‘Gemeenten, maak van bewustwording informatiebeveiliging topprioriteit’
3 oktober 2016 -
Nederlandse gemeenten moeten aan de slag met het risicobewustzijn van ambtenaren en bestuurders rond informatiebeveiliging. Dat stelt BDO Accountants & Adviseurs in het rapport Informatiebeveiliging Nederlandse gemeenten 2016.
Bij de beveiliging van digitale informatie volgen de meeste gemeenten de letter van de wet, maar daar is het vervolgens mee gezegd. Terwijl volgens BDO de meeste risico’s schuilen in de menselijke factor. Daarnaast hebben Nederlandse gemeenten wel relatief vaak een veiligheidsfunctionaris in dienst, maar heeft hij of zij vaak niet de juiste papieren.
Privacygevoelige data
BDO noemt de uitkomsten zorgwekkend nu gemeenten steeds meer taken van de landelijke overheid overnemen. Steeds meer gevoelige gegevens van burgers worden daardoor bij gemeenten opgeslagen. Ook groeit het aantal samenwerkingen waarbinnen persoonsgegevens en privacygevoelige data onderling worden uitgewisseld. Denk aan medische dossiers die gemeenten en zorginstellingen met elkaar delen.
"Het is de vraag hoe ver je daar als gemeente mee wilt gaan, want het is een risico," zegt Frank van der Lee, partner en specialist op het gebied van de publieke sector bij BDO en een van de samenstellers van het rapport. "Gemeenten zouden er ook voor kunnen kiezen kaders op te stellen en daarbinnen zorginstellingen of andere ketenpartners, zoals woningcorporaties, te vertrouwen. Dan hoeft dit soort gevoelige data minder vaak gedeeld te worden."
Bewustzijn topprioriteit
BDO noemt als topprioriteit dat gemeenten meer moeten beseffen dat informatiebeveiliging verder gaat dan de IT-afdeling. "De medewerker die een USB-stick naar huis neemt en onderweg verliest, is haast een klassiek voorbeeld geworden," zegt Robert van Vianen, partner en specialist cybersecurity bij BDO. "De meeste datalekken zijn het gevolg van menselijk handelen. Informatiebeveiliging is een mensenkwestie, geen systeemkwestie. Dat besef ontbreekt in veel gevallen. De meeste gemeenten beperken de databeveiliging tot maatregelen die de IT-afdeling neemt."
Driekwart gemeenten heeft met datalek te maken gehad
Uit een peiling van BDO blijkt dat driekwart van de Nederlandse gemeenten de afgelopen twee jaar minimaal één keer te maken heeft gehad met een datalek. Bij 42 procent ging dit om privacygevoelige informatie. Zo’n veertien procent kwam daarachter via de media. In het kader van de Meldplicht Datalekken raadt BDO gemeenten aan een vaste commissie aan te stellen die snel kan bepalen of de Autoriteit Persoonsgegevens ingelicht moet worden bij een datalek. Zo worden boetes voorkomen en worden burgers tijdig op de hoogte gesteld.
Nederlandse gemeenten hebben volgens Van Vianen nog veel werk op het gebied van databeheer te verzetten. "Velen kennen de nieuwe en aankomende wetgeving niet goed genoeg, laten data wegsijpelen en nemen nog onvoldoende maatregelen. In een gemeenteraad zal het ook niet snel gaan over het vrijmaken van budget voor een informatiebeveiligingsprogramma om het bewustzijn te vergroten. Databeheer wordt teveel gezien als een ambtelijke aangelegenheid, en dan ook nog eens beperkt tot de IT-afdeling."