Informatiebeveiliging in de gemeente Delft: het onderzoek voor de Delftse Rekenkamer

Het is niet iedere dag dat een onderzoek dat MKB Cyber Advies Nederland tezamen met LBVD uitvoert voor een opdrachtgever de krant haalt. In het geval van de Delftse Rekenkamer gebeurde dat wel. Met een smeuïge kop, “Paspoorten niet veilig in Delfts stadskantoor”[1]. Dit was echter een “analoog” aspect van de grotendeels op de veiligheid van digitaal opgeslagen informatie gericht onderzoek. Immers, informatie bestaat tegenwoordig steeds meer uit enen en nullen en die blijken niet altijd zo eenvoudig te beschermen als het ouderwetse schrift.

De rekenkamer vroeg MKB Cyber Advies Nederland en LBVD te onderzoeken of persoonsgegevens en andere gevoelige informatie in goede/veilige handen zijn bij de gemeente Delft. Dit is aan de hand van een aantal subvragen gedaan. Daarvoor verwijzen wij u naar het rapport zelf[2]. MKB Cyber Advies Nederland onderzocht (het begrip van) digitale veiligheid op beleidsmatig en werkniveau, onder andere door een studie van beleidsdocumenten en het houden van interviews. LBVD heeft dit onderzocht op fysiek niveau, bijvoorbeeld door na toestemming en in overleg hackpogingen te ondernemen, phishing e-mails te versturen en een mystery guest in te zetten. Ja, Delft doet het goed, maar tegelijkertijd is gegevensbeveiliging te veel, te vaak en te gemakkelijk “het feestje van de afdeling IT”. Het is echter een taak voor en de verantwoordelijkheid van iedere individuele medewerker, van de gemeentesecretaris tot de receptiemedewerker. Die belangrijke realisatie bleek bij te veel medewerkers te ontbreken.

Samen met MKB Cyber Advies Nederland trof LBVD verschillende positieve zaken aan. Ja, zoals waarschijnlijk bij iedere organisatie mogelijk is, toonden wij in Delft digitale zwakheden aan, maar ook een organisatie die na ontdekking direct in staat was tot handelen en oplossen. Ja, er bestond verwarring onder het personeel of het onbekende collega’s op het nieuwe, grote stadskantoor dan wel bezoekers/vreemden betrof, maar wij zagen ook dat er direct actie werd ondernomen door de toegangspassen aan te passen. Dit zijn slechts een paar voorbeelden die duiden op een slagvaardige organisatie.

MKB Cyber Advies Nederland trof een organisatie aan, die midden in de transitie zat op weg naar AVG, Algemene Verordening Gegevensbescherming, compliance. Nee, Delft voldeed niet aan alle eisen, maar was op weg daar naartoe. Al bleven er enige zorgpunten, met name dat de gemeente tijdig moet onderkennen dat het aantal taken op dit gebied, de ICT-veiligheid en ICT-complexiteit alleen maar zullen toenemen, maar ook dat de afspraken tussen de gemeente en haar dochterondernemingen, die autonoom met persoonsgegevens uit de systemen van de gemeente werken, helderder moeten zijn.

Meer zorgen zijn er waar het verschil tussen het formele ICT-beveiligingsbeleid en de praktische uitvoering hiervan betreft. Hier bleek dat het management geregeld besluiten heeft genomen, die het eigen beleid, in potentie, ondergraven. Met alle goede intenties en met het gemak waarmee werknemers hun werk kunnen verrichten in gedachten. Toch moet dit anders en beter. Hier is het managementteam van de gemeente en de gemeenteraad op gewezen. Hieruit blijkt dat ook de cultuur en (beslissingen van) de mensen zelf van invloed zijn op informatiebeveiliging.

Hierboven is een aantal in het oog springende uitkomsten gepresenteerd. Natuurlijk is er meer. Als u verder wilt lezen, de link naar het rapport staat hieronder.

Met een presentatie aan de gemeenteraad is dit project voor de Delftse Rekenkamer eind september afgerond. Dezelfde problematiek en uitdagingen waar de gemeente Delft voor staat, gelden ook voor andere middelgrote en kleinere gemeenten, zorg-, opleidings- en non-profitinstellingen. Wilt u weten hoe uw organisatie er voor staat? Neem dan vrijblijvend contact op met een van onze adviseurs. MKB Cyber Advies Nederland kan u laten zien op welke punten u er goed voorstaat, waar maatregelen noodzakelijk zijn, alles voorzien van een gedegen advies over de opties voor verbetering die u ter beschikking staan.

Geschreven door: Wout de Natris & André van Soest

[1] https://www.ad.nl/delft/paspoorten-niet-veilig-in-delfts-stadskantoor~a748e32c/

[2] https://ris.delft.nl/internet/vergaderingen_41207/agenda/procedurevergadering-commissie-economie-financien-en-bestuur_16081/1838238-delftse-rekenkamer-rapport-informatiebeveiliging-binnen-de-gemeente-delftpdf_1442357.pdf

Opdrachtgevers