“Wij hebben de zaken gelukkig goed op orde”, zegt VVD-raadslid Tom Coumans. Die conclusie trekt hij naar aanleiding van de antwoorden van B&W op schriftelijke vragen van hem en D66-raadslid Robert Zuidbroek. Het duo maakte zich zorgen over de veiligheid van data van de inwoners van de gemeente. Maar dat is niet nodig, bleek uit de antwoorden. Coumans en Zuidbroek hadden gevraagd naar de door de gemeente getroffen maatregelen om ICT te beschermen. Daarin is veel geïnvesteerd, constateert Coumans.
Die investering is dus niet alleen om de dienstverlening te verbeteren en te vereenvoudigen, maar ook om de persoonlijke gegevens van inwoners te beschermen. De VVD-er Coumans haalt nog maar eens uit naar Aalsmeer, dat niet wil betalen voor ICT, waardoor een gat in de begroting dreigt. “Blijkbaar vindt Aalsmeer dit allemaal wat minder belangrijk”, zegt hij. “Ik ben het met ze eens dat het veel geld is, maar je moet er toch niet aan denken dat persoonlijke gegevens in de verkeerde handen komen en de gemeente op slot gezet wordt, zoals bijna gebeurde in Lochem.
Beleid
B&W zeggen in hun antwoorden dat sinds 2016 door hen een informatieveiligheidsbeleid is vastgesteld en een jaarplan op dat gebied en ter wille van de privacy wordt opgesteld en uitgevoerd. Er is op het raadhuis volgens hen een vaste formatie gecreëerd om structurele aandacht voor informatieveiligheid en privacy binnen de organisatie te waarborgen. De genomen maatregelen zijn voor een substantieel deel “gedekt uit budgetten van de Digitale Transformatie, zoals ‘AVG proof’ maken van werkprocessen, inrichten van audit cyclus informatieveiligheid ENSIA, bewustwording en veilige gegevensuitwisseling”, meldt het college.
Wetgeving
Enerzijds voldoet volgens B&W alles aan landelijke wet- en regelgeving, maar ook aan de
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als het gemeentelijk basisnormenkader. In het beleid zijn ook meer operationele uitgangspunten opgenomen, zoals de veiligheid van mobiele apparaten, als telefoons en Ipads, om datalekken te voorkomen.
Jaarplan
De in het jaarplan opgenomen maatregelen betreffen o.a. bewustwording bij medewerkers, werkprocessen ‘AVG proof’ maken, technische aanpassingen aan het netwerk en servers en beveiligingssoftware voor mobiele apparatuur, zoals voor tablets, zegt het college. “Over de voortgang van het jaarplan informatieveiligheid en privacy wordt periodiek gerapporteerd aan de portefeuillehouder ICT.” Die opmerking is een verwijzing naar wethouder Frank Berkhout.
Volgens hem is er de afgelopen geen succesvolle aanvallen van buitenaf op de ICT Infrastructuur van de gemeente geweest. “We hebben ervoor gekozen de firewall, die mogelijke aanvallen van buitenaf moet tegenhouden, 24 uur per dag en 7 dagen per week te laten beheren en monitoren door een specialistische externe partij. Hierdoor beschermt de gemeente zich tegen digitale aanvallen van buitenaf.”
Virus
Wel was er in 2016 een infectie met virussoftware. De oorzaak lag niet in een externe aanval, maar in een persoonlijke handeling van een medewerker, die een mailbericht met de virus heeft geopend, meldt Berkhout.
De gemeente gebruikt niet het Remote Desktop Control (RDP) protocol, dat werd aangevallen in Lochem, zeggen B&W. “Wij gebruiken het Citrix ICA protocol. Dat staat bekend als veilig en bedrijfszeker. Daarnaast dwingen wij 2 weg authenticatie af waardoor de gebruiker niet alleen door middel van een username en wachtwoord toegang verkrijgt, maar daarnaast nog een tweede authenticatie middel nodig heeft. In ons geval is dat een code die binnen komt op de mobiele telefoon.”
De gemeente zegt te beschikken over een actueel overzicht van alle ICT voorzieningen, onder meer van de servers en de functies die daarop draaien. “Daarnaast is er een actueel overzicht van alle netwerkcomponenten.”
Werkstations
Op de kritische systemen is volgens B&W een adequaat patch management ingericht, waaronder o.a. alle werkstations en servers vakken. Naast deze kritische software, die zorgt voor besturing en beveiliging van de IT systemen, is er ook toepassingssoftware, voegen zij er aan toe. “Deze software biedt uitsluitend de functionaliteit waar medewerkers mee kunnen werken. Voor deze categorie software wordt in het tweede kwartaal van 2020 formeel beleid opgeleverd.”
De investering die is gepleegd, en waaraan Aalsmeer dus niet wil mee betalen volgens Coumans, ook essentieel om in de toekomst kosten te kunnen besparen, inwoners niet van het kastje naar de muur te sturen en menselijke fouten te beperken.
