Rekenkameronderzoek informatieveiligheid: De hacker een stap voor blijven

De Rekenkamer van de gemeente Ede onderkent dat door digitalisering er steeds nieuwe risico’s ontstaan voor de veiligheid van informatie. Zo zijn gemeenten regelmatig doelwit van cyberaanvallen. Vanwege de actualiteit van het onderwerp en de grote risico’s die ermee gepaard gaan heeft de Rekenkamer PBLQ gevraagd om te onderzoeken hoe doeltreffend het Edese informatiebeveiligingsbeleid is.

Opdracht

De Rekenkamer van de gemeente Ede wilde onderzoek laten doen naar de wijze waarop de gemeente de informatieveiligheid waarborgt. Het onderzoek heeft plaatsgevonden in de periode mei tot en met september 2023 en beslaat de periode vanaf 2017 tot het einde van de onderzoeksperiode. PBLQ heeft onderzocht hoe de gemeente Ede haar informatie heeft beveiligd, waarbij gekeken is naar het beleid, de uitvoering daarvan, het lerend vermogen van de gemeente en de betrokkenheid van de gemeenteraad.

Aanpak

Bij de start van het onderzoek hebben we in een bijeenkomst met de ambtelijke organisaties het onderzoek toegelicht en afspraken gemaakt over de uitvoering van het onderzoek. Naast een uitgebreide bureaustudie hebben we interviews afgenomen met sleutelpersonen zoals de CISO, CIO en portefeuillehouder. Op basis van de bevindingen uit de interviews en documentstudie zijn twee casussen geselecteerd voor verdiepend onderzoek naar de dagelijkse praktijk. Ten slotte is er een discussiebijeenkomst met de gemeenteraad georganiseerd om nader inzicht te krijgen in hun kaderstellende, controlerende en volksvertegenwoordigende rol ten aanzien van informatieveiligheid.

Resultaat

We hebben de resultaten van het onderzoek beschreven in een nota van bevindingen en na wederhoor voorzien van conclusies en aanbevelingen in samenspraak met de Rekenkamer. Het onderzoeksrapport is aan de gemeenteraad aangeboden en daar besproken. Onze opdrachtgever: “De samenwerking met PBLQ was erg prettig en het onderzoek is soepel verlopen. We zijn echt tevreden met het resultaat. We zouden PBLQ zeker aanraden bij andere rekenkamers.”

Waarom PBLQ

PBLQ is van oudsher al actief met onderwerpen als privacy en informatieveiligheid, zowel op het vlak van audit en onderzoek als in de uitvoering zelf. We hebben ervaring met rekenkameronderzoek naar beveiliging, gebruiken een helder normenkader gebaseerd op onze ervaring en belangrijke standaarden, en weten ook hoe een informatiebeveiligingsbeleid moet worden opgesteld en uitgevoerd.