Quick scan digitale veiligheid
Informatieveiligheid bij gemeenten is verscherpt op het netvlies gekomen na crises als de hack bij DigiNotar en Lektober. Wat gebeurt er bijvoorbeeld als gevoelige informatie op straat komt te liggen? Of als de digitale dienstverlening aan burgers niet meer mogelijk is? Naast financiële, juridische en technische gevolgen, kunnen deze crises het imago van de gemeente en de privacy van de burgers aantasten. De genoemde crises hebben aangetoond dat gemeenten kwetsbaar kunnen zijn. Om de informatieveiligheid bij gemeenten te verbeteren, hebben Rijk en gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) opgesteld. Er is sprake van zogenaamde 'verplichte zelfregulering'. Dat betekent dat gemeenten zelf aan zet zijn. De rekenkamer Lelystad heeft eind 2015 / begin 2016 kort onderzoek gedaan naar de stand van zaken op het gebied van digitale veiligheid in de gemeente Lelystad.
Digitale veiligheid op strategisch en tactisch niveau in orde
De overkoepelende conclusie van de rekenkamer is, dat college en management van gemeente Lelystad op strategisch en tactisch niveau voldoende sturen op de implementatie van de afspraken uit de BIG. Ook in vergelijking met vier gemeenten, waar onze onderzoeker informatieveiligheid eerder heeft onderzocht, doet Lelystad het op papier goed. De rekenkamer merkt echter wel op dat voldoen aan de normen van de BIG op zich niet persé betekent, dat er geen informatiebeveiligingrisico’s meer zijn. Zo kunnen onvolkomenheden op operationeel niveau invloed hebben op de informatiebeveiliging van de gemeente Lelystad. Echter, het voldoen aan de BIG is een grote stap in de goede richting. Wel is het nodig om informatiebeveiliging niet meer uitsluitend te zien als bedrijfsvoeringsaangelegenheid. En de Lelystadse raad wordt te summier geïnformeerd over digitale veiligheid in de gemeentelijke organisatie.
Aanbeveling: verbeter rapportage aan de raad
De rekenkamer beveelt de raad daarom aan informatieveiligheid aan te laten merken als een kritieke succesfactor voor de gemeentelijke beleidsuitvoering en dienstverlening. Een kritieke succesfactor is een kenmerk van de organisatie of van de omgeving, dat essentieel is voor de levensvatbaarheid en het succes van die organisatie. Dat kan zowel positief als negatief zijn. In hoofdzaak gaat het erom dat iets zo belangrijk is dat de organisatie er extra aandacht aan moet besteden. Dit kan bijdragen aan een bredere bewustwording, dat er wel degelijk politieke en bestuurlijke aspecten kleven aan kwesties omtrent informatieveiligheid.
De rekenkamer beveelt de raad daarnaast aan met het college te overleggen over de terugkoppeling die de raad periodiek zou moeten krijgen over planning, uitvoering en realisatie op het gebied van informatieveiligheidsbeleid. De rekenkamer adviseert de raad in ieder geval duidelijk te besluiten wanneer en met welke frequentie hij periodieke terugkoppeling verwacht (inclusief deadlines) en welke inhoudelijke informatie op zijn minst daarin opgenomen moet zijn. De raad kan onder andere vragen om kerngegevens zoals het aantal ernstige en minder ernstige incidenten op het gebied van informatiebeveiliging, de opvolging die is gegeven aan (ernstige) incidenten, de uitkomsten op hoofdlijnen van audits en zelftesten, in welke mate de uitkomsten hiervan opgevolgd en afgedaan zijn, enzovoort.