsen vinden periodiek plaats in de vorm van een DigiDaudit en een jaarlijks onderzoek van de accountant.

• De provincie voert zelfevaluaties uit. Dit gebeurt niet jaarlijks zoals in het beleid staat.

• De provincie laat incidenteel praktijktesten uitvoeren zoals inloop-, phishingen penetratietesten. ONS is verantwoordelijk voor het uitvoeren van de penetratietesten.

• In 2018 hebben nulmetingen plaatsgevonden van de implementatie van de ISO 27001. Op een aantal punten scoort de provincie Overijssel goed. Op een aantal punten voldoet de provincie nog niet, met name als het gaat om de monitoring en beheersing.

informatie voor college / GS

GS worden niet regelmatig geïnformeerd over de stand van zaken van informatieveiligheid.

Er zijn de laatste jaren geen structurele rapportages over informatieveiligheid aan directie en management gestuurd. Zij zijn wel geïnformeerd als er iets speelt, bijvoorbeeld bij testresultaten of een datalek.

Informatieveiligheid maakt nog geen deel uit van de P&C-cyclus. Er wordt niet over gerapporteerd in de begroting en de jaarstukken. Wel is in de begroting van 2019 aandacht voor ISO27001 certificering.

informatie voor de raad / PS

Informatieveiligheid maakt nog geen deel uit van de P&C-cyclus. Er wordt niet over gerapporteerd in de begroting en de jaarstukken. Wel is in de begroting van 2019 aandacht voor ISO27001 certificering.

organisatie, werkprocessen en uitvoering

De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo wordt informatieveiligheid wel getest, maar is de structurele monitoring op onderdelen te beperkt en is de verankering van informatieveiligheid in de organisatie niet op alle niveaus goed geregeld.

Het beleid sluit op meerdere - soms cruciale - punten niet aan op de praktijk. Enerzijds zijn belangrijke controles niet uitgevoerd terwijl dit wel in het beleid staat. Anderzijds is het beleid niet volledig en op onderdelen niet actueel. Dit brengt onnodige risico’s met zich mee.

• De directie heeft het informatieveiligheidsbeleid vastgesteld. In het beleid is omschreven dat de directie jaarlijks een rapportage ontvangt. In de praktijk gebeurt dit niet.
• In de praktijk zijn het bedrijfsvoeringsoverleg en het hoofd Eenheid Bedrijfsvoering de managementlagen die het meest betrokken zijn. De rol die zij hebben, is beperkt uitgewerkt in het informatieveiligheidsbeleid.
• De provincie Overijssel heeft in haar informatieveiligheidsbeleid aandacht voor de verdeling van verantwoordelijkheden binnen de organisatie, maar niet alle rollen worden beschreven.

Het proces om de maatregelen te bepalen, komt niet overeen met de vijf stappen die in het beleid zijn beschreven.

calamiteiten en risicobeheersing

Uit de praktijktesten van de systemen en netwerken blijkt dat de provincie meerdere effectieve beschermingsmaatregelen heeft genomen om weerbaar te zijn tegen cyberaanvallen. Het is binnen redelijke termijn niet gelukt om bij de ‘kroonjuwelen’ te komen noch de rechten van systeembeheer te verwerven. De provincie schenkt op verschillende manieren aandacht aan het vergroten van de bewustwording rondom informatieveiligheid bij haar medewerkers. De praktijktest onderstreept dat aandacht voor bewustwording nodig blijft.

bewustwording, kennis en kunde in de organisatie

De provincie schenkt op verschillende manieren aandacht aan het vergroten van de bewustwording rondom informatieveiligheid bij haar medewerkers. De praktijktest onderstreept dat aandacht voor bewustwording nodig blijft.

De provincie heeft in haar beleid aandacht voor bewustwording met als doel bewustwording onder medewerkers te vergroten.

• Hiervoor zijn diverse bewustwordingsactiviteiten uitgevoerd, zoals phishingtesten, een quiz en een lezing.
• De provincie heeft medewerkers via een aantal documenten bekend gemaakt met hun verantwoordelijkheden bij informatieveiligheid.

Het doel van de provincie is dat medewerkers bewust bekwaam zijn over het thema informatieveiligheid. Uit de inloop- en phishingtesten bleek dat dit nog niet het geval is. Het versturen van spear phishing e-mails leidde tot het verkrijgen van toegang tot accounts en bestanden en tot het verkrijgen van inloggegevens. Bij de inlooptest is ongeautoriseerd toegang tot niet-publieke ruimtes, systemen en gegevens verkregen. Meer dan 100 medewerkers klikten op een kwaadaardige link in een phishing e-mail.

beveiliging en autorisatie

De IT-hygiënemaatregelen zijn gedeeltelijk op orde, maar kunnen op onderdelen verbeterd worden. Zo heeft de provincie wel beleid voor toegangsbeheer en back-ups en niet voor patching. ONS heeft beleid voor patchmanagement en voert patching en de back-ups uit. Back-ups worden in de praktijk niet getest. Ook toegangsrechten worden in de praktijk niet periodiek door de provincie getoetst, in tegenstelling tot wat in het beleid staat. Een aantal van deze verbeterpunten waren bij de provincie reeds bekend.

De maatregelen voor fysieke beveiliging zijn grotendeels op orde. Desondanks blijkt dat uitwerking daarvan in de praktijk nog verbeterd kan worden.

kwetsbaarheid ICT en Informatiesystemen

De provincie bepaalt met een Business Impact Analyses welke risico’s er voor processen en applicaties zijn voor de onderdelen beschikbaarheid, integriteit en vertrouwelijkheid. Op basis van de uitkomsten wordt een maatregelenpakket vastgesteld en worden waar nodig aanvullende opgesteld.

De provincie Overijssel had in januari 2018 alle vijf verplichte informatiebeveiligingsstandaarden geïmplementeerd.

De IT-hygiënemaatregelen zijn gedeeltelijk op orde, maar kunnen op onderdelen verbeterd worden. Zo heeft de provincie wel beleid voor toegangsbeheer en back-ups en niet voor patching. ONS heeft beleid voor patchmanagement en voert patching en de back-ups uit. Back-ups worden in de praktijk niet getest. Ook toegangsrechten worden in de praktijk niet periodiek door de provincie getoetst, in tegenstelling tot wat in het beleid staat. Een aantal van deze verbeterpunten waren bij de provincie reeds bekend.

• Uit de testen blijkt dat de provincie meerdere effectieve beschermingsmaatregelen heeft genomen om weerbaar te zijn tegen cyberaanvallen.
• Er zijn een aantal kwetsbaarheden gevonden die een risico vormen voor de informatieveiligheid. Het ging in één geval om een kritisch risico. Via malware is toegang verkregen tot meerdere systemen waardoor vertrouwelijke informatie toegankelijk werd.
• Uit de test komen enkele kwetsbaarheden naar voren die ook uit de vorige penetratietest (april 2018) naar voren kwamen.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De externe dienstverlener die een groot deel van de IT-taken voor de provincie Overijssel uitvoert, ONS, beschikt over eigen beleid voor informatieveiligheid. Bij uitvoering daarvan wordt ook rekening gehouden met beleid van de provincie.

De IT-hygiënemaatregelen zijn gedeeltelijk op orde, maar kunnen op onderdelen verbeterd worden. Zo heeft de provincie wel beleid voor toegangsbeheer en back-ups en niet voor patching. ONS heeft beleid voor patchmanagement en voert patching en de back-ups uit. Back-ups worden in de praktijk niet getest. Ook toegangsrechten worden in de praktijk niet periodiek door de provincie getoetst, in tegenstelling tot wat in het beleid staat. Een aantal van deze verbeterpunten waren bij de provincie reeds bekend.

• De provincie laat incidenteel praktijktesten uitvoeren zoals inloop-, phishingen penetratietesten. ONS is verantwoordelijk voor het uitvoeren van de penetratietesten.

• ONS rapporteert via documenten en overleg aan de provincies over informatieveiligheid. De provincie monitort zelf niet structureel of externe leveranciers informatieveiligheid in de praktijk waarborgen.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De gemeente Pijnacker-Nootdorp is goed op weg om de privacy van inwoners juridisch en in de praktijk te borgen. Op onderdelen is dat al conform wettelijke vereisten volledig geïmplementeerd. Dit beleid moet nog wel volledig dekkend voor de gehele gemeente worden geïmplementeerd.

RKC Oordeel deels positief over:
Het gemeentelijk beleid voldoet tenminste aan de eisen die in wet- en regelgeving worden gesteld: generiek aan de Wbp/AVG, en specifiek voor de genoemde materiewetten.

RKC Oordeel deels positief over:
In het gemeentelijk beleid wordt ingegaan op:

• Juridische aspecten op basis van de Wbp/AVG en de materie wetten zoals: Suwi (en onderliggende regelgeving), Participatiewet, Wmo, Jeugdwet, Wet gemeentelijke schuldhulpverlening.
• Vertaling naar de beleidskaders privacy.
• Organisatie, taken en verantwoordelijkheden.
• Inrichting werkprocessen.
• De toepassing van informatiesystemen en ICT.
• De gegevens- en informatiestromen.
• De positie van en communicatie met de burger.

RKC Oordeel positief over:
De gemeente hanteert landelijke standaarden, zoals de Baseline Informatiebeveiliging Gemeenten, routering via het GGK e.d.

RKC Oordeel positief over:
De gemeente is bekend met de AVG, de impact daarvan en heeft een plan van aanpak voor de noodzakelijke aanpassingen die voor mei 2018 gerealiseerd moeten zijn.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

RKC Oordeel neutraal over:
In de bestuursrapportages, programmabegroting en programmarekening wordt expliciet aandacht besteed aan de wijze waarop een correcte omgang met persoonsgegevens is gewaarborgd. Daaraan worden conclusies en maatregelen verbonden op basis van uitgevoerde controles.

RKC Oordeel negatief over:
Bij de ontwikkeling van het gemeentelijk beleid, bijvoorbeeld op het gebied van de decentralisaties in het sociaal domein, heeft privacy als punt op de agenda van de Raad gestaan.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Verder verdienen de informatievoorziening aan de inwoners en de betrokkenheid van de raad nog aandacht.

RKC Oordeel neutraal over:
In de bestuursrapportages, programmabegroting en programmarekening wordt expliciet aandacht besteed aan de wijze waarop een correcte omgang met persoonsgegevens is gewaarborgd. Daaraan worden conclusies en maatregelen verbonden op basis van uitgevoerde controles.

RKC Oordeel negatief over:
Bij de ontwikkeling van het gemeentelijk beleid, bijvoorbeeld op het gebied van de decentralisaties in het sociaal domein, heeft privacy als punt op de agenda van de Raad gestaan.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

RKC Oordeel deels positief over:
Het toezicht op gebruik van persoonsgegevens is vastgelegd in een controleplan, waarin onder meer staat: hoe dit proces verloopt, de periodiciteit van de controles, wie daarbij betrokken zijn (functienamen en persoonsnamen), wie controles uitvoert, aan wie wordt gerapporteerd, hoe de resultaten worden vastgelegd, wat de criteria zijn voor vervolgstappen, welke de vervolgstappen kunnen zijn en wie die neemt. Het controleplan sluit aan op het gemeentelijk beveiligingsplan en op het Integriteitsbeleid.

RKC Oordeel deels positief over:
De gemeente heeft een routine voor het meten en verbeteren van de bescherming persoonsgegevens en legt vast wat de bevindingen en maatregelen zijn. Deze routine is al tenminste één keer uitgevoerd.

RKC Oordeel neutraal over:
De gemeente heeft een leer- en verbetercyclus waar privacy een apart onderdeel van uitmaakt.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

RKC Oordeel neutraal over:
In de procesbeschrijvingen en instructies (waaronder sociaal domein) is duidelijk welke functionaris welke gegevens in welke processtap mag verwerken, en onder welke condities dat mag.

calamiteiten en risicobeheersing

RKC Oordeel positief over:
In de praktijk wordt gehandeld conform de wijze waarop de bescherming van de persoonsgegevens is geregeld in de relevante werkprocessen, de toewijzing van verantwoordelijkheden, de inrichting van informatiesystemen, de autorisaties, de afspraken voor de verwerking van gegevens en de afspraken over het informeren van burgers en het vragen van toestemming.

RKC Oordeel neutraal over:
De gemeente heeft beleid voor incidenten waarbij sprake is van schending van de privacy van inwoners. Dit beleid voldoet aan de wettelijke vereisten.

bewustwording, kennis en kunde in de organisatie

RKC Oordeel positief over:
De gemeente heeft vastgelegd hoe en wanneer medewerkers worden getraind in / er aandacht besteed wordt aan het onderwerp privacy.

RKC Oordeel positief over:
De medewerkers zijn bekend met het gemeentelijk beleid bescherming persoonsgegevens (waaronder aangaande het sociaal domein).

beveiliging en autorisatie

RKC Oordeel positief over:
In de praktijk wordt gehandeld conform de wijze waarop de bescherming van de persoonsgegevens is geregeld in de relevante werkprocessen, de toewijzing van verantwoordelijkheden, de inrichting van informatiesystemen, de autorisaties, de afspraken voor de verwerking van gegevens en de afspraken over het informeren van burgers en het vragen van toestemming.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

Verder verdienen de informatievoorziening aan de inwoners en de betrokkenheid van de raad nog aandacht.

RKC Oordeel neutraal over:
De gemeente verschaft aan burgers schriftelijk en mondeling begrijpelijke informatie over het gebruik van hun persoonsgegevens, zowel in algemene zin als afgestemd op de verschillende fasen in het dienstverleningsproces. Daarbij wordt aangegeven met welk doel dit gebeurt, wie inzage heeft en wat er vervolgens met de gegevens gebeurt.

RKC Oordeel neutraal over:
De gemeente informeert de burger op een toegankelijke en begrijpelijke wijze over hun privacy-rechten, zowel schriftelijk als mondeling.

RKC Oordeel positief over:
In de praktijk wordt gehandeld conform de wijze waarop de bescherming van de persoonsgegevens is geregeld in de relevante werkprocessen, de toewijzing van verantwoordelijkheden, de inrichting van informatiesystemen, de autorisaties, de afspraken voor de verwerking van gegevens en de afspraken over het informeren van burgers en het vragen van toestemming.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Privacy- en informatiebeveiligingsbeleid té laat up-to-date gebracht:
In beleidsstukken wordt niet tijdig geanticipeerd op nieuwe ontwikkelingen. Zo is het informatiebeveiligingsbeleid nog gebaseerd op de BIG terwijl inmiddels de BIO van kracht is, en werd het privacybeleid met terugwerkende kracht vastgesteld, ruim nadat het conform de AVG verplicht werd om een privacybeleid vast te stellen. De aansluiting bij landelijke richtlijnen en wetgeving is al tweemaal te laat opgepakt.

Onvoldoende aandacht voor het informatiebeveiligingsbeleid in individuele beleidsstukken:
Informatiebeveiliging kan alleen gegarandeerd worden als het doorwerkt in alle afdelingen van een organisatie: het is bij uitstek een terrein dat niet op zichzelf staat. In dat kader valt op dat er in verschillende beleidsdocumenten over de Basisregistratie, Wmo, en het Integraal veiligheidsbeleid, weliswaar aandacht is voor informatiebeveiliging, maar dat een koppeling mist met het informatiebeveiligingsbeleid.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Voorbereiding op de AVG kwam te laat op stand:
De informatievoorziening aan medewerkers begon weliswaar op tijd, maar de daadwerkelijke voorbereiding op de AVG geschiedde te laat. Pas in juli 2018 werd een roadmap opgesteld om met terugwerkende kracht compliant te worden. Deze deadline is meermaals verschoven en de implementatie van de verschillende stappen is nog steeds gaande. Dit is geen uitzondering. In het jaarrapport 2017 werd genoemd dat de gemeente een GAP-analyse uit zou voeren. Dit is niet gebeurd.

Er is een register van gegevensverwerkingen, maar dit is voor het laatst aangepast in december 2018.

Er is een procedure voor het melden van datalekken. In algemene zin, dus niet alleen voor Ridderkerk, geldt dat nooit zeker is of alle datalekken gemeld worden.

Hoewel er bewaartermijnen zijn vastgelegd, worden deze door de gemeente niet gehanteerd.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Weinig vragen vanuit de raad; beantwoording beperkt:
De gemeenteraad stelt maar weinig vragen over het onderwerp informatiebeveiliging en privacy. Dat kan een uitvloeisel van de rolopvatting zijn, maar betekent ook dat de raad geen zicht heeft op de stand van zaken in de uitvoeringspraktijk. De vragen die worden gesteld, ontvingen een beperkt antwoord.

Controlerende rol gemeenteraad / PS

Weinig vragen vanuit de raad; beantwoording beperkt:
De gemeenteraad stelt maar weinig vragen over het onderwerp informatiebeveiliging en privacy. Dat kan een uitvloeisel van de rolopvatting zijn, maar betekent ook dat de raad geen zicht heeft op de stand van zaken in de uitvoeringspraktijk. De vragen die worden gesteld, ontvingen een beperkt antwoord.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

In het jaarrapport 2017 werd genoemd dat de gemeente een GAP-analyse uit zou voeren. Dit is niet gebeurd.

informatie voor college / GS

Rapportagelijnen worden niet volledig ingezet of worden niet goed gebruikt:
Volgens betrokkenen zijn de bestuurders van de gemeenten (en dus van de BAR-organisatie) ontvankelijk voor adviezen, maar geldt dat op directieniveau niet altijd. Bij het maken van keuzes op directieniveau prevaleert de pragmatische afweging soms onterecht boven informatiebeveiliging. Qua verantwoordingslijnen is dat kwetsbaar, ook omdat het van belang is dat voor iedereen duidelijk is van welke risico’s het bestuur op de hoogte moet worden gesteld. De structuur van de BARorganisatie leidt er ook toe dat sommige vraagstukken langer blijven liggen dan noodzakelijk of gewenst.

informatie voor de raad / PS

Weinig vragen vanuit de raad; beantwoording beperkt:
De gemeenteraad stelt maar weinig vragen over het onderwerp informatiebeveiliging en privacy. Dat kan een uitvloeisel van de rolopvatting zijn, maar betekent ook dat de raad geen zicht heeft op de stand van zaken in de uitvoeringspraktijk. De vragen die worden gesteld, ontvingen een beperkt antwoord.

organisatie, werkprocessen en uitvoering

De samenhang in de keten van strategisch beleid tot specifieke werkprocessen en afspraken in de praktijk is onvoldoende eenduidig om informatieveiligheid te waarborgen. Dat is op meerdere manieren zichtbaar. De beleidsstukken over informatiebeveiliging en privacy bieden kaders, maar de manier van werken vertoont (onnodig) kwetsbaarheden. Op strategisch/tactisch niveau (Chief Information Security Officer, Functionaris Gegevensbescherming en Privacy Officer) is er sprake van een groot verantwoordelijkheidsgevoel ten aanzien van het thema, maar dit werkt onvoldoende door in de rest van de organisatie, aangezien het onduidelijk is wie er op de afdelingen verantwoordelijk is voor het thema.

Organisatie van informatiebeveiliging niet volgens de eigen kaders:
In het informatiebeveiligingsbeleid staat de informatiebeveiligingsorganisatie beschreven. In de praktijk ziet de organisatie er echter anders uit. Er is maar één Chief Information Security Officer (CISO), terwijl er zowel een technisch als organisatorisch CISO voorzien was. De FG heeft uiteindelijk een kleine rol, want deze functionaris wordt voor 0,2 fte ingehuurd. Het is goed dat er zowel medewerkers voor privacy als voor informatiebeveiliging in dienst zijn, en actief in de centrale organisatie. Op basis van de AVG is dat ook nodig.

Capaciteit voor informatiebeveiliging is zeer centraal georiënteerd: vaste structuur op de afdelingen ontbreekt:
Uit het onderzoek blijkt dat de centrale informatiebeveiligingsorganisatie veel taken oppakt, de centrale functionarissen vormen dan ook een goed team. Zij kunnen echter niet al het werk kwijt op de individuele afdelingen. Omdat de vaste verantwoordelijken binnen de individuele afdelingen niet duidelijk zijn, wordt de ‘centrale organisatie’ gevonden voor vragen die ook op de afdelingen opgepakt kunnen worden. Ditzelfde probleem openbaart zich bij het nemen van organisatiebrede maatregelen: op centraal niveau wordt er erg veel in gang gezet, maar de verbinding naar afdelingen is lastig.

Rapportagelijnen worden niet volledig ingezet of worden niet goed gebruikt:
Volgens betrokkenen zijn de bestuurders van de gemeenten (en dus van de BAR-organisatie) ontvankelijk voor adviezen, maar geldt dat op directieniveau niet altijd. Bij het maken van keuzes op directieniveau prevaleert de pragmatische afweging soms onterecht boven informatiebeveiliging. Qua verantwoordingslijnen is dat kwetsbaar, ook omdat het van belang is dat voor iedereen duidelijk is van welke risico’s het bestuur op de hoogte moet worden gesteld. De structuur van de BARorganisatie leidt er ook toe dat sommige vraagstukken langer blijven liggen dan noodzakelijk of gewenst.

calamiteiten en risicobeheersing

De samenhang in de keten van strategisch beleid tot specifieke werkprocessen en afspraken in de praktijk is onvoldoende eenduidig om informatieveiligheid te waarborgen. Dat is op meerdere manieren zichtbaar. De beleidsstukken over informatiebeveiliging en privacy bieden kaders, maar de manier van werken vertoont (onnodig) kwetsbaarheden. Op strategisch/tactisch niveau (Chief Information Security Officer, Functionaris Gegevensbescherming en Privacy Officer) is er sprake van een groot verantwoordelijkheidsgevoel ten aanzien van het thema, maar dit werkt onvoldoende door in de rest van de organisatie, aangezien het onduidelijk is wie er op de afdelingen verantwoordelijk is voor het thema.

Informatiebeveiliging is bij uitstek een thema waarop een organisatie risico’s neemt. Dat is niet te vermijden. Maar: dit vraagt wel om een bewuste afweging of onderbouwing. Bij sommige in het onderzoek geconstateerde kwetsbaarheden, is niet duidelijk of een dergelijke afweging is gemaakt, of de rekenkamer heeft twijfels bij de afweging die is gemaakt.

Hoewel er een procedure voor change management is vastgelegd, blijkt dat wijzigingen in de praktijk ook ad hoc worden doorgevoerd.

Voor het uitwisselen van data met andere partijen zijn, in de onderzochte applicatie, veel handmatige acties nodig. Dat is kwetsbaar.

Er is een procedure voor het melden van datalekken. In algemene zin, dus niet alleen voor Ridderkerk, geldt dat nooit zeker is of alle datalekken gemeld worden.

Hoewel er bewaartermijnen zijn vastgelegd, worden deze door de gemeente niet gehanteerd.

bewustwording, kennis en kunde in de organisatie

Veel aandacht voor communicatie en bewustwording van medewerkers:
Er zijn verschillende campagnes en trainingen geweest voor medewerkers van de BAR-organisatie, gegeven door de FG, CISO en PO. Ook is er een nulmeting over het iBewustzijn verricht in 2017. 47% van de medewerkers deed hier aan mee.
De centrale functionarissen zijn echter niet bij alle medewerkers bekend, waardoor het voorkomt dat zij niet tijdig worden betrokken bij belangrijke ontwikkelingen die consequenties hebben voor privacy en informatieveiligheid binnen de gemeente.

beveiliging en autorisatie

Tot voor kort werd de toegang en autorisaties voor systemen ingericht zonder geautomatiseerdproces. Bij een wijziging ontvingen alle applicatiebeheerders melding van de wijziging. Zij waren vervolgens zelf aan zet om te kijken of de persoon die de wijziging betrof gebruik maakt van hun applicatie en de benodigde wijziging door te voeren. Dat is een kwetsbaar proces, waarbij niet geborgd is dat alleen de personen waarvan het echt nodig is, toegang hebben tot systemen. Deze kwetsbaarheid bleek ook uit een technische demonstratie van één van de applicaties.

Applicatiebeheerders hebben, in ieder geval bij de onderzochte applicatie, volledige toegang tot de gehele applicatie en hebben de mogelijkheid om alle data in te zien, te wijzigen en accounts aan te maken. Dat is niet nodig voor het uitvoeren van hun taken.

kwetsbaarheid ICT en Informatiesystemen

Processen in de uitvoering zijn kwetsbaar:
Hoewel het beleid duidelijke uitgangspunten voor informatiebeveiliging biedt, vertaalt dit zich in de BAR-organisatie niet door naar veilige processen. Dat blijkt op meerdere gebieden. Het schetst een beeld van de gang van zaken in de gemeente waarbij er meerdere risico’s zijn. Dat deze risico’s wel worden gezien, maar dat er niet altijd op wordt ingezet, vraagt om een bewuste afweging c.q. onderbouwing. Ook een dergelijke onderbouwing ontbreekt. Daarentegen zijn een aantal processen ook goed opgepakt of wordt hier momenteel aan gewerkt. Zo is het melden van datalekken inmiddels volledig geautomatiseerd en zijn er stappen gezet in het automatiseren van het identity & access-management.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Controle en toezicht op externe partijen vindt alleen plaats middels het werken met verwerkersovereenkomsten:
Na de komst van de AVG is de BAR-organisatie zoveel mogelijk gaan werken met verwerkersovereenkomsten. Het betreft ongeveer 50 overeenkomsten. Een aantal verwerkersovereenkomsten is in eerste instantie afgekeurd. Dit geeft aan dat de organisatie de overeenkomsten kritisch onder de loep neemt, en dat is mooi.
Daadwerkelijke controle op de wijze waarop externe partijen met gegevens omgaan, is er niet.

Voor het uitwisselen van data met andere partijen zijn, in de onderzochte applicatie, veel handmatige acties nodig. Dat is kwetsbaar.

communicatie en betrokkenheid burgers

Communicatie richting inwoners niet centraal belegd:
Hoewel er veel informatie over privacy te vinden is op de website, wordt de informatievoorziening aan inwoners over privacy niet centraal geregeld. In bepaalde processen wordt informatie over privacy verstrekt (bezwaarprocedures, hulpvragen), maar er is niet één communicatielijn afgesproken.
Uit de gevoerde gesprekken blijkt dat inwoners in het sociaal domein om toestemming wordt gevraagd om hun gegevens te verwerken als er geen wettelijke grondslag is voor de gegevensverwerking. Over het gebruik van het toestemmingscriterium door de overheid zijn echter meerdere kritische rapporten van de Autoriteit Persoonsgegevens verschenen.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Desalniettemin heeft onvoldoende centrale sturing plaatsgevonden op informatieveiligheid.

• De in het beleid voorgeschreven PDCA-cyclus wordt niet gevolgd. Er wordt onvoldoende gemonitord op tussentijdse resultaten en daarnaar gehandeld.
• Er zijn tal van beveiligingsmaatregelen genomen, maar het ontbreekt aan passende maatregelen die volgen uit systematische en actuele risicoanalyses. Deze laatste worden namelijk niet integraal en volledig uitgevoerd, ondanks het juiste voornemen van het college om dit wel te doen.
• De voorgeschreven dataclassificaties hebben niet juist en volledig plaatsgevonden. Hierdoor is onbekend welke gegevens kwetsbaar zijn voor misbruik.
• Sinds geruime tijd zijn tekortkomingen in de informatiebeveiliging bekend, maar (voorgenomen) verbetermaatregelen hebben klaarblijkelijk niet kunnen voorkomen dat de informatiesystemen voor kwaadwillenden nog steeds gemakkelijk toegankelijk zijn.

In het geval van het datalek zijn te weinig mogelijke lessen getrokken.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Desalniettemin heeft onvoldoende centrale sturing plaatsgevonden op informatieveiligheid.

• De in het beleid voorgeschreven PDCA-cyclus wordt niet gevolgd. Er wordt onvoldoende gemonitord op tussentijdse resultaten en daarnaar gehandeld.
• Er zijn tal van beveiligingsmaatregelen genomen, maar het ontbreekt aan passende maatregelen die volgen uit systematische en actuele risicoanalyses. Deze laatste worden namelijk niet integraal en volledig uitgevoerd, ondanks het juiste voornemen van het college om dit wel te doen.
• De voorgeschreven dataclassificaties hebben niet juist en volledig plaatsgevonden. Hierdoor is onbekend welke gegevens kwetsbaar zijn voor misbruik.
• Sinds geruime tijd zijn tekortkomingen in de informatiebeveiliging bekend, maar (voorgenomen) verbetermaatregelen hebben klaarblijkelijk niet kunnen voorkomen dat de informatiesystemen voor kwaadwillenden nog steeds gemakkelijk toegankelijk zijn.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

In opzet is de verdeling van taken, bevoegdheden en verantwoordelijkheden over het algemeen adequaat voor een goede informatieveiligheid. Deze sluit aan bij algemeen aanvaarde professionele standaarden.

Desalniettemin heeft onvoldoende centrale sturing plaatsgevonden op informatieveiligheid.

• De in het beleid voorgeschreven PDCA-cyclus wordt niet gevolgd. Er wordt onvoldoende gemonitord op tussentijdse resultaten en daarnaar gehandeld.
• Er zijn tal van beveiligingsmaatregelen genomen, maar het ontbreekt aan passende maatregelen die volgen uit systematische en actuele risicoanalyses. Deze laatste worden namelijk niet integraal en volledig uitgevoerd, ondanks het juiste voornemen van het college om dit wel te doen.
• De voorgeschreven dataclassificaties hebben niet juist en volledig plaatsgevonden. Hierdoor is onbekend welke gegevens kwetsbaar zijn voor misbruik.
• Sinds geruime tijd zijn tekortkomingen in de informatiebeveiliging bekend, maar (voorgenomen) verbetermaatregelen hebben klaarblijkelijk niet kunnen voorkomen dat de informatiesystemen voor kwaadwillenden nog steeds gemakkelijk toegankelijk zijn.

calamiteiten en risicobeheersing

Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, fysieke onveiligheid van politiek-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen.

Desalniettemin heeft onvoldoende centrale sturing plaatsgevonden op informatieveiligheid.

• De in het beleid voorgeschreven PDCA-cyclus wordt niet gevolgd. Er wordt onvoldoende gemonitord op tussentijdse resultaten en daarnaar gehandeld.
• Er zijn tal van beveiligingsmaatregelen genomen, maar het ontbreekt aan passende maatregelen die volgen uit systematische en actuele risicoanalyses. Deze laatste worden namelijk niet integraal en volledig uitgevoerd, ondanks het juiste voornemen van het college om dit wel te doen.
• De voorgeschreven dataclassificaties hebben niet juist en volledig plaatsgevonden. Hierdoor is onbekend welke gegevens kwetsbaar zijn voor misbruik.
• Sinds geruime tijd zijn tekortkomingen in de informatiebeveiliging bekend, maar (voorgenomen) verbetermaatregelen hebben klaarblijkelijk niet kunnen voorkomen dat de informatiesystemen voor kwaadwillenden nog steeds gemakkelijk toegankelijk zijn.

bewustwording, kennis en kunde in de organisatie

Over het algemeen is gevoelige informatie, zoals (bijzondere) persoonsgegevens, bij de gemeente Rotterdam onvoldoende in veilige handen. Er is namelijk sprake van een combinatie van:

• een tekortschietende beveiliging van digitale informatiesystemen voor aanvallen van binnenuit,
• falende fysieke beveiliging van meerdere kantoorlocaties en
• een tekort aan benodigde ‘social & security awareness’ bij medewerkers.

beveiliging en autorisatie

Over het algemeen is gevoelige informatie, zoals (bijzondere) persoonsgegevens, bij de gemeente Rotterdam onvoldoende in veilige handen. Er is namelijk sprake van een combinatie van:

• een tekortschietende beveiliging van digitale informatiesystemen voor aanvallen van binnenuit,
• falende fysieke beveiliging van meerdere kantoorlocaties en
• een tekort aan benodigde ‘social & security awareness’ bij medewerkers.

kwetsbaarheid ICT en Informatiesystemen

De gemeentelijke informatiesystemen zijn in technische zin beter beveiligd tegen cyberaanvallen van buiten uit, onverlet kleinere kwetsbaarheden.

Over het algemeen is gevoelige informatie, zoals (bijzondere) persoonsgegevens, bij de gemeente Rotterdam onvoldoende in veilige handen. Er is namelijk sprake van een combinatie van:

• een tekortschietende beveiliging van digitale informatiesystemen voor aanvallen van binnenuit,
• falende fysieke beveiliging van meerdere kantoorlocaties en
• een tekort aan benodigde ‘social & security awareness’ bij medewerkers.

Desalniettemin heeft onvoldoende centrale sturing plaatsgevonden op informatieveiligheid.

• De in het beleid voorgeschreven PDCA-cyclus wordt niet gevolgd. Er wordt onvoldoende gemonitord op tussentijdse resultaten en daarnaar gehandeld.
• Er zijn tal van beveiligingsmaatregelen genomen, maar het ontbreekt aan passende maatregelen die volgen uit systematische en actuele risicoanalyses. Deze laatste worden namelijk niet integraal en volledig uitgevoerd, ondanks het juiste voornemen van het college om dit wel te doen.
• De voorgeschreven dataclassificaties hebben niet juist en volledig plaatsgevonden. Hierdoor is onbekend welke gegevens kwetsbaar zijn voor misbruik.
• Sinds geruime tijd zijn tekortkomingen in de informatiebeveiliging bekend, maar (voorgenomen) verbetermaatregelen hebben klaarblijkelijk niet kunnen voorkomen dat de informatiesystemen voor kwaadwillenden nog steeds gemakkelijk toegankelijk zijn.

De kwaliteit van de informatiebeveiliging van afzonderlijke systemen kent grote verschillen. Ook hier ontbreekt het aan centrale toetsing aan het gemeentelijk beleid.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamercommissie concludeert dat de gemeente het belang en de urgentie van informatiebeveiliging en privacy onderkent. De overall conclusie van dit rekenkameronderzoek is dat de informatiebeveiliging en privacy deels op orde is en dat er nog zaken dienen te gebeuren. De afgelopen jaren is er veel gebeurd in de gemeente Son en Breugel en er kunnen (moeten) zeker nog slagen worden gemaakt.

is het beleid conform BIO (BIG)

De conclusies is dat de gemeente Son en Breugel deels aan de wet- en regelgeving voldoet. De gemeente voldoet aan de verplichte audits (bij het niet voldoen volgen sancties). Verder is de rekenkamercommissie van oordeel dat de processen effectiever en efficiënter kunnen worden ingericht, zoals bijvoorbeeld tijdig een risicoanalyse en jaarplan opstellen.

Opvolging aansporingen van de rekenkamercommissie aan Dienst Dommelvallei in 2019:
De voorbereiding op BIO is ter hand genomen.

wordt voldaan aan de AVG

De conclusies is dat de gemeente Son en Breugel deels aan de wet- en regelgeving voldoet. De gemeente voldoet aan de verplichte audits (bij het niet voldoen volgen sancties). Verder is de rekenkamercommissie van oordeel dat de processen effectiever en efficiënter kunnen worden ingericht, zoals bijvoorbeeld tijdig een risicoanalyse en jaarplan opstellen.

De rekenkamercommissie heeft geen integraal privacybeleid aangetroffen. Implementatie van vereisten in het kader van de AVG is nog niet helemaal gereed. Veel is er al, zoals een op de website gepubliceerde privacyverklaring, aanwezigheid van verwerkingsovereenkomsten en een verwerkingsregister e.d. Het verwerkingsregisters is echter (nog) niet compleet. Nieuwe verwerkingsovereenkomsten worden AVG-proof opgesteld, op basis van het model van de IBD
(Onderdeel van de VNG). . De bestaande verwerkingsovereenkomsten zijn echter nog niet up-to-date gemaakt. Een aantal processen waarin persoonsgegevens worden verwerkt zijn met een DPIA op privacy risico’s zijn door de organisatie doorgenomen. Er moeten nog meer processen volgen, daar is (nog) geen tijdschema voor opgesteld. Deze processen lopen achter, mede vanwege vertrek van de privacybeheerder.

Opvolging aansporingen van de rekenkamercommissie aan Dienst Dommelvallei in 2019:
Deels opgepakt: de implementatie van de AVGmaatregelen.

budget en personele inzet

-

Sturende rol college / GS

Het belang, de urgentie en de risico's van informatiebeveiliging en privacy in verband met de verwerking van persoonsgegevens door de gemeente Son en Breugel en Dienst Dommelvallei (DD) worden erkend door zowel het bestuur, als het management en de ambtenaren. Beleid wordt gedragen door college en management van de gemeente en DD.

De basis en de governance zijn bij de gemeente deels op orde.

betrokkenheid samenwerkende gemeenten

De basis en de governance zijn bij de gemeente deels op orde. Dat geldt ook voor de DD waarin de gemeente met de gemeenten Geldrop-Mierlo en Nuenen onder andere op het gebied van Informatie & automatisering (I&A) samenwerkt.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Een ander punt met risico's op het gebied van rechtmatigheid betreft de logging van de toegang tot de applicaties. Ook hierop is het voor DigID en Suwinet verplicht geregeld de gemeente voldoet aan deze eisen. Op andere onderdelen van de systemen is automatische logging niet geïmplementeerd. Dat aspect wordt wel meegenomen in de implementatie van het nieuwe zaaksysteem. Een vraagstuk dat daarbij speelt is de capaciteit om de met logging verzamelde gegevens te analyseren en interpreteren, gelet op de beperkte capaciteit van de CISO. Met andere woorden: het is raadzaam om tevoren te bedenken in hoeverre er mensen beschikbaar zijn om analyses te maken van de sturings- en controle-informatie die systemen genereren. Alleen met het implementeren van een systeem is het probleem niet ondervangen.

Opvolging aansporingen van de rekenkamercommissie aan Dienst Dommelvallei in 2019:
Nog niet opgepakt zijn de aanschaf van een ISMS/PMS, de koppeling daarvan aan de PDCA-cyclus en de implementatie van een procesmatig wijzigingsbeheer.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

De gemeenteraad wordt in het kader van de P&C-cyclus geïnformeerd over de informatiebeveiliging en privacy. Dat is een kort verslag in de jaarrapportages. De raadscommissie AZ wordt vaker en meer in detail geïnformeerd. Ook beveiligingsincidenten worden daar besproken. Vanaf 2017 krijgt de raad informatie op basis van ENSIA, over de assessments, evaluaties en beheersmaatregelen op informatiebeveiliging en privacy. De ENSIA-rapportage over 2018 was niet volledig. Deze bestond alleen uit de audits op DigID en Suwinet, een college-verklaring en de assuranceverklaring van een derde onafhankelijke partij op de collegeverklaring. Over andere zaken, zoals te nemen maatregelen en andere assessments, dan de verplichte audits op DigID en Suwinet is niet gerapporteerd. Ook is het vormvrije deel van ENSIA niet gevuld om de raad te informeren over specifieke aspecten op informatiebeveiliging en privacy. Dat komt mede door het ontbreken van een ISMS/PMS (integraal management informatiesysteem op informatiebeveiliging en privacy). Daardoor is het voor de CISO te tijdrovend om de voor ENSIA benodigde informatie, die versnipperd in de organisatie aanwezig is, te vergaren. Ook heeft de rekenkamercommissie geen aparte rapportage aangetroffen over de maatregelen in het kader van privacy. Verwachting is dat over 2018-2019 medio 2020 wordt gerapporteerd.

organisatie, werkprocessen en uitvoering

De centrale functies op informatiebeveiligings- en privacybeleid, de FG en CISO, zijn bezet bij DD met kundige mensen die hun kennis up-to-date houden. De FG-functie is meer dan fulltime bezet, maar de CISO -functie is met 32 uur relatief karig ingevuld. De functie is bedoeld voor advies en controle op informatiebeveiliging voor de drie gemeenten en Dienst Dommelvallei, en wordt daarnaast ook, zo blijkt in de praktijk, ook (te veel) operationeel ingezet. Bij de gemeente Son en Breugel is de functie van privacybeheerder sinds begin 2020 niet meer bezet. Daardoor zijn een aantal taken op privacy en de implementatie van de AVG blijven liggen. Beschikbaarheid van middelen en menskracht op informatiebeveiliging en privacy is vaak nog wel een discussiepunt in management en bestuur. Hierop moet binnen DD geconcurreerd worden met andere projecten op het beleidsterrein van I&A. Dat betekent dat er vaak een keuze gemaakt moet worden tussen investeren in enerzijds applicaties die nodig zijn voor informatiebeveiliging en anderzijds applicaties die een randvoorwaarde zijn voor de continuïteit van de dienstverlening.

calamiteiten en risicobeheersing

De rekenkamercommissie heeft geen integraal continuïteitsplan voor de gemeentelijke dienstverlening aangetroffen. Door de corona-crisis zijn in korte tijd een aantal zaken opgepakt, zoals de identificatie van vitale werk- en dienstverleningsprocessen en de verdere inrichting van digitale werkplekken. Dat kunnen elementen vormen voor een op te stellen continuïteitsplan. Op onderdelen bestaan crisisteams op regionaal en lokaal niveau, maar een specifiek op informatiebeveiliging en ICT gericht team, zoals een zogenoemd CERT, is er niet.

bewustwording, kennis en kunde in de organisatie

De centrale functies op informatiebeveiligings- en privacybeleid, de FG en CISO, zijn bezet bij DD met kundige mensen die hun kennis up-to-date houden.

De meeste respondenten geven aan dat het bewustzijn van de risico's op informatiebeveiliging en privacy steeds verder toeneemt. De FG en CISO komen langs bij afdelingen als er vragen komen, en die komen er steeds meer. Ook de corona-crisis en de uitvoering van bijvoorbeeld de Tozo-regeling, gaf aanleiding tot vragen van medewerkers over behandeling van persoonsgegevens. Geconstateerd kan worden dat het bewustzijn toeneemt, maar nog niet bij alle afdelingen even goed landt. Het onaangekondigde bezoek in 2019 van een 'mystery guest' heeft bij bestuur, management en medewerkers voor de nodige opschudding gezorgd. Bewustzijn op risico's blijft continu een punt van aandacht, want die kan ook weer snel wegebben. Dat dit een continu aandachtspunt is blijkt uit het beveiligingsincident met een zogenoemde ceo-mail, begin 2020. Ook uit de verschillende interviews blijkt dat respondenten flink zijn geschrokken en dat het veel geld heeft gekost (€ 40.000).

Opvolging aansporingen van de rekenkamercommissie aan Dienst Dommelvallei in 2019:
Deels opgepakt: bewustwordingscampagnes.

beveiliging en autorisatie

Verlenen en wijzigen van autorisaties op de toegang tot informatie in de verschillende applicaties en de controle daarop is een punt van aandacht. Voor DigID en Suwinet is dat verplicht en grondig geregeld, met eventuele sancties als de gemeente niet aan de eisen voldoet. Dit is dan ook op orde in de gemeente. Voor de andere applicaties is een structurele jaarlijkse controle zeer recent opgestart
en nog niet geheel goed functionerend. Daar ligt een risico op ongeautoriseerde toegang tot onder andere (bijzondere) persoonsinformatie, met name bij functiewisselingen en uitdiensttredingen.

Een ander punt met risico's op het gebied van rechtmatigheid betreft de logging van de toegang tot de applicaties. Ook hierop is het voor DigID en Suwinet verplicht geregeld de gemeente voldoet aan deze eisen. Op andere onderdelen van de systemen is automatische logging niet geïmplementeerd. Dat aspect wordt wel meegenomen in de implementatie van het nieuwe zaaksysteem. Een vraagstuk dat daarbij speelt is de capaciteit om de met logging verzamelde gegevens te analyseren en interpreteren, gelet op de beperkte capaciteit van de CISO. Met andere woorden: het is raadzaam om tevoren te bedenken in hoeverre er mensen beschikbaar zijn om analyses te maken van de sturings- en controle-informatie die systemen genereren. Alleen met het implementeren van een systeem is het probleem niet ondervangen.

Opvolging aansporingen van de rekenkamercommissie aan Dienst Dommelvallei in 2019:
Deels opgepakt: maatregelen op autorisaties.

kwetsbaarheid ICT en Informatiesystemen

De rekenkamercommissie heeft de robuustheid van de ICT-systemen en het bewustzijn van de medewerkers niet aan een diepgravend onderzoek onderworpen. Verschillende soorten pen-testen geven daar over het algemeen inzicht in. DD heeft met de mystery guest al een test laten uitvoeren. Maar andere pen-testen liggen nog niet in het verschiet. Hierbij wordt aangevoerd dat zulke testen begeleid, geanalyseerd en geïnterpreteerd moeten worden. En verbetermaatregelen naar aanleiding daarvan moeten worden geïmplementeerd. Daarvoor ontbreekt de capaciteit bij de CISO.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De gemeente Utrecht heeft sinds 2018 al diverse maatregelen getroffen om de informatiebeveiliging te verbeteren. Zo is de governance versterkt, de bemensing uitgebreid en heeft de gemeenteraad in 2020 extra middelen beschikbaar gesteld voor gegevensbescherming. Ook zijn de risico’s op het gebied van informatieveiligheid in kaart gebracht. Toch wijzen de testresultaten en de stand van het beleid uit dat er bij de gemeente verbetering noodzakelijk is. De recente voorbeelden van digitale aanvallen op publieke instellingen laten zien hoe kwetsbaar en afhankelijk de samenleving is van digitale middelen. Zeker nu thuiswerken de norm is en de overheid snel (digitaal) moet kunnen handelen. Om te kijken of verbeteracties voortvarend zijn uitgevoerd zal de rekenkamer de informatieveiligheid bij de gemeente Utrecht in de toekomst verder onderzoeken.

Het beleid om de informatiebeveiliging te verbeteren is in opzet goed. Maar door een combinatie van een gebrek aan personeel, middelen en prioriteit loopt de uitvoering van het beleid achter op de oorspronkelijke planning. Risicogestuurd werken – het uitgangspunt van het beleid – wordt topdown ingevuld en is door het ontbreken van de benodigde risicoanalyses nog niet mogelijk. Daarnaast ontbreekt een centraal programma om medewerkers informatiebewust te maken.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

De gemeente Utrecht heeft sinds 2018 al diverse maatregelen getroffen om de informatiebeveiliging te verbeteren. Zo is de governance versterkt, de bemensing uitgebreid en heeft de gemeenteraad in 2020 extra middelen beschikbaar gesteld voor gegevensbescherming.

Gemeente kan nog niet risicogestuurd werken, bekende risico’s blijven onnodig lang bestaan:
De gemeente Utrecht heeft in juli 2019 het nieuwe Beleid voor gegevensbescherming 2019-2022 vastgesteld. De gemeente hanteert hierbij het uitgangspunt van risicogestuurd werken. De roadmap (routekaart) die hiervoor is ontwikkeld is een goed instrument, maar deze wordt onvoldoende gevolgd. Daarvoor is momenteel te weinig personeel beschikbaar en krijgt het te weinig prioriteit. Hierdoor loopt de uitvoering vertraging op en kunnen verschillende bekende risico’s jarenlang blijven bestaan. Voorbeelden van te lang bestaande risico’s zijn het niet uitvoeren van cruciale software updates, kwetsbare werkstations op alle bureaus en het ontbreken van multifactor-authenticatie bij de webmail. Doordat een groot deel van de risicoanalyses zijn uitgevoerd kan de gemeente nog niet risicogestuurd werken.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Ook zijn de risico’s op het gebied van informatieveiligheid in kaart gebracht. Toch wijzen de testresultaten en de stand van het beleid uit dat er bij de gemeente verbetering noodzakelijk is. De recente voorbeelden van digitale aanvallen op publieke instellingen laten zien hoe kwetsbaar en afhankelijk de samenleving is van digitale middelen. Zeker nu thuiswerken de norm is en de overheid snel (digitaal) moet kunnen handelen. Om te kijken of verbeteracties voortvarend zijn uitgevoerd zal de rekenkamer de informatieveiligheid bij de gemeente Utrecht in de toekomst verder onderzoeken.

De gemeente Utrecht is voldoende beschermd tegen inbraken van buitenaf. Het lukte de extern onderzoekers namelijk niet om van buitenaf in te breken in de gemeentelijke systemen. Toch tonen interne testen op het gebied van techniek en menselijk handelen risico’s aan die het beeld van de informatieveiligheid minder rooskleurig maken. Sommige technische kwetsbaarheden in software en hardware blijven jarenlang bestaan en medewerkers geven in phishing mails hun inloggegevens af. Ook zijn onbevoegde ‘inlopers’ eenvoudig gemeentelijke gebouwen binnengekomen en hebben zij daar geheime informatie kunnen bemachtigen zonder te zijn aangesproken door medewerkers.

Het beleid om de informatiebeveiliging te verbeteren is in opzet goed. Maar door een combinatie van een gebrek aan personeel, middelen en prioriteit loopt de uitvoering van het beleid achter op de oorspronkelijke planning. Risicogestuurd werken – het uitgangspunt van het beleid – wordt topdown ingevuld en is door het ontbreken van de benodigde risicoanalyses nog niet mogelijk. Daarnaast ontbreekt een centraal programma om medewerkers informatiebewust te maken.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Gemeente kan nog niet risicogestuurd werken, bekende risico’s blijven onnodig lang bestaan:
De gemeente Utrecht heeft in juli 2019 het nieuwe Beleid voor gegevensbescherming 2019-2022 vastgesteld. De gemeente hanteert hierbij het uitgangspunt van risicogestuurd werken. De roadmap (routekaart) die hiervoor is ontwikkeld is een goed instrument, maar deze wordt onvoldoende gevolgd. Daarvoor is momenteel te weinig personeel beschikbaar en krijgt het te weinig prioriteit. Hierdoor loopt de uitvoering vertraging op en kunnen verschillende bekende risico’s jarenlang blijven bestaan. Voorbeelden van te lang bestaande risico’s zijn het niet uitvoeren van cruciale software updates, kwetsbare werkstations op alle bureaus en het ontbreken van multifactor-authenticatie bij de webmail. Doordat een groot deel van de risicoanalyses zijn uitgevoerd kan de gemeente nog niet risicogestuurd werken.

Het beleid om de informatiebeveiliging te verbeteren is in opzet goed. Maar door een combinatie van een gebrek aan personeel, middelen en prioriteit loopt de uitvoering van het beleid achter op de oorspronkelijke planning. Risicogestuurd werken – het uitgangspunt van het beleid – wordt topdown ingevuld en is door het ontbreken van de benodigde risicoanalyses nog niet mogelijk. Daarnaast ontbreekt een centraal programma om medewerkers informatiebewust te maken.

calamiteiten en risicobeheersing

Ook zijn de risico’s op het gebied van informatieveiligheid in kaart gebracht. Toch wijzen de testresultaten en de stand van het beleid uit dat er bij de gemeente verbetering noodzakelijk is. De recente voorbeelden van digitale aanvallen op publieke instellingen laten zien hoe kwetsbaar en afhankelijk de samenleving is van digitale middelen. Zeker nu thuiswerken de norm is en de overheid snel (digitaal) moet kunnen handelen. Om te kijken of verbeteracties voortvarend zijn uitgevoerd zal de rekenkamer de informatieveiligheid bij de gemeente Utrecht in de toekomst verder onderzoeken.

De gemeente Utrecht is voldoende beschermd tegen inbraken van buitenaf. Het lukte de extern onderzoekers namelijk niet om van buitenaf in te breken in de gemeentelijke systemen. Toch tonen interne testen op het gebied van techniek en menselijk handelen risico’s aan die het beeld van de informatieveiligheid minder rooskleurig maken. Sommige technische kwetsbaarheden in software en hardware blijven jarenlang bestaan en medewerkers geven in phishing mails hun inloggegevens af. Ook zijn onbevoegde ‘inlopers’ eenvoudig gemeentelijke gebouwen binnengekomen en hebben zij daar geheime informatie kunnen bemachtigen zonder te zijn aangesproken door medewerkers.

Het beleid om de informatiebeveiliging te verbeteren is in opzet goed. Maar door een combinatie van een gebrek aan personeel, middelen en prioriteit loopt de uitvoering van het beleid achter op de oorspronkelijke planning. Risicogestuurd werken – het uitgangspunt van het beleid – wordt topdown ingevuld en is door het ontbreken van de benodigde risicoanalyses nog niet mogelijk. Daarnaast ontbreekt een centraal programma om medewerkers informatiebewust te maken.

bewustwording, kennis en kunde in de organisatie

Informatiebewustzijn en fysieke beveiliging zijn onvoldoende en centraal programma informatiebewustzijn ontbreekt:

Uit de mail-phishing test blijkt dat een aanzienlijk deel van de medewerkers (16-19%) niet altijd bewust omgaat met informatieveiligheid. Ook lijken medewerkers niet altijd te weten hoe zij bij beveiligingsproblemen en -incidenten moeten handelen. Tijdens inlooptesten konden onderzoekers eenvoudig gemeentelijke gebouwen betreden en werden zij niet door medewerkers aangesproken op hun onbevoegde aanwezigheid. Er is geen centraal programma over informatiebewustzijn. Organisatieonderdelen besteden individueel en op hun eigen manier aandacht aan het onderwerp en er worden ad hoc acties uitgevoerd.

Het beleid om de informatiebeveiliging te verbeteren is in opzet goed. Maar door een combinatie van een gebrek aan personeel, middelen en prioriteit loopt de uitvoering van het beleid achter op de oorspronkelijke planning. Risicogestuurd werken – het uitgangspunt van het beleid – wordt topdown ingevuld en is door het ontbreken van de benodigde risicoanalyses nog niet mogelijk. Daarnaast ontbreekt een centraal programma om medewerkers informatiebewust te maken.

beveiliging en autorisatie

Beperkt zicht op veilig thuiswerken:
De gemeente weet niet van alle medewerkers in welke mate zij thuiswerken met veilige apparatuur. Slechts 15% van de laptops die de gemeente heeft verstrekt is voorzien van de juiste beveiligingsmaatregelen. De gemeente biedt een beveiligde virtuele werkomgeving aan, maar heeft geen zicht op de beveiliging van privé apparatuur en stelt geen eisen aan de beveiliging van WiFi-netwerken bij medewerkers thuis. Om het gemeentenetwerk niet te overbelasten, moeten vergadertools buiten de beveiligde werkomgeving gebruikt worden. Zo ontstaat het risico dat medewerkers toch buiten de werkomgeving blijven werken en mogelijk gevoelige informatie lokaal opslaan.

kwetsbaarheid ICT en Informatiesystemen

De gemeente Utrecht is voldoende beschermd tegen inbraken van buitenaf. Het lukte de extern onderzoekers namelijk niet om van buitenaf in te breken in de gemeentelijke systemen. Toch tonen interne testen op het gebied van techniek en menselijk handelen risico’s aan die het beeld van de informatieveiligheid minder rooskleurig maken. Sommige technische kwetsbaarheden in software en hardware blijven jarenlang bestaan en medewerkers geven in phishing mails hun inloggegevens af. Ook zijn onbevoegde ‘inlopers’ eenvoudig gemeentelijke gebouwen binnengekomen en hebben zij daar geheime informatie kunnen bemachtigen zonder te zijn aangesproken door medewerkers.

Informatieveiligheid van buitenaf beter dan van binnenuit.
Informatie van de gemeente Utrecht is technisch gezien beter beveiligd tegen aanvallen van buitenaf dan van binnenuit.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Uit het onderzoek blijkt dat het informatiebeveiligingsbeleid en de organisatie rondom informatieveiligheid bij de gemeenten in opzet op orde is. De meeste verbonden partijen hebben een informatiebeveiligingsbeleid opgesteld, dat periodiek wordt bijgesteld.

De operationele procedures worden zelf niet periodiek beoordeeld en – waar nodig – geactualiseerd. Een deel van de procedures is nog gebaseerd op de BIG in plaats van de BIO terwijl de BIO vanaf 1 januari 2020 van kracht is, met daaraan voorafgaand een overgangsperiode.

is het beleid conform BIO (BIG)

De operationele procedures worden zelf niet periodiek beoordeeld en – waar nodig – geactualiseerd. Een deel van de procedures is nog gebaseerd op de BIG in plaats van de BIO terwijl de BIO vanaf 1 januari 2020 van kracht is, met daaraan voorafgaand een overgangsperiode.

wordt voldaan aan de AVG

-

budget en personele inzet

De informatiebeveiligingsrisico’s en beheersingsmaatregelen zijn in de onderzoeksperiode niet opgenomen in de gemeentelijke programmabegroting.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

In het rekenkamerrapport ‘Beter sturen op digitale dienstverlening‘ is geadviseerd expliciet te sturen op het formuleren van concrete kaders op informatiebeveiliging door verbonden partijen. Aangezien de gemeenten geen sturing of (directe) richtlijnen aan de verbonden partijen geven op het gebied van informatiebeveiliging, is aan dit advies geen invulling gegeven.

Kaderstellende rol gemeenteraad / PS

Gebleken is dat de gemeenteraad maar weinig vragen over het onderwerp informatiebeveiliging en gegevensbescherming stelt. Dit kan een uitvloeisel van de rolopvatting zijn, maar betekent ook dat de raad weinig zicht heeft op de stand van zaken in de uitvoeringspraktijk.

Controlerende rol gemeenteraad / PS

Gebleken is dat de gemeenteraad maar weinig vragen over het onderwerp informatiebeveiliging en gegevensbescherming stelt. Dit kan een uitvloeisel van de rolopvatting zijn, maar betekent ook dat de raad weinig zicht heeft op de stand van zaken in de uitvoeringspraktijk.

werkprocessen monitoren, bewaken en verbeteren

De operationele procedures worden zelf niet periodiek beoordeeld en – waar nodig – geactualiseerd. Een deel van de procedures is nog gebaseerd op de BIG in plaats van de BIO terwijl de BIO vanaf 1 januari 2020 van kracht is, met daaraan voorafgaand een overgangsperiode.

Checks - Audits - Evaluatie - Risicoanalyse

De gemeenten voeren te weinig penetratietesten uit. Uit de in dit onderzoek uitgevoerde penetratietesten is gebleken dat de netwerken binnen de gemeenten kwetsbaar zijn door de aanwezigheid van verouderde software, verouderde cipher suites en protocollen voor encryptie en het niet gebruiken van de juiste headers. Deze kwetsbaarheden behoeven op korte termijn aandacht.

informatie voor college / GS

-

informatie voor de raad / PS

Gebleken is dat de gemeenteraad maar weinig vragen over het onderwerp informatiebeveiliging en gegevensbescherming stelt. Dit kan een uitvloeisel van de rolopvatting zijn, maar betekent ook dat de raad weinig zicht heeft op de stand van zaken in de uitvoeringspraktijk.

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Door middel van opleiding, training en voorlichting wordt gewerkt aan de bewustwording over informatiebeveiliging en gegevensbescherming.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

De gemeenten stellen niet systematisch informatiebeveiligingsrisicoanalyses op, waarbij ook de informatiebeveiligingsrisico’s met de verbonden partijen worden geïnventariseerd. De gemeenten hebben de risico’s nog niet volledig in kaart gebracht. De meeste verbonden partijen hebben de informatiebeveiligingsrisico’s en beheersmaatregelen wel beschreven.

De gemeenten voeren te weinig penetratietesten uit. Uit de in dit onderzoek uitgevoerde penetratietesten is gebleken dat de netwerken binnen de gemeenten kwetsbaar zijn door de aanwezigheid van verouderde software, verouderde cipher suites en protocollen voor encryptie en het niet gebruiken van de juiste headers. Deze kwetsbaarheden behoeven op korte termijn aandacht.

De serverzones, gebruikerszone en beheerzone dienen verder opgesplitst te worden en het verkeer tussen de interne zones beperkt tot het absoluut noodzakelijke. De procedure voor het patchen dient strikter te worden gehandhaafd om verouderde en kwetsbare software te voorkomen.

Binnen de gemeenten worden niet veel beveiligingsincidenten en datalekken geconstateerd. Ter informatie: in 2019 ontving de AP 4.624 datalekmeldingen vanuit overheidsorganisaties. Een stijging met 27% ten opzichte van 2018

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De gemeenten stellen niet systematisch informatiebeveiligingsrisicoanalyses op, waarbij ook de informatiebeveiligingsrisico’s met de verbonden partijen worden geïnventariseerd. De gemeenten hebben de risico’s nog niet volledig in kaart gebracht. De meeste verbonden partijen hebben de informatiebeveiligingsrisico’s en beheersmaatregelen wel beschreven.

In een groot aantal standaard verwerkersovereenkomsten is het aantonen van een passend niveau van informatiebeveiliging door de verwerkende partij niet ingevuld. Dit maakt sturing en controle op de beveiligingsmaatregelen bij deze verwerkers feitelijk onmogelijk.

In het rekenkamerrapport ‘Beter sturen op digitale dienstverlening‘ is geadviseerd expliciet te sturen op het formuleren van concrete kaders op informatiebeveiliging door verbonden partijen. Aangezien de gemeenten geen sturing of (directe) richtlijnen aan de verbonden partijen geven op het gebied van informatiebeveiliging, is aan dit advies geen invulling gegeven.

In het rekenkamerrapport ‘Grip op samenwerking?’ is aangegeven dat de sturing en controle op samenwerkingsverbanden onvoldoende is. Dit is niet verbeterd. De verantwoording en controle is nog te veel gericht op financiële resultaten.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

is het beleid conform BIO (BIG)

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

wordt voldaan aan de AVG

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen.

budget en personele inzet

-

Sturende rol college / GS

In onze gemeenten en binnen iRvN zijn de professionals zich zeer bewust van deze kwetsbaarheid. De colleges zijn zich hier ook van bewust, maar kunnen en moeten meer doen om de risico’s te verminderen. Hun rol is cruciaal: informatiebeveiliging en privacybescherming zijn ‘Chefsache’, zou je à la Angela Merkel kunnen zeggen. Als zij het belang voortdurend benadrukken, ruimte scheppen en rugdekking bieden aan de medewerkers die ermee bezig zijn, dan maakt dat verschil. De VNG heeft daartoe 10 cruciale bestuurlijke principes voor informatiebeveiliging geformuleerd. Die principes zijn in onze gemeenten in het beleid opgenomen, maar de meeste bestuurders geven aan de principes in de praktijk niet te hanteren.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

betrokkenheid samenwerkende gemeenten

De rekenkamers hebben in het onderzoek vastgesteld dat de gemeenten en iRvN hard werken aan informatiebeveiliging en privacybescherming, maar ook dat er nog veel moet gebeuren om van voldoende beheersing te kunnen spreken. Dat betekent dat de gemeenten kwetsbaar zijn. Ze lopen niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad. Wanneer dergelijke risico’s zich daadwerkelijk voordoen, kunnen deze weer leiden tot het dalen van het vertrouwen in de overheid en tot bestuurlijke of reputatieschade. We willen benadrukken dat de gemeentelijke overheid verantwoordelijk is voor het behartigen en beschermen van die belangen.

In de dagelijkse aansturing in de eigen gemeente zien we dit ook terug in de gang van zaken: er worden weinig besluiten genomen over essentiële zaken als volwassen risicomanagement en de prioritering van risico’s, over concrete doelen en ambities en wat daarvoor (minimaal) nodig is in termen van capaciteit, en er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat. In het verlengde hiervan is in MGR-verband de bestuurlijke aandacht voor iRvN beperkt en wordt informatiebeveiliging door de bestuurders als ‘bedrijfsvoering’ afgedaan. Dat leidt ertoe dat de aansturing (governance) van iRvN ambtelijk wordt opgepakt, vaak zonder dat belangrijke keuzes en afwegingen bestuurlijk worden besproken en vastgesteld. Bestuurders doen er niet alles aan om iRvN in positie te brengen: omdat iRvN niet is ingericht als één gezamenlijke informatiedienst met gemeenschappelijk beleid voor informatiebeveiliging, zijn het dus de gemeenten die iRvN moeten voorzien van beleid op alle belangrijke aandachtsgebieden. Het deels ontbreken daarvan is geen issue op bestuurlijk niveau, zo hebben de rekenkamers vastgesteld.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Op relatief grote afstand van deze dagelijkse gang van zaken staan de gemeenteraden. Dat is niet persé erg, maar de raad moet wel zijn verantwoordelijkheid kunnen waarmaken: als gegevens van inwoners niet veilig zijn en dienstverlening op enig moment in gevaar zou komen, is de gemeenteraad daarop aanspreekbaar. Raadsleden moeten hun controlerende taak kunnen waarmaken. Dat gebeurt nu echt onvoldoende.

werkprocessen monitoren, bewaken en verbeteren

Het organiseren van informatiebeveiliging en privacybescherming moet in organisaties verlopen via de Plan-Do-Check-Act-cyclus. Die PDCA-cyclus is geen onnodig managementjargon, maar een essentiële cyclus die elke organisatie voortdurend moet doorlopen: van beleid, uitvoeringsplannen en concrete maatregelen (Plan), via implementatie en uitvoering (Do), naar toetsen en evalueren (Check) en uiteindelijk verantwoorden en bijsturen (Act). Het onderzoek laat zien dat de gemeenten dit niet goed genoeg doen.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Onze gemeenteraden weten in het algemeen (te) weinig van de staat van de informatiebeveiliging en privacybescherming in hun gemeente. Er zijn lichte verschillen tussen de gemeenten en in elke raad zijn enkele raadsleden die er meer belangstelling voor hebben. Maar de raad als geheel is in geen van onze gemeenten goed in staat om te controleren of de beheersing voldoende is, ook omdat de informatievoorziening vanuit het college daarvoor niet geschikt is. Het is een taak van het college om de raad goed te informeren over de stand van zaken en de risico’s die de gemeente loopt, zo nodig in beslotenheid. Vandaar ook de titel van dit rapport: ‘Weten wat je moet weten’. Dat is geen sinecure, op complexe beleidsterreinen met veel jargon, waar de meeste bestuurders ook niet in zijn gespecialiseerd. Maar het moet en kan echt beter dan nu gebeurt.

organisatie, werkprocessen en uitvoering

In het onderzoek hebben we gewerkt met beoordelingsnormen die aansluiten bij de landelijke kaders. Een cruciaal onderdeel hiervan is dat je als organisatie de landelijke kaders hebt vertaald naar gemeentelijk beleid, en dat je het beleid en belangrijke processen op papier hebt vastgelegd en vastgesteld, up to date houdt en aantoonbaar uitvoert en monitort. Op dit punt zien we dat er nog veel te verbeteren is in onze gemeenten. Dat is een belangrijke verklaring voor de te lage volwassenheidsniveaus. Is het reëel om gemeenten, en zeker kleinere gemeenten, aan die norm te toetsen? Het antwoord daarop is een volmondig ‘ja’. Gemeenten moeten immers aan de wettelijke normen en bestuurlijke afspraken voldoen. Maar misschien nog wel belangrijker: het is in het belang van hun inwoners. Zo hebben de bestuurslagen met elkaar afgesproken dat elke overheid de ongeveer 60 op grond van de BIO noodzakelijke documenten zodanig op orde moet hebben dat de actuele, vastgestelde versies bij wijze van spreken zo uit de kast zijn te trekken. Dat is dus het minste dat wij mogen vragen. Goed gedocumenteerde en vastgestelde processen zijn een voorwaarde voor een goede uitvoering, zowel door de gemeenten als door hun samenwerkingsorganisatie iRvN. Dit vraagt veel menskracht (kwantitatief en kwalitatief) en geld, en die zijn voor elk van onze gemeenten niet onbeperkt. Maar het is een noodzakelijke investering, want als het niet gebeurt is de gemeente kwetsbaar.

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

calamiteiten en risicobeheersing

De eerste stappen in de Plan-Do-Check-Act-cyclus worden wel gezet. Er is overkoepelend beleid op beide terreinen, maar goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal. Op diverse onderdelen is het overkoepelend beleid nader uitgewerkt in de vereiste onderwerpspecifieke beleidsdocumenten op tactisch niveau, maar op veel onderdelen ontbreekt die tactische uitwerking, wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau. De gemeenten kunnen de vereiste 60 documenten niet allemaal aanleveren. Een voorbeeld is dat geen van de gemeenten vastgesteld beleid heeft voor logging en geen van de gemeenten opdracht aan iRvN heeft gegeven voor het controleren van logging van applicaties. Dat is een belangrijk gemis - en daarmee een risico - in het beveiligingsbeleid van de gemeenten. In de uitvoering gebeurt overigens van alles: soms op basis van uitgewerkte plannen en maatregelen (Plan), maar vaak ook zonder dat die documenten er zijn (Do). In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.

bewustwording, kennis en kunde in de organisatie

Op allerlei onderdelen boeken de gemeenten voortgang op deze beide relatief nieuwe beleidsterreinen. We schrijven nadrukkelijk ‘relatief’ nieuw, want gemeenten moeten al enkele jaren voldoen aan belangrijke wetgeving (AVG en voorlopers) en bindende afspraken tussen overheden (BIO en daarvoor de BIG). De gemeenten richten zich op alle aandachtsgebieden van de BIO en de AVG, en spannen zich in om de personele inzet op deze terreinen op peil te brengen en te houden. Ook wordt er in alle gemeenten gewerkt aan bewustwording van de risico’s en de eigen verantwoordelijkheid van medewerkers. Dat is ook nodig, want de IBD waarschuwt niet voor niets in het meest recente Dreigingsbeeld dat de interne, onbedoelde handelingen de belangrijkste bedreiging vormen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Al met al zijn die inspanningen nog niet genoeg om volledig en aantoonbaar aan de normen op beide terreinen te voldoen. Op basis van het onderzoek maken de onderzoekers de inschatting dat de gemeenten zich ergens tussen volwassenheidsniveau 1,5 en 2 bevinden, zowel voor informatiebeveiliging als voor privacybescherming. Alleen voor Nijmegen schatten de onderzoekers het volwassenheidsniveau voor privacybescherming hoger: tussen de 2 en 3. Zoals aangegeven is voor iRvN alleen een inschatting gemaakt van het volwassenheidsniveau voor informatiebeveiliging. Dit ligt rond niveau 2. Deze schattingen zijn gebaseerd op een totaaloordeel over alle 15 aandachtsgebieden van het NBA-LIO en NOREA-volwassenheidsmodel (voor informatiebeveiliging) en alle 13 thema’s uit de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming (voor privacybescherming). Om volledig en aantoonbaar in control te zijn, moeten de organisaties over de volle breedte minimaal op volwassenheidsniveau 3 zitten. Dat is voor geen van de gemeenten aan de orde. Overigens geldt voor de meeste gemeenten in Nederland dat ze nog niet op volwassenheidsniveau 3 (of hoger) zitten.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het huidige informatiebeveiligingsbeleid is opgezet volgens de normen van de BIG. Het integrale beleid is door het college van B&W vastgesteld en publiek gemaakt. Het beleid is risico-gebaseerd. De governance is in termen van draagvlak bij de top van de organisatie goed geregeld; dat wordt door een visitatiecommissie van de VNG bevestigd. De chief information officer (CIO) maakt deel uit van de directie. Opmerkelijk is dat de CIO tevens chief information security officer (CISO) is, een functie die het directielid deelt met de coördinator informatiebeveiliging.

Het informatiebeveiligingsbeleid van Zoetermeer is conform de BIG voor drie jaar vastgelegd; de huidige periode loopt eind 2017 af. Er is nog geen nieuw beleid geformuleerd. De verwachting is dat het huidige beleid, met een check op aanpassingen, nog met een jaar zal worden verlengd.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

De gemeente moet per 25 mei 2018 voldoen aan de Algemene Verordening Gegevensbescherming (AVG) van de EU. Daartoe heeft de gemeente vanaf oktober 2017 een privacyfunctionaris aangesteld. Boven deze functionaris komt de (verplichte) functionaris gegevensbescherming. Deze functionaris moet aansluiten bij het Informatie Management Overleg – dat dan het besluitvormende orgaan voor privacy- en informatiebeveiligingsaangelegenheden wordt.

budget en personele inzet

-

Sturende rol college / GS

Het huidige informatiebeveiligingsbeleid is opgezet volgens de normen van de BIG. Het integrale beleid is door het college van B&W vastgesteld en publiek gemaakt.

De raad toont geen structurele aandacht voor informatiebeveiliging. Het college vindt het ook niet nodig om deze aandacht te voeden of te vragen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De raad toont geen structurele aandacht voor informatiebeveiliging. Het college vindt het ook niet nodig om deze aandacht te voeden of te vragen.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De gemeente voert periodiek beveiligingsaudits en zelfevaluaties uit. Eventuele verbeteracties die daaruit voortkomen, worden door de vakafdelingen opgepakt.

De gemeenteraad krijgt niet gerapporteerd over de controles op informatiebeveiliging, behalve de ICT audit van de accountant die in het accountantsverslag is opgenomen.

Checks - Audits - Evaluatie - Risicoanalyse

De gemeente Zoetermeer is aangesloten bij de informatiebeveiligingsdienst voor gemeenten (IBD) tot en met stap 3, het doorgeven aan de IBD van de bij de gemeente in gebruik zijnde IPadressen en URL’s. Stap 4, het aanleveren van de foto van de software en de hardware, is nog niet gezet. Dit betekent dat Zoetermeer – anders dan tweederde van de gemeenten – geen kwetsbaarheidsmeldingen van de IBD krijgt die specifiek zijn toegesneden op de eigen situatie.

informatie voor college / GS

-

informatie voor de raad / PS

De gemeenteraad krijgt niet gerapporteerd over de controles op informatiebeveiliging, behalve de ICT audit van de accountant die in het accountantsverslag is opgenomen.

organisatie, werkprocessen en uitvoering

De algemene indruk is dat de informatiebeveiliging technisch goed op orde is en voldoende aandacht van de top van de organisatie krijgt. Tegelijkertijd is de organisatiecultuur vooral gericht op ‘doen’ en minder op het schriftelijk vastleggen. De menselijke factor wordt – terecht – als zwakke schakel gezien.

Het huidige informatiebeveiligingsbeleid is opgezet volgens de normen van de BIG. Het integrale beleid is door het college van B&W vastgesteld en publiek gemaakt. Het beleid is risico-gebaseerd. De governance is in termen van draagvlak bij de top van de organisatie goed geregeld; dat wordt door een visitatiecommissie van de VNG bevestigd. De chief information officer (CIO) maakt deel uit van de directie. Opmerkelijk is dat de CIO tevens chief information
security officer (CISO) is, een functie die het directielid deelt met de coördinator informatiebeveiliging.

calamiteiten en risicobeheersing

Technisch zijn de ICT en de informatiebeveiliging op orde. De organisatie weet vrij goed te reageren op incidenten en noodsituaties. In 2016 is besloten om met het oog daarop een Computer Emergency Response Team (CERT) op te zetten. Het crisisbeheersingsbeleid is nog in ontwikkeling.

bewustwording, kennis en kunde in de organisatie

De kwetsbare schakels in de informatiebeveiliging zijn de menselijke factor en de inschakeling van externe partijen, bijvoorbeeld op het sociaal domein. Het is cruciaal dat door de hele organisatie heen het belang van informatieveiligheid wordt onderkend en dat middenmanagement en medewerkers daarnaar handelen, ook als het gaat om het uitbesteden van werkzaamheden aan derde partijen. Het toekennen van toegangsrechten tot applicaties kan nog worden aangescherpt – bijvoorbeeld met het oog op aanpassingen van autorisaties bij functiewijzigingen; een overall autorisatiebeleid op gemeentelijk niveau ontbreekt nog.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

De gemeente Zoetermeer is aangesloten bij de informatiebeveiligingsdienst voor gemeenten (IBD) tot en met stap 3, het doorgeven aan de IBD van de bij de gemeente in gebruik zijnde IPadressen en URL’s. Stap 4, het aanleveren van de foto van de software en de hardware, is nog niet gezet. Dit betekent dat Zoetermeer – anders dan tweederde van de gemeenten – geen kwetsbaarheidsmeldingen van de IBD krijgt die specifiek zijn toegesneden op de eigen situatie.

inschakeling externen, (keten)partners én controle

De kwetsbare schakels in de informatiebeveiliging zijn de menselijke factor en de inschakeling van externe partijen, bijvoorbeeld op het sociaal domein. Het is cruciaal dat door de hele organisatie heen het belang van informatieveiligheid wordt onderkend en dat middenmanagement en medewerkers daarnaar handelen, ook als het gaat om het uitbesteden van werkzaamheden aan derde partijen. Het toekennen van toegangsrechten tot applicaties kan nog worden aangescherpt – bijvoorbeeld met het oog op aanpassingen van autorisaties bij functiewijzigingen; een overall autorisatiebeleid op gemeentelijk niveau ontbreekt nog.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-