Ze zette haar kop koffie neer terwijl ze de boodschap verwerkte. “Zijn we echt voorbereid?” vroeg ze zich af, reflecterend op de berg aan procedures en protocollen die haar team had uitgerold.
Laten we voor Pauline hopen van wel. 🤞
Elke Nederlandse gemeente kan onder de loep worden genomen door de Rekenkamer. Na een grondige analyse van een tiental rekenkamerrapporten uit de afgelopen jaren, belichten we in dit artikel de meest voorkomende zwakheden in informatieveiligheid en privacy binnen Nederlandse gemeenten. Ook geven we tips over hoe jouw gemeente zich kan voorbereiden op een dergelijk onderzoek.
Analyse rekenkamer rapporten
In de afgelopen jaren hebben rekenkamers in Nederland steeds vaker aandacht besteed aan informatieveiligheid en privacy. Intrigerend is dat uit deze rapporten een opvallende trend naar voren komt, die een duidelijk beeld schetst van wat er goed gaat en waar verbeteringen noodzakelijk zijn.
Een rekenkameronderzoek – Wat kan je verwachten?
Het proces voor het uitvoeren van een rekenkamerrapport betreffende informatieveiligheid en privacy varieert. Rekenkamerrapporten worden zowel intern door de rekenkamer zelf opgesteld, als extern door ingeschakelde specialisten of organisaties (zoals: Hoffmann, Secura, PBLQ, KPMG, etc.), afhankelijk van de behoeften en capaciteiten van de rekenkamer.
Elk onderzoek begint met het vaststellen van de doelstellingen en de scope. Hoewel iedere rekenkamer of externe partij het op haar eigen manier formuleert, is het primaire doel van een onderzoek het evalueren van de doelmatigheid en doeltreffendheid van de informatieveiligheid binnen de gemeente. Dit wordt vaak beoordeeld op basis van diverse deelvragen, waaronder: de doelen en het beleid van de gemeente op het gebied van informatieveiligheid, naleving van wetgeving, controleerbaarheid van maatregelen, de continuïteit van informatiesystemen, beschikbaarheid van adequate middelen, de kwaliteit van de digitale en fysieke beveiligingsinfrastructuur en het risicomanagement. Ook wordt de mate van toegankelijkheid van systemen voor onbevoegden beoordeeld.
Verder wordt geanalyseerd of ambtenaren en medewerkers voldoende bewust zijn van de risico’s en regels op het gebied van informatieveiligheid en privacy en of ze conform deze regels handelen. Ook de lopende ontwikkelprojecten op het gebied van informatieveiligheid binnen de gemeente worden onderzocht.
Het is belangrijk om te benoemen dat elke onderzoeksvraag en scope zal variëren afhankelijk van de specifieke behoeften en context van de gemeente in kwestie.
Wat gaat er goed?
Na het zorgvuldig bestuderen van een reeks rekenkamerrapporten, komen bepaalde herhalende trends aan het licht. Laten we eerst kijken naar wat er wel goed gaat binnen de Nederlandse gemeenten.
Actueel beleid: Over het algemeen lijken de gemeenten een actueel en solide informatiebeveiligingsbeleid te hebben, gekoppeld aan een vaak even doordacht privacybeleid. Om dit te ondersteunen hebben de meeste gemeenten ook processen en protocollen gestroomlijnd en geoptimaliseerd. Zo geeft het IB&P onderzoeksrapport van de organisatie Hoffmann over de gemeente Helmond het volgende aan: “De gemeente beschikt over een toereikend informatiebeveiligingsbeleid en zij heeft een start gemaakt naar de praktische en operationele werking in de praktijk.” Deze trend komt ook in het volgende rapport naar voren: “Uit het onderzoek blijkt dat het informatiebeveiligingsbeleid en de organisatie rondom informatieveiligheid bij de gemeenten in opzet op orde is. De meeste verbonden partijen hebben een informatiebeveiligingsbeleid opgesteld dat periodiek wordt bijgesteld.” (De Rekenkamercommissie (RKC) Wassenaar, Voorschoten, Oegstgeest en Leidschendam-Voorburg (WVOLV, 2021)
Technische beveiliging: Gemeenten lijken over het algemeen ook te voldoen aan de technische normen voor informatiebeveiliging. Dit betekent dat ze systemen en technologieën hebben geïmplementeerd die bedoeld zijn om gevoelige informatie te beschermen tegen bedreigingen. “In het algemeen kan worden gesteld dat de gemeente processen en informatiesystemen beveiligd heeft conform de geldende normenkaders (specifiek de BIO)” aldus de rekenkamercommissie gemeente Hardenberg (2022).
Proactieve planning en verbetering: Gemeenten nemen ook proactieve stappen om hun informatieveiligheid te verbeteren. Dit uit zich in de ontwikkeling van jaarplannen en verbeterplannen, evenals in concrete voornemens om beveiligingsmaatregelen te verbeteren en te versterken. “Daar waar verbeteringen mogelijk zijn in het nemen van beveiligingsmaatregelen, heeft de gemeente deze over het algemeen geborgd in jaar- en verbeterplannen, in lopende acties of in concrete voornemens.” (Rekenkamer commissie Hardenberg, 2022)
Waar valt er nog winst te behalen?
Hoewel de eerste indruk positief lijkt, met betrekking tot de waarborging van informatieveiligheid en privacy binnen Nederlandse gemeenten, biedt de realiteit een complexer beeld. Er is nog aanzienlijke ruimte voor verbetering, met name op het gebied van bewustwording en implementatie.
In het merendeel van de rapporten komt naar voren dat er een gebrek aan bewustwording is inzake informatieveiligheid en privacy onder de medewerker. “Medewerkers weten vaak niet hoe ze veilig om moeten gaan met informatie en zijn zich niet bewust van de risico’s van cyberaanvallen.” (Rekenkamer Nijmegen, 2020) Veel gemeenten erkennen dat het vergroten van het bewustzijn en de training van medewerkers een voortdurend aandachtspunt is. Het gaat hierbij niet alleen om bewustzijn van informatieveiligheid en privacybeleid, maar ook om praktijken en gedrag dat die beleidslijnen ondersteunt. Ook in het Utrechtse rekenkameronderzoek (2021) komt dit naar voren: “Uit de mail-phishing test blijkt dat een aanzienlijk deel van de medewerkers (16-19%) niet altijd bewust omgaat met informatieveiligheid. Ook lijken medewerkers niet altijd te weten hoe zij bij beveiligingsproblemen en -incidenten moeten handelen.” Gemeenten zijn hier dus veelal van op de hoogte, zo blijkt ook uit het rekenkamerrapport van Doetinchem (2023): “De gemeente heeft aangegeven dat het voornamelijk de mens is die beveiligingsincidenten veroorzaakt, niet de techniek. Daarom heeft de gemeente ingezet op bewustwording van de medewerkers. Er is een bewustwordingscampagne uitgevoerd en medewerkers zijn getraind.”
Hoe kan het dan dat Nederlandse gemeenten op dit gebied ondermaats presteren, ondanks dat de meeste van hen wel bewust zijn van het feit en over een awareness programma beschikken?
Wat gaat er mis?
Het doorspitten van de rapporten onthult verschillende onderliggende redenen:
- Onvoldoende topdown-borging van Informatiebeveiliging & Privacy (IB&P): Beleid en richtlijnen doordringen niet altijd tot de werkvloer.
- Onvoldoende (effectieve) beleidscommunicatie: Medewerkers zijn vaak onvoldoende op de hoogte van de gedragsrichtlijnen.
- Onheldere taak- en verantwoordelijkheidsverdeling: Dit leidt tot verwarring en onduidelijkheid over de rol en verantwoordelijkheden van medewerkers.
- Onvoldoende bewustwording: Medewerkers missen vaak inzicht in de ernst en reikwijdte van cyberaanvallen.
- Onvoldoende zicht op veilig handelen: Het is vaak onduidelijk hoe veilig medewerkers in de praktijk handelen.
- Geringe digitale vaardigheden: Technologische ontwikkelingen stellen nieuwe eisen aan de vaardigheden van medewerkers.
Een cruciale nuancering is nodig bij het interpreteren van deze bevindingen. De rapporten belichten namelijk ook frequent personeelstekorten die een extra belasting leggen op huidige medewerkers, waardoor de menselijke kant van informatieveiligheid en privacy vaak onvoldoende aandacht krijgt, zowel binnen de IB&P-afdeling als op de werkvloer. Daarnaast zijn veel van deze onderzoeken uitgevoerd tijdens de corona periode, een tijd waarin een snelle overgang naar thuiswerken noodzakelijk was. Deze veranderde werkomstandigheden brachten nieuwe risico’s en uitdagingen met zich mee, die de informatieveiligheid en privacy verder onder druk zetten.
Desondanks blijft de aanhoudende trend een urgent vraagstuk. Het is een probleem dat snel en adequaat aangepakt moet worden, willen we dat onze gemeenten robuust en weerbaar zijn in het digitale landschap, persoonsgegevens adequaat beschermd blijven en burgers vol vertrouwen gebruik kunnen maken van de gemeentelijke dienstverlening.
Goed voorbereid op een aanstaand rekenkameronderzoek?
Voel je je al volledig voorbereid? Geweldig, lekker bezig! Als er nog onzekerheden zijn, kan onze Aanpak Digitale Intuïtie wellicht uitkomst bieden. Deze integrale aanpak is gericht op het realiseren van een diepgaande cultuur- en gedragsverandering binnen je organisatie. Door gedragsmetingen, interactieve leerconcepten, leiderschapscoaching en gerichte communicatieacties, streven we samen naar duurzame verandering en bewustwording.
We bieden oplossingen op maat, passend bij de cultuur, ambities en het huidige weerbaarheidsniveau van jouw organisatie. Of je nu zelf de leiding wilt nemen over de veranderprogramma’s met onze begeleiding, of volledig ontlast wilt worden door ons team van ervaren consultants, wij staan klaar om te helpen.
Als je wilt brainstormen of vragen hebt over een (aanstaand) rekenkameronderzoek, neem dan contact op met Evert, onze senior cyber consultant!
