De resultaten van het onderzoek, welke de naam ‘Verantwoordelijkheid voor Veiligheid’ draagt, zijn op te delen in een drietal conclusies:
1. Hoewel uit het onderzoek is gebleken dat de gemeente over goed opgezet beleid beschikt, is de conclusie over dit beleid dat het onvoldoende is geïmplementeerd en dat de gemeente daardoor niet 'in control' is.
2. De informatiesystemen zijn door hackers getest met een aantal penetratietesten. Hieruit bleek dat er sprake was van meerdere (ernstige) kwetsbaarheden in de systemen. Deze informatie is direct met de gemeente gedeeld en de kwetsbaarheden zijn voor een deel al verholpen.
3. Tot slot is gebleken dat de raad onvoldoende over de informatiebeveiliging is geïnformeerd. Ons werd in het verleden zelfs voorgehouden een voorbeeldgemeente te zijn.
Drie stevige conclusies waar de gemeente mee aan de slag moet. Hoewel het college in haar reactie aangeeft het geschetste beeld te onderkennen, werd er volgens de VVD nog wel te luchtig over gedacht. Zo gaf het college onder andere aan dat het in andere gemeentes ook allemaal nog niet zo goed is geregeld. Wat de VVD betreft mag dat geen excuus zijn om als gemeente zelf de orde niet op zaken te hebben. Dit staan we immers ook niet toe op dossiers zoals de WMO. Informatiebeveiliging moeten we wat de VVD betreft gewoon goed regelen, onvoldoende beveiliging kan namelijk grote gevolgen hebben voor de privacy van onze inwoners.
Daarover is zowel in de commissie als in de raad een stevige discussie gevoerd met de verantwoordelijk wethouder. De raad verwacht van de wethouder voor de bespreking van de Kadernota inzicht in de benodigde middelen om dit probleem op te lossen. Is er wel voldoende geld en capaciteit? Uit het onderzoek blijkt dat we als gemeente gemiddeld gezien heel weinig uitgeven aan onze informatiebeveiliging. De vraag is of we niet voor een dubbeltje op de eerste rij willen zitten en daardoor onnodige risico’s lopen. Daarom wil de VVD voor de Kadernota beschikken over de benodigde informatie om bij te kunnen sturen.
Tot slot stond er nog een belangrijk pijnpunt open, namelijk het testen met niet-geanonimiseerde gegevens door gemeente. Wat wil zeggen dat de gemeente bij het testen van het systeem gebruik maakt van echte gegevens en dat zijn o.a. privacygevoelige gegevens van onze inwoners. Dit is volgens de AVG niet toegestaan. Toch bleef het college volhouden dat dit niet anders mogelijk was, en daar is hij weer: bij andere gemeentes doen ze dit ook zo. Het college werd op dit punt nogmaals in het ongelijk gesteld door Hoffmann Cybersecurity. De raad ontving na de behandeling van het onderzoek in de commissie namelijk een schriftelijke reactie waarin het college aangaf dat het testen met niet-geanonimiseerde gegevens door gemeente niet anders kan en dat dit gewoon zou mogen. Gelukkig volgde nog voor de behandeling in de raad een reactie daarop van Hoffmann Cybersecurity welke het vermoeden van de VVD nogmaals bevestigde. Testen met niet-geanonimiseerde gegevens door gemeente is niet toegestaan. De VVD heeft daarom bij de behandeling in de raad een motie ingediend om een punt achter de discussie te zetten: de raad vindt dat we de AVG moeten volgen en daarom testen we niet met (persoons)gegevens van onze inwoners.
De raad heeft zowel de aanbevelingen van de RKC als de motie van de VVD unaniem aangenomen. De aanbevelingen van de RKC luiden als volgt:
1. Vóór eind 2019 daadkrachtige en volledige implementatie
van het eigen informatiebeveiligingsbeleid te realiseren.
2. De informatiesystemen weerbaarder te maken tegen
cybercrime door kwetsbaarheden te verhelpen.
3. De raadsinformatie over
informatiebeveiliging te verbeteren.