Op 1 november ontving RTV Hattem een persbericht van de gemeente met betrekking tot het Rekenkamerrapport informatiebeveiliging en bescherming van persoonsgegevens. De samenwerkende rekenkamers van de gemeenten Elburg, Hattem, Nunspeet, Oldebroek en Putten (‘de rekenkamer’) hebben de informatiebeveiliging en bescherming van persoonsgegevens in de vijf gemeenten onderzocht.
Een belangrijke conclusie, aldus het persbericht, is dat de veiligheid beleidsmatig op orde is. Het onderzoek maakt niet duidelijk of de gemeenten kijken in hoeverre de beleidsdoelen ook daadwerkelijk worden behaald. De rekenkamer doet aanbevelingen en twee daarvan legden we aan het college van B&W voor met de vraag om deze concreet maken.
Aanbeveling 1: De rekenkamer beveelt aan om intern meer gezamenlijk en opgavegericht samen te werken. Interne sturing en controle op dit thema zijn complex ingericht binnen de gemeenten. Hierdoor verloopt de uitvoer van maatregelen en de controle daarop moeizaam.
Reactie van het college: ‘Informatieveiligheid krijgt steeds meer aandacht bij aanbestedingstrajecten en wijzigingsvoorstellen, waarbij voorafgaand een risicoanalyse op het proces wordt uitgevoerd en op basis van de risico-inschatting die daarop volgt de juiste set van beveiligingsmaatregelen wordt geselecteerd. Omdat alle maatregelen gekoppeld zijn aan een uitvoeringsverantwoordelijke is het ook meteen inzichtelijk welke eisen wij vanuit de gemeente stellen aan (nieuwe) leveranciers. Veelal vragen wij van (nieuwe) leveranciers of ze voldoen aan geldende wet- en regelgeving ten aanzien van informatieveiligheid en zo ja, hoe daar invulling aan wordt gegeven door de leverancier. Voor livegang van nieuwe producten/diensten van leveranciers, wordt door de CISO (Een central information security officer is een functionaris binnen een organisatie die verantwoordelijk is voor het informatiebeveiligingsbeleid, red.) getoetst of wordt voldaan aan de geselecteerde beveiligingsmaatregelen die vooraf als eis zijn aangedragen. Dat beperkt zich niet alleen tot de beveiligingsmaatregelen die we aan de (nieuwe) leverancier hebben voorgelegd, maar ook de met name meer procedureel gerichte maatregelen van bijvoorbeeld de proceseigenaar. Het college ziet dat hier stappen in worden gezet en ervaart daarin groei.
Aanbeveling 2: De rekenkamer beveelt ook aan om de mogelijkheden tot schaalvergroting van het gemeentelijk samenwerken verder te onderzoeken.
Het college van B&W: ‘In het rapport wordt als voorbeeld al de samenwerking van de H2O-gemeenten (Hattem, Heerde en Oldebroek) genoemd. Zowel de CISO’s als privacy functionarissen nemen deel aan periodieke regionale overleggen, waarvan de H2O-gemeenten mede initiatiefnemer zijn geweest. Tijdens die overleggen komen nieuwe ontwikkelingen en actuele uitdagingen aan bod. Het doel van dergelijke overleggen is kennisdeling. Denk hierbij aan het delen van tactisch beleid en het delen op welke wijze bepaalde situaties kunnen worden aangepakt. Het college is positief over deze deelname en stelt hier ook de benodigde resources voor beschikbaar.’
‘Daar waar mogelijk pakken we generieke maatregelen al in H2O-verband op. De CISO’s zien toe op de voortgang en adviseren/ondersteunen de H2O-gemeenten. Er is binnen de H2O-gemeenten continu aandacht voor bewustwording bij zowel het management als op de werkvloer om de noodzaak van informatiebeveiliging onder de aandacht te houden.
Er wordt eens per zes weken een regiobijeenkomst georganiseerd voor CISO’s waar ook de Informatiebeveiligingsdienst van de VNG aanwezig is.’
De gemeenteraad heeft het rapport met de reactie van B&W ontvangen en zal dit op korte termijn in een commissievergadering bespreken, aldus de woordvoerder.
