Gemeente Arnhem heeft bescherming persoonsgegevens nog altijd niet op orde
De gemeente Arnhem heeft de bescherming van persoonsgegevens nog altijd niet op orde. Werkzaamheden op het gebied van privacy en informatiebeveiliging vinden nog grotendeels ad hoc plaats, het bewustzijn op het vlak van informatiebeveiliging en privacy moet beter en er is te weinig personeel voor privacy en informatiebeveiliging. Dat blijkt uit onderzoek dat de gemeente liet uitvoeren.
De Rekenkamer deed in 2018 onderzoek naar de informatiebeveiliging bij de gemeente. "De kritieke punten uit het Rekenkameronderzoek zijn opgelost. De digitale ontwikkelingen gaan echter razendsnel. De tijd is veranderd, wat inhoudt dat het oplossen van de kritieke punten uit het onderzoek van 2018 niet afdoende is en er nieuwe kwetsbaarheden zijn ontstaan", aldus burgemeester Marcouch in een brief aan de gemeenteraad.
Uit het onderzoek blijkt dat er nog het nodige mis is bij de gemeente Arnhem. Zo zijn op tactisch en operationeel niveau veel processen en procedures onvoldoende beschreven voor het uitvoeren van werkzaamheden op het gebied van informatiebeveiliging en privacy. Hierdoor weten medewerkers niet altijd wat er van hen verwacht wordt. Daarnaast is het moeilijk om te sturen of grip te krijgen op de uitkomsten van deze processen.
Verder ontbreken een managementsysteem voor zowel privacy (PIMS) als voor informatiebeveiliging (ISMS). Ook wordt er binnen het privacy- en informatieveiligheidsdomein onvoldoende risicogedreven gewerkt. Hierdoor heeft de gemeente geen (gestructureerde) grip op de risico's die zij loopt. Er is wel een start gemaakt met de uitvoering van BIA’s en DPIA’s. De opvolging van uitkomsten kan hierbij nog helderder worden geborgd, aldus de onderzoekers.
Tevens moet het bewustzijn op het vlak van informatiebeveiliging en privacy beter. Op het gebied van informatiebeveiliging en privacy is het bewustzijn binnen Arnhem laag, aldus de onderzoekers. Er wordt geen extra aandacht besteed aan informatiebeveiliging en privacy bij indiensttreding en er wordt geen periodieke aandacht besteed aan bewustwording, door bijvoorbeeld campagnes. Verder is er een oplossing voor beveiligd mailen, maar deze word door medewerkers als erg ingewikkeld ervaren en is er geen wachtwoordkluis, terwijl hier wel behoefte aan is.
"Het M&I-rapport bevestigt helaas onze eerdere analyses en toont aan dat we op achterstand staan. Hoewel deze uitkomst niet onverwacht was, is dit niet de gehoopte of wenselijke uitkomst en noodzaakt dit ons tot het nemen van verregaande maatregelen", aldus Marcouch. De burgemeester zegt dat "significante budgetten" zijn opgenomen in de begroting om de nodige verbeteringen op het vlak van informatieveiligheid en privacy door te voeren.
Dan heb je als gemeente enkele memo's gemist afgelopen jaren.
Dat een gemeente eea nog niet 100% op orde heeft is logisch.
Een gemeente heeft namelijk 3 privacy domeinen en niet alleen de AVG.
Daarnaast te maken met honderden stukjes wetgeving die ze ook mee moeten nemen.
Gemeenten zijn op het gebied van privacy uitermate complex en dat vraagt wel om menskracht. Helaas zijn specialisten met gemeentelijke kennis erg schaars. De vraag is dus ook of er genoeg mensen te krijgen zijn op dit moment.
Het is altijd makkelijk roepen vanaf de zijkant maar zie het maar eens te regelen terwijl gemeenten ook te maken hebben met steeds meer taken en een bezuinigingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
