• Archief

Gegevens van inwoners lopen onnodig risico in Haarlem

HAARLEM De rekenkamercommissie (RKC) heeft onderzoek gedaan naar de informatiebeveiliging van de gemeente Haarlem. Een onderwerp dat steeds vaker in het nieuws is en ook bij de overheid steeds meer prioriteit krijgt. Onvoldoende beveiliging kan grote gevolgen hebben voor de werkprocessen van de gemeente en de gegevens en privacy van inwoners.

Een groot deel van het onderzoek is in opdracht van de RKC uitgevoerd door Hoffmann Cybersecurity. Zij hebben het informatiebeveiligingsbeleid en een deel van de informatiesystemen van de gemeente onderzocht. De onderzoekers concluderen dat de gemeente niet 'in control' is en dat gemeente en de gegevens van inwoners onnodig risico lopen.

Bij het informatiebeveiligingsbeleid is bekeken in hoeverre dit beleid goed is opgezet, of het is geïmplementeerd en of het beleid daadwerkelijk wordt uitgevoerd. De conclusie over het beleid is, dat het beleid goed is opgezet maar dat het onvoldoende is geïmplementeerd en dat de gemeente daardoor niet 'in control' is. De informatiesystemen zijn door hackers getest met een aantal penetratietesten. Hieruit bleek dat er sprake was van meerdere (ernstige) kwetsbaarheden in de systemen. Deze informatie is direct met de gemeente gedeeld en de kwetsbaarheden zijn voor een deel al verholpen.

Ook is gekeken hoe de raad over de informatiebeveiliging is geïnformeerd. De RKC concludeert dat dit onvoldoende is. Het college van burgemeester en wethouders heeft een reactie gegeven op het onderzoek, de conclusies en de aanbevelingen van de RKC. Het college geeft aan het geschetste beeld te onderkennen. Uit inmiddels uitgevoerde maatregelen maakt de RKC op dat het urgentiebesef is toegenomen. Of dit voldoende is, moet blijken uit de vervolgstappen van het college. Ondanks de inmiddels getroffen maatregelen handhaaft de RKC haar aanbevelingen. De aanbevelingen luiden als volgt: Vóór eind 2019 daadkrachtige en volledige implementatie van het eigen informatiebeveiligingsbeleid te realiseren. Daarnaast de informatiesystemen weerbaarder maken tegen cybercrime door kwetsbaarheden te verhelpen en de raadsinformatie over informatiebeveiliging verbeteren.