In de gemeente Dronten wordt te weinig urgentie gevoeld voor privacy en informatieveiligheid. Eén op de tien medewerkers trapte in een door de gemeente phishingmail.
De conclusie dat de urgentie voor privacy en informatieveiligheid maar beperkt wordt gevoeld in het gemeentehuis van Dronten trekt de plaatselijke rekenkamer in een vorige week gepresenteerd onderzoek.
Capaciteitstekort
Eigenlijk, zo constateren de onderzoekers, speelt het euvel al van ver voor de invoering van de verscherpte regelgeving in Algemene Verordening gegevensbescherming (AVG) in mei 2018: afgesproken beleid op dat vlak kwam niet van de grond door ‘capaciteitstekort en ingewikkeldheid van het vraagstuk.’ Pas nadat de raad er in juni 2016 naar vroeg, werd er werk van gemaakt. Maar nog steeds ontbreekt een gemeentebreed privacybeleid. Dat zou er begin 2019 hebben moeten liggen.
Late start
Andere signalen dat urgentie maar beperkt wordt gevoeld, ziet de rekenkamer in het feit dat de voorbereidingen op de AVG pas laat van start gingen: een kleine drie maanden van tevoren werd een externe adviseur aangetrokken om te ondersteunen in de voorbereidingen. Dat leidde er volgens de onderzoekers toe dat ook na de inwerkingtreding Functionaris Gegevensbescherming aangetrokken, maar de werkzaamheden van deze FG kostten meer tijd dan van tevoren bedacht.
Phishing
Daarnaast is het niet al te best gesteld met het privacybewustzijn van medewerkers. Zo rondde slechts 28,5 procent van de ambtenaren een e-learning module over privacy af. Misschien nog wel opvallender is dat nog niet de helft van de medewerkers (44 procent) de moeite nam in te loggen op de module. De onderzoekers melden dat een test met phishing mail, die probeert de ontvanger te verleiden om gegevens in te vullen onder valse voorwaarden, door één op tien ambtenaren niet werd herkend: zij lieten desgevraagd gegevens achter.
Veelzeggend voor de geringe belangstelling voor privacy en informatieveiligheid is volgens de rekenkamer ook dat nog niet één op de drie medewerkers een enquête in het kader van dit rekenkameronderzoek invulden.
Sleutels
Ook in de praktijk bleek de alertheid te wensen over te laten. Toen de onderzoekers een dagdeel op de afdeling van het sociaal domein werkten, viel op dat er weliswaar met sleutels afsluitbare kasten beschikbaar op de afdeling waren, maar dat die niet allemaal op slot zaten. In sommige kasten zat de sleutel er zelfs nog in, terwijl de desbetreffende kamer niet werd gebruikt.
Tijdelijk prioriteit
De rekenkamer constateert dat in de organisatie het gevoel van eigenaarschap voor bepaalde processen of handelingswijzen soms niet aanwezig is. De aanbeveling aan het college is daar op verschillende niveaus aan te werken. ‘Geef privacy en informatieveiligheid tijdelijk prioriteit, zodat iedereen zich verantwoordelijk gaat voelen voor de thema’s’, aldus de rekenkamer. Indirect pleiten ze ook voor uitbreiding van het aantal uren voor de functionaris gegevensbescherming. ‘Er is voor 0,2 fte een FG aangesteld, maar de taken van de FG vragen om meer tijd.’
Bron: BinnenlandsBestuur digitaal