Nederlandse Vereniging van Rekenkamers & Rekenkamercommissies

Metadossier Informatiebeveiliging

Onderzoeksaanpak

Exporteer als CSV

's Hertogenbosch (2021)

Documentonderzoek

-

Interview

-

Analyse bestaande gegevens

Discussienotitie "Privacy, verantwoord datagebruik, en de rol van de raad: Een verkenning van beleid en uitvoering." is gebaseerd op twee verkennende onderzoeken:

  • PBLQ onderzocht de wijze waarop het privacy-beleid is vastgelegd in beleidskaders en andere documenten. En hoe het beleid in de organisatie is vormgegeven.
  • NSOB gaat in op het toenemend gebruik van data door de overheid, meer in het bijzonder de gemeente ‘s-Hertogenbosch. Wat betekent de rol van de
    gemeenteraad voor het verantwoord gebruik van data? Er is ingezoomd op het gebruik van data in het sociaal domein in ‘s-Hertogenbosch.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Achtkarspelen en Tytsjerksteradiel (2019)

Documentonderzoek

Documenten op informatiebeveiligings- en privacybeleid zijn bestudeerd en geanalyseerd. De informatie uit de deskresearch vormde de input voor de interviews met ambtenaren, management en portefeuillehouders.

Interview

Interviews met ambtenaren, management en portefeuillehouders.

Analyse bestaande gegevens

Documenten op informatiebeveiligings- en privacybeleid zijn bestudeerd en geanalyseerd. De informatie uit de deskresearch vormde de input voor de interviews met ambtenaren, management en portefeuillehouders.

Enquête

-

Participerende observatie

-

Bijeenkomsten

startbijeenkomst waarin de onderzoeksopzet is gepresenteerd aan raadsleden en ambtenaren. Tevens zijn twee groepsgesprekken met raadsleden van de twee gemeenten gehouden om verwachtingen ten aanzien van het onderzoek
te inventariseren.

werkconferentie met raadsleden over de voorlopige onderzoeksresultaten

waarderende sessie mket stakeholders (betrokken ambtenaren en bestuurders) over bevindingen

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

Twee processen waarin de gemeente persoonsgegevens verwerkt zijn nader bestudeerd. De twee processen zijn een aanvraag uitkering in het kader van de Participatiewet en het indienen van een klacht in het kader van de leefomgeving. Onderzocht is onder andere welke (bijzondere) persoonsgegevens geregistreerd worden, wie geautoriseerd zijn de gegevens in te zien en/of te bewerken, met welke externe partijen deze gedeeld worden en welke gevoeligheden de gegevens hebben.

Amersfoort (2021)

Documentonderzoek

Aan het begin van het onderzoek zijn diverse relevante documenten geraadpleegd.

Interview

Er zijn interviews afgenomen bij verschillende medewerkers van de gemeente.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

In twee workshops, met een aantal medewerkers, is de omgang met persoonsgegevens in het kader van de Wet verplichte geestelijke gezondheidszorg (Wvggz) en privacyoverwegingen bij de inzet van algoritmen onderzocht. De workshops hadden het doel inzicht te verkrijgen in de cultuur van de
organisatie en hoe er in de dagelijkse praktijk met privacydilemma’s wordt omgegaan.

Om een goede indruk te krijgen van het perspectief van inwoners is er in het kader van dit onderzoek gesproken met organen waarin inwoners zich hebben verenigd.

Tot slot is er een raadsessie gehouden om de input van de raad op te halen.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Berg en Dal (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met: Portefeuillehouder ICT, Chief Information Security Officer/ENSIA-coördinator, Functioneel beheerder, Gemeentesecretaris, Kwaliteitsmedewerker Documentaire, Informatievoorziening, Opgavemanager, Teamleider Team Informatie
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Functionaris Gegevensbescherming, Kwaliteitsmedewerker Jeugd/Wmo, Teamleider Sociaal Team en Regieteam, Teamleider Team Informatie
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Beuningen (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met:Burgemeester / portefeuillehouder ICT, Chief Information Security Officer, Functioneel beheerder, Gemeentesecretaris, Informatie Adviseur, Manager Informatie & Bedrijfsvoering
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Burgemeester / portefeuillehouder ICT, Beleidsmedewerker Integrale Veiligheid en Openbare Orde, Functionaris Gegevensbescherming, Juridisch Kwaliteitsadv. Sociaal Domein, Kwaliteitsmedewerker Dienstverlening
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Blaricum, Eemnes en Laren (BEL gemeenten) (2017)

Documentonderzoek

Analyse van relevante beleidsdocumenten, protocollen en overeenkomsten

Interview

startgesprek met ambtelijke directie
gesprekken met:

  • verantwoordelijk manager (van de gemeente Huizen)
  • medewerkers die betrokken zijn bij de beleidsvoorbereiding.
  • operationeel betrokken medewerker van jeugdzorg Eemnes

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Breda (2016)

Documentonderzoek

documentenonderzoek

Interview

gesprekken met informatie- en ICT-medewerkers, de verantwoordelijk wethouder en sleutelpersonen binnen enkele afdelingen (zoals Concerncontrol en de griffie) en een kort vragenlijstje naar alle afdelingshoofden over informatiebeveiliging.

Analyse bestaande gegevens

Daarnaast zijn de landelijke normen en ontwikkelingen, en de uitkomsten van enkele landelijke, provinciale en gemeentelijke onderzoeken in kaart gebracht.

Enquête

een korte enquête onder alle afdelingshoofden van de gemeente Breda.

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Een kwetsbaarhedenscan en hackpogingen om op verschillende manieren ‘binnen’ te komen in de digitale systemen van de gemeente Breda, zowel van buitenaf zonder enige voorkennis, als met (enige) voorkennis. Dat laatste om te onderzoeken hoe ver iemand kan doordringen tot interne gemeentelijke (en vertrouwelijke) bestanden en informatie, als iemand eenmaal in het bezit is van een (gast)account of een toegang heeft gevonden;

Awareness test

-

Casestudie

Een Forensic readiness scan, waarin onderzocht is in hoeverre de gemeente Breda voorbereid is op cyberaanvallen of lekken, hoeveel schade deze kunnen aanrichten en in hoeverre de gemeente kan achterhalen (forensisch onderzoek) door wie c.q. vanaf welke internetadres deze aanval is ingezet of het lek heeft plaatsgevonden.

Bronckhorst (2022)

Documentonderzoek

Met betrekking tot beleid en de protocollen is deskresearch gepleegd.

Interview

Met een viertal bestuurlijke en ambtelijke sleutelfiguren is een interview afgenomen.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Een ander onderdeel om de uitvoering te onderzoeken, bestaat uit het uitvoeren van pentesten. De pentesten zijn grotendeels gericht op de technische kant van informatiebeveiliging, maar ook deels op de naleving van beleid en procedures. Pentesten uitgevoerd door de gemeente zelf bestonden onder andere uit een externe en interne netwerkpentest. Deze waren recent in 2021 uitgevoerd. De pentesten zijn door de onderzoeker en
de ethisch hackers gecheckt en als adequaat beoordeeld. De rekenkamercommissie heeft daarop besloten geen interne en externe netwerkpentest uit te laten voeren. Besloten is wel aanvullend een Active Directory (AD) audit en wifi-netwerk pentest uit te voeren.

Awareness test

Er zijn phishing en smishing test uitgevoerd. Phishing is een vorm van internet oplichting en fraude, door middel van een vals e-mail bericht 'hengelen' naar inlog- of andere persoonsgegevens. Smishing is dezelfde vorm van internet oplichting en fraude als phishing via valse sms-berichten op mobiele telefoons.

Casestudie

Om de uitvoering van het informatiebeveiliging- en privacybeleid in de gemeente te onderzoeken zijn twee casestudies uitgevoerd. Het gaat daarbij om inzichtelijk te maken hoe het beleid in de praktijk daadwerkelijk
wordt uitgevoerd.

Cranendonck, Heeze-Leende, Valkenswaard (A2-gemeenten) (2020)

Documentonderzoek

Er is gekeken naar de beleidskaders rondom informatieveiligheid en de uitvoering daarvan.

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

  • Externe penetratietest (hierna genoemd: pentest), uitgevoerd vanaf het internet.
  • Pentest werkplek; de onderzoekers hebben de pentest uitgevoerd op ‘werkplek.a2samenwerking.nl’ vanaf het internet.
  • Pentest intern; de onderzoekers hebben op een flexwerkplek bij de gemeente Cranendonck,
    representatief voor de overige twee gemeenten, een intern onderzoek uitgevoerd.
  • Pentest WiFi-Netwerk; de onderzoeker heeft tijdens de test een ‘Rogue Acces Point’ opgezet en een Man In the Middle (MITM)-aanval uitgevoerd op het SSID ‘govroam’.

Awareness test

Mail phishing
Mystery guest bezoek

Casestudie

-

De Wolden en Hoogeveen (2023)

Documentonderzoek

Er is een analyse uitgevoerd op beleidsdocumenten op gebied van informatiebeveiliging en privacy.

Interview

Interviews met bestuurders en functionarissen.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Er zijn in opdracht van de Rekenkamercommissies door ethische hackers verschillende testen uitgevoerd op de systemen. Er zijn een externe netwerk test, een interne netwerk test en een Active Directory (AD) audit uitgeoerd.

Awareness test

Ook zijn in het kader van het rekenkameronderzoek phishing mails verstuurd naar medewerkers van de gemeente. Phishing is een vorm van internet oplichting en fraude, door middel van een vals e-mail bericht 'hengelen' naar inlog- of andere persoonsgegevens.

Casestudie

Er is een de casestudie uitgevoerd. Hiervoor is een (klant)reis weergegeven naar aanleiding van een Wmo-aanvraag; welke gegevens worden opgevraagd en verwerkt, in welke systemen worden de gegevens opgeslagen, wie heeft toegang tot de informatie en met welke externe partijen worden deze gedeeld.

Delft (2018)

Documentonderzoek

analyse van algemene documentatie en van (internet) bronnen

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Externe pentesten
Interne pentesten

Awareness test

Mail phishing
fysieke Mystery Guest actie
telefonische Mystery Guest actie

Casestudie

-

Delfzijl, Appingedam en Loppersum (DAL) Eemsdelta (per 1 jan 2021) (2018)

Documentonderzoek

notitie van de rekenkamer van de gemeente Den Haag en de Taskforce Bestuur & Informatieveiligheid
Dienstverlening (Taskforce BID).

Analyse van documenten van de gemeenten m.b.t.

  • informatiebeveiliging: beleid, plan van aanpak, controle en verbetermaatregelen;
  • stukken m.b.t. ENSIA, autorisaties, websitebeheer en CMS;
  • GAP-analyse, ICT-beveiligingsassessments, verslag visitatiecommissie informatieveiligheid VNG

Interview

interviews met CISO, concerncontrollers, coördinatoren ENSIA en met afdelingshoofden bedrijfsvoering van de DAL-gmeenten

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Den Haag (2023)

Documentonderzoek

Voor dit onderzoek heeft de rekenkamer documenten uitgevraagd en vervolgens geanalyseerd. Het betreft de volgende type documenten:

  • Documenten uit het raadsinformatiesysteem inzake beleid, visies of plannen met betrekking tot de beveiliging van mobiele werkplekken.
  • Documenten met betrekking tot informatieveiligheid en mobiele werkplekken.
  • Documenten over de regels, regelingen en gedragscodes binnen de gemeente op het gebied van mobiel werken.
  • Overzichten van apparaten, gebruikers, eigenaren en applicaties van ICT-beheer.

Interview

Voor dit onderzoek heeft de rekenkamer interviews uitgevoerd met verschillende betrokkenen vanuit de ambtelijke organisatie. Het betreft semigestructureerd interviews. De interviews hadden het doel om meer informatie te verkrijgen over het beleid, de uitvoering en het proces rond de beveiliging van mobiele werkplekken.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

De rekenkamer heeft aan een extern bureau de opdracht verstrekt om een (technisch)onderzoek te doen naar de beveiliging van mobiele werkplekken. Tijdens dit onderzoek is in de periode van 25 oktober tot 23 november 2023 de mate van beveiliging beoordeeld van:

  • Een gemeente laptop
  • Een privé laptop
  • Een gemeente telefoon
  • Een gemeente tablet
    Daarnaast heeft het externe bureau gekeken naar de beveiliging van de interne netwerk- infrastructuur. Hierbij is onderzocht:
  • Het gebruik van Single Sign On (SSO)
  • Het gebruik van Multi-factor Authenticatie (MFA)
  • De toegangsbeveiliging tot applicaties

Awareness test

-

Casestudie

-

Den Helder (2024)

Documentonderzoek

Er is een analyse uitgevoerd op de door de gemeente Den Helder beschikbaar gestelde documentatie, rapporten en verklaringen.

Interview

Er zijn kwalitatieve (online) interviews uitgevoerd met:

  • CISO
  • Functionaris gegevensbescherming / Awareness coördinator Technisch IT adviseur
  • Adviseur Inkoop
  • Wethouder

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Doetinchem (2023)

Documentonderzoek

Met betrekking tot beleid en de protocollen is deskresearch gepleegd.

Interview

Met vier bestuurlijke en ambtelijke sleutelfiguren is een interview afgenomen.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Een ander onderdeel om de uitvoering te onderzoeken, bestaat uit het uitvoeren van pentesten. De pentesten zijn grotendeels gericht op de technische kant van informatiebeveiliging, maar ook deels op de naleving van beleid en procedures. Pentesten uitgevoerd door de gemeente zelf zijn door de onderzoekers gecheckt en als adequaat beoordeeld. De rekenkamercommissie heeft daarop besloten geen interne en externe netwerkpentest uit te laten voeren. Besloten is wel aanvullend een Active Directory (AD) audit en wifi-netwerk pentest uit te voeren.

Awareness test

Er zijn phishing en smishing test en een mystery guest uitgevoerd. Phishing is een vorm van internet oplichting en fraude, door middel van een vals e-mail bericht 'hengelen' naar inlog- of andere persoonsgegevens. Smishing is dezelfde vorm van internet oplichting en fraude als phishing via valse sms-berichten op mobiele telefoons. Tijdens een mystery guest bezoek probeert een onderzoeker onder valse voorwendselen fysiek binnen te dringen in de gemeentelijke organisatie. Doel is inzicht te krijgen in kwetsbaarheden als ongeautoriseerde toegang mogelijk is tot kantoren en werkruimtes, tot werkstations, informatie of dossiers op bureaus, printers of afvalcontainers.

Casestudie

Om de organisatorische en menskant van de uitvoering van het informatie- beveiliging- en privacybeleid in de gemeente te onderzoeken, zijn twee casestudies uitgevoerd. Het gaat daarbij om inzichtelijk te maken hoe het beleid in de praktijk daadwerkelijk wordt uitgevoerd.

Dronten (2019)

Documentonderzoek

documentanalyse van bronmateriaal geleverd door de gemeente
analyse van open bronnen en documenten

Interview

Interviews met wethouders en medewerkers van de gemeente;
Interviews met medewerkers van zorginstellingen

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

observaties in het gemeentehuis in:

  • centrale ontvangstruimte
  • balies klantencontactcentrum
  • afdeling sociaal domein

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Ede (2023)

Documentonderzoek

Er is een documentstudie uitgevoerd.

Interview

Er zijn interviews afgenomen bij sleutelfunctionarissen, zoals de portefeuillehouder, de concerndirecteur, de Chief Information Security Officer (CISO) en andere medewerkers.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

Er is een discussiebijeenkomst met de gemeenteraad georganiseerd om nader inzicht te krijgen in hun kaderstellende, controlerende en volksvertegenwoordigende rol ten aanzien van informatieveiligheid.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

Op basis van de bevindingen uit de interviews en documentstudie zijn twee casussen geselecteerd voor verdiepend onderzoek (bestaande uit zowel documentstudie als een bijeenkomst met betrokken functionarissen).

Eindhoven (2021)

Documentonderzoek

documentanalyse

Interview

interviews met de betrokken ambtenaren en de portefeuillehouder

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

externe, interne penetratietesten en penetratietest van het WiFi-netwerk.

Awareness test

reacties van medewerkers zijn getoetst op phishing

Casestudie

-

Gelderland - RK Oost-Nederland (2019)

Documentonderzoek

  • We zijn onder andere nagegaan of en in welke documenten verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatieveiligheid zijn toegekend aan de verschillende functies binnen de provinciale organisatie.

  • We hebben het beleidskader informatieveiligheid geanalyseerd en zijn nagegaan hoe er in de praktijk invulling wordt gegeven aan dit beleid.

  • De waarborgen voor het beschermen van informatie voor toegang door onbevoegden zijn door een externe partij onderzocht.

  • We hebben (de uitvoering van) het bewustwordingsprogramma en andere activiteiten die mogelijk worden ondernomen om bewustwording van informatieveiligheid te bevorderen, geanalyseerd. Ook dit heeft de externe partij in de praktijk onderzocht.

  • We zijn nagegaan of informatieveiligheid een plek heeft in de P&C-documenten en of een onafhankelijke toets en zelfevaluatie is uitgevoerd.

Interview

-

Analyse bestaande gegevens

Door de provincies is ook onderzoek gedaan naar informatieveiligheid. Deze onderzoeken hebben we - voor zover mogelijk - meegenomen in ons onderzoek om dubbelwerk te voorkomen.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

  • externe penetratietest: het testen van de beveiliging van buitenaf (vanaf het internet) tot de infrastructuur van de provincie.

  • interne penetratietest: het testen van de beveiliging van binnenuit (het lokale netwerk) tot de infrastructuur van de provincie.

  • wifi test: het testen van de draadloze netwerken van de provincie.

Awareness test

  • social engineering test: het testen van de bewustwording van medewerkers van de provincie door middel van een inlooptest (inclusief het achterlaten van geprepareerde usb-sticks) en spear phishing.

Casestudie

-

Gooise Meren (2017)

Documentonderzoek

Analyse van gemeentelijke documenten over de inrichting en uitvoering van het privacybeleid

Interview

interviews met

  • functionarissen, werkzaam in het sociaal domein en die zich bezighouden met privacy- en beveiligingsbeleid;
  • medewerkers inkoop- en contractmanagement en juridische zaken van de Regio Gooi en Vechtstreek (RGV);
  • voormalig beleidsmedewerker van het regionale programma Samenkracht!;
  • vertegenwoordigers van de Adviesraad Wmo/Jeugd en van de Adviesraad Werk en Inkomen;
  • twee zorgaanbieders

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

verificatiesessie met gemeentelijk medewerkers.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Haarlem (2019)

Documentonderzoek

Hiervoor zijn vele documenten (zie bronnenlijst) bestudeerd en naar aanleiding daarvan zijn vragen gesteld aan de gemeentelijke organisatie

Interview

Hiervoor zijn vele documenten (zie bronnenlijst) bestudeerd en naar aanleiding daarvan zijn vragen gesteld aan de gemeentelijke organisatie

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Penetratietest Haarlem
De penetratietest is uitgevoerd in april en mei 2018 en bestond uit drie verschillende onderdelen:

  • Externe penetratietests vanaf een locatie buiten de gemeente
    Een black box test vanaf het internet. Hierbij is bij alle vanaf het internet benaderbare systemen getoetst of het mogelijk was binnen te dringen. De gemeente heeft hiervoor de IP-adressen verstrekt.

  • Interne penetratietests vanaf locaties binnen de gemeentegebouwen:

  • Blackbox
    Met een meegebrachte laptop via een van de vele vrij toegankelijk netwerkaansluitingen in de muur proberen toegang te krijgen tot het netwerk.

  • Greybox

  • Vanaf een werkstation van de gemeente

  • Vanaf een werklocatie van de gemeente buiten de kantoren van de gemeente.

  • Het wifi-netwerk in de gemeentegebouwen

  • Fysieke penetratietests bij de drie grote kantoorgebouwen van de gemeente

Bij de externe en interne pentests is gebruik gemaakt verschillende soorten aanvalstechnieken en tools, die grotendeels standaard zijn en vrij beschikbaar op het internet. Voor de fysieke pentest is een mystery guest ingezet.
Bij de externe penetratietest is vanwege de organisatorische impact niet de vaak succesvolle techniek van social engineering of spear phishing toegepast: de methodiek waarbij bijvoorbeeld door een mail met een geprepareerde bijlage of een usb-stick via medewerkers wordt getracht toegang te krijgen tot de systemen.

Awareness test

Voor de fysieke pentest is een mystery guest ingezet.

Bij de externe penetratietest is vanwege de organisatorische impact niet de vaak succesvolle techniek van social engineering of spear phishing toegepast: de methodiek waarbij bijvoorbeeld door een mail met een geprepareerde bijlage of een usb-stick via medewerkers wordt getracht toegang te krijgen tot de systemen.

Casestudie

-

Helmond (2023)

Documentonderzoek

Er is een analyse uitgevoerd op de, door RK Helmond en de gemeente beschikbaar gestelde, documentatie, rapporten en verklaringen.

Interview

Er zijn verschillende interviews uitgevoerd met medewerkers van de gemeente.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Hillegom en Lisse (2022)

Documentonderzoek

Analyse van documenten in deskresearch.
De documenten bevatten beleid en rapportages van de gemeente Lisse en HLTsamen op het gebied van informatiebeveiliging. In HLTsamen werken de gemeente Hillegom, Lisse en Teylingen samen.

Interview

Interviews met vier bestuurders en functionarissen van de gemeente Lisse en HLTsamen.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

Een inlooptest, uitgevoerd door een mystery guest op de locatie van het gemeentehuis van Lisse.

Casestudie

-

Hoeksche Waard (2021)

Documentonderzoek

analyse van documenten in deskresearch en interviewverslagen. De documenten
bevatten beleid en rapportages van de gemeente Hoeksche Waard op het gebied van informatiebeveiliging.

Interview

interviews met vier bestuurders en functionarissen van de gemeente Hoeksche Waard.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

De pentesten zijn in de periode augustus-november 2021 uitgevoerd door Hoffmann.

Awareness test

-

Casestudie

-

Hof van Twente (2022)

Documentonderzoek

Analyse van documenten in deskresearch.
De documenten bevatten beleid en rapportages van de gemeente Hof van Twente op het gebied van informatiebeveiliging.

Interview

Functionarissen van de gemeente Hof van Twente + raadsleden:
Afdelingsmanager, Burgemeester, CISO (in dienst tot augustus 2021), CISO (in dienst vanaf 15 januari 2022), Controller, Gemeentesecretaris, Griffier, 6 gesprekken met verschillende raadsleden (in totaal zijn 8 raadsleden van alle 7 fracties geïnterviewd), Teamcoördinator

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Laarbeek (2019)

Documentonderzoek

analyse van diverse beschikbare audit rapporten en opvolging van de bevindingen opgenomen in die rapporten, het
bestuderen van de diverse interne verantwoordingen en daarop gegeven opvolging en diverse vastlegging rond en in de beheerprocessen

Interview

interviews met sleutelfunctionarissen

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Limburg - Zuidelijke Rekenkamer (2018)

Documentonderzoek

Analyse van documenten van de provincie: begrotingen, jaarstukken, accountantverslagen, boardletters, nota's I(C)T-beleid en informatiebeveiligingsbeleid, evaluaties, schriftelijke vragen PS, memo's en statenmededelingen
info van derden.

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Pentest: ethische hacking en phishingmail

Awareness test

Mystery Guest

Casestudie

-

Limburg - Zuidelijke Rekenkamer (2022)

Documentonderzoek

Analyse van documenten van de provincie: stukken van GS en PS, beleidsnotities en -rapporten, mededelingen Gedeputeerde, verkenningen, (interne) nota's
verslagen van technisch beveiligingsonderzoek door Secura

Interview

interviews met Senior adviseur Organisatie en Informatie / CISO en met de Clustermanager Organisatie en Informatie van de provincie
interviews met Senior adviseur en verandermanager bij BMC, twee consultants Corporate & Cybersecurity bij Hoffmann en Senior Security Specialist & Public Speaker bij Secura B.V.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Maasdriel (2018)

Documentonderzoek

-

Interview

Er is gesproken met: teammanager informatisering en automatisering, Chief Information Security Officer (CISO), burgemeester

De teammanager informatisering en automatisering van de Bedrijfsvoeringseenheid Bommelerwaard en de zogenoemde Chief Information Security Officer (CISO), ook werkzaam vanuit de Bedrijfsvoeringseenheid. Beiden zijn actief voor zowel Maasdriel als Zaltbommel door omstandigheden is in eerste instantie alleen met laatstbedoelde, dus met de CISO een goed voorbereid, maar bewust ‘open’ interview afgenomen. Nadien, toen die CISO wegens ziekte langer afwezig was, zijn contacten onderhouden met de plaatsvervangend CISO (gegevensbeheerder-informatiebeveiligingsfunctionaris)

dat verkregen beeld is verbreed en deels ook (nader) getoetst in een gesprek met de verantwoordelijk bestuurder, in casu burgemeester Henny van Kooten. Aan dat gesprek namen ook de teammanager informatisering en automatisering en de plaatsvervangend CISO deel.

Analyse bestaande gegevens

op specifiek verzoek van de Rekenkamercommissie, maar ook op eigen initiatief van de CISO is vervolgens een grote hoeveelheid documenten ontvangen en bestudeerd. Uit de combinatie van stukken, uitkomsten van het interview en opvolgende contacten met de plaatsvervangend CISO heeft de Rekenkamercommissie zich een beeld gevormd van de opzet, inbedding, werking, borging en bestuurlijke aandacht van (en voor) het onderwerp beveiliging van informatie

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Nijmegen (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met: portefeuillehouder ICT, Chief Information Security Officer (CISO), Concernmanager Veiligheid, Juridische Zaken en Bestuursondersteuning, Concernmanager Personeel, Informatie en Facilitair, Functionaris Gegevensbescherming, Functioneel beheerder, Gemeentesecretaris, Manager Basis- en GEO-informatie, Manager Ontwikkel Informatisering en Automatisering (I&A) / Chief Information Officer
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Burgemeester, Chief Information Security Officer (CISO), Functionaris Gegevensbescherming, Informatiecoördinator Zorg- en Veiligheidshuis, Inhoudelijk Coördinator Back Office Wmo/Jeugd, Klachtencoördinator, Kwaliteitsmedewerker Regionaal Ondersteuningsbureau, Manager Zorg- en Veiligheidshuis, Privacy Officer, Procesmanager Cluster Ondermijning & Informatiegestuurd Werken, Senior Juridisch Beleidsadviseur
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Noord-Brabant - Zuidelijke Rekenkamer (2018)

Documentonderzoek

Analyse van documenten van de provincie: begrotingen, jaarstukken, accountantverslagen, boardletters, nota's I(C)T-beleid en informatiebeveiligingsbeleid, evaluaties, schriftelijke vragen PS, memo's en statenmededelingen
info van derden.

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Pentest: ethische hacking en phishingmail

Awareness test

Mystery Guest

Casestudie

-

Noord-Brabant - Zuidelijke Rekenkamer (2022)

Documentonderzoek

Analyse van documenten van de provincie: stukken van GS en PS, beleidsnotities en -rapporten, mededelingen en statenvoorstellen Gedeputeerden, (interne) nota's
Baseline Informatiebeveiliging Overheid, versie 1.04, 4 november 2019 en nadere info hierover

Interview

interview met Chief Information Officer (CIO) van de provincie
interviews met Senior adviseur onderzoek en verandermanagement bij BMC, consultant Corporate & Cybersecurity bij Hoffmann en Senior Security Specialist & Public Speaker bij Secura B.V.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Opmeer (RKC Koggenland) (2022)

Documentonderzoek

nota's, rapportages, meldingen over informatieveiligheidsbeleid, de inrichting en organisatie hiervan, toegangsbeveiliging, datalek

Interview

Interviews met CISO (Chief Information Security Officer), ISO (Information Security Officer) Functionaris gegevensbescherming, Privacy officer, Gegevens- en contractmanager, Sectorhoofd bestuur- en organisatie gemeente Opmeer

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

externe en interne penetratietest

Awareness test

-

Casestudie

-

Overbetuwe (2021)

Documentonderzoek

Overbetuwe is voorafgaand aan de interviews gevraagd documentatie aan te leveren waarmee zij aantoont dat aan de BIO wordt voldaan (‘show it’). Denk hierbij aan beleidsstukken, audit resultaten, ENSIA-rapportages, overige rapportages en interne documentatie zoals procedures of artikelen. Daarnaast is via openbare bronnen gezocht naar relevante informatie.

Interview

Om een goed beeld te kunnen vormen van de mate waarin informatiebeveiliging geïntegreerd is in de dagelijkse werkzaamheden van Overbetuwe zijn meerdere functionarissen van de gemeente op strategisch, tactisch en operationeel niveau geïnterviewd. Om de privacy van de betrokken medewerkers te beschermen worden er geen namen genoemd in dit rapport of wordt verwezen naar gedane uitspraken. Van elk interview is een verslag opgesteld dat is afgestemd is met de betrokken functionaris (‘hoor en wederhoor’) en met hun instemming is gebruikt in dit onderzoek.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Overijssel - RK Oost-Nederland (2019)

Documentonderzoek

  • We zijn onder andere nagegaan of en in welke documenten verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatieveiligheid zijn toegekend aan de verschillende functies binnen de provinciale organisatie.

  • We hebben het beleidskader informatieveiligheid geanalyseerd en zijn nagegaan hoe er in de praktijk invulling wordt gegeven aan dit beleid.

  • De waarborgen voor het beschermen van informatie voor toegang door onbevoegden zijn door een externe partij onderzocht.

  • We hebben (de uitvoering van) het bewustwordingsprogramma en andere activiteiten die mogelijk worden ondernomen om bewustwording van informatieveiligheid te bevorderen, geanalyseerd. Ook dit heeft de externe partij in de praktijk onderzocht.

  • We zijn nagegaan of informatieveiligheid een plek heeft in de P&C-documenten en of een onafhankelijke toets en zelfevaluatie is uitgevoerd.

Interview

-

Analyse bestaande gegevens

Door de provincies is ook onderzoek gedaan naar informatieveiligheid. Deze onderzoeken hebben we - voor zover mogelijk - meegenomen in ons onderzoek om dubbelwerk te voorkomen.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

  • externe penetratietest: het testen van de beveiliging van buitenaf (vanaf het internet) tot de infrastructuur van de provincie.

  • interne penetratietest: het testen van de beveiliging van binnenuit (het lokale netwerk) tot de infrastructuur van de provincie.

  • wifi test: het testen van de draadloze netwerken van de provincie.

Awareness test

  • social engineering test: het testen van de bewustwording van medewerkers van de provincie door middel van een inlooptest (inclusief het achterlaten van geprepareerde usb-sticks) en spear phishing.

Casestudie

-

Pijnacker-Nootdorp (2018)

Documentonderzoek

Ten behoeve van het onderzoek is kennisgenomen van relevante documenten. Naast beleidsdocumenten betreft dat ook overzichten van de binnen de organisatie geldende afspraken en procedures. Ook is kennisgenomen van eerdere verkenningen en beoordelingen van de uitvoeringspraktijk, zoals audits

Interview

Vervolgens hebben interviews plaatsgevonden met personen binnen de organisatie die betrokken zijn bij het beleid of in hun uitvoerende activiteiten direct te maken hebben met het privacybeleid.
Er is gesproken met: ENSIA-coördinator, Informatiemanager, CISO, Concerncontroller / lid DT, Burgemeester / portefeuillehouder, Gemeentesecretaris, Jurist / beleidsmedewerker privacy, Jurist (inkoop-, aanbestedings- en contractmanager, Afdelingshoofd RBG, Teamleider basisregistraties, Gegevensbeheerder BRP, Teammanager Sociaal Domein, Adviesraad Sociaal Domein

Analyse bestaande gegevens

Ten behoeve van het onderzoek is kennisgenomen van relevante documenten. Naast beleidsdocumenten betreft dat ook overzichten van de binnen de organisatie geldende afspraken en procedures. Ook is kennisgenomen van eerdere verkenningen en beoordelingen van de uitvoeringspraktijk, zoals audits

Enquête

-

Participerende observatie

-

Bijeenkomsten

Om meer zicht te krijgen in de vraag hoe in de dagelijkse praktijk de medewerkers van de gemeente omgaan met privacy zijn er bovendien twee groepssessies georganiseerd om werkprocessen door te lopen op privacyaspecten. Dat is uitgevoerd voor het proces 'vergunningverlening', in het bijzonder de vergunningen voor kinderdagverblijven, en voor processen in het sociaal domein: de 'aanvraag van een uitkering Participatiewet', 'aanvraag voor een Wmo-voorziening' en het proces 'melding en intake kernteam'.

Deelnemers mini-Privacy Impact Assessment Vergunningen: Strategisch adviseur, teamleider Ruimte a.i., Frontofficemedewerker, Teamleider Milieu/Handhaving, Afdelingshoofd RBG

Deelnemers mini-Privacy Impact Assessment Sociaal Domein: Teamleider participatie, Kwaliteitsmedewerker bedrijfsbureau, Gedragswetenschapper, lid kernteam, Administratief Medewerker, Consulent W&I

Deelnemers Convergentiesessie: (Interim) FG, (Interim) CISO, Jurist / beleidsmedewerker privacy, ENSIA-coördinator (tot 1/4/2018), Gegevensbeheerder BRP, Teamleider participatie, Kwaliteitsmedewerker bedrijfsbureau, Directiestaf

Op basis van de voorgaande stappen hebben de onderzoekers zich een beeld kunnen vormen over het privacybeleid en hoe daar in de praktijk inhoud aan wordt gegeven. Om dat beeld scherper te stellen hebben we een convergentiesessie georganiseerd. Hierin zijn de voorlopige bevindingen gepresenteerd en bediscussieerd. Op die manier was het mogelijk om de bevindingen te toetsen, te verdiepen en aan te scherpen of te nuanceren. Aan deze sessie is deelgenomen door het merendeel van medewerkers die we eerder hadden geïnterviewd.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Ridderkerk (2020)

Documentonderzoek

uitgebreide documentanalyse

Interview

(groeps)interviews
Gesproken met:
Portefeuillehouder gemeente Ridderkerk en FG (Functionaris Gegevensbescherming)
en namens de BAR-organisatie (Barendrecht, Albrandswaard en Ridderkerk) gesproken met:
CISO (Chief Information Security Officer), FG (Functionaris Gegevensbescherming), PO (Privacy Officer), Uitvoerend medewerkers

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

demonstratiesessie in het bijzijn van een security engineer van Guardian360

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Rotterdam (2017)

Documentonderzoek

De rekenkamer heeft onder meer de volgende documenten geraadpleegd:

  • documenten die inzicht geven in het beleid van de gemeente op het terrein van informatiebeveiliging;
  • rapportages van onderzoeken die zijn uitgevoerd naar het datalek uit februari 2016;
  • rapportages van onderzoeken en penetratietesten die eerder in opdracht van de gemeente zijn uitgevoerd;
  • documenten die inzicht geven in de staat van informatiebeveiliging van de vijf onderzochte applicaties.

Interview

De rekenkamer heeft met diverse personen binnen en buiten de gemeente Rotterdam gesproken of per e-mail contact gehad.
Binnen de gemeente Rotterdam is gesproken met:

  • de CISO;
  • de security information officers;
  • de security manager;
  • ambtenaren van de afdeling IIFO (o.a. van technisch beheer);
  • ambtenaren van de verschillende clusters (BCO, Dienstverlening, Maatschappelijke Ontwikkeling, Stadsbeheer, Werk en Inkomen en Stadsontwikkeling) die betrokken zijn bij de vijf onderzocht applicaties;
  • directeur Gemeentebelastingen;
  • kwartiermaker functionaris gegevensbescherming;
  • ambtenaren van Concern Auditing

Analyse bestaande gegevens

De rekenkamer heeft onder meer de volgende documenten geraadpleegd:

  • documenten die inzicht geven in het beleid van de gemeente op het terrein van informatiebeveiliging;
  • rapportages van onderzoeken die zijn uitgevoerd naar het datalek uit februari 2016;
  • rapportages van onderzoeken en penetratietesten die eerder in opdracht van de gemeente zijn uitgevoerd;
  • documenten die inzicht geven in de staat van informatiebeveiliging van de vijf onderzochte applicaties.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Ethical hack test:
De rekenkamer heeft door een gespecialiseerd bureau een ethical hack laten uitvoeren. Ten eerste is een externe penetratietest uitgevoerd. Daarbij is geprobeerd vanuit een niet-gemeentelijke locatie via internet in de gemeentelijke informatiesystemen door te dringen. Ten tweede is een interne penetratietest uitgevoerd, waarbij vanuit een gemeentelijke locatie (een werkruimte, vergaderzaal) geprobeerd is oneigenlijke toegang te verkrijgen.

Awareness test

Social engineering test:
Ten slotte is een social engineering test gedaan, waarin de “awareness” van medewerkers is getoetst. De social engineering test bestond uit een inlooptest, het achterlaten van USB-sticks en het versturen van phising-mails.

Casestudie

Applicatie test:
De rekenkamer heeft vijf applicaties geselecteerd waarin veel persoonsgegevens omgaan en de staat van informatiebeveiliging bij deze applicaties nader onderzocht. De rekenkamer heeft in dit verband gesprekken gevoerd met de functioneel beheerders van de applicaties en andere bij de applicaties betrokken medewerkers, waaronder eigenaren van de data die in de applicaties omgaat. Ook heeft de rekenkamer alle onderzochte applicaties ingezien.

Son en Breugel (2020)

Documentonderzoek

documentenanalyse

Interview

-

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Utrecht (2021)

Documentonderzoek

We hebben de relevante beleidsdocumenten, documenten uit de begrotingscyclus en andere raadsinformatie over informatieveiligheid bestudeerd. Hiermee hebben wij in kaart gebracht welk beleid de gemeente Utrecht voert. Voor het inzicht in de risico’s die zijn geïdentificeerd en de beheersmaatregelen hebben wij onder andere de risicorapportages van de gemeente ingezien. De uitkomsten van beveiligingstesten, zelfassessments en audits van de gemeente zijn met name gebruikt ter voorbereiding op de testen die de rekenkamer door een extern bureau heeft laten uitvoeren. V

Interview

Er zijn interviews gehouden met de medewerkers van de gemeente die nauw betrokken zijn bij informatieveiligheid. Bij deze gesprekken gingen wij in op het gevoerde beleid en de processen, een globaal inzicht in de menskracht en het geld dat hiervoor beschikbaar is, de manier waarop bewustwording onder medewerkers onderdeel van beleid en uitvoering uitmaakt, en de mogelijke maatregelen die zij zien voor verdere optimalisatie van de informatieveiligheid.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Penetratietesten (pen-testen): Dit onderdeel is zowel intern als extern uitgevoerd. Er is zowel vanaf een gemeentelijke locatie (werkruimte) als via internet geprobeerd oneigenlijk toegang te krijgen tot informatie.

Awareness test

Social engineering test: Dit onderdeel bestaat uit een mail-phishing test (verzoek per e-mail om informatie te delen), het verspreiden van USB-sticks die bij gebruik malware zouden kunnen installeren (baiting), en inlooptesten op het Stadskantoor en het Stadhuis om ongeautoriseerd toegang te krijgen tot een kantoorruimte. Daarnaast is een laptop van de gemeente aan een analyse onderworpen om na te gaan of deze voldoende beschermd is tegen aanvallen in onveilige netwerken en tegen diefstal en verlies.

Casestudie

-

Wassenaar, Voorschoten, Oegstgeest, Leidschendam-Voorburg (2021)

Documentonderzoek

gemeentelijke documenten bestudeerd over informatiebeveiliging

Interview

gesprekken gevoerd met de chief information security officer (CISO), de functionaris gegevensbescherming (FG) en de griffier van elke gemeente + met verbonden partijen

Analyse bestaande gegevens

-

Enquête

een digitale vragenlijst verstuurd naar verbonden partijen en met hen gesproken

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

penetratietesten en kwetsbaarhedenscans

Awareness test

-

Casestudie

-

Wijchen (2022)

Documentonderzoek

Verzamelen en analyseren van documenten en open bronnen onderzoek Bij de vier gemeenten en iRvN zijn in juli 2021 aan de hand van een vragenlijst documenten opgevraagd. Hen is ook gevraagd eventuele andere relevante documenten binnen hun organisatie, die niet op de lijst zijn opgenomen, te delen. Na ontvangst van de documenten zijn deze aan de hand van de onderzoeksvragen geanalyseerd door de onderzoekers. Parallel daaraan hebben de onderzoekers ook open-bronnenonderzoek uitgevoerd. Dit houdt in dat zij online gezocht hebben naar informatie over en van de vier gemeenten en iRvN, die inzicht kan geven in eventuele risico’s, kwetsbaarheden en incidenten die hebben plaatsgevonden.

Interview

Gesprekken met betrokkenen:
Op basis van de bevindingen uit de geanalyseerde documenten en het open-bronnenonderzoek is een groot aantal gesprekken gevoerd met betrokkenen binnen de gemeenten en iRvN.
Omdat het onderzoek zich richtte op vijf verschillende organisaties (vier gemeenten en iRvN) is het een bijzonder arbeidsintensief onderzoeksproces geweest. Daarbinnen bleek het om praktische redenen niet mogelijk om de raadsleden uit onze vier gemeenten te interviewen. Op diverse manieren is echter schriftelijk materiaal verzameld over de manier waarop de gemeenteraden hun rol op de beide beleidsterreinen in de praktijk invullen.
Daarnaast is een groepsgesprek gehouden met de vier raadsgriffiers. Onderwerp van gesprek was de wijze waarop de gemeenteraden en -raadsleden in de praktijk hun kaderstellende en controlerende rol invullen.

Bespreking onderzoeksmateriaal met ambtelijke organisatie:
De ambtelijke vertegenwoordigers van de gemeenten en iRvN hebben in februari-maart 2022 een mondelinge en schriftelijke reactie gegeven op het ruwe onderzoeksmateriaal van de onderzoekers. Gezien de (veiligheids)risico’s van onderzoek naar informatiebeveiliging, en gezien de omvang en het technische karakter van dit onderzoek naar vier gemeenten en iRvN, hebben de rekenkamers besloten om de ambtelijke reacties niet schriftelijk te verwerken in het onderzoeksmateriaal en om geen bevindingenrapport te publiceren.

gesprekken over Informatie Beveiliging zijn gevoerd met: Burgemeester, Chief Information Security Officer, Functionaris Gegevensbescherming, Functioneel beheerder, Gemeentesecretaris, i-adviseur, Kwartiermaker Informatiemanagement, Manager Bedrijfsvoering, Strategisch Informatiemanager,
en namens IRvN (ICT Rijk van Nijmegen) met: Lid DB iRvN met ICT-portefeuille, Afdelingshoofd ICT, Afdelingshoofd Informatie- en applicatiebeheer, Lid Cyber Security Incident Response Team, Chief Information Security Officer, Coördinator ICT-beheer, Coördinator informatie- en applicatiebeheer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN, Security Officer

gesprekken over Privacy Bescherming zijn gevoerd met: Burgemeester, Portefeuillehouder ICT, Beleidsadviseur Openbare Orde en Veiligheid, Beleidsadviseur Zorg en Veiligheid, Beleidsmedewerker Jeugd, Wmo, Gezondheid, Functionaris Gegevensbescherming
en namens IRvN (ICT Rijk van Nijmegen) met: Chief Information Security Officer, Coördinator informatie- en applicatiebeheer Sociaal Domein, Directeur iRvN

gesprek over rol gemeenteraad is gevoerd met: Vertegenwoordiger griffie

Analyse bestaande gegevens

Ordenen onderzoeksmateriaal
Alle verzamelde onderzoeksgegevens zijn door de onderzoekers geordend per organisatie. Daarbij is gebruik gemaakt van zogenaamde 'volwassenheidsmodellen’. Met deze modellen kan bepaald worden wat het volwassenheidsniveau (op een schaal van 1 tot 5) is van de organisatie voor toepassing van de wet- en regelgeving voor informatiebeveiliging en privacybescherming, en hoe groot de risico’s zijn die worden gelopen als de wet- en regelgeving (nog) niet (volledig) geïmplementeerd zijn.

Enquête

-

Participerende observatie

-

Bijeenkomsten

Expertmeeting:
In maart 2022 hebben de rekenkamers een digitale expertmeeting belegd met zeven deskundigen op deonderzochte terreinen. De bijeenkomst was met name bedoeld om invulling te geven aan onderzoeksdeel C over de rol van de gemeenteraad. De deskundigen hebben hun ervaringen met het informeren van
gemeenteraden (en andere volksvertegenwoordigers) over informatiebeveiliging en privacybescherming met de rekenkamers gedeeld.

Pentest (Penetratie test)

-

Awareness test

-

Casestudie

-

Zeist (2024)

Documentonderzoek

Er is een analyse uitgevoerd van documenten in deskresearch.

Interview

Interviews met bestuurders en functionarissen van de gemeente Zeist.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Er zijn verschillende pentesten uitgevoerd op de systemen. Er zijn een interne netwerk test, een wifi netwerk test en een Active Directory (AD) audit uitgevoerd.

Awareness test

Ook zijn in het kader van het rekenkameronderzoek phishing mails verstuurd naar medewerkers van de gemeente en is er en een inlooptest met mystery guests uitgevoerd.Phishing is een vorm van internet oplichting en fraude, door middel van een vals e-mail bericht 'hengelen' naar inlog- of andere persoonsgegevens.

Casestudie

-

Zoetermeer (2017)

Documentonderzoek

-

Interview

Er is gesproken met: wethouders, coördinator informatiebeveiliging/CISO, directeur bedrijfsvoering/CISO, privacyfunctionaris, teammanager I&A, security specialist I&A

Analyse bestaande gegevens

De Rekenkamercommissie Zoetermeer heeft zich voor dit onderzoek deels gebaseerd op een notitie van de rekenkamer van de gemeente Den Haag en de Taskforce Bestuur & Informatieveiligheid Dienstverlening (Taskforce BID). De vragen uit de notitie gaan in op de belangrijkste aspecten van de BIG. Deze vragen zijn aangevuld en aangepast aan de situatie van Zoetermeer.

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

De rekenkamer heeft door een gespecialiseerd bureau een ethical hack laten uitvoeren. Ten eerste is een externe penetratietest uitgevoerd. Daarbij is geprobeerd vanuit een niet-gemeentelijke locatie via internet in de gemeentelijke informatiesystemen door te dringen. Ten tweede is een interne penetratietest uitgevoerd, waarbij vanuit een gemeentelijke locatie (een werkruimte, vergaderzaal) geprobeerd is oneigenlijke toegang te verkrijgen.

Awareness test

-

Casestudie

-

Zutphen (2023)

Documentonderzoek

De onderzoeksvragen worden beantwoord door middel van een analyse van documenten in deskresearch. De documenten bevatten beleid en rapportages van de gemeente.

Interview

Bestuurders en functionarissen van de gemeente zijn geïnterviewd.

Analyse bestaande gegevens

-

Enquête

-

Participerende observatie

-

Bijeenkomsten

-

Pentest (Penetratie test)

Er zijn in het kader van het rekenkameronderzoek verschillende pentesten uitgevoerd op de systemen, medewerkers en raadsleden.

Aanvullend zijn er een interne netwerk test, Active Directory (AD) audit uitgevoerd. ,

Awareness test

Er zijn een phishing test en een mystery guest onderzoek uitgevoerd. Phishing is een vorm van internet oplichting en fraude, door middel van een vals e-mail bericht 'hengelen' naar inlog- of andere persoonsgegevens. Tijdens het mystery guest bezoek probeert een onderzoeker onder valse voorwendselen fysiek binnen te dringen in de gemeentelijke organisatie. Doel is inzicht te krijgen in kwetsbaarheden als ongeautoriseerde toegang mogelijk is tot kantoren en werkruimtes, tot werkstations, informatie of dossiers op bureaus, printers of afvalcontainers.

Casestudie

-

Handleiding

Bovenaan iedere pagina in dit metadossier vind je de hoofdonderwerpen uit de rapporten. Bij de hoofdonderwerpen Onderzoeksopzet en Uitkomsten hebben we (onder de paginatitel) ook de mogelijkheid gemaakt om te switchen tussen onderdelen. In Onderzoeksopzet kun je switchen tussen Hoofdvragen, Normen en Onderzoeksvragen, in Uitkomsten tussen Onderzoeksvragen, Conclusies en Aanbevelingen.

Op iedere pagina kun je met de groene knop Exporteer als CSV de informatie die daar getoond wordt exporteren naar je eigen computer. De blauwe knop Rekenkamers openen zorgt er voor dat alle gemeentes op deze pagina opengeklapt worden.

In de linker kolom van iedere pagina vind je filters. Je kunt de informatie filteren op Onderwerpen en op Rekenkamers (gemeentes). Het derde filter is Inwonersaantal: hiermee kun je gemeentes selecteren die vergelijkbaar zijn met 'jouw' gemeente.

Het filter Onderwerpen is bij iedere hoofdpagina anders, omdat de onderzochte onderwerpen natuurlijk verschillen per hoofdpagina.

Als je één van de filters onder Rekenkamers of Inwonersaantal hebt geselecteerd, blijft deze aan staan, ook als je naar een andere hoofdpagina gaat. Als je bijvoorbeeld het filter '20.000 tot 50.000' inwoners hebt aangeklikt plus het filter 'Amsterdam' zie je in de resultaten steeds alle gemeentes met een inwonersaantal tussen de 20.000 en 50.000 *plus* Amsterdam.