Rekenkamer Utrecht deed opnieuw onderzoek naar de mate waarin informatieveiligheid bij de gemeente Utrecht wordt geborgd. In 2021 voerde de rekenkamer namelijk onderzoek uit naar de manier waarop de gemeente Utrecht invulling gaf aan drie aspecten van informatieveiligheid (in de techniek, het menselijk handelen en organisatie / proces). De uitkomsten van dat onderzoek gaven de rekenkamer aanleiding om het onderwerp te blijven volgen en om dit jaar opnieuw een opvolgingsonderzoek uit te voeren.

Wij constateren nu dat de informatieveiligheid de afgelopen jaren is verbeterd, maar dat dit door menselijk handelen kwetsbaar blijft. Vooral met de technische kant is de gemeente goed aan de slag gegaan. Zo lukt het niet meer om in digitale systemen in te breken. Maar de beveiliging van het Stadskantoor en Stadhuis is onvoldoende verbeterd. Het lukt insluipers nog altijd om de beveiligde gebieden te betreden en zij worden niet door medewerkers van de gemeente aangesproken op hun aanwezigheid. Het menselijk handelen is de afgelopen jaren dan ook niet aantoonbaar verbeterd. Zo staan medewerkers tijdens phishing-acties nog steeds gevoelige informatie zoals inloggegevens af. De mens is daarmee de zwakste schakel bij informatieveiligheid, waardoor deze nog niet volledig is gewaarborgd.

Wij doen nu vier aanbevelingen om de informatieveiligheid te verbeteren. Die richten zich op de resterende technische risico’s, menselijk handelen en de aansturing van het informatieveiligheidsbeleid.

De centrale onderzoeksvraag luidt: ‘In hoeverre heeft de gemeente Utrecht uitvoering gegeven aan de aanbevelingen van het rekenkameronderzoek uit 2021 en is de informatieveiligheid nu voldoende gewaarborgd?’