De informatieveiligheid van de gemeente Lisse moet beter. Tot die conclusie komt de Rekenkamercommissie Hillegom en Lisse na een onderzoek.
Informatieveiligheid Lisse moet beter
Op een schaal van 1 tot 5 scoort de gemeente een 2. De raad staat op afstand.
Het lukte ethische hackers om tijdens het onderzoek toegang te krijgen tot ruimtes waar bezoekers eigenlijk niet mogen komen. Er kan volgens de rekenkamercommissie 'geconstateerd worden dat er technische verbeteringen aan het pand in Lisse nodig zijn’.
De uitvoering is in een samenwerkingsverband onderbracht en de raad komt hierdoor op afstand te staan. ‘De gemeenteraad wordt jaarlijks geïnformeerd via het jaarverslag. Daarnaast alleen bij zeer ernstige datalekken.’ Gezien de risico’s kan de conclusie getrokken worden dat ‘de raad zich actiever mag opstellen met betrekking tot informatiebeveiliging en privacy’.
Geschat op 2
Een gemeente moet zicht hebben op de risico’s en actie ondernemen om ‘in control’ te zijn. Er wordt bij Lisse weliswaar gehandeld volgens richtlijnen, maar nog niet alles is volgens die richtlijnen vastgelegd. Op een schaal van 1 tot 5 wordt ‘het volwassenheidsniveau van de gemeentelijke organisatie op informatiebeveiliging’ als indicatie ‘geschat op 2’.
Voor zes processen op het gebied van ondermijning en datagedreven werken zijn risico-inschattingen gemaakt – de zogeheten data protection impact assessments oftewel DPIA’s. Maar ‘op een groot aantal andere processen zijn deze DPIA’s nog niet afgenomen’. Ook worden de DPIA’s ‘nog niet volgens een gestructureerd plan uitgevoerd’.
Verschillende functionarissen houden zich bij Lisse bezig met informatieveiligheid, maar ‘momenteel zijn zij vooral nog operationeel-tactisch bezig. Aan de controlerende en adviserende rol komen zij nog te weinig toe.’
