Gros Rekenkamers in de weer met thema informatiebeveiliging
Namen, adressen en BSN-nummers van inwoners die op straat liggen? Informatiebeveiliging wordt steeds belangrijker, ook al dringt dat nog niet altijd door tot colleges van B&W en/of gemeenteraden. Voor die laatste groep zijn lokale en regionale rekenkamers en rekenkamercommissies de hulplijn, maar ook die worstelen vaak nog met het thema.
Bij de NVRR zijn circa driehonderd rekenkamers aangesloten, met name lokale en regionale varianten. Het varieert van kleine rekenkamers bemenst door vrijwilligers tot grotere met een betaalde onderzoeksstaf.
Etienne Lemmens is zelfstandig onderzoeker en voorzitter van de rekenkamers van Brunssum en Landgraaf. Ook is hij lid van de rekenkamer van de BEL-gemeenten (Blaricum, Eemnes en Laren) en bestuurslid van de NVRR. Een van de thema’s die Lemmens de laatste tijd veel tegenkomt bij zijn werk voor de rekenkamers, is informatiebeveiliging. Hij constateert dat het thema bij colleges en raden nog lang niet altijd goed op waarde wordt geschat. “Helaas wordt vanuit collegeperspectief de rol en de taak van de raad nog wel eens onderschat om zich druk te maken over informatiebeveiliging. Er zijn colleges die vinden dat het onderwerp bij de bedrijfsvoering hoort. Die vinden dat de gemeenteraad ervan uit mag gaan dat het college haar werk goed doet. Erover rapporteren vinden ze nog net oké, maar verder moet de raad zich niet al te veel met het onderwerp bemoeien. Gelukkig zijn er ook raden die amechtig proberen aan te klampen omdat die wél in de gaten hebben dat informatiebeveiliging een kritische succesfactor is in de dienstverlening van gemeenten. Dat je bestuurlijke risico’s loopt als er gegevens van jouw inwoners of ondernemers op straat liggen.”
Kees Hintzbergen kent die bestuurlijke risico’s maar al te goed. Sinds 2012 werkt hij bij de Informatiebeveiligingsdienst (IBD), onderdeel van VNG Realisatie. Tijdens het jongste jaarcongres van de NVRR was Hintzbergen een van de sprekers en hij heeft zich verbaasd over de onbekendheid van rekenkamers met betrekking tot informatiebeveiliging. “Het probleem lijkt te zijn dat rekenkamers niet de juiste vragen stellen. Bij een onderzoek naar de informatiebeveiliging van de gemeente wordt vaak gebruikt gemaakt van een zogenaamde penetratietest. Maar relevante vragen worden daarbij vaak niet gesteld. Waar kijk je naar bij een pentest? Wat kun je zeggen over de uitkomst? Wordt er iets gedaan met de meldingen die uit die systemen komen? Heeft de gemeente de juiste kennis wel in huis? Heeft de IT-manager wel een goeie opdracht gegeven? Heeft die er wel voor gezorgd dat zijn personeel goed opgeleid is? Als je al dit soort vragen afpelt, komt je uiteindelijk terecht bij het beleid, bij het bestuur. Dat betekent dat je het bestuur ook mag bevragen waarom zij niet sturen op bepaalde IT-beveiligingszaken.”