In april 2017 concludeerde de Rotterdamse Rekenkamer dat de informatieveiligheid van de gemeente niet in orde was. Rotterdam heeft inmiddels maatregelen genomen. Hoe controleer je als gemeenteraad of die voldoende zijn?
Vertrouwen
Marco Heijmen, gemeenteraadslid voor de PvdA, vertelt op de website van Raadslid.nu over de gang van zaken rond het Rekenkamerrapport. Hij was niet verbaasd over de ophef die ontstond naar aanleiding van het rapport: “Dataveiligheid is een heel belangrijk onderwerp, Rotterdammers willen niet in de krant lezen dat de data die ze aan de overheid toevertrouwen op straat ligt. Dat de gemeente die data heeft is cruciaal, want steeds meer dienstverlening gaat digitaal. Het is prettig en makkelijk voor inwoners dat je bijvoorbeeld een parkeervergunning gewoon vanuit je eigen huis kunt aanvragen. Maar dat vraagt wel om vertrouwen en het is ernstig als dat vertrouwen wordt beschaamd. We hebben eerder in Rotterdam twee ernstige datalekken gehad. Naar aanleiding daarvan waren al acties ingezet, maar de Rekenkamer toonde aan dat de informatieveiligheid nog onvoldoende was.” Het rapport concludeerde onder meer dat digitale informatiesystemen onvoldoende beveiligd zijn voor aanvallen van binnenuit, de fysieke beveiliging van meerdere kantoorlocaties tekortschiet en dat er weinig veiligheidsbewustzijn is bij medewerkers.
Meer grip
Naar aanleiding van het rapport trok de gemeente meer geld uit voor informatiebeveiliging: het totale IT-budget werd verhoogd van 118 naar 125 miljoen euro per jaar, waarvan 1,3 miljoen euro is bestemd voor informatiebeveiliging. De gemeenteraad besprak de aanbevelingen van de Rekenkamer met het college en bekrachtigde de acties die genomen gaan worden in een raadsbesluit. Het college geeft de raad nu periodiek een update over de status van de verschillende acties, vertelt Heijmen. “In de begroting van volgend jaar nemen we deze posten ook mee.”
Dit jaar is bij alle gemeenten ENSIA ingevoerd, een nieuwe manier van verantwoording die ervoor zorgt dat de gemeenteraad beter op de hoogte is van hoe het staat met de informatieveiligheid bij de gemeente. De uitkomsten van deze verantwoording worden in 2018 opgenomen in het jaarverslag van de gemeente, zodat de gemeenteraad daar kennis van kan nemen. Wat de accountantsverklaring is voor financiën, wordt ENSIA voor informatieveiligheid. De gemeenteraad krijgt daardoor meer inzicht – en daarmee meer grip – op de informatieveiligheid in de gemeente. “Ik denk zeker dat dat nuttig kan zijn,” zegt Heijmen.
Het hele interview leest u op Raadslid.nu.