Inloggen Geen profiel? Registreer hier.

Zorgen over informatiebeveiliging bij gemeente Ridderkerk

22/09/2020

Rekenkamer vindt dat gevoel van verantwoordelijk onvoldoende doorwerkt in de rest van de organisatie.

De beveiliging van de informatie op het gemeentehuis van Ridderkerk laat nog veel te wensen over. Onderzoek van de plaatselijke rekenkamercommissie legt tal van onnodige kwetsbaarheden bloot.

Dat blijkt uit het rekenkamerrapport Informatie in goede handen. De onderzoekers deden onder ambtenaren van Barendrecht, Albrandswaard en Ridderkerk – de gemeenten werken ambtelijk samen in de BAR-organisatie – een nulmeting over het bewustzijn van informatieveiligheid. Een van de bevindingen was dat ruim een kwart van hen zijn of haar wachtwoord op een briefje bewaart. En bijna één op de drie leent dat wachtwoord wel eens aan een collega uit. Bijna de helft van de respondenten geeft aan geen idee te hebben wat een datalek is of wanneer sprake is van vertrouwelijke informatie.  

Verantwoordelijkheidsgevoel

Op strategisch/tactisch niveau – de chief information security officer en de functionaris gegevensbescherming en privacy officer) – is er volgens de rekenkamer wel sprake van een groot verantwoordelijkheidsgevoel ten aanzien van informatieveiligheid, ‘maar dit werkt onvoldoende door in de rest van de organisatie.’

Probleem is dat er maar één chief information security officer (CISO), is terwijl er zowel een technisch als organisatorisch CISO voorzien was. En de functionaris gegevensbescherming heeft uiteindelijk maar een kleine rol, want die wordt voor 0,2 fte ingehuurd. Het is goed dat er zowel medewerkers voor privacy als voor informatiebeveiliging in dienst zijn, en actief in de centrale organisatie.

Te veel taken

Het advies van de rekenkamer aan het college van burgemeester en wethouders van Ridderkerk is om de zogeheten I-organisatie op orde te brengen. ‘Op dit moment zijn te veel taken belegd bij de CISO en de Privacy Officer. Dat is om meerdere redenen kwetsbaar: vanuit het oogpunt van vervangbaarheid, maar ook omdat daarmee een aanspreekpunt/verantwoordelijke op de afdelingen ontbreekt. Vanuit de CISO en de Privacy Officer komt het signaal dat zij taken niet kwijt kunnen op de afdelingen’, aldus de rekenkamer. Gepleit wordt voor het uitbouwen van de organisatiestructuur met information security officers op de afdelingen.

Externe controle

Verder raadt de rekenkamer het college aan om in kaart te brengen welke processen door automatisering veiliger zouden moeten worden. Daarnaast krijgt het college het advies een externe partij tweejaarlijks de staat van informatiebeveiliging te laten controleren. De controles die op dit moment zijn ingericht op de informatiebeveiliging, zijn zelfaudits.

Dit artikel is geschreven door Hans Bekker en eerder gepubliceerd op de website van Binnenlands Bestuur.