De gemeente Arnhem heeft de bescherming van persoonsgegevens nog altijd niet op orde. Werkzaamheden op het gebied van privacy en informatiebeveiliging vinden nog grotendeels ad hoc plaats, het bewustzijn op het vlak van informatiebeveiliging en privacy moet beter en er is te weinig personeel voor privacy en informatiebeveiliging. Dat blijkt uit onderzoek dat de gemeente liet uitvoeren.
De Rekenkamer deed in 2018 onderzoek naar de informatiebeveiliging bij de gemeente. "De kritieke punten uit het Rekenkameronderzoek zijn opgelost. De digitale ontwikkelingen gaan echter razendsnel. De tijd is veranderd, wat inhoudt dat het oplossen van de kritieke punten uit het onderzoek van 2018 niet afdoende is en er nieuwe kwetsbaarheden zijn ontstaan", aldus burgemeester Marcouch in een brief aan de gemeenteraad.
Uit het onderzoek blijkt dat er nog het nodige mis is bij de gemeente Arnhem. Zo zijn op tactisch en operationeel niveau veel processen en procedures onvoldoende beschreven voor het uitvoeren van werkzaamheden op het gebied van informatiebeveiliging en privacy. Hierdoor weten medewerkers niet altijd wat er van hen verwacht wordt. Daarnaast is het moeilijk om te sturen of grip te krijgen op de uitkomsten van deze processen.
Verder ontbreken een managementsysteem voor zowel privacy (PIMS) als voor informatiebeveiliging (ISMS). Ook wordt er binnen het privacy- en informatieveiligheidsdomein onvoldoende risicogedreven gewerkt. Hierdoor heeft de gemeente geen (gestructureerde) grip op de risico's die zij loopt. Er is wel een start gemaakt met de uitvoering van BIA’s en DPIA’s. De opvolging van uitkomsten kan hierbij nog helderder worden geborgd, aldus de onderzoekers.
Tevens moet het bewustzijn op het vlak van informatiebeveiliging en privacy beter. Op het gebied van informatiebeveiliging en privacy is het bewustzijn binnen Arnhem laag, aldus de onderzoekers. Er wordt geen extra aandacht besteed aan informatiebeveiliging en privacy bij indiensttreding en er wordt geen periodieke aandacht besteed aan bewustwording, door bijvoorbeeld campagnes. Verder is er een oplossing voor beveiligd mailen, maar deze word door medewerkers als erg ingewikkeld ervaren en is er geen wachtwoordkluis, terwijl hier wel behoefte aan is.
"Het M&I-rapport bevestigt helaas onze eerdere analyses en toont aan dat we op achterstand staan. Hoewel deze uitkomst niet onverwacht was, is dit niet de gehoopte of wenselijke uitkomst en noodzaakt dit ons tot het nemen van verregaande maatregelen", aldus Marcouch. De burgemeester zegt dat "significante budgetten" zijn opgenomen in de begroting om de nodige verbeteringen op het vlak van informatieveiligheid en privacy door te voeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.