Rijk heeft informatiebeveiliging niet op orde

May 18, 2017

Negen ministeries hebben onvoldoende aandacht voor informatiebeveiliging. Back-up en recovery-maatregelen ontbreken en structurele monitoring, meting en de evaluatie van informatiebeveiliging zijn onvoldoende gewaarborgd. Dat meldt de Rekenkamer in het Rapport bij de Nationale verklaring 2017. Volgens de onderzoekers is de privacy van burgers in het geding.In het Rapport bij de Nationale verklaring 2017 verantwoordt Nederland zich voor het functioneren van beheers- en controlesystemen voor declaraties van uitgaven aan Europese projecten. In het rapport signaleert het onderzoeksteam onvolkomenheden bij de informatiebeveiliging van Economische Zaken, Defensie, Financiën, Veiligheid en Justitie (VenJ), Volksgezondheid, Welzijn en Sport (VWS), BZK, Onderwijs, Cultuur en Welzijn en Infrastructuur en Milieu.

Over een systeem voor subsidieregelingen schrijven de onderzoekers dat er sprake is van een onduidelijke vastlegging in het informatiesysteem van gegevens die door de Europese Commissie vereist worden. Ook ontbreekt programmatuur om op betrouwbare wijze gegevens te aggregeren. De rekenkamer schrijft over: 'Tekortkomingen in het management van informatiebeveiliging, met name het ontbreken van structurele monitoring, meting en evaluatie van informatiebeveiliging.'

Ook worden in het rapport ontoereikende back-up- en recoverymaatregelen genoemd en het ontbreken van een ‘Privacy Impact Assessment’ om vast te stellen in hoeverre de privacy van begunstigden wordt geraakt door het vastleggen van gegevens. Volgens de Rekenkamer zijn er wel diverse verbeterplannen opgesteld om tegemoet te komen aan aanbevelingen voor verbeteringen. Ook bij de Tweede Kamer is de beveiliging en het beheer van het financieel systeem nog niet voldoende, zo schrijft de Rekenkamer in een toelichting op het rapport. 

Evaluaties

De Rekenkamer: 'Het Rijk werkt aan een generieke digitale infrastructuur, maar niet zeker is of uitvoeringsinstellingen willen betalen om hiervan gebruik te maken als de kwaliteit niet verzekerd is. De voorbereiding van nieuwe ict-projecten verbetert. Maar er is nog onvoldoende systematische aandacht voor de honderden evaluaties van ict-projecten.'

De Rekenkamer vervolgt: 'Er is bestuurlijke aandacht vereist om gevoelige gegevens van burgers over een strafrechtelijk verleden, orgaandonatie, belasting- of medische informatie beter te beschermen. En om identiteitsfraude, het hacken van systemen voor de bediening van bruggen en sluizen of andere kritieke systemen tegen te gaan.' Ook melden de onderzoekers dat een aan de Tweede Kamer toegezegd kenniscentrum nog niet is opgericht.

Politie

De Rekenkamer schrijft ook over de moeizame zoektocht naar ict'ers bij de politie. 'Bij de politie zijn financiële en ict-experts ondanks verschillende wervingsronden schaars. Hierdoor is er onderbezetting, die de opsporing belemmert van financieel-economische en cybercriminaliteit, twee sterk groeiende rechercheterreinen. Het opnemen van aangiften van cybercriminaliteit is niet op orde, waardoor slachtoffers geen gehoor vinden bij de politie.'

 

https://www.computable.nl/artikel/nieuws/overheid/6021401/250449/rijk-heeft-informatiebeveiliging-niet-op-orde.html