Veel mis met informatiebeveiliging Eindhoven

Het bestuur is onvoldoende betrokken, tijdens penetratietesten blijkt Eindhoven kwetsbaar en de gemeente begint met risicolle gegevensverwerkingen zonder dat de impact goed is beoordeeld. De Eindhovense rekenkamercommissie deed onderzoek naar de informatiebeveiliging van de gemeente en is op verschillende fronten kritisch.

Risico

Er is ‘onvoldoende oog voor de bescherming van persoonsgegevens’ bij de ontwikkeling en hosting van smartcitytoepassingen (denk aan bodycams en druktemeters). Als er risicovolle verwerkingen zijn van persoonsgegevens, moeten gemeenten een zelfbeoordeling uitvoering: de Data Protection Impact Assessments (DPIA’s). Eindhoven start met risicovolle verwerking zonder dat die afgerond zijn. (Dit werd in juli aangestipt door de functionaris gegevensbescherming van de gemeente.)

Bestuur onvoldoende betrokken

De wisselwerking tussen bestuur en organisatie is er onvoldoende, concludeert de rekenkamercommissie. Verantwoordelijke functionarissen werken hard, maar ervaren beperkte steun. Medewerkers hebben te weinig mandaat en taken en verantwoordelijkheden zijn niet duidelijk afgebakend. Er is te weinig budget. ‘Het bestuur is onvoldoende betrokken en stuurt te weinig op de thema’s informatiebeveiliging en privacy’.

Phishing

Tijdens penetratietesten zijn kritieke kwetsbaarheden gevonden - vanwege de diepgang en vertrouwelijkheid zijn die gedeeld met de ambtelijke organisatie. De bescherming van buitenaf tegen onbevoegden is relatief gezien het beste. 'Tijdens het rekenkameronderzoek blijkt de gemeente Eindhoven voldoende beschermd tegen digitale inbraken van buiten. Maar van binnenuit loopt de gemeente risico’s op het gebied van informatieveiligheid.' Tijdens een phishingtest, waarbij 2.955 e-mails werden verzonden met een Eindhovense opmaak, klikten 686 gebruikers op de zogenaamd malafide link.

Kritieke diensten

De gemeente heeft een calamiteitenplan, maar in de praktijk blijkt veel ‘ad hoc en via het

informele netwerk’ gehandeld te worden. Dat maakt het kwetsbaar. Het is ook te abstract en richt zich met name op de bestuurlijke kant. Een Business Continuity Plan, waarin staat hoe kritieke diensten overeind blijven tijdens een crisis, ontbreekt.

Niet volledig geïmplementeerd

Verder is de monitoring op de gegevensbescherming en informatiebeveiliging ‘fragmentarisch’, krijgt de bescherming van persoonsgegevens de benodigde aandacht, maar de resultaten blijven achter, en is er ‘onvoldoende regie op onderhoud, beveiliging en de aanwezigheid van schaduw-IT’. (Schaduw-IT is hard- en software die niet officieel is goedgekeurd). Voor het onderzoek baseerde de rekenkamercommissie zich vooral op het beleid uit 2019. ‘Het beleid blijkt in de praktijk niet volledig geïmplementeerd te zijn.’ Er is nieuw beleid in de maak, maar dat is niet beoordeeld.