Algemene Rekenkamer: ‘Informatiebeveiliging Rijksoverheid niet op orde’

Algemene Rekenkamer: ‘Informatiebeveiliging Rijksoverheid niet op orde’

Laatst bijgewerkt: 26 mei 2020
Leestijd: 3 minuten, 44 seconden

Het is niet al te best gesteld met de beveiliging van staatsgeheimen en privacygevoelige informatie bij de Rijksoverheid. De helft van de onderzochte organisaties heeft zijn informatiebeveiliging niet op orde. Hoewel er grote stappen zijn gezet en er duidelijk het een en ander verbeterd is, loopt de keten “een reëel risico” bij het uitwisselen van informatie.

Dat schrijft de Algemene Rekenkamer in het rapport Resultaten verantwoordingsonderzoek 2019 Staten-Generaal (IIA).

‘Reëel risico in de keten’

Bij de overheid stromen dagelijks enorme hoeveelheden aan informatie van het ene naar het andere departement. Ook andere politiek-bestuurlijke instanties worden iedere dag overladen door bergen aan informatie. Dan hebben we het veelal over privacygevoelige en vertrouwelijke informatie, zoals persoons- en betaalgegevens, maar ook bedrijfsgevoelige informatie en staatsgeheimen. Als dergelijke gegevens op straat komen te liggen, kan dit grote impact hebben op ons privéleven, het bedrijfsleven en (geo)politieke speelveld. Digitale en fysieke bedreigingen zoals cyberaanvallen, sabotage en datalekken moeten dus koste wat kost voorkomen zien te worden.

Nu een groot deel van werkend Nederland door het coronavirus noodgedwongen thuiszit, is het juist van cruciaal belang dat de informatiebeveiliging van politieke instanties op orde is. In het recente verleden is het meer dan eens misgegaan op dit vlak. Denk aan de vele Zoom-gesprekken die voor iedereen te volgen waren, of de inbraak op de computersystemen van de WHO, Citrix en Universiteit van Maastricht. En dat is nog maar het topje van de ijsberg. Cybercriminelen grijpen de coronacrisis met beide handen aan om er financieel beter op te worden.

De Algemene Rekenkamer deed onderzoek naar de bedrijfsvoering van de Rijksoverheid en komt tot een onthutsende conclusie. Volgens het onafhankelijke adviesorgaan is bij de helft van de onderzochte politiek-bestuurlijke organisaties de informatiebeveiliging niet op orde. “We stellen vast dat er sprake is van een reëel risico in de keten van overheidsorganisaties bij het uitwisselen van informatie”, zo schrijft de Rekenkamer in haar rapport.

Informatiebeveiliging Tweede Kamer

De onderzoekers constateren dat er grote verschillen zijn hoe informatiestromen beveiligd zijn bij de Rijksoverheid. Hierdoor ontstaan er risico’s bij het uitwisselen van informatie, waarbij de zwakste schakel binnen de keten de sterkte van de keten als geheel bepaalt. Volgens de Rekenkamer is het nu onduidelijk wie verantwoordelijk is voor de verschillende ketens van informatiestromen die het departement overstijgen.

De Tweede Kamer in het bijzonder is een belangrijke schakel in de informatieketen binnen de Rijksoverheid. Er wordt immers veel informatie uitgewisseld tussen de Tweede Kamer en organisaties binnen en buiten de Rijksoverheid. Je zou verwachten dat de informatiebeveiliging uitgerekend hier op-en-top in orde is. In praktijk valt dat vies tegen. Een belemmerende factor is dat het managementteam van de ambtelijke organisatie van de Tweede Kamer drie keer van samenstelling is gewisseld.

De volksvertegenwoordiging is zich volgens de Algemene Rekenkamer wel degelijk bewust over het belang van goede informatiebeveiliging, maar is dit niet formeel op papier vastgelegd. Wel zien de onderzoekers dat de Tweede Kamer stappen voorwaarts heeft gezet om haar zaakjes te regelen. Toch zijn er nog wel degelijk beveiligingsrisico’s. Risicomanagement, dat zich bezighoudt met het inventariseren van potentiële beveiligingsrisico’s, was afgelopen jaar nog in ontwikkeling. Dat geldt ook voor het overzicht van de belangrijkste systemen van de Tweede Kamer die goed beveiligd moeten worden. “Dit is een belangrijk basiselement om ervoor te zorgen dat dat de risico’s van de belangrijkste systemen voor informatiebeveiliging actueel en inzichtelijk zijn”, aldus de Rekenkamer.

Zowel de procedure voor het managen van incidenten als die voor de escalatie van incidenten is beschreven, maar nog niet geformaliseerd. Er is een incidentenregistratiesysteem waarin incidenten worden gemeld en geregistreerd, zodat passende actie kan worden ondernomen. Doordat het proces niet is geformaliseerd bestaat echter het risico dat het beheer van en de communicatie over beveiligingsincidenten niet consistent is, waardoor mogelijk zwakke plekken in de beveiliging worden gemist.”

Reactie minister Ollongren

Kasja Ollongren, minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK), zegt “met genoegen” kennis te hebben genomen van het rapport van de Algemene Rekenkamer. Ze stelt dat de Tweede Kamer inmiddels organisatorische maatregelen heeft getroffen om de continuïteit van informatiebeveiliging te borgen. Verder schrijft ze dat er prioriteit wordt gegeven aan het formaliseren en invoeren van beleidsmatige en procedurele maatregelen op het terrein van risico- en incidentmanagement. “In het informatiebeveiligingsbeleid zal expliciet aandacht worden gegeven aan de relatie tussen Tweede Kamer en derden”, aldus minister Ollongren.

In het jaarverslag van 2020 rapporteert en adviseert de Algemene Rekenkamer over de ontwikkelingen van informatiebeveiliging bij de Tweede en Eerste Kamer alsook andere politiek-bestuurlijke instanties.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen