of 59345 LinkedIn

Privacy ondergeschoven kindje in Dronten

In de gemeente Dronten wordt te weinig urgentie gevoeld voor privacy en informatieveiligheid. Eén op de tien medewerkers trapte in een door de gemeente phishingmail. Dat blijkt uit onderzoek van de lokale rekenkamer.

In de gemeente Dronten wordt te weinig urgentie gevoeld voor privacy en informatieveiligheid. Eén op de tien medewerkers trapte in een door de gemeente phishingmail.

De conclusie dat de urgentie voor privacy en informatieveiligheid maar beperkt wordt gevoeld in het gemeentehuis van Dronten trekt de plaatselijke rekenkamer in een vorige week gepresenteerd onderzoek.

 

Capaciteitstekort

Eigenlijk, zo constateren de onderzoekers, speelt het euvel al van ver voor de invoering van de verscherpte regelgeving in Algemene Verordening gegevensbescherming (AVG) in mei 2018: afgesproken beleid op dat vlak kwam niet van de grond door ‘capaciteitstekort en ingewikkeldheid van het vraagstuk.’ Pas nadat de raad er in juni 2016 naar vroeg, werd er werk van gemaakt. Maar nog steeds ontbreekt een gemeentebreed privacybeleid. Dat zou er begin 2019 hebben moeten liggen.

 

Late start

Andere signalen dat urgentie maar beperkt wordt gevoeld, ziet de rekenkamer in het feit dat de voorbereidingen op de AVG pas laat van start gingen: een kleine drie maanden van tevoren werd een externe adviseur aangetrokken om te ondersteunen in de voorbereidingen. Dat leidde er volgens de onderzoekers toe dat ook na de inwerkingtreding Functionaris Gegevensbescherming aangetrokken, maar de werkzaamheden van deze FG kostten meer tijd dan van tevoren bedacht.

 

Phishing

Daarnaast is het niet al te best gesteld met het privacybewustzijn van medewerkers. Zo rondde slechts 28,5 procent van de ambtenaren een e-learning module over privacy af. Misschien nog wel opvallender is dat nog niet de helft van de medewerkers (44 procent) de moeite nam in te loggen op de module. De onderzoekers melden dat een test met phishing mail, die probeert de ontvanger te verleiden om gegevens in te vullen onder valse voorwaarden, door één op tien ambtenaren niet werd herkend: zij lieten desgevraagd gegevens achter.

Veelzeggend voor de geringe belangstelling voor privacy en informatieveiligheid is volgens de rekenkamer ook dat nog niet één op de drie medewerkers een enquête in het kader van dit rekenkameronderzoek invulde.

 

Sleutels

Ook in de praktijk bleek de alertheid te wensen over te laten. Toen de onderzoekers een dagdeel op de afdeling van het sociaal domein werkten, viel op dat er weliswaar met sleutels afsluitbare kasten beschikbaar op de afdeling waren, maar dat die niet allemaal op slot zaten. In sommige kasten zat de sleutel er zelfs nog in, terwijl de desbetreffende kamer niet werd gebruikt.

 

Tijdelijk prioriteit

De rekenkamer constateert dat in de organisatie het gevoel van eigenaarschap voor bepaalde processen of handelingswijzen soms niet aanwezig is. De aanbeveling aan het college is daar op verschillende niveaus aan te werken. ‘Geef privacy en informatieveiligheid tijdelijk prioriteit, zodat iedereen zich verantwoordelijk gaat voelen voor de thema’s’, aldus de rekenkamer. Indirect pleiten ze ook voor uitbreiding van het aantal uren voor de functionaris gegevensbescherming. ‘Er is voor 0,2 fte een FG aangesteld, maar de taken van de FG vragen om meer tijd.’

 

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door P.J. Westerhof LL.M MIM op
Nauwelijks verbazingwekkend. Zo zullen er nog veel meer overheden en bedrijven zijn.

De FG heeft wat uit te leggen aan de AP, en zal dat inmiddels al gedaan moeten hebben.
De Gemeenteraad vervult zijn taakstellende en controlerende rol niet.

Voor toezichthouder AP zou dit appeltje-eitje moeten zijn. Maar waarschijnlijk niet.