Schriftelijke vragen informatiebeveiliging
Geacht college,
Sinds vorig jaar zijn gemeenten verantwoordelijk voor jeugdzorg, maatschappelijke ondersteuning en de zorg voor chronisch zieken, ouderen en gehandicapten. Door die verandering inventariseren gemeenten de zorgvragen van hun burgers en proberen ze hulp te bieden. Mede als gevolg hiervan beschikken gemeenten over een groeiende hoeveelheid privacygevoelige informatie. Als deze informatie onbedoeld op straat komt te liggen, zijn de gevolgen groot. Inwoners mogen daarom verwachten dat hun gemeente de informatiebeveiliging op orde heeft.
In een recente editie van het Algemeen Dagblad staan resultaten van een door Internet.nl uitgevoerde test. Internet.nl test overheidsinstanties op veiligheid van hun ICT. Het raadplegen van deze site op de domeinnaam Ridderkerk.nl levert als resultaat een score op van 34% op (op een schaal van 100). Ambtenaren, inwoners, bedrijven en instellingen die gebruikmaken van de ICTomgeving van de gemeente lopen blijkbaar een risico. De PvdA Ridderkerk maakt zich zorgen over de beveiliging van het ICT-verkeer in onze gemeente en heeft hierover de volgende vragen:
Ten aanzien van de score op Internet.nl
1a. Bent u reeds geattendeerd op de staat van de beveiliging van de ICT van onze gemeente? Zo ja, wat is daaruit voort gekomen?
1b. Is de gemeente, dan wel de verantwoordelijke externe partij, in staat om deze beveiligingsproblemen op te lossen? Zo ja, welke stappen gaat u (laten) ondernemen? Zo nee, welke stappen bent u van plan te ondernemen?
1c. Zijn alle digitale formulieren en gegevens versleuteld, zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) dit voorschrijft? Zo nee, binnen welke termijn bent u plan om dit te doen?
Ten aanzien van informatiebeveiliging in het algemeen
2a. Hoe heeft u de punten van de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente opgepakt?
2b. Hoe is het informatiebeveiligingsbeleid binnen de gemeente vormgegeven? Wie zijn er als verantwoordelijken aangesteld?
2c. In hoeverre is er binnen de gemeentelijke organisatie aandacht voor bewustwording inzake informatiebeveiliging?
3a. Welke risico’s accepteert u voor de eigen gemeente/de BAR-organisatie en welke niet?
3b. Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident?
3c. Is de privacy van onze inwoners gegarandeerd? Waarom wel/niet?
4a. Functioneert de cyclus van informatieveiligheid binnen onze gemeente/de BAR-organisatie? Waarom wel/niet?
4b. Vindt er een jaarlijkse toetsing plaats om na te gaan of de gemeente/BAR-organisatie in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assesment? Wat zijn de resultaten van deze toetsing?
4c. Wordt de cyclus jaarlijks bijgesteld op basis van opgedane ervaringen? Waarom wel/niet?
5a. Hebben we binnen onze gemeente/de BAR-organisatie procedures opgesteld voor incidenten? Zo ja, welke?
5b. Welke risico’s loopt de gemeente/BAR-organisatie in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt?
5c. Hoeveel incidenten zijn er 2015 en (tot nu toe) in 2016 geweest? Worden die incidenten gemeld bij de Informatiebeveiligingsdienst (IBD)? Waarom wel/niet?
Gelet op het bepaalde in artikel 40 van het Reglement van Orde voor de raad verzoek ik om schriftelijke beantwoording van deze vragen. Tevens verzoek ik u om alle vragen (afzonderlijk) te beantwoorden en niet te volstaan met een algemeen antwoord of te verwijzen naar andere bronnen.
Hoogachtend,
Jeroen Rijsdijk
PvdA Ridderkerk