Bijzondere persoonsgegevens en gevoelige informatie zijn bij de gemeente Lansingerland onvoldoende in veilige handen. Dat blijkt uit onderzoek van de Rekenkamer Lansingerland. Het college zegt de concrete kwetsbaarheden die zijn aangetroffen in het onderzoek op korte termijn te verhelpen.
Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, misbruik van publieke middelen en datalekken. De beveiliging van digitale informatiesystemen tegen aanvallen van binnenuit schiet tekort, de fysieke beveiliging van de kantoorlocatie faalt en er is een tekort aan ‘social & security awareness’ bij medewerkers. Dit en meer schrijft de Rekenkamer Lansingerland in haar rapport ‘Wat niet weet, maar wel deert. Onderzoek beveiliging van gevoelige informatie‘.
Basisniveau
Hoewel het beleid van de gemeente het wel voorschrijft volgen beveiligingsmaatregelen niet uit systematische en actuele risicoanalyses. De personele en financiële capaciteit voor informatieveiligheid wordt ingezet voor de implementatie van bepaalde beveiligingsnormen die slechts een basisniveau van beveiliging bieden. Voor 75 applicaties geeft dit onvoldoende bescherming tegen misbruik of verlies van data, concludeert het rapport.
Veiligheidsrisico’s
Het college van burgemeesters en wethouders van Lansingerland heeft aangegeven alle conclusies van het onderzoek te onderschrijven en alle aanbevelingen van de rekenkamer over te nemen. De rekenkamer adviseert onder meer om veiligheidsrisico’s centraal te stellen bij de inrichting van de informatiebeveiliging, in plaats van de beveiligingsnormen. Het college is van plan om informatiebeveiliging risicogericht te organiseren. Een andere aanbeveling is om alle in het onderzoek aangetoonde kwetsbaarheden in de beveiliging, te dichten. Dat gaat volgens het college op korte termijn gebeuren.
