De rekenkamer heeft onderzoek gedaan naar de informatiebeveiliging van het sociaal domein binnen de gemeente Arnhem. Een ethische hacker heeft daarbij getoetst wat de huidige stand van de beveiliging is en onderzocht of de informatieveiligheid en privacy in technische zin geborgd is. De rekenkamer kwam hierbij tot verontrustende conclusies. Privacygevoelige informatie is gemakkelijk bereikbaar en de verantwoordelijke organisatie blijkt nog onvoldoende in staat om dit op te lossen. Vorige week werden de aanbevelingen unaniem door de gemeenteraad overgenomen.
Alle kernprocessen van Arnhem toegankelijk
In het rapport zegt de rekenkamer dat feitelijk alle kernprocessen van Arnhem toegankelijk en manipuleerbaar waren voor een door de Rekenkamer ingeschakelde ethische hacker en dat deze toegang heeft verkregen tot privacygevoelige informatie van zowel burgers, bestuurders als ambtenaren. Er is een groot aantal tekortkomingen in de informatiebeveiliging vastgesteld.
Kwetsbare groepen
Het onderzoek richtte zich in eerste instantie op het sociaal domein waar onder meer zorg, onderwijs, opvoeding en inburgering onder vallen. Het gaat hierbij dus om de gegevens van kwetsbare groepen. De hacker heeft zich echter toegang kunnen verschaffen tot meer gegevens. D66-raadslid Maarten Venhoek zegt hierover in gesprek met RTV Arnhem: ‘Eigenlijk lag alles open en bloot. Degene die deze test heeft uitgevoerd was in staat zichzelf administratorrechten toe te eigenen in het netwerk van de gemeente en kon daardoor overal bij.’
Tekortkomingen onvoldoende aangepakt
De Connectie, de organisatie die namens de gemeente verantwoordelijk is voor deze processen, krijgt bovendien stevige kritiek over de manier waarop de tekortkomingen worden aangepakt. De rekenkamer zegt hierover: ‘De connectie is niet in control op het gebied van informatiebeveiliging en privacybescherming, gelet op de wijze waarop de aanpak van de aangetoonde tekortkomingen wordt gekoppeld aan lopende projecten zonder dat deze tekortkomingen daarmee inhoudelijk worden verholpen. Hierdoor is Arnhem kwetsbaar.’ Ook concludeert de rekenkamer een groot verschil tussen gedrag, beleid en uitvoering binnen De Connectie. Kortom, er wordt niet het beleid uitgevoerd dat ze uit zouden moeten voeren.
Aanbevelingen
De rekenkamer beveelt het college aan, via haar positie binnen De Connectie, met hoge urgentie de aangetoonde kwetsbaarheden te laten verhelpen. Verder, de informatiebeveiliging binnen De Connectie op een dusdanige wijze te laten organiseren dat De Connectie op korte termijn ‘in control’ komt op dit onderwerp, waarmee de koppeling wordt hersteld tussen gedrag, beleid en uitvoering En tot slot, de gemeenteraad van Arnhem binnen drie maanden te informeren over de aanpak en uitkomsten van de aanbevelingen. Deze werd door de raad unaniem aangenomen.
Reactie wethouder
VVD-wethouder Jan van Dellen laat weten dat de uitkomsten van het onderzoek direct zijn opgepakt. Ook wil hij aangeven dat De Connectie nog maar ruim een jaar geleden verzelfstandigd is. Hij zegt dat na implementatie van alle verbetermaatregelen in de loop van de komende maanden een nieuwe test zal worden gehouden, om het beveiligingsniveau van het netwerk opnieuw door middel van een hackpoging te testen. Maarten Venhoek zegt dat de Arnhemse burger zich wellicht geen grote zorgen hoeft te maken omdat het hierbij ging om een aanval van ‘binnenuit’, in eerdere testen met aanvallen van ‘buitenaf’ is de beveiliging wel voldoende op orde gebleken. Toch geeft ook hij aan dat de situatie zorgwekkend is, en dat dit zeker nooit had mogen gebeuren.