Lonely at the top
Stel, je ontvangt een bijstandsuitkering van de Sociale Dienst van jouw gemeente. Wat verwacht je dan van de gemeente, naast tijdige en volledige betaling van het wettelijke bedrag? Wellicht niet veel. De paar schamele grijpstuivers die je krijgt, zijn namelijk net genoeg om niet in een houten kist te belanden. In politiek correct jargon heet het dat je van een ‘sociaal vangnet’ gebruikmaakt, maar dat is louter verhullend taalgebruik.
Voor menig bijstandsgerechtigde is het immers een ware kunst en strijd om te overleven. In dat licht maak je je dus niet snel druk over de vraag of jouw gemeente haar IT-zaakjes rondom de bijstand wel op orde heeft.
Dikke kans echter dat dit laatste niet het geval is, zo moet uit onderzoek van de Inspectie SZW worden geconcludeerd. Het rapport ‘De burger bediend in 2013’ over informatiebeveiliging bij gemeenten maakt op pijnlijke wijze duidelijk dat slechts 4 procent van de tachtig onderzochte gemeenten voor het opvragen van persoonsgegevens via Suwinet, het overheidssysteem voor gegevensuitwisseling op het gebied van werk en inkomen, voldoende beveiligingsmaatregelen heeft getroffen. En 13 procent van de gemeenten voldoet nota bene zelfs aan geen enkele norm voor informatiebeveiliging. Kortom: de gemeentelijke overheden nemen het niet zo nauw met hun wettelijke verplichtingen op het gebied van privacybescherming en de beveiliging van jouw persoonsgegevens. Die gedachte is eens te meer schokkend nu ook al in eerder onderzoek geconstateerd was dat gemeenten er een flink rommeltje van maken. Het is al met al een hardnekkig gemeentelijk probleem, waarvoor de oplossing zich nog niet aandient.
Ik sprak onlangs een vriendelijke burgemeester van een middelgrote gemeente in ons land. Hij maakte me duidelijk dat informatiebeveiliging nooit de agenda van zijn gemeenteraad haalt. Raadsleden komen vanwege de hoeveelheid dossiers die zij in hun politieke werk moeten behandelen nooit toe aan informatiebeveiliging. Het onderwerp is daarmee een politiek ‘non-issue’. Ook binnen de ambtelijke top van menige gemeente wordt de bal niet of nauwelijks opgepakt of ontbreekt eenvoudigweg de benodigde expertise. Informatiebeveiliging is – zo luidt het excuus – technisch en organisatorisch zeer complex, inhoudelijk niet sexy en kost bovendien de nodige centen. Medewerkers van sociale diensten vinden het bovendien soms wel zo gemakkelijk als zij zich met het oog op efficiënt werken in voorkomende gevallen niet gehinderd weten door lastige privacy- en beveiligingseisen.
Een goed beveiligingsbeleid begint in iedere organisatie aan de top. Ook in gemeenten. Ik heb de burgemeester in kwestie daarom gecomplimenteerd voor de aandacht die hij persoonlijk aan dit beleidsveld binnen zijn gemeente geeft, waarna hij open en eerlijk respondeerde met de stelling dat hij eigenlijk toch nauwelijks kaas van informatiebeveiliging gegeten had. Het is daarom misschien geen gekke gedachte om een groep van welwillende burgemeesters rondom dit thema eens bijeen te brengen. Want waarom ‘lonely at the top’? Op het punt van de gemeentelijke informatiebeveiliging valt immers nog een wereld te winnen.
