Westland 11.06.2023 – Op 11 mei heeft de fractie VVD vragen gesteld over de weerbaarheid van gemeentemedewerkers en bescherming van de datasystemen.
Ingevolge artikel 42 van het Reglement van Orde informeren zij u als volgt.
Inleiding
Georganiseerde, ondermijnende criminaliteit bestaat in vele soorten en maten. Hierbij schuwen criminelen het niet om legale partijen, zoals ambtenaren, te beïnvloeden of te betrekken bij hun criminele activiteiten. De Rijksrecherche, de autoriteit voor opsporing van omkoping, maakt zich ernstige zorgen over de opkomst van criminele tussenpersonen die steeds actiever zoeken naar ambtelijk personeel voor het uitvoeren van criminele activiteiten.
Eerder deze week was in diverse nieuwsmedia te lezen dat de algemeen directeur Rijksrecherche, Arthur van Baaren, stelt dat overheidsinstellingen zich hierin vaak naïef opstellen en ambtelijke medewerkers zich er niet of nauwelijks van bewust zijn dat er onder criminelen veel belangstelling is voor de informatie waartoe zij toegang hebben (bijv. persoonsgegevens).
Ter illustratie, eind vorig jaar is een gemeenteambtenaar in Den Haag veroordeeld voor het vervalsen van paspoorten voor zware criminelen. De gemeenteambtenaar had financiële problemen en werd benaderd door een schakel (tussenpersoon) tussen de boven- en onderwereld.
Dit brengt de fractie van de Westlandse VVD tot de volgende vragen:
Vraag 1
Als goed werkgever, hoe helpt de gemeente haar medewerkers om hun weerbaarheid tegen dit soort praktijken/deze tussenpersonen te vergroten? In het Westlands Veiligheidsbeleid kunnen we lezen dat de gemeente blijft investeren in het creëren van bewustzijn op verschillende niveaus: zijn er binnen de gemeente bijvoorbeeld trainingen voor personeel om hen dit soort praktijken te laten herkennen en hebben zij de mogelijkheid om dit te melden bij een meldpunt in de organisatie?
Antwoord 1
De medewerkers worden op verschillende manieren getraind om het bewustzijn en de weerbaarheid te vergroten. Hiervoor organiseren wij verschillende keren per jaar hackdemo’s, waarin een ethisch hackers laat zien wat er allemaal kan gebeuren. Dit is op open inschrijving. Er is een pakket E- learnings aangekocht met trainingen over diverse onderwerpen. Hierin zitten een aantal verplichte trainingen die alle medewerkers moeten volgen.
De verplichte trainingen gaan onder andere over:
– Phishingmails herkennen
– Algemene Verordening Gegevensbescherming ( AVG)
– Informatiebeveiliging
Bij actuele zaken, zoals een bepaald soort phishingmail of een vorm van CEO-fraude , worden wij door de Informatiebeveiligingsdienst ( IBD, onderdeel van VNG) geïnformeerd, waarna wij passende actie ondernemen.
Dit kunnen technische maatregelen zijn, maar bijvoorbeeld ook een bericht op het intranet, of een mail naar alle medewerkers. Voor de medewerkers die toegang hebben tot extra gevoelige systemen, gelden aanvullende regels vanuit de wetgeving. Zij volgen jaarlijks een verplichte E – learning over de gedragsregels toegespitst op de voor hun relevante systemen. Nieuwe medewerkers ontvangen een korte training op de introductiedag.
Vraag 2
In hoeverre zijn er in de gemeentelijke organisatie deugdelijke en werkbare controleprotocollen aanwezig om een corrupte medewerker snel in beeld te hebben? Hierbij valt onder andere te denken aan het twee-ogen-principe en het loggen van informatie die door medewerkers wordt opgevraagd?
Antwoord 2
Alle nieuwe medewerkers moeten bij het in dienst komen een Verklaring Omtrent het Gedrag (VOG) overleggen. Accounts worden na vertrek onmiddellijk afgesloten, zodat een zogenaamde disgruntled employee geen misbruik kan maken van zijn/haar toegangsrechten. Er worden toegangsrechten per applicatie toegekend. Dus per rol zijn er rechten gedefinieerd die nodig zijn voor het uitoefenen van de functie/rol. De belangrijke applicaties hebben logbestanden waarin de handelingen van de medewerker wordt vastgelegd. De bewaartermijn hangt af van de applicatie en wettelijke termijn.
Deze logging is niet openbaar in te zien. Er worden periodieke interne controles op basis van afwijkend gedrag/ gebruik uitgevoerd. Vanuit wet en regelgeving worden wij hierop getoetst. Wanneer er een verdenking van misbruik is, dan wordt de “rode knop” procedure gestart. Dus het account wordt per direct geblokkeerd om data voor verdere acties veilig te stellen. Voor veel goedkeurings – en betalingsopdrachten is het proces dat er meerdere mensen moeten goedkeuren. Het 4 ogen principe.
Vraag 3
In hoeverre zijn er procedures binnen de ambtelijke organisatie aanwezig om de toegang tot of de mogelijkheid van het delen van data te beperken, bijvoorbeeld via het ‘Need to know’-principe?
Antwoord 3
De gemeente volgt in alle processen de AVG, waarin gestuurd wordt op privacy by default en privacy by design. Systemen zijn dusdanig ingericht dat medewerkers niet meer in kunnen zien, dan zij voor hun werk nodig hebben. De medewerkers die toegang hebben tot extra gevoelige systemen horen in hun aanvullende training jaarlijks nogmaals de regels omtrent h et delen van in formatie uit deze systemen.
Vraag 4
Zijn er voldoende beveiligingsmaatregelen getroffen om deze data te beschermen en worden deze maatregelen getest met behulp van externe audits/penetratietests?
Antwoord 4
De gemeente voert jaarlijks in het kader van ENSIA. Over de resultaten hiervan wordt jaarlijks aan de raad gerapporteerd. Er is een contract afgesloten met een partij die voor de gemeente penetratietests uitvoert. Vanuit de controle op de jaarrekening wordt door de accountant een aanvullende IT- audit uitgevoerd.