De beveiliging van de informatie op het gemeentehuis van Ridderkerk laat nog veel te wensen over. Onderzoek van de plaatselijke rekenkamercommissie legt tal van onnodige kwetsbaarheden bloot.
Zorgen om veiligheid informatie Ridderkerk
De beveiliging van de informatie op het gemeentehuis van Ridderkerk laat nog veel te wensen over. Onderzoek van de plaatselijke…
Dat blijkt uit het rekenkamerrapport Informatie in goede handen. De onderzoekers deden onder ambtenaren van Barendrecht, Albrandswaard en Ridderkerk – de gemeenten werken ambtelijk samen in de BAR-organisatie – een nulmeting over het bewustzijn van informatieveiligheid. Een van de bevindingen was dat ruim een kwart van hen zijn of haar wachtwoord op een briefje bewaart. En bijna één op de drie leent dat wachtwoord wel eens aan een collega uit. Bijna de helft van de respondenten geeft aan geen idee te hebben wat een datalek is of wanneer sprake is van vertrouwelijke informatie.
Verantwoordelijkheidsgevoel
Op strategisch/tactisch niveau – de chief information security offficer en de functionaris gegevensbescherming en privacy officer) – is er volgens de rekenkamer wel sprake van een groot verantwoordelijkheidsgevoel ten aanzien van informatieveiligheid, ‘maar dit werkt onvoldoende door in de rest van de organisatie.’
Probleem is dat er maar één chief information security officer (CISO), is terwijl er zowel een technisch als organisatorisch CISO voorzien was. En de functionaris gegevensbescherming heeft uiteindelijk maar een kleine rol, want die wordt voor 0,2 fte ingehuurd. Het is goed dat er zowel medewerkers voor privacy als voor informatiebeveiliging in dienst zijn, en actief in de centrale organisatie.
Te veel taken
Het advies van de rekenkamer aan het college van burgemeester en wethouders van Ridderkerk is om de zogeheten I-organisatie op orde te brengen. ‘Op dit moment zijn te veel taken belegd bij de CISO en de Privacy Officer. Dat is om meerdere redenen kwetsbaar: vanuit het oogpunt van vervangbaarheid, maar ook omdat daarmee een aanspreekpunt/verantwoordelijke op de afdelingen ontbreekt. Vanuit de CISO en de Privacy Officer komt het signaal dat zij taken niet kwijt kunnen op de afdelingen’, aldus de rekenkamer. Gepleit wordt voor het uitbouwen van de organisatiestructuur met information security officers op de afdelingen.
Externe controle
Verder raadt de rekenkamer het college aan om in kaart te brengen welke processen door automatisering veiliger zouden moeten worden. Daarnaast krijgt het college het advies een externe partij tweejaarlijks de staat van informatiebeveiliging te laten controleren. De controles die op dit moment zijn ingericht op de informatiebeveiliging, zijn zelfaudits.
