Column


IT-jurist Peter van Schelven over...

Gemeentelijke rekenkamer en security

Wie houdt er toezicht op de vraag of de gemeente waar u woont zorgvuldig met uw persoonsgegevens omgaat en passende securitymaatregelen heeft getroffen? De controle op naleving van de spelregels die daarover in de Wet bescherming persoonsgegevens zijn vastgelegd, is in handen van de Autoriteit Persoonsgegevens, de privacywaakhond in ons land.
Maar het is goed om voor ogen te houden dat meer instanties zich met de gemeentelijke handel en wandel op dit vlak bezighouden.

Zo kunt u met een concrete klacht over de wijze waarop uw gemeente met uw persoonsgegevens omgaat, ook naar een ombudsman stappen. Veel gemeenten in ons land hebben een eigen ombudsman en de ervaring leert dat sommigen niet schromen om gedragingen over de roekeloze omgang met persoonsgegevens kritisch tegen het daglicht te houden. Als uw gemeente niet over een eigen ombudsman beschikt, dan kan een klacht over uw gemeente ook worden voorgelegd aan mr. Reinier van Zutphen, de Nationale Ombudsman. De digitaliserende overheid heeft zijn bijzondere aandacht.

Privacy in Arnhem
Een recente ontwikkeling binnen enkele grote gemeenten die niet onopgemerkt mag blijven, is de toenemende belangstelling van de gemeentelijke rekenkamers voor privacy en security. Onlangs publiceerde de rekenkamer van Arnhem een onderzoek naar privacy en informatieveiligheid in het sociaal domein binnen deze gemeente. Een goed punt van dat rapport zijn de aanbevelingen om de leden van de gemeenteraad meer politieke grip te geven op privacy- en securityvraagstukken.

Dat sluit aan op een van de zeven basisbeginselen die in het rapport worden gedefinieerd: privacy is een politiek onderwerp. Het belang van het rapport is dat privacy en security ver boven een ICT-uitvoeringstechnisch niveau worden getild. Bij het antwoord op de vraag op welke wijze raadsleden concreet kunnen worden ‘empowered’ blijft het rapport – helaas – nog betrekkelijk vaag. Daar valt dus nog een wereld te winnen.

Controletaak rekenkamer
Wat is nou eigenlijk een gemeentelijke rekenkamer? De Gemeentewet geeft daar antwoord op. Een gemeente kan – al dan niet samen met andere gemeenten – een rekenkamer instellen. Zo’n rekenkamer heeft de wettelijke taak ‘de doelmatigheid, de doeltreffendheid en de rechtmatigheid van het door het gemeentebestuur gevoerde bestuur’ te onderzoeken. Dat omvat duidelijk meer dan louter financieel toezicht. De taakomschrijving geeft dus alle ruimte om ook de deugdelijkheid en effectiviteit van de gemeentelijke security te onderzoeken. En dat gaat ver, want de wet bepaalt bijvoorbeeld dat het onderzoek zich ook kan uitstrekken tot gemeentelijke administraties die aan derden zijn uitbesteed.

De gemeentelijke rekenkamer heeft dus een wezenlijke rol in de publieke controle op het openbaar bestuur. De kracht van de rekenkamer wordt versterkt door artikel 185 lid 5 van de Gemeentewet, die luidt: “De rapporten en de verslagen van de rekenkamer zijn openbaar.” In de wet staat elders echter wel dat de rapporten van een rekenkamer geen gegevens mogen bevatten die ‘naar hun aard vertrouwelijk’ zijn.

Spanningsveld
Het spanningsveld tussen openbaarmaking en vertrouwelijkheid heeft onlangs tot veel gedonder geleid binnen de gemeente Rotterdam. De rekenkamer van Rotterdam heeft naar aanleiding van een onderzoek aangekondigd op 5 april aanstaande met een kritisch rapport over de gemeentelijke security te komen. Het aangekondigde rapport zal de bevindingen naar aanleiding van uitgevoerde penetratie-, inloop- en social engineering-testen presenteren. Daarmee zullen ernstige gebreken in de gemeentelijke organisatie worden blootgelegd, zij het op een wijze die naar het oordeel van de rekenkamer de gemeente niet onnodig zal schaden. Zo wordt in het publieke rapport bijvoorbeeld niet concreet vermeld hoe de betrokken ICT-systemen konden worden gepenetreerd. Ook ontbreekt in het rapport – naar zeggen van de rekenkamer – = een concrete aanduiding van de betrokken kwetsbare applicaties. De rekenkamer, die dus op generiek niveau kwetsbaarheden wenst aan te kaarten, beschouwt haar aanpak daarom als proportioneel.

Bovendien wijst zij erop dat het in haar ogen de rekenkamer zelf is die mag beslissen wat zij in haar rapport openbaar maakt. De afweging tussen openbaarmaking versus vertrouwelijkheid ligt, aldus de rekenkamer van Rotterdam bij haarzelf, dus niet bij het college van Burgemeester en Wethouders.

Responsible disclosure
Het college van B&W ziet dit wezenlijk anders, zo blijkt uit een brief van 23 maart van burgemeester Aboutaleb aan de gemeenteraad. In die brief wordt de vrees uitgesproken dat openbaarmaking van het rapport risico's voor de veiligheid van de burgers, de stad en medewerkers zal hebben. De brief zegt: ‘Rotterdammers zijn er nu niet bij gebaat dat potentieel kwaadwillenden worden gewezen op kwetsbaarheden in onze systemen.’ De handelwijze van de rekenkamer kan, aldus deze brief, niet als ‘responsible disclosure’ van kwetsbaarheden worden gezien.

Het valt momenteel nog te bezien wie deze slag gaat winnen. De rekenkamer die een beperkte mate van openbaarheid voorstaat? Of het college van B&W, dat alles onder de pet wenst te houden. Het conflict binnen de gemeente maakt me eens te meer nieuwsgierig naar het uiteindelijke rapport. De controverse maakt wel duidelijk dat het denken over publieke controle op security nog volop in de kinderschoenen staat. Voer voor nadere studie.


Lees meer over