Eerder schreef ik over de gemeente Rotterdam als digitaal zorgenkindje en maakte ik melding van het onderzoek door de Rekenkamer Rotterdam [1].

Marketing-uitingen waarin de digitale kwaliteiten van de gemeente Rotterdam werden opgehemeld, onder meer “Rotterdam proeftuin voor datagedreven toezicht” [2], waren voor mij aanleiding om eens te kijken hoe het er tegenwoordig mee staat en om de rapporten van de Rotterdamse Rekenkamer te lezen.

Vooruitgang
Het eerste rapport van de Rekenkamer Rotterdam over informatiebeveiliging werd op 6 april 2017 bekend gemaakt. In dat rapport wordt ernstige kritiek uitgeoefend. Uit het tweede rapport, dat de Rekenkamer op 5 februari 2018 bekend maakte, blijkt dat er vooruitgang is [3].

Uit het eerste rapport komt naar voren dat de gemeente Rotterdam over zeer veel vertrouwelijke persoonsgegevens beschikt en dat er onvoldoende beveiligingsmaatregelen zijn genomen. Het valt op dat alles in theorie goed is geregeld (in mooie beleidsdocumenten) maar dat de praktische / technische uitvoering zeer onder de maat is. In de samenvatting schrijft de Rekenkamer onder meer:

Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, fysieke onveiligheid van politiek-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen. De rekenkamer constateert daarnaast dat er grote verschillen bestaan tussen de kwaliteit van informatiebeveiliging van afzonderlijke systemen. Ook hier ontbreekt het aan centrale sturing.

Er worden vele aanbevelingen gedaan.

Uit het vervolgonderzoek, waarover in het voorjaar 2018 wordt gerapporteerd, blijkt dat de gemeente vooruitgang heeft geboekt. De Rekenkamer schrijft aan het slot van de samenvatting:

De rekenkamer doet de aanbeveling om, bij het dichten van technische kwetsbaarheden, voort te gaan op de ingeslagen weg. De gemeente moet door trainingen blijven werken aan het beveiligingsbewustzijn van medewerkers. Het college onderschrijft de conclusies van de rekenkamer en neemt alle aanbevelingen over. De rekenkamer zal de implementatie van de aanbevelingen de komende jaren nauwlettend blijven volgen.

Het is een goede zaak dat de organisatorische en technische maatregelen effect hebben gesorteerd. Zoals de Rekenkamer schrijft: het is een continu proces, dat blijkt ook uit het datalek dat in oktober 2018 bekend werd [4].

Cybersecurity – niet alleen belangrijk voor de overheid
Mij lijkt dat de bevindingen van de Rekenkamer niet uniek zijn, ook buiten de overheid kan zich bij organisaties en bedrijven precies hetzelfde voordoen. Het belangrijkste verschil tussen overheid en private sector is dat dit soort rapportages openbaar worden gemaakt (al zullen niet alle details zijn vermeld).

Ook de private sector doet er goed aan problemen voor te blijven en tijdig na te gaan – eventueel geassisteerd door externe deskundigen – of voldoende cybersecurity maatregelen zijn genomen. Aan nalatigheid kunnen belangrijke juridische consequenties zitten.

Noten

[1] Rotterdam was in het nieuws vanwege diverse cybersecurity voorvallen, onder meer digitale onveiligheid van de eigen organisatie en illegale wifi-tracking in de stad. Brenno de Winter heeft zich in 2016 verzet tegen een digitaal referendum over plannen op het gebied van wonen in Rotterdam (lees RTV Rijnmond); de gemeente heeft vervolgens afgezien van het plan om digitaal te laten stemmen (lees ook security.nl). In 2013 en 2014 heeft de gemeente persoonsgegevens van burgers, onder meer het BSN, illegaal aan derden verstrekt in verband met het Stadsinitiatief, zie onder meer dit bericht uit 2014. Zie verder over datalekken: lekken privégegevens probleemjongeren (security.nl).

[2] Lees Rotterdam proeftuin voor datagedreven toezicht, Toezine, 5 maart 2019 en Grasmat om container stelt paal en perk aan ongewenst gedrag, Toezine, 16 juli 2019, over Rotterdamse nudging activiteiten.

[3] Rekenkamer Rotterdam:
onderzoek informatiebeveiliging van gevoelige informatie, “in onveilige handen” 6 april 2017, aankondiging, rapport (pdf);
vervolgonderzoek informatiebeveiliging 5 februari 2018, aankondiging, rapport (pdf).

[4] Rotterdam lekt per ongeluk privégegevens probleemjongeren, NOS 24 oktober 2018.