slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

Vier verdedigingslinies voor informatieveiligheid

Vier verdedigingslinies voor informatieveiligheid

25 oktober 2017 om 15:49 door Rolf Willemse 0 reacties

De kwaliteit van de informatiebeveiliging bij overheden staat de laatste tijd sterk in de belangstelling én ter discussie. In dit artikel worden enkele basisvereisten ten aanzien van informatiebeveiliging beschreven, in het bijzonder waar het privacygevoelige informatie betreft. De beschrijving wordt gegeven aan de hand van uitkomsten van een onderzoek van de Rekenkamer Rotterdam naar de informatieveiligheid binnen de gemeente Rotterdam.

De kwaliteit van de informatiebeveiliging bij overheden staat de laatste tijd sterk in de belangstelling én ter discussie. In dit artikel worden enkele basisvereisten ten aanzien van informatiebeveiliging beschreven, in het bijzonder waar het privacygevoelige informatie betreft. De beschrijving wordt gegeven aan de hand van uitkomsten van een onderzoek van de Rekenkamer Rotterdam naar de informatieveiligheid binnen de gemeente Rotterdam.

Al eeuwen lang dragen gemeenten de zorg voor persoonsgegevens. Het bijhouden van de burgerlijke stand is een van de klassieke kerntaken van de gemeentelijke overheid. Hoewel de gemeentelijke (papieren) registers vroeger vrij eenvoudig te beveiligen waren door middel van een kluis, is de gemeente tegenwoordig voor veel meer (digitale) persoonsgegevens verantwoordelijk geworden, met name sinds de decentralisaties in het sociale domein. Deze ontwikkeling behelst een flinke taak en verantwoordelijkheid voor gemeenten. Gemeenten verwerken niet alleen meer naw-gegevens en bsn-nummers, maar ook gegevens over de inkomens van burgers (in het kader van de Participatiewet of schuldhulpverlening), medische gegevens en informatie over de gezinssituatie (in het kader van de Wet maatschappelijke ondersteuning en de Wet op de jeugdzorg). Kortom, gemeenten beschikken in toenemende mate over uiterst privacy­gevoelige informatie over de directe levenssfeer van hun burgers. Vaak gaat het daarbij om meer kwetsbare burgers; gemeenten verzamelen immers in het kader van een bepaalde hulpvraag de betreffende informatie. 

Diezelfde burgers moeten er zonder meer op kunnen vertrouwen dat de informatie die zij aan hun gemeente toevertrouwen in veilige handen zijn. De digitale systemen waarin de informatie is opgeslagen, zouden met een sleutel ‘dicht’ moeten zitten, net als de kluis van vroeger. Hoewel 100% informatiebeveiliging niet bestaat, is het toch de vraag of privacygevoelige informatie wel goed door gemeenten is beveiligd. Een veelvoorkomende kwetsbaarheid in de keten van informatiebeveiliging is het optreden van datalekken. Zo zijn in het eerste kwartaal van 2017 331 gemeentelijke datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Hierbij ging het volgens gegevens van de AP in de meeste gevallen over persoonsgegevens die verstuurd of afgegeven waren aan een verkeerde ontvanger (41%), maar ook om hacking, malware of phishing (5%). Een bekend voorbeeld van de eerst genoemde situatie is een datalek van de gemeente Gouda: hierbij werd per abuis een pakket met gevoelige informatie (o.a. paspoorten, bsn-nummers, adressen) verstuurd aan een burger die een beroep deed op de Wob om een horeca­vergunning op tafel te krijgen. 

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze orga­nisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrecht­­matige verwerking van gegevens. Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoons­gegevens, zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens, of, vanaf mei volgend jaar, in art. 33 van de dan geldende Algemene  Verordening Gegevensbescherming. Voorbeelden van datalekken zijn een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

In het voorjaar van 2016 ontstond er een datalek van namen, adressen en bsn-nummers van 32.000 burgers van de gemeenten Rotterdam en Oegstgeest. Saillant in dit geval was dat ook de gegevens van enkele raadsleden van de gemeente Rotterdam openbaar toegankelijk waren. In het raadsdebat dat op het datalek volgde, werd de Rekenkamer Rotterdam gevraagd een onderzoek te doen naar de staat van de informatiebeveiliging. Dit artikel schetst op hoofdlijnen de uitkomsten van dat onderzoek.1 

Risicogestuurde informatiebeveiliging

De basis voor een goede informatiebeveiliging voor gemeenten is de zogeheten Baseline Informatiebeveiliging Gemeenten (BIG). De BIG is een set van beveiligingsmaatregelen die een goed basis-beveiligingsniveau voor gemeenten neerlegt. De ‘strategische BIG’ kan gezien worden als de ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen kunnen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. De ‘tactische BIG’ is het normenkader dat de beschikbaarheid, integriteit en exclusiviteit van gemeentelijke informatie(systemen) bevordert. Deze tactische BIG is een richtlijn die een totaalpakket aan informatiebeveiligingscontrols en -maatregelen omvat, die voor iedere gemeente noodzakelijk is om te implementeren. 

Om aan de BIG te kunnen voldoen dient de gemeente een aantal zaken uit te voeren. Een daarvan zijn dataclassificaties. Hierin worden data op drie aspecten geclassificeerd, de zogeheten BIV-aspecten (betrouwbaarheid, integriteit en vertrouwelijkheid), uitmondend in een bepaald classificatieniveau (geen, laag, midden, hoog). Hoe hoger het niveau, hoe strenger de beschermingseisen. Informatiesystemen, bedrijfs­processen en gegevens worden, om het beoogde niveau van beveiliging te kunnen vaststellen, in de regel volgens de BIV-indeling geclassificeerd. 

BIV: Beschikbaarheid, Integriteit, Vertrouwelijkheid 

Een BIV-classificatie of BIV-indeling is een indeling die binnen de informatiebeveiliging wordt gehanteerd, waarbij de beschikbaarheid en continuïteit, de integriteit en betrouwbaarheid, de vertrouwelijkheid en exclusiviteit van informatie en systemen worden aangegeven. 

Beschikbaarheid geeft aan in hoeverre een ICT-dienst, systeem of component toegankelijk is voor de geautoriseerde gebruikers.

Integriteit is een kwaliteitskenmerk van gegevens in het kader van de informatiebeveiliging. Het is een synoniem voor betrouwbaarheid. Een betrouwbaar gegeven is

• juist (rechtmatigheid is hier een kernbegrip),
• volledig (niet te veel en niet te weinig),
• tijdig (op tijd),
• geautoriseerd (gemuteerd door een persoon die gerechtigd is de mutatie aan te brengen).

Vertrouwelijkheid is een kwaliteitskenmerk van gegevens. Met vertrouwelijkheid wordt bedoeld dat een gegeven alleen te benaderen is door iemand die gemachtigd is het gegeven te benaderen. Wie gemachtigd is een gegeven te benaderen, wordt vastgesteld door de eigenaar van het gegeven.

Vertrouwelijke gegevens zijn bijvoorbeeld:

• persoonsgegevens,
• staats- en bedrijfsgeheimen,
• concurrentiegevoelige gegevens,
• patiëntgegevens.

De beschermingseisen die uit de dataclassificaties volgen, worden vervolgens gebruikt in uit te voeren risicoanalyses. Hierin worden ook inschattingen gemaakt van de kans dat een beveiligingsincident zich voordoet en de impact daarvan op het werkproces (risico = kans x impact). Op basis van de uitkomsten worden vervolgens bepaalde beveiligings­maatregelen genomen. Voor data en systemen met een hoog vereist beschermingsniveau en een hoog risico op een beveiligings­incident, zullen aanzienlijk zwaardere beveiligings­maatregelen worden genomen, dan voor data en systemen met een laag risico en classificatie. 

Naast een analyse van de (impact van) risico’s voor de (continuïteit van de) werkprocessen, zijn er risicoanalyses waar het privacy betreft. Zo zijn voor systemen met privacygevoelige gegevens Privacy Impact Assessments (PIA) relevant. Een PIA legt de privacy-risico’s bloot van nieuwe (projecten en initiatieven) of bestaande verwerkingen van persoonsgegevens en draagt bij aan het vermijden of verminderen van deze privacy-risico’s. Op basis van een PIA wordt op systematische wijze inzichtelijk gemaakt hoe groot de kans is dat de privacy van de betrokken personen van wie gegevens worden verwerkt, wordt geschaad, waar deze risico’s zich voordoen en welke gevolgen daaraan voor hen verbonden zijn. De PIA doet dit door op gestructureerde wijze door de mogelijk (negatieve) gevolgen van het gebruik van persoonsgegevens voor de betrokken personen en organisaties in kaart te brengen en de risico’s voor de betrokken personen en organisaties zo veel mogelijk te lokaliseren. Een voorwaarde om te komen tot PIA’s is wel dat binnen de gemeente een overzicht bestaat van alle processen en systemen waarbinnen (bijzondere) persoonsgegevens omgaan.

Persoonsgegevens

Een persoonsgegeven is iedere vorm van informatie die direct over iemand gaat of naar deze persoon te herleiden is. Direct herleidbare persoonsgegevens zijn bijvoorbeeld naam, adres, woonplaats, telefoonnummer, e-mailadres, functie en geboortedatum. Voorbeelden van indirect herleidbare persoonsgegevens zijn locatie, IP-adres en gegevens over vervoer; alles wat door combinatie van attributen tot de identificatie van een bepaald persoon kan leiden. 

Er bestaat een verschil tussen algemene en bijzondere persoonsgegevens. De laatste mogen niet verwerkt worden, behoudens enkele uitzonderingen die in de Wet bescherming persoonsgegevens, of, vanaf mei volgend jaar, in art. 33 van de dan geldende Algemene  Verordening Gegevensbescherming, zijn vastgelegd. 

Voorbeelden van bijzondere persoonsgegevens zijn bsn-nummers en informatie over iemands godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond of strafrechtelijk verleden. Zoals aangegeven verwerken gemeenten, zekere sinds de decentralisaties in het sociale domein, in toenemende mate dit type persoonsgegevens.

Opzet, maar nog geen bestaan 

Het voornemen om de hierboven beschreven procedures toe te passen, heeft de gemeente Rotterdam in haar meerjarenbeleid ten aanzien van informatiebeveiliging vastgelegd. Vermoedelijk zal dit in andere gemeenten eveneens het geval zijn, aangezien de BIG voor alle gemeenten is opgesteld. In zulke gevallen is in opzet het beleid ten aanzien van de informatie­beveiliging goed vormgegeven. 

Auditors en accountants weten echter dat dit nog niet per se betekent dat er ook volgens deze opzet wordt gehandeld. Dit was in de Rotterdamse casus inderdaad het geval. Uit het rekenkameronderzoek bleek dat er van ‘bestaan’ geen sprake was. Noch op concernniveau, noch op clusterniveau werden risicoanalyses, dataclassificaties en privacy impact assessments structureel en kwalitatief goed uitgevoerd. Sterker nog, de gemeente bleek geen overzicht te hebben van alle processen waarin (gevoelige) persoonsgegevens worden verwerkt. Door het ontbreken van deze inzichten en overzichten weet zij onvoldoende welke data voor misbruik kwetsbaar zijn. Evenmin is zij in staat om basis van geïdentificeerde risico’s voor bedrijfsprocessen en privacy, en de inschatting van de bijbehorende kans en impact, te bepalen welke beveiligingsmaatregelen genomen moeten worden.

De praktijk liet overigens wel zien dat er allerlei beveiligings­maatregelen werden genomen. Maar door het feitelijk ontbreken van risicogestuurd management is niet duidelijk of deze allemaal nodig zijn of dat juist cruciale maatregelen ontbreken. Evenmin staat vast dat genomen maatregelen zwaar genoeg zijn of juist lichter hadden kunnen zijn. Ook vanuit het oogpunt van doelmatigheid zijn dit relevante vragen; misschien zijn onnodig relatief dure maatregelen genomen.

Testen van de informatiebeveiliging

Om te beoordelen wat de werkelijke staat van de beveiliging van privacygevoelige data is, heeft de rekenkamer verschillende testen laten uitvoeren. Twee daarvan waren penetratie­testen, waarin de veiligheid van ICT-systemen op digitale wijze wordt uitgetest. Daarnaast is een fysieke inlooptest uitgevoerd en een zogeheten social-engineeringtest.

Penetratietesten

De penetratietesten worden ook wel ‘ethical hacks’ genoemd en zijn niet ongewoon in de IB-branche. Veel organisaties voeren die routinematig uit, vooral als de eerder genoemde BIV-classificatie daartoe aanleiding geeft. Voor financiële instellingen is het van groot belang betaalapps en internetbankiersofware met juiste en volledige gegevens te voorzien. Uit voorzorg worden deze tools voortdurend getest op bekende kwetsbaarheden. Het gaat zowel om kwetsbaarheden in de applicatie (bijvoorbeeld of de functiescheiding adequaat is ingericht) als om kwetsbaarheden van buitenaf (bijvoorbeeld of het mogelijk blijkt de programmeercode te manipuleren of persoonsgegevens af te tappen). 

Ook de gemeente Rotterdam had zelf ruim een jaar voor het rekenkameronderzoek haar systemen laten testen. Dit was een zogeheten interne penetratietest, waarbij de systemen van binnenuit worden aangevallen. In het geval van een externe penetratietest wordt geprobeerd vanaf een locatie buiten de gemeente via het internet de gemeentelijke informatie­systemen binnen te dringen.

Ethisch hacken

Een ethisch hacker is een computerspecialist die beveiligings­systemen en netwerken test op een positieve manier. Zijn doel is om door middel van hacken fouten en veiligheidslekken op te sporen in de systemen en netwerken om deze daarna te melden aan de bedrijven of instanties waarmee ze samenwerken. Ethische hackers begeven zich op de rand tussen wat mag en niet mag. Immers, zodra ze in een systeem zijn ingebroken, kunnen ze misbruik maken van de informatie. In beginsel is dat illegaal. Om een penetratietest op rechtmatige en legale wijze uit te voeren is een vrijwaringsverklaring nodig, waarin de eventuele consequenties van de hack vooraf worden afgehandeld. De hacker kan dan vrij handelen en loopt niet het risico van vervolging. Vaak kan ook een responsible disclosure worden overeengekomen. Er wordt dan afgesproken dat bepaalde kwetsbaarheden pas openbaar worden als de veiligheidsproblemen zijn opgelost. Volgens een leidraad van het Nationaal Cyber Security Centrum is een redelijke standaardtermijn voor kwetsbaarheden in software 60 dagen. Ook voor de fysieke inlooptesten dient door de onderzochte organisatie een vrijwaringsverklaring te worden afgegeven. Immers, ook in deze testen wordt (geprobeerd) op onrechtmatige wijze toegang verkregen. Indien een onderzoeker tijdens of na het binnenkomen wordt betrapt, kan hij zich met de verklaring verdedigen.

De digitale externe veiligheid tegen inbreuken in de informatie­systemen kan worden beschouwd als de eerste verdedigingslinie. Het is zaak de systemen te beschermen tegen kwaadwillenden die bij wijze van spreken vanaf de zolder­kamer proberen in te breken. In geval van Rotterdam hebben de onderzoekers van de rekenkamer vier dagen lang geprobeerd via internet in de systemen binnen te dringen, maar dat is niet gelukt. Niet is uit te sluiten dat met een paar dagen extra de onderzoekers daarin wel waren geslaagd, maar het is reëel te veronderstellen dat een kwaadwillende normaal gesproken na vruchteloos proberen zijn pijlen ergens anders op gaat richten. Mocht een hacker echter welbewust de gemeente op het oog hebben, dan liggen andere methoden (die hierna aan de orde komen) meer voor de hand. 

Uit de externe test kwamen overigens wel kwetsbaarheden naar voren die aanvallers in staat kunnen stellen via het internet informatie te verzamelen die gebruikt zouden kunnen worden om een hack op te zetten. Maar daarmee is een hacker nog niet binnen. Hij staat als het ware nog voor een stevig afgesloten voordeur, maar kan door de brievenbus wel zien hoeveel andere deuren er in de gang zijn en aan de kapstok hoeveel bewoners er ongeveer zijn.

Een tweede verdedigingslinie is die tegen digitale inbreuken van binnenuit. In dit geval wordt vanaf een werkplek of een vergaderruimte aansluiting gezocht op de systemen van de gemeente. Een algemene werkwijze van ethical hackers is dat meegebrachte apparatuur wordt aangesloten op netwerk­poorten. Als deze niet of onvoldoende zijn beveiligd, kan toegang tot de systemen worden verkregen, wat in Rotterdam het geval was. Uiteindelijk bleken de penetratietesters (of pentesters) toegang te kunnen krijgen tot bijvoorbeeld de agenda van bestuurders, zorggegevens van burgers, de uitkeringen­administratie en de bediening van bruggen. Om de vergelijking met de inbreker door te zetten: de hacker is dus op enige wijze in de hal binnengekomen en kan vervolgens elke deur zonder problemen openen, elke kamer binnenlopen en in elke kast en lade snuffelen, en ondertussen de televisie en wasmachine aanzetten. 

Inlooptesten

In de hiervoor beschreven parallel met de inbreker is aangegeven dat deze op ‘enige wijze’ is binnengekomen. Hiermee komen we op de derde verdedigingslinie, namelijk de fysieke beveiliging. Om te voorkomen dat kwaadwillenden van binnenuit de systemen van de gemeente binnenvallen, moeten zij geen kans krijgen binnen te komen (een kwaadwillende medewerker laten we hier even buiten beschouwing). Concreet betekent dit een adequate fysieke toegangsbeveiliging. In gemeentekantoren is de fysieke beveiliging vaak vorm­gegeven door een receptiebalie en/of toegangspoortjes/tourniquets. Liften naar niet-openbare ruimtes zijn alleen met passen te openen. Dit soort maatregelen zijn echter niet geheel sluitend, zoals de tourniquets op metro- en treinstations laten zien. Door vlak achter iemand aan door het poortje te lopen, kun je ook zonder vervoersbewijs op het perron komen. De onderzoekers van de rekenkamer hadden verschillende manieren tot hun beschikking om ongeautoriseerd toegang tot gemeentelijke kantoren te verkrijgen en in alle vier de geselecteerde gevallen waren zij daarin geslaagd. Eenmaal binnen was er vrije toegang tot werkplekken, technische ruimtes en (vertrouwelijke) informatie die op de locaties voorhanden was. 

Social engineering

Eenmaal binnen in de kantoorruimten, is het van groot belang dat de kwaadwillenden/vreemden worden opgemerkt binnen de organisatie. De onderzoekers van de rekenkamer werden echter geen enkele keer aangesproken op hun aanwezigheid, ondanks dat zij voor de ambtenaren onbekenden moesten zijn. Een mogelijke verklaring is dat de medewerkers denken dat ze binnen horen te zijn; ze zijn immers langs de beveiliging gekomen? Ook zal meespelen dat bij de gemeente Rotterdam zo’n 12.000 mensen werken en dat elk kantoor uit flexwerkplekken bestaat. Onbekende gezichten komen dan wel vaker voor. 

Aan de andere kant is de menselijke rol wel een belangrijke factor waar het gaat om informatiebeveiliging. Hiermee komen we op de vierde beveiligingslinie: voldoende bewustzijn van medewerkers voor de risico’s en gevolgen van inbreuken in de informatiebeveiliging. Dit bewustzijn is op bescheiden schaal getest, maar wel met werkwijzen die voor werkelijk kwaadwillenden gangbaar zijn. Zo zijn tijdens de inlooptesten speciaal geprepareerde usb-sticks achter­gelaten. Als deze worden gebruikt en een bepaald bestand wordt geopend, zou toegang tot de informatiesystemen kunnen worden verkregen. Een aantal usb-sticks werd daadwerkelijk geraadpleegd. Een andere wijze waarop hackers misbruik kunnen maken van de menselijke factor is met spear phishing mails. De onderzoekers slaagden erin hiermee een medewerker een verdachte link te laten openen, overigens nog zonder negatieve effecten.

Potentiële gevolgen 

Het eerder genoemde datalek waarmee de gemeente begin 2016 mee werd geconfronteerd, en dat veel politieke reuring veroorzaakte, heeft (vooralsnog) niet tot bekende problemen bij of voor de getroffen burgers geleid. Ook in bredere zin zijn er geen voorvallen van digitale inbraken in gemeentelijke systemen bekend, die een ontwrichtende werking hadden. Dit kan tot gevolg hebben dat de noodzaak van goede informatie­beveiliging wordt onderschat en dat de kans op en de ernst van illegale inbreuken worden gerelativeerd, evenals de potentiële consequenties. 

In het geval van Rotterdam was deze relativering niet op zijn plaats, aangezien de pentesters zo diep in de systemen waren binnengedrongen, dat zij alle primaire processen van de gemeente konden saboteren, zoals een werkelijk kwaadwillende ook had kunnen doen. Er bestaan in dat geval reële risico’s op identiteitsfraude, fysieke onveiligheid van politiek-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen. Ter illustratie:

• Door toegang te hebben tot informatiesystemen met (bijzondere) persoonsgegevens kunnen kwaadwillenden zich naw-gegevens en bsn-nummers toe-eigenen. Dit zijn noodzakelijke (hoewel nog niet voldoende) gegevens om identiteitsfraude te plegen.
• Met inzicht in de agenda van een bestuurlijk sleutelfiguur wordt kennis opgedaan van zijn of haar gangen. Hier kan misbruik van worden gemaakt. 
• Door toegang te hebben tot informatiesystemen kunnen bijvoorbeeld bruggen en verkeerslichten op afstand bediend worden en het verkeer worden lamgelegd. Dat kan vandalisme zijn, maar kan ook met het doel van ontwrichting worden gedaan.
• Primaire processen van de gemeente kunnen worden platgelegd, waardoor bijvoorbeeld uitkeringen of parkeervergunningen niet (op tijd) worden verstrekt. 
• Ook is het mogelijk persoonsgegevens te wijzigen, zodat een kwaadwillende onrechtmatig uitkeringen kan doen of ontvangen.

Lessen: defensie op vier fronten 

Hoe verontrustend bovenstaande consequenties ook moge zijn, in het politieke debat over het rekenkamerrapport klonk toch nog de nodige relativering door. Zo is in de raad opgemerkt dat het nog wel heel moeilijk zou zijn om in de systemen te komen (je moet immers eerst ongezien langs de beveiliging zien te komen om een werkplek te veroveren). Het college benadrukte dat de informatiesystemen veilig zijn tegen externe inbreuken. Deze relativeringen gaan echter voorbij aan het feit dat een robuuste verdediging op één gebied, niet betekent dat veiligheid op een ander gebied is geborgd. Immers, in Rotterdam zouden de potentiële risico’s voor de veiligheid van de gegevens van burgers aanmerkelijk kleiner zijn, als de fysieke beveiliging beter was geweest. De combinatie van een falende fysieke beveiliging van meerdere kantoorlocaties met een tekortschietende beveiliging van digitale informatiesystemen voor aanvallen van binnenuit, maakt dat de informatieveiligheid ernstig tekortschiet. Dit wordt verergerd door het tekort aan benodigde social & security awareness bij medewerkers. De systemen mogen dan relatief goed beschermd zijn tegen aanvallen van buitenaf via het internet, deze veiligheid wordt weer deels tenietgedaan als hackers via besmette mails alsnog van buiten naar binnen kunnen komen. 

Afsluitend, de Rotterdamse situatie laat zien dat papier geduldig is. Hoe goed de voornemens ook zijn, digitale veiligheid begint met het creëren van overzicht en inzicht van de meest kwetsbare gegevens en systemen, waarop vervolgens maat­regelen worden genomen. Deze technische en organisatorische maatregelen voor de interne digitale veiligheid staan echter niet op zichzelf. Zij dienen te worden getroffen in combinatie met maatregelen ten aanzien van het versterken van de fysieke veiligheid van de locaties, van het veiligheidsbewustzijn van medewerkers en van externe digitale veiligheid. 100% veiligheid is niet gegarandeerd, maar een defensie op vier fronten biedt een gemeente wel de beste waarborgen voor het in veilige handen hebben van gevoelige informatie over haar burgers. 

Dr. R. (Rolf) Willemse is teammanager bij de Rekenkamer Rotterdam. Mw. R.E. (Rosa) Ridderhof LLM is onderzoeker bij de Rekenkamer Rotterdam. Drs. J. (Job) Stiermann is adviseur informatiebeveiliging bij Hoffmann Bedrijfsrecherche BV.

Noot

1 Rekenkamer Rotterdam, ’In onveilige handen. Onderzoek informatiebeveiliging van gevoelige informatie’, april 2016 (www.rekenkamer.rotterdam.nl).

Sluiten