Meer sorry dan safe

Nieuws | de redactie
18 september 2013 | In de zomer werd bekend, dat studiebeurzenverdeler DUO niet goed beveiligd is. De auditdienst luidde de noodklok. “Hierdoor kan een calamiteit uitgroeien tot een groot politiek afbreukrisico.” OCW meldt de Kamer nu, dat eind 2013 “voor de meest kritische bedrijfsprocessen” het plan klaar is.

De auditdienst van het rijk constateerde in een onlangs bekend gemaakt rapport dat DUO voortdurend risico’s loopt als het gaat om de beveiliging van persoonsgegevens van studenten. Dit was voor het CDA-Kamerlid Michel Rog reden om Kamervragen te stellen aan minister Bussemaker.

Hij vroeg onder meer: “Klopt het dat de Auditdienst Rijk (ADR) in 2011 al heeft vastgesteld dat het informatiebeveiligingsplan niet volledig was afgerond? Klopt het dat eind 2012 er nog steeds sprake is van dat DUO ‘voortdurend risico’s op het gebied van informatiebeveiliging loopt’? Welke concrete acties heeft u ondernomen of gaat u ondernemen om het tactische securitymanagement te verbeteren?”

Continu volle aandacht

“Informatiebeveiliging vraagt continu om de volle aandacht. De bevindingen van de Auditdienst Rijk (ADR) zijn daarbij van belang en de adviezen worden opgevolgd,” laat de minister weten in antwoord op de vragen. De ADR wees er in zijn rapport op dat zijn signaal er een was in een reeks van de voorbije jaren. Sinds 2011 wordt DUO er afwisselend door de Rekenkamer en de Auditdienst op gewezen, dat de beveiliging van het informatiesysteem van DUO niet op orde is en dat DUO ernstige risico’s loopt.

De minister plaatst nu kanttekeningen bij het geschetste beeld. “In het rapport over 2012 heeft de ADR gesteld dat DUO Groningen risico’s op het gebied van informatiebeveiliging loopt. Daarbij is de situatie door de ADR ingeschaald als ‘gemiddeld’. Van voortdurende risico’s op het gebied van informatiebeveiliging is naar mijn mening geen sprake, het securitymanagement is operationeel op orde.”

Bewustzijnsprogramma

Dat het toch niet helemaal op orde is, kan de minister echter ook weer niet ontkennen. “De ADR heeft in zijn rapport over 2011 inderdaad vastgesteld dat het informatiebeveiligingsplan niet volledig was afgerond en dat er nog enkele onderdelen ontbraken, namelijk koppeling met het OCW-informatiebeveiligingsbeleid, een controlecyclus rond de informatiebeveiliging en een ‘beveiligingsbewustzijnsprogramma’.”

De minsister geeft aan dat nu op grond van het tweede advies wordt gewerkt aan verbetering van het bedrijfscontinuïteitsplan. “Een volledig bedrijfscontinuïteitsplan vergroot immers de kans dat in het geval van een calamiteit de juiste procedures worden gevolgd. Om te borgen dat er in geval van incidenten juist wordt gehandeld, heeft DUO ervoor gekozen om bedrijfscontinuïteitsmanagement (BCM) in te richten. Eind 2013 worden bedrijfscontinuïteitsplannen opgeleverd voor de meest kritische bedrijfsprocessen. De ADR zal ook op dit punt bezien of er voldoende voortgang is geboekt.”

Leenstelsel geen probleem

Overigens is de minister niet bezorgd, dat de omvorming van de basisbeurs naar het sociaal leenstelsel extra druk en risico’s zal opleveren voor de beveiliging van de persoonsgegevens. De hoeveelheid en het soort werk van de ambtenaren in Groningen zou geen wijziging ondergaan.

Het nieuwe stelsel draagt zo dus niet bij aan een slankere, effectievere overheid en dienstverlening. “Er is geen directe relatie tussen de genoemde risico’s en het sociaal leenstelsel. Met het sociaal leenstelsel verandert de aard en omvang van de gegevens niet significant.”


«
Schrijf je in voor onze nieuwsbrief
ScienceGuide is bij wet verplicht je toestemming te vragen voor het gebruik van cookies.
Lees hier over ons cookiebeleid en klik op OK om akkoord te gaan
OK