wat niet weet, maar wel deert
belang informatiebeveiliging neemt toe door decentralisaties
Sinds de decentralisaties in het sociaal domein heeft de gemeente Lansingerland meer (bijzondere) persoonsgegevens in beheer. Steeds meer informatie wordt digitaal opgeslagen, overgedragen en aan elkaar gekoppeld. Het belang om de informatiebeveiliging op orde te hebben en weerbaar te zijn tegen dreigingen als cybercrime, is als gevolg van deze ontwikkelingen aanzienlijk toegenomen. Naar aanleiding hiervan heeft de rekenkamer onderzoek gedaan naar de informatiebeveiliging bij de gemeente Lansingerland, onder andere door middel van een penetratietest en een beoordeling van de beveiliging van drie applicaties die vaak worden gebruikt in het sociaal domein.
gevoelige gegevens niet veilig bij gemeente
Uit het onderzoek van de rekenkamer blijkt dat gevoelige informatie, zoals (bijzondere) persoonsgegevens, over het algemeen onvoldoende in veilige handen is bij de gemeente. Digitale informatiesystemen zijn onvoldoende beveiligd voor aanvallen van binnenuit. Ook de beveiliging van drie applicaties, die vaak worden gebruikt in het sociaal domein, schiet te kort. De fysieke beveiliging van de kantoorlocatie faalt en is er te weinig ‘social & security awareness’ bij medewerkers. Beveiligingsmaatregelen volgen niet uit systematische en actuele risicoanalyses, hoewel het beleid van de gemeente deze analyses wel voorschrijft. Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, misbruik van publieke middelen en ‘datalekken’. Hierdoor kan de effectiviteit van gemeentelijk beleid en het vertrouwen in de overheid onder druk komen te staan.
veiligheidsrisico’s centraal
De personele en financiële capaciteit voor informatieveiligheid wordt, in navolging van het gemeentelijke beleid, ingezet voor de implementatie van bepaalde beveiligingsnormen die slechts een basisniveau van beveiliging garanderen. Voor 75 applicaties, waaronder de drie applicaties die vaak worden gebruikt in het sociaal domein, geeft dit beveiligingsniveau echter onvoldoende bescherming tegen misbruik of verlies van data. De rekenkamer heeft onder meer aanbevolen om veiligheidsrisico’s, in plaats van beveiligingsnormen, centraal te stellen bij de inrichting van de informatiebeveiliging. Ook heeft de rekenkamer aanbevolen om alle in het onderzoek aangetoonde kwetsbaarheden in de beveiliging, te dichten.
