Het rapport is een vervolg op een onderzoek uit 2016, ook door de Rekenkamercommissie Haarlemmermeer (RKC). Onderzocht is in hoeverre beveiliging van de informatiesystemen binnen de gemeente doeltreffend is ingericht. Gekeken is naar organisatie, techniek en personeel.

Er is veel verbeterd, maar het bewustwordingsniveau in de organisatie is nog steeds aan de lage kant, vooral dat van de medewerkers, zo staat te lezen. Vanaf eind 2019 is een aantal nieuwe acties ondernomen om dit te veranderen. Zo is in maart een nieuwe campagne gestart voor het verhogen van het 'iBewustzijn’ via diverse opleidingen. Het behalen van certificaten is verplicht voor alle medewerkers. Ook zijn in het voorjaar bijeenkomsten gehouden om teams voor te lichten en bewuster te maken van informatieveiligheid. Verder is er een spreekuur ingesteld waar medewerkers vragen kunnen stellen aan specialisten op het gebied van informatiebeveiliging. Tenslotte heeft de gemeente een interne website gemaakt met specifieke informatie over informatieveiligheid en privacy.

Ook is er een Chief Information Security Officier, aangesteld, weliswaar nog interim, maar deze heeft zijn waarde al bewezen. Haarlemmermeer heeft dankzij hem als één van de weinige overheden in Nederland de Citrix-omgeving niet hoeven uit te schakelen toen in december als gevolg van een groot Citrix- lek wereldwijd tienduizenden bedrijven risico liepen om te worden gecompromitteerd.

Toch heeft de RKC de vraag of de gemeente zelfstandig de informatiebeveiliging op orde kan krijgen. Het constateert dat de de afgelopen vier jaar hoofdzakelijk op ad hoc basis een bescheiden aantal niet-integrale audits en pentesten is uitgevoerd in aanvulling op wat de gemeente verplicht is. Hiermee is deels voldaan aan de aanbeveling. Het advies is om dit vaker te doen en meer integraal. Hierdoor komen mogelijke kwetsbaarheden tussen applicaties eerder aan het licht.

De baseline Informatiebeveiliging Overheid omvat 18 hoofdstukken met 114 maatregelen

GEMEENTE In een reactie laat de gemeente te beseffen er ‘nog niet zijn’. “We zijn bijvoorbeeld nog bezig met de uitvoering van de maatregelen uit de nota 'Extra impuls voor informatiebeveiliging'. Daarbij streven wij ernaar om nog dit jaar grotendeels te voldoen aan de Baseline Informatiebeveiliging Overheid. Die omvat echter 18 hoofdstukken met 114 risicobeperkende maatregelen. Dit is dus veelomvattend en vraagt tijd én aandacht.”

“In lijn met het advies hebben wij er nu al voor gekozen om voortaan een jaarlijkse 'pentest' te laten uitvoeren. Het ene jaar wordt van binnen de organisatie getest en het andere jaar vanuit de buitenkant, tenzij er aanleiding bestaat om dit eerder te doen. Wat we ook direct ter harte nemen is de noodzaak voor een structureel en doelmatig bewustzijnsprogramma. We zetten het ingeslagen pad om naar een doorlopende activiteit en zullen dit vastleggen in het beleidsdocument dat begin volgend jaar klaar is.”