Informatieveiligheid Randstedelijke provincies kan beter

De informatieveiligheid van de vier Randstedelijke provincies is in veel opzichten goed geregeld, toch zijn er ook een aantal verbeterpunten. Dat blijkt uit het rapport ‘Informatieveiligheid’ van de Randstedelijke Rekenkamer over de provincies Flevoland, Noord-Holland, Utrecht en Zuid-Holland dat deze week werd gepubliceerd.

Flevoland moet beter risico’s analyseren

De Rekenkamer heeft voor iedere provincie een eindconclusie opgesteld. Daaruit blijkt dat Flevoland voldoende stuurt op informatieveiligheid. ‘Er zijn goede aanzetten voor de verdeling van verantwoordelijkheden en er is voldoende aandacht voor toezicht op en verantwoording over informatieveiligheid. Ook worden sinds eind 2015 acties ondernomen om het bewustzijn voor informatieveiligheid te vergroten’, aldus de Rekenkamer. Er wordt echter door de Rekenkamer ook gewezen op de invulling van verantwoordelijkheden in de praktijk en het uitvoeren van maatregelen. ‘Generieke maatregelen zijn nog niet volledig geïmplementeerd. Ook zijn risicoanalyses om te bepalen of aanvullende maatregelen nodig zijn, slechts beperkt uitgevoerd.’

Noord Holland heeft geen zicht op uitvoering maatregelen
Noord-Holland besteed volgens de Rekenkamer voldoende aandacht aan de bewustwording van informatieveiligheid. ‘Er is wel verbetering mogelijk in de sturing op het tempo van de implementatie van de rollen en verantwoordelijkheden ten aanzien van informatieveiligheid. Hoewel de provincie veel zaken heeft opgepakt, behoeft de organisatorische verankering en de planmatige aanpak van informatieveiligheid verbetering. Sinds 2016 zet de provincie wel stappen.' Ook bij Noord-Holland wordt de uitvoering van maatregelen genoemd als kritiekpunt. ‘Het is bijvoorbeeld niet voor alle bedrijfsprocessen duidelijk welke informatieveiligheidsmaatregelen nodig zijn en de provincie heeft geen zicht of de maatregelen daadwerkelijk zijn uitgevoerd.’

Utrecht boekt weinig voortgang met risicoanalyses
Provincie Utrecht lijkt er iets minder positief vanaf te komen in de eindconclusie, al is de provincie sinds 2015 wel actiever geworden in toepassen van verbeteringen. ‘Tot eind 2015 is er ondanks verschillende kritische signalen te weinig gestuurd op de realisatie van acties om de informatieveiligheid te verbeteren. Het gaat dan onder meer om een goede verdeling van verantwoordelijkheden en het vergroten van het bewustzijn voor informatieveiligheid. Hierdoor is weinig tot geen voortgang geboekt bij zaken die belangrijk zijn voor informatieveiligheid, zoals de uitvoering van risicoanalyses.’

Zuid Holland geeft weinig sturing aan bewustwording
Over provincie Zuid Holland is de Rekenkamer enigszins verdeeld. De provincie heeft een aantal zaken goed geregeld. Zo is er een beleid ‘dat in opzet voldoet aan de eisen.' Het toezichthouden op informatieveiligheid is ook goed geregeld. Maatregelen, plannen en acties op het gebied van informatieveiligheid worden goed en systematisch gemonitord en geïntegreerd. Maar er klinkt ook voor Zuid-Holland zijn er verbeterpunten: ‘De provincie dient nog verschillende stappen te zetten om de informatieveiligheid voldoende te verankeren. Er zijn nog duidelijk aan te wijzen verbeterpunten, zoals de invulling van verantwoordelijkheden voor informatieveiligheid in de gehele organisatie en het versterken van het bewustzijn van medewerkers van het belang van informatieveiligheid. Hier wordt weinig sturing aangegeven.'