De informatiebeveiliging van de Tweede Kamer loopt risico, wat gevolgen kan hebben voor het uitwisselen van informatie binnen de Rijksoverheid, zo laat de Algemene Rekenkamer weten in het Resultaten verantwoordingsonderzoek 2019 Staten-Generaal (pdf).
Niet alleen bij de Tweede Kamer is het mis. De Rekenkamer stelt dat de helft van de onderzochte organisaties informatiebeveiliging, op het gebied van governance, de inrichting van de organisatie, het incidentmanagement en het risicomanagement, niet op orde heeft. "Juist in tijden van crisis, zoals bij de coronacrisis, is het van belang dat informatie goed beveiligd is omdat de getroffen maatregelen ervoor zorgen dat de meeste werkzaamheden digitaal moeten plaatsvinden. Denk aan thuiswerken, videobellen en telefonisch overleg", schrijft de Rekenkamer in het onderzoek.
Ondanks de geconstateerde tekortkomingen is er volgens de Rekenkamer wel zichtbaar een stap voorwaarts gemaakt ten opzichte van 2018. Er zijn echter grote verschillen binnen de Rijksoverheid als het om informatiebeveiliging gaat. Dit heeft gevolgen voor het uitwisselen van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie tussen ministeries en andere instanties. "Door de grote verschillen in de niveaus van informatiebeveiliging ontstaan er risico’s bij het uitwisselen van informatie. De zwakste schakel binnen de keten bepaalt de sterkte van de keten als geheel", merkt de Rekenkamer op.
Volgens de Rekenkamer is het belangrijk dat elk ministerie de onderlinge relaties, verschillen en afhankelijkheden tussen de schakels in de keten kent. Op dit moment is het echter onduidelijk wie verantwoordelijk is voor de verschillende ketens van informatiesystemen die departementoverstijgend zijn. De Tweede Kamer vormt een belangrijke schakel in de informatiebeveiligingsketen binnen de Rijksoverheid. Zo wisselen de Kamer en organisaties binnen en buiten de Rijksoverheid veel informatie uit.
De Rekenkamer stelt vast dat het belang van deze rol in het informatiebeveiligingsbeleid van de Tweede Kamer niet duidelijk staat vermeld. Hoewel er binnen de organisatie hier voldoende bewustzijn over is, is niet alles formeel vastgelegd. Zo was het onderdeel risicomanagement vorig jaar nog in ontwikkeling, wat ook geldt voor het overzicht van de belangrijkste systemen van de Tweede Kamer die goed beveiligd moeten worden.
Verder blijkt dat de procedure voor het managen en escaleren van incidenten is beschreven, maar nog niet geformaliseerd. "Doordat het proces niet is geformaliseerd bestaat echter het risico dat het beheer van en de communicatie over beveiligingsincidenten niet consistent is, waardoor mogelijk zwakke plekken in de beveiliging worden gemist", aldus de Rekenkamer, die tot de conclusie komt dat de Tweede Kamer de risico's op het gebied van informatiebeveiliging vorig jaar niet volledig beheerste. Informatiebeveiliging in de Tweede Kamer is dan ook als aandachtspunt voor dit jaar genoemd.
Minister Ollongren van Binnenlandse Zaken laat in een reactie weten dat de Tweede Kamer zich in de bevindingen van de Rekenkamer kan vinden. "In het informatiebeveiligingsbeleid zal expliciet aandacht worden gegeven aan de relatie tussen Tweede Kamer en derden", aldus de minister, die verder aangeeft dat er prioriteit wordt gegeven aan het formaliseren en invoeren van beleidsmatige en procedurele maatregelen op het terrein van risico- en incidentmanagement.
Deze posting is gelocked. Reageren is niet meer mogelijk.