Gemeente met hacker in zee om digitale gatenkaas te dichten
VENRAY | De veiligheid van persoonsgegevens van de Venrayse inwoners is onvoldoende gewaarborgd. 'Venray is kwetsbaar' blijkt uit onderzoek van de rekenkamercommissie. Om de digitale veiligheid van de opgeslagen gegevens in het gemeentehuis van Venray optimaal te kunnen beschermen, wordt een ethische hacker in huis gehaald. De hacker controleert of genomen maatregelen tegen datalekken in het gemeentehuis afdoende zijn. Dat kreeg de commissie Besturen en Werken deze week te horen van wethouder Martijn van der Putten.
Door Henk Baltussen
Van der Putten reageerde op een rapport van de rekenkamercommissie (rkc), die onderzoek deed naar informatiebeveiliging en privacy in het raadhuis. Onderdeel daarvan was een ethische hack die tijdens de eerste drie weken van maart werd uitgevoerd. Bij dit onderzoek zijn verschillende datalekken van in het digitale systeem van de gemeente Venray gevonden. Sommige van die lekken waren dermate ernstig dat daar direct actie op is ondernomen. "De meest precaire pijnpunten proberen we nu al op te pakken", hield Van der Putten de commissie voor.
'Sommige lekken zo ernstig dat direct actie is ondernomen'
Tevens gaf hij dat door de uitkomsten van het onderzoek zijn ogen zijn geopend. "Het is goed geweest dat de ethische hacker hier is binnen geweest. Hij kan ons pijn doen en tips geven waarmee we aan de slag kunnen. We willen jaarlijks zo'n exercitie ondergaan en gaan met een verbeterplan aan de slag."
De bedoeling is dat, telkens als 'digitale reparaties' aan datanetwerk van de gemeente Venray zijn uitgevoerd, de ethische hacker op komt draven om te controleren of de reparaties afdoende zijn.
De commissieleden toonden zich geschokt over de uitkomsten het rc-rapport, dat kort (zes pagina's) maar krachtig is was. Zo was het voor onderzoekers bijvoorbeeld mogelijk om de complete infrastructuur van gemeente Venray onder controle te krijgen. Tevens kwamen diverse onvolkomenheden aan het licht in de beveiliging van de processen en systemen: 'Diverse kernprocessen van Venray zijn toegankelijk en manipuleerbaar'. Er kon onder meer toegang worden verkregen tot privacygevoelige informatie van burgers, bestuurders en ambtenaren. De conclusie van de rkc is dat de veiligheid van de gemeentelijke systemen onder de maat is, waardoor Venray kwetsbaar. Ook ontdekte de rkc dat de gemeente Venray op papier doet voorkomen alsof de privacy is gewaarborgd, terwijl dat in werkelijkheid niet het geval is.
"We stonden te knippen met de ogen toen we dit lazen", zei SP-commissielid Ronald van Hal. "De burger moet ervan uit kunnen gaan dat zijn gegevens veilig liggen opgeslagen."
'Gaat hier iets mis, zijn gevolgen voor inwoners gigantisch'
Martin Leenders (Samenwerking Venray) toonde zich geschrokken: "Maar zijn de lekken nu eigenlijk gedicht?" Dat blijkt met de datalekken in de twee hoogste urgentieklassen het geval te zijn, kreeg hij als antwoord. Van der Putten zei dat er al risico's bekend waren. "Maar die accepteerden we omdat dat acceptabel was. Onderschat is dat, als al die risico's samenvallen, het een enorm risico wordt." Leenders wil daarbij inzage in de vertrouwelijke hackrapporten die de urgentie aangeven om de onvolkomenheden direct aan te pakken. Nagegaan wordt of daar op juridisch vlak bezwaren aan zitten. Willem De Schryver (VVD) was helder: "Als hier iets misgaat, kunnen de gevolgen voor de inwoners gigantisch zijn. Maar veiligheid heeft ook met de bedrijfscultuur te maken. Daarvoor is beleid nodig."
Een onthutsend beeld was de reactie van Twan Jansen (PvdA) op het rkc-rapport. "De rotte plekken worden niet genoemd, maar de schets is ontluisterend." Van der Putten gaf aan dat de digitalisering voor het gemeentehuis een grote opdracht is. "We staan voor hele grote uitdagingen in de toekomst."
Donderdag 27 juni debatteert de gemeenteraad over de uitkomsten van het rkc-rapport.