Vragen over de informatieveiligheid gemeente Vlaardingen

Op dit moment beheersen zaken als hacks, onveilige websites en datalekken de voorpagina’s van de media. Mede naar aanleiding van de aanbevelingen van de accountant (verslag 2016) houdt de VVD twijfels of het in de gemeente Vlaardingen wel goed is geregeld.

Aan College van B&W.
Vlaardingen, 7 juni 2017
Art. 36 vragen: Informatieveiligheid gemeente Vlaardingen 

Geacht College,

Naar aanleiding van het concept accountantsverslag 2016 waarin o.a. bevindingen en aanbevelingen staan op gebied van informatieveiligheid heeft de VVD de verslagen over 2014, 2015 en 2016 naast elkaar gelegd.

Hieruit blijkt dat de accountant ieder jaar tekortkomingen constateert op gebied van informatieveiligheid.
(accounts, wachtwoorden en beheersingsmaatregelen).

In uw reactie op de aanbevelingen uit het accountantsverslag 2016 ontbreekt uw reactie op de aanbevelingen van de accountant rond ICT. De accountant spreekt o.a. over datalekken en IT-audits.

Eerder heeft onze fractie naar aanleiding van publicaties in de media meerdere vragen gesteld over de veiligheid van de website maar ook over de informatieveiligheid van de gemeente.
Uit uw antwoorden bleek dat u die media publicaties onbetrouwbaar, onvolledig en zonder meerwaarde vindt en dat u van mening bent dat de veiligheid van de gemeente Vlaardingen voldoet aan de wettelijke gestelde normen.
Uw beantwoording leidde onzerzijds tot vervolgvragen.
Ook die antwoorden hebben bij de VVD de zorgen rondom ICT helaas niet kunnen wegnemen.

Volgens de VNG (Vereniging Nederlandse Gemeenten) hebben bij de meeste gemeenten in Nederland deze zaken onverminderd de aandacht. Informatieveiligheid en privacy verdienen een belangrijke plaats op de gemeentelijke agenda.
Het is dan ook van het grootste belang dat verantwoordingsprocessen adequaat worden ingericht zodat informatieveiligheid geborgd blijft.

Uit de resolutie ‘informatieveiligheid, randvoorwaarde voor de professionele gemeente’ (BALV 2013) blijkt dat is afgesproken dat de gemeenteraad jaarlijks wordt geïnformeerd over informatieveiligheid in de gemeente.

Op dit moment beheersen zaken als hacks, onveilige websites en datalekken de voorpagina’s van de media.

Mede naar aanleiding van de aanbevelingen van de accountant (verslag 2016) houdt de VVD twijfels of het in de gemeente Vlaardingen wel goed is geregeld.

Al met al redenen te over voor onze fractie u nogmaals (concrete) vragen te stellen over de stand van zaken in onze gemeente m.b.t. de informatieveiligheid (+privacy). 

Wij verzoeken u deze vragen, behalve gericht op onze eigen ambtelijke organisatie, ook te zien als vragen m.b.t. alle partijen die als Gemeenschappelijke Regeling onder uw verantwoordelijkheid vallen als college van B&W Vlaardingen (Bijvoorbeeld Stroomopwaarts, ROG+ etc)

  1. Hoe heeft het college de punten van de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente opgepakt?
    Geldt de Baseline Informatiebeveiliging Gemeente (BIG) als norm voor het basis beveiligingsniveau van onze gemeente?
    In beantwoording van eerdere vragen van de VVD geeft u aan dit al over 2015/2016 te hebben vastgesteld. U zegde toe de raad deze ter beschikking te stellen. Die hebben wij nooit ontvangen. Graag uitleg/toelichting waarom u het tegengestelde doet, als wat u heeft beloofd.
  2. Hoe is het informatie beveiligingsbeleid vormgegeven binnen de gemeente Vlaardingen? Wie zijn er als verantwoordelijken aangesteld en is er aandacht voor bewustwording? (CISO)
  3. Welke risico’s accepteert u als College voor Vlaardingen en welke risico’s niet? Hoe schat u de politiek-bestuurlijke en maatschappelijke gevolgen in, in geval van een incident? Is o.a. de privacy van de inwoners van Vlaardingen gegarandeerd?
  4. Functioneert de cyclus van informatieveiligheid wel binnen de gemeente Vlaardingen? Vindt er een jaarlijkse toetsing plaats om na te gaan of de gemeente Vlaardingen in control is op gebied van informatieveiligheid via peer reviews, audits of self-assessment? Wat zijn de resultaten van deze toetsing? Wordt de cyclus jaarlijks bijgesteld op basis van lessons learned?
    Op onze eerdere art 36 vraag of u de veiligheid door externe partijen laat testen, spreekt u slechts over GAP analyses en plan van aanpak. Dit is geen antwoord op die vraag.
    Nogmaals de vraag: Kunt u aangeven of u een externe onafhankelijke instantie een IT-audit heeft laten uitvoeren? Zo ja, wanneer? En wilt u de resultaten delen met de gemeenteraad? Zo nee, waarom niet.
  5. Welke procedures zijn binnen onze gemeente opgesteld voor incidenten? Welke risico’s loopt de gemeente Vlaardingen in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt? 
    Hoeveel incidenten zijn er de afgelopen periode geweest? (Vanaf 1-1-2016 en voor 2016) 
    Meldt de gemeente Vlaardingen die incidenten bij de IBD? (Datalekken)

Uw beantwoording zien wij, gezien het belang van de materie, gaarne zo spoedig mogelijk en met belangstelling tegemoet.

Fractie VVD Vlaardingen
Nol Kloosterman
Vera Kalf-Müller

Als bijlage treft u de eerder gestelde vragen en antwoorden van het college van B&W.