Rekenkamers. Ze zijn er in soorten en maten. Bij de NVRR (Nederlandse Vereniging van Rekenkamers en Rekenkamercommissies) zijn er circa driehonderd aangesloten, met name lokale en regionale varianten. Het varieert van kleine rekenkamers bemenst door vrijwilligers tot grotere met een betaalde onderzoeksstaf. Belangrijkste taak van de rekenkamers is het ondersteunen van de kaderstellende en controlerende rol van de gemeenteraad. Dat laatste is nodig omdat leden van de raad te maken krijgen met colleges die ondersteund worden door ambtenaren die full time inzetbaar zijn, terwijl raadsleden in de meeste gevallen veel moeite hebben om alles bij te benen. “Rekenkamers worden gezien als de belangrijkste hulptroep van de raad”, aldus Etienne Lemmens. Hij is zelfstandig onderzoeker en voorzitter van de rekenkamers van Brunssum en Landgraaf. Ook is hij lid van de rekenkamer van de BEL-gemeenten (Blaricum, Eemnes en Laren) en bestuurslid van de NVRR.
Een van de thema’s die Lemmens de laatste tijd veel tegenkomt bij zijn werk voor de rekenkamers, is informatiebeveiliging. Niet vreemd in een wereld waarin digitalisering steeds meer mainstream is. Lemmens constateert dat het thema bij colleges en raden nog lang niet altijd goed op waarde wordt geschat. “Helaas wordt vanuit collegeperspectief de rol en de taak van de raad nog wel eens onderschat om zich druk te maken over informatiebeveiliging. Er zijn colleges die vinden dat het onderwerp bij de bedrijfsvoering hoort. Die vinden dat de gemeenteraad ervan uit mag gaan dat het college haar werk goed doet. Erover rapporteren vinden ze nog net oké, maar verder moet de raad zich niet al te veel met het onderwerp bemoeien. Gelukkig zijn er ook raden die amechtig proberen aan te klampen omdat die wél in de gaten hebben dat informatiebeveiliging een kritische succesfactor is in de dienstverlening van gemeenten. Dat je bestuurlijke risico’s loopt als er gegevens van jouw inwoners of ondernemers op straat liggen.”
Onbekendheid
Kees Hintzbergen kent die bestuurlijke risico’s maar al te goed. Sinds 2012 werkt hij bij de Informatiebeveiligingsdienst (IBD), onderdeel van VNG Realisatie. Hintzbergen stond, met zijn broer Jule, aan de basis van de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten), een op de BIR (Baseline Informatiebeveiliging Rijksdienst) geënt normenkader die het basis beveiligingsniveau aangeeft dat geldt voor de hele gemeente. Tijdens het jongste jaarcongres van de NVRR was Hintzbergen een van de sprekers en hij heeft zich verbaasd over de onbekendheid van rekenkamers met betrekking tot informatiebeveiliging. “Het probleem lijkt te zijn dat rekenkamers niet de juiste vragen stellen. Bij een onderzoek naar de informatiebeveiliging van de gemeente wordt vaak gebruikt gemaakt van een zogenaamde penetratietest. Maar relevante vragen worden daarbij vaak niet gesteld. Waar kijk je naar bij een pentest? Wat kun je zeggen over de uitkomst? Wordt er iets gedaan met de meldingen die uit die systemen komen? Heeft de gemeente de juiste kennis wel in huis? Heeft de IT-manager wel een goeie opdracht gegeven? Heeft die er wel voor gezorgd dat zijn personeel goed opgeleid is? Als je al dit soort vragen afpelt, komt je uiteindelijk terecht bij het beleid, bij het bestuur. Dat betekent dat je het bestuur ook mag bevragen waarom zij niet sturen op bepaalde IT-beveiligingszaken.”
Hintzbergen heeft wel een idee waarom het gebeurt zoals het gebeurt. “Veel rekenkamers zijn nog relatief jong en hebben beperkte middelen en kennis. Als je écht iets wilt veranderen, dan moeten de rekenkamers middelen krijgen zodat zij de goede vragen kunnen stellen. Desnoods door externe expertise te betrekken.” Etienne Lemmens erkent dat het ontbreken van geld en middelen belangrijke obstakels zijn. “Ook het ontbreken van bewustwording bij gemeenten is er eentje. Onderzoeken van een aantal rekenkamers laten zien dat gemeenten zich vaak braaf houden aan de BIG alsof het een afvinklijstje is, maar dat het procesmatig verankeren een stuk lastiger is. Gemeenten beseffen nog te weinig dat zij gegevens in handen hebben waarvan je niet wilt dat die op straat komen te liggen. Daar moet je alert op zijn en dat gaat verder dan het voldoen aan afvinklijstjes of bij pentesten alleen te kijken naar de ‘deur’. Het gaat vooral om die bewustwording. Wat doe je met de medewerkers? Wordt het proces rondom informatieveiligheid gedragen door het college of is er een wethouder of een burgemeester die er een beetje verstand van heeft en dat ook kan uitdragen naar de medewerkers toe? Of zegt die alleen maar: ‘doe maar op het basisniveau van de BIG, dan vind ik het allang best’. De tone at the top is belangrijk voor een gedragen informatiebeveiligingsbeleid.”
Hoe die bewustwording ‘tussen de oren’ van bestuurders te krijgen? Kees Hintzbergen denkt wel een oplossing te hebben. “Het Rijk kent een Voorschrift Informatiebeveiliging Rijksdienst. Dat is echt de kapstok van de Baseline voor het Rijk. Als lokale overheid hebben wij dat niet. We hebben wel een strategische Baseline, maar geen verankering. De VNG is nu bezig met het ontwikkelen van een aantal principes voor bestuurders, waarmee de bestuurlijke verankering moet worden bereikt.”
Schade
We hebben gezien dat gemeenten meer moeten doen rond het thema informatiebeveiliging, maar hoe zit het met rekenkamers? Wat moet daar veranderen? Etienne Lemmens vindt het belangrijk dat rekenkamers beseffen dat informatiebeveiliging een belangrijk thema is. “Zeker in het licht van de AVG, de nieuwe Europese privacywet. Het gaat niet meer alleen om de informatie in eigen huis waar je alert op moet zijn, maar ook op met wat je deelt met andere partijen. Ik schrik nog steeds als ik hoor dat (gevoelige) gegevens over onbeveiligde e-mail lijnen worden verstuurd. Gemeenteraden moeten beseffen dat zij daar een belangrijke controlerende rol in hebben en dat informatiebeveiliging meer is dan alleen maar de mogelijkheid dat er digitaal wordt ingebroken. Als gegevens op straat komen te liggen, gaat het ook over imagoschade, reputatieschade en bestuurlijke schade. Dan heb je wat uit te leggen aan je inwoners en ondernemers. Het betekent dat gemeenteraden zich niet met een kluitje in het riet moeten laten sturen als een college zegt dat informatiebeveiliging alleen maar onder bedrijfsvoering valt. Het is veel breder dan dat.”
Wat Etienne Lemmens eigenlijk zegt is dat gemeenteraden richting colleges meer informatie moeten vragen over de juiste dingen en ook moeten blijven doorvragen. “Rekenkamercommissies zouden dat gesprek tussen college en raad moeten faciliteren. Maar die commissies moeten de raden ook op hun verantwoordelijkheid wijzen, met name op hun kaderstellende en controlerende rol.”
Status
Etienne Lemmens wil nog één probleem aanstippen waarom rekenkamers niet altijd even goed omgaan met onderwerpen zoals informatiebeveiliging. “Dat heeft te maken met de status die lokaal of regionaal wordt gegeven aan de eigen rekenkamer. Er zijn rekenkamers die een professionele staf van onderzoekers hebben en daarvoor ook voldoende budget op tafel kunnen leggen. Maar er zijn ook gemeenten waar net voldoende budget is om eens in de twee jaar een onderzoek te doen. Dat betekent dus dat je lang niet alle beleidsterreinen kunt controleren. Er zijn zelfs gemeenten die geen rekenkamercommissie hebben, terwijl het volgens de wet wel moet. Wat ook niet meehelpt is dat er niet gehandhaafd wordt, dus gemeenten hebben in die zin de vrije hand om te beslissen of en zo ja, hoe groot hun rekenkamer wordt. Er zijn vijftig gemeenten waar de rekenkamer, volgens het ministerie van BZK, niet goed functioneert. Die hebben geen budget, leveren geen rapporten op of leven in onmin met het college. Het is terecht dat het ministerie daar actie op onderneemt. Op dit moment is de wetswijziging ‘versterking decentrale rekenkamers’ in consultatie, maar de vraag is of dat de problemen gaat oplossen. Wat mij betreft is het vrij eenvoudig: zorg dat rekenkamer(commissies) in kleine én grote gemeenten goed geëquipeerd zijn, zorg dat er voldoende budget is, zorg dat zij fatsoenlijk en onafhankelijk onderzoek kunnen doen en zorg dat daar toezicht op is. Ik denk dat je dan, ook als het gaat om toezicht op informatiebeveiliging bij decentrale overheden, grote slagen kunt maken.”
Bron: https://ibestuur.nl/partner-vng-realisatie/leer-de-goede-vragen-te-stellen