Spreektekst rapport ZRK informatieveiligheid
Voorzitter,
Ik begin mijn betoog met een groot dankjewel aan de Zuidelijke Rekenkamer voor dit rapport over de informatieveiligheid van de provincie Noord-Brabant. De ZRK heeft zoals gebruikelijk zeer degelijk onderzoekswerk geleverd, waar wij als PS ons voordeel mee kunnen doen.
De Rekenkamer deed uitgebreid onderzoek naar de informatieveiligheid (en dus de informatiebeveiliging) en de kwetsbaarheden van de provincie Noord-Brabant op dat gebied. Hoofdconclusie volgens de ZRK is dat in opzet de informatiebeveiliging voldoende is ingericht, maar in de uitvoering de provincie de afgelopen jaren op enkele punten nog kwetsbaar is gebleken in de beheersing van de informatieveiligheidsrisico's. Voorzitter, voldoende is niet goed en de 'maar' zegt genoeg: in normaal begrijpelijk Nederlands vertaald is er voor een zesje nagedacht en voor een vier uitgevoerd.
In het vervolg van het betoog zullen wij op een aantal onderwerpen uit het rapport dieper ingaan. Doel is daarbij enerzijds om te onderbouwen dat de reactie van GS op het rapport onvoldoende zelfkritisch is. De reactie van GS biedt daarom wat de PVV betreft dan ook nu nog onvoldoende vertrouwen dat er ook écht verbeterslagen komen. Daarnaast wil de PVV dus tegelijkertijd beargumenteren dat de aan PS gevraagde besluitvorming van het 'doorgaan op de ingeslagen weg' zoals vandaag voorligt, volstrekt ontoereikend is. Het ontwerp-besluit zullen wij dan ook amenderen.
Voorzitter, de ZRK heeft documentenonderzoek en praktijkonderzoek gedaan.
Een van de bevindingen bij het documentenonderzoek is dat de samenhang der dingen onvoldoende helder is: uit beleidsdocumenten blijkt onvoldoende welk beleid nu actueel is en welke zaken nu niet meer geldig zijn. Ook is de samenhang en relatie van de verschillende documenten tot elkaar onvoldoende helder.
Daarbij wordt onder meer ook gezinspeeld op de zogeheten i-visie. Voorzitter, op dat punt wil ik wat dieper ingaan. Het vaststellen van een i-visie door PS was één van de aanbevelingen van het ZRK-rapport ‘Digitalisering en duurzame toegankelijkheid van informatie provincie Noord-Brabant’ dat PS in maart 2015 bespraken, en de betreffende conclusies en aanbevelingen zijn door GS overgenomen. Begin 2016 heb ik bij de provinciale organisatie geïnformeerd naar de stand van zaken van de ontwikkeling door GS van een door PS vast te stellen i-visie.
Ik kreeg te horen dat een en ander zou gaan resulteren in een statenmededeling, want er was geen sprake van beleidswijziging en geen financiële consequentie. Ik heb meermalen scherp beargumenteerd dat een dergelijk kaderstellend document vanuit een door GS gedragen aanbeveling van de ZRK niet met een mededeling zou moeten worden afgedaan. Het college van GS bij monde van gedeputeerde van der Maat was echter niet bereid om een i-visie als voorstel aan PS voor te leggen.
Er volgde een weinig zeggende statenmededeling in juni 2016 getiteld Visie en Hoofdlijnen Informatiebeleid, echter zonder heldere visie. De ZRK concludeert nu dan ook dat uit de documenten niet duidelijk wordt wat de status is van de door de directie vastgestelde Informatievisie uit 2015 en hoe die visie zich verhoudt tot de Visie en Hoofdlijnen Informatiebeleid, het sneue documentje uit juni 2016 dus.
Voorzitter, ik wil graag van het college weten waarom zij destijds mijn vragen en argumenten niet serieus genomen hebben.
Bij ditzelfde punt heb ik nog een andere vraag aan het college. Ik heb bij de ZRK geïnformeerd of de mailcorrespondentie die ik hierover met de ambtelijke organisatie en de gedeputeerde heb gevoerd ook ten behoeve van dit onderzoek aan de ZRK is verstrekt, het gaat immers om uitermate relevante stukken bij deze bevindingen en bij de gang van zaken. Kan het college concreet uitleggen waarom de mailcorrespondentie met ambtenaren en gedeputeerde betreffende de navraag over stand van zaken en mijn verzoek de resulterende visie als statenvoorstel aan PS voor te leggen, niet aan de ZRK zijn verstrekt?
Voorzitter, uit het praktijkonderzoek van de ZRK zijn vele ernstige bevindingen gebleken. Van het kunnen bemachtigen van beheerdersrechten op de ICT systemen tot het doordringen in de burgemeesterszakenkamer van het provinciehuis en van het kunnen lezen tot alle documenten van de provincie tot het niet uitvoeren van patches en updates, bevindingen die gewoon niet mogen voorkomen. Het meest zorgwekkend daarbij is dat het in een aantal gevallen om een herhaling van dezelfde kwesties gaat als die bij eerdere onderzoeken ook naar boven zijn gekomen.
De PVV vindt de reactie van GS op het rapport in dat licht bezien dan ook uitermate laconiek. GS grijpt de reactiemogelijkheid in het ZRK-rapport vooral aan om de positieve punten zeer zwaar aan te zetten en de zorgwekkende bevindingen nonchalant weg te kletsen. Aan zelfkritiek en daadkracht ontbreekt het.
Het college doet wel alsof zij heel daadkrachtig is, maar het is maar de vraag of die daadkracht op de juiste zaken betrekking heeft. Zo is een e-learning traject voor medewerkers best belangrijk, maar voorzitter, dat is niet de kern van een goede beveiliging. Beveiliging moet je zoveel mogelijk borgen via goede systeembeveiliging en een ICT-organisatie die volgens goede procedures, protocollen en standaarden werkt, waarbij tijdig en consequent updates en patches uitvoeren de normaalste zaak van de wereld is. De mens is de kwetsbare schakel als het om beveiliging gaat. Heb dus in elk geval de systemen volledig op orde, dát zit in je invloedssfeer.
En wat een kritische blik betreft, neem nou de constatering van de ZRK dat de Provincie Noord-Brabant landelijk gezien goed presteert op de Interprovinciale Baseline Informatiebeveiliging, een gezamelijk basisambitieniveau dat de provincies hebben geformuleerd voor informatiebeveiliging. Het lijkt erop of van het hele rapport van de ZRK bij het college eigenlijk alleen maar díe constatering is blijven hangen.
De vraag is ook hoe relevant die constatering is. Informatiebeveiliging vraagt namelijk goede ICT-beveiliging, en de basis om die te bereiken leg je door moderne betrouwbare standaarden te gebruiken, bijvoorbeeld voor internet en e-mail.
De website www.internet.nl is een initiatief van het Platform Internetstandaarden, waarin partners uit de internetgemeenschap en de Nederlandse overheid participeren. Op die website kun je testen of en in hoeverre je website, e-mail en internetverbinding moderne betrouwbare standaarden gebruikt.
Brabant.nl scoort op het voldoen aan die standaarden een schamele 61%. Dat staat in schril contrast tot bijvoorbeeld Limburg die 84% scoort, en Groningen zelfs 100%. Ook veel Brabantse gemeentes doen het een stuk beter dan de provincie, waaronder zelfs het door het college zo gehate Nuenen.
Met de e-mail is het nog droeviger gesteld, de score van de Brabantmail is 45%. Ter vergelijking, Gmail scoort aanzienlijk beter met slechts 73%, de mail van mijn werk scoort 92%.
Ik wil GS dan ook vragen waarom de provincie niet aan de standaarden voldoet, die immers de basis vormen voor een goede beveiliging van systemen? Kan het college aangeven of zij voornemens is dit wel te realiseren? En zo ja, wat gaat het college dan wel doen en op welke termijn?
Voorzitter, in het ZRK rapport wordt enkele malen opgemerkt dat de ZRK in haar onderzoek over zaken niet heeft kunnen oordelen omdat men niet heeft kunnen vaststellen wat er is besproken in informatiebijeenkomsten en platformbijeenkomsten met PS. Van deze bijeenkomsten worden geen audioverslagen gemaakt. De PVV heeft hier al talloze malen aandacht voor gevraagd, laat ik zeggen gemiddeld eenmaal per PS vergadering als gedeputeerde van Merrienboer zijn riedeltje weer doet over het niet-deelnemen van de PVV aan het platform planning & control. Voorzitter, de PVV dient wederom een motie in om voortaan van alle bijeenkomsten van PS, dus ook informatiebijeenkomsten en platformbijeenkomsten, audio-opnames te maken en die op de website te plaatsen. Uiteraard dienen de gebruikelijke spelregels rondom geheimhouding en vertrouwelijkheid daarbij in acht te worden genomen.
Over geheimhouding en vertrouwelijkheid gesproken voorzitter, ook daar wil de PVV nog eens wat opheldering over.
Meer specifiek over de wijze waarop men met informatie omgaat, en deze labelt, opslaat en deelt. Volgens het rapport van de ZRK staan op de intranetpagina van de provincie een aantal principes ten aanzien van informatie, waaronder dat documenten van de provincie nooit automatisch openbaar zijn en in Corsa alle documenten zijn in te zien tenzij sprake is van vertrouwelijkheid of geheimhouding.
Dat roept vragen op voorzitter. Welke visie of beleid is er bijvoorbeeld ten aanzien van het labelen van documenten als vertrouwelijk of geheim? Welke status heeft een vertrouwelijk document juridisch gezien? Heeft het college de autorisatie en beveiliging wel goed geregeld? Als in Corsa nagenoeg alle documenten in te zien zijn, hoe borgt de provincie dan geheimhouding van documenten die pas op een later moment die status krijgen? Hoe verhoudt zich dat tot het gebruik van dropbox? Eind 2016 waarschuwde de ICT afdeling nog voor hacks en publicatie van een groot aantal accountwachtwoorden waaronder die van de provinciale dropboxgebruikers. Navraag leerde toen dat onbekend is wat er in de accounts stond, en dat de dropbox alleen gebruikt mag worden voor intern openbare informatie. Voorzitter, volgens de intranetrichtlijnen zijn documenten dus nooit automatisch openbaar, maar de ICT afdeling spreekt wel van intern openbare informatie. Kan het college een definitie geven van intern openbare informatie, want nu begin ik het spoor echt bijster te raken?
En hoezeer dit alles knelt voorzitter, wordt duidelijk met een voorbeeld. Toen ik afgelopen mei als statenlid om de documenten vroeg uit het dossier staldering, bleef het eerst radiostil en na een aantal reminders kreeg ik te horen dat GS erover moest gaan vergaderen of ik de documenten kon krijgen. Vervolgens kwam er een vaag antwoord dat de documenten opeens vertrouwelijk waren verklaard door GS. Ik heb gevraagd wie waarom in welk kader die 'vertrouwelijkheid' heeft ingesteld op welke stukken, en waarom de documenten die status niet eerder hadden. Immers, tot op dat moment waren de documenten feitelijk voor eenieder in de organisatie in te zien, maar kennelijk niet voor een statenlid dat de controlerende taak uitvoert. Voorzitter, ondanks toezeggingen wacht ik nog steeds op antwoord. Moraal van dit verhaal voorzitter, is dat er een gebrek is aan een heldere i-visie, want de ervaring is dat er telkens ad hoc wordt gehandeld.
Kortom, de conclusie: het ontbreekt op veel fronten aan visie, beleid en heldere procedures.
Dus voorzitter, stof genoeg die maakt dat de PVV van oordeel is dat het vervolgen van de ingeslagen weg echt een zwaktebod is. Wij verwachten meer van GS: een helder kader en een heldere visie op informatie en op ICT, en een uitstekende organisatie die het onderwerp beveiliging naar een hoger plan tilt.