Rekenkameronderzoek informatieveiligheid

Digitale veiligheid en dataveiligheid is voor D66 een belangrijk onderwerp. Dat is het altijd al geweest. Gezien de digitalisering van de samenleving neemt het belang van goede en adequate informatiebeveiliging toe. De digitale toekomst is aan ons. We kunnen de kansen van de digitale wereld gebruiken om de samenleving sterker te maken, eerlijk en binnen de wettelijke kaders. Digitale- en dataveiligheid is daarmee geen vinkje, maar behoeft regie en sturing. Vanuit het Rekenkameronderzoek dat we vanavond bespreken vraagt het om een digitaal weerbare en veilige overheid en een integrale aanpak op techniek, organisatie en mens.

Het is goed om te lezen dat de bewustwording en risicobewustzijn binnen de organisatie aanwezig is en groeit en dat het college en de directie het belang van informatieveiligheid breed uitdragen. En dat er de afgelopen jaren serieuze stappen zijn gezet. Zoals het opstellen van strategisch beleid en het vastleggen van verantwoordelijkheden. Ook de inspanningen om ‘in control’ te komen nemen toe. Toch is meer nodig om te voldoen aan verplichtingen uit de Europese en landelijke wet- en regelgeving op het gebied van informatiebeveiliging en privacy. Dit geldt zowel voor de huidige normen als voor de binnenkort verhoogde eisen, zoals die van de NIS2-richtlijn.

En dat laatste is wel zorgelijk. Want hoewel dus op onderdelen de urgentie toeneemt, lijkt het in de organisatie zelf – op tactisch en operationeel niveau en dé plek waar de meeste data wordt behandeld – nog onvoldoende urgent en, ik quote, ‘is het risicobewust zijn veel te laag’ en ‘voldoen we slechts gedeeltelijk aan de gestelde normen.’ De rekenkamer doet een aantal goede aanbevelingen die grotendeels door het college ook herkend of zelfs al opgepakt zijn. Als reactie op de aanbeveling om een volwaardige CISO functionaris aan te stellen, wil het college eerst het bestaande ontwikkeltraject afronden voor te besluiten tot een extra fte. Begrijpelijk op zich, maar inhoudelijk gaat de aanbeveling over het onafhankelijk functioneren van de lijnorganisatie. Waarom dat nu niet opgepakt wordt krijgt geen concrete toelichting. Die horen we wel graag van de wethouder.

Een vergelijkbare vraag hebben we bij de aanbeveling over het versterken van risicobewustzijn en eigenaarschap. Het college zegt in haar reactie dat de e-learning voor informatieboekjes werken niet voor alle medewerkers verplicht gaat gelden, maar dat voor bepaalde medewerkers een andere aanpak wordt gekozen. Voor ons is het belangrijk dat elke medewerker eigenaarschap voelt op dit onderwerp. Kan het college garanderen dat dit met de genoemde differentiatie zeker het geval is? Ook zijn we nieuwsgierig of er wordt samengewerkt met of onderling geleerd van de partners in SSC-ONS, daar zien wij ook een zinvolle toevoeging aan de veiligheid.

We vergelijken de dataveiligheid van de gemeente Zwolle met het stadskantoor, waar onlangs alle sloten zijn vervangen en waar moderne alarmsystemen zijn geïnstalleerd. De gebruikers – lees: medewerkers – moeten alleen nog wennen aan het juiste gebruik van alle sloten en codes, terwijl de installateur – de CISO – niet de volledige tijd en autoriteit heeft om alle veiligheidsgaten te dichten.  
 
De noodzaak is duidelijk: beleid moet worden omgezet in structurele, aantoonbare uitvoering en gedragsverandering om de reële risico’s het hoofd te bieden.