in onveilige handen
Sinds de decentralisaties in het sociaal domein heeft de gemeente Rotterdam meer (bijzondere) persoonsgegevens in beheer. Steeds meer informatie wordt digitaal opgeslagen, overgedragen en aan elkaar gekoppeld. Het belang om de informatiebeveiliging op orde te hebben en weerbaar te zijn tegen dreigingen als cybercrime, is als gevolg van deze ontwikkelingen aanzienlijk toegenomen. Naar aanleiding hiervan en van een motie van de gemeenteraad heeft de rekenkamer onderzoek gedaan naar de informatiebeveiliging bij de gemeente Rotterdam, o.a. door middel van een penetratietest en een beoordeling van de beveiliging van vijf belangrijke applicaties.
Uit het onderzoek van de rekenkamer blijkt dat gevoelige informatie, zoals (bijzondere) persoonsgegevens, over het algemeen onvoldoende in veilige handen is bij de gemeente Rotterdam, ondanks dat de gemeente op papier wel adequaat beleid en organisatie voor de informatiebeveiliging heeft opgesteld. De gemeente schiet echter tekort in de uitvoering daarvan. Digitale informatiesystemen zijn onvoldoende beveiligd voor aanvallen van binnenuit, de fysieke beveiliging van meerdere kantoorlocaties schiet tekort en er is te weinig ‘social & security awareness’ bij medewerkers. Het niet volgen van de voorgeschreven PDCA-cyclus en het feit dat de beveiligingsmaatregelen niet volgen uit systematische en actuele risicoanalyses, illustreren het tekort aan centrale sturing.
Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, fysieke onveiligheid van politiek-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen. De rekenkamer constateert daarnaast dat er grote verschillen bestaan tussen de kwaliteit van informatiebeveiliging van afzonderlijke systemen. Ook hier ontbreekt het aan centrale sturing.
De rekenkamer heeft onder meer aanbevolen in te zetten op een krachtige centrale sturing op informatiebeveiliging en alle in het onderzoek aangetoonde kwetsbaarheden in de beveiliging, te dichten.
