Meer sorry dan safe
De auditdienst van het rijk constateerde in een onlangs bekend gemaakt rapport dat DUO voortdurend risico’s loopt als het gaat om de beveiliging van persoonsgegevens van studenten. Dit was voor het CDA-Kamerlid Michel Rog reden om Kamervragen te stellen aan minister Bussemaker.
Hij vroeg onder meer: “Klopt het dat de Auditdienst Rijk (ADR) in 2011 al heeft vastgesteld dat het informatiebeveiligingsplan niet volledig was afgerond? Klopt het dat eind 2012 er nog steeds sprake is van dat DUO ‘voortdurend risico’s op het gebied van informatiebeveiliging loopt’? Welke concrete acties heeft u ondernomen of gaat u ondernemen om het tactische securitymanagement te verbeteren?”
Continu volle aandacht
“Informatiebeveiliging vraagt continu om de volle aandacht. De bevindingen van de Auditdienst Rijk (ADR) zijn daarbij van belang en de adviezen worden opgevolgd,” laat de minister weten in antwoord op de vragen. De ADR wees er in zijn rapport op dat zijn signaal er een was in een reeks van de voorbije jaren. Sinds 2011 wordt DUO er afwisselend door de Rekenkamer en de Auditdienst op gewezen, dat de beveiliging van het informatiesysteem van DUO niet op orde is en dat DUO ernstige risico’s loopt.
De minister plaatst nu kanttekeningen bij het geschetste beeld. “In het rapport over 2012 heeft de ADR gesteld dat DUO Groningen risico’s op het gebied van informatiebeveiliging loopt. Daarbij is de situatie door de ADR ingeschaald als ‘gemiddeld’. Van voortdurende risico’s op het gebied van informatiebeveiliging is naar mijn mening geen sprake, het securitymanagement is operationeel op orde.”
Bewustzijnsprogramma
Dat het toch niet helemaal op orde is, kan de minister echter ook weer niet ontkennen. “De ADR heeft in zijn rapport over 2011 inderdaad vastgesteld dat het informatiebeveiligingsplan niet volledig was afgerond en dat er nog enkele onderdelen ontbraken, namelijk koppeling met het OCW-informatiebeveiligingsbeleid, een controlecyclus rond de informatiebeveiliging en een ‘beveiligingsbewustzijnsprogramma’.”
De minsister geeft aan dat nu op grond van het tweede advies wordt gewerkt aan verbetering van het bedrijfscontinuïteitsplan. “Een volledig bedrijfscontinuïteitsplan vergroot immers de kans dat in het geval van een calamiteit de juiste procedures worden gevolgd. Om te borgen dat er in geval van incidenten juist wordt gehandeld, heeft DUO ervoor gekozen om bedrijfscontinuïteitsmanagement (BCM) in te richten. Eind 2013 worden bedrijfscontinuïteitsplannen opgeleverd voor de meest kritische bedrijfsprocessen. De ADR zal ook op dit punt bezien of er voldoende voortgang is geboekt.”
Leenstelsel geen probleem
Overigens is de minister niet bezorgd, dat de omvorming van de basisbeurs naar het sociaal leenstelsel extra druk en risico’s zal opleveren voor de beveiliging van de persoonsgegevens. De hoeveelheid en het soort werk van de ambtenaren in Groningen zou geen wijziging ondergaan.
Het nieuwe stelsel draagt zo dus niet bij aan een slankere, effectievere overheid en dienstverlening. “Er is geen directe relatie tussen de genoemde risico’s en het sociaal leenstelsel. Met het sociaal leenstelsel verandert de aard en omvang van de gegevens niet significant.”
Meest Gelezen
Masterstudenten in het hbo worstelen met academisch schrijven en onderzoek
“Ik zal niet de meest populaire onderwijsminister zijn”
“Langstudeerboete raakt kern van hoger onderwijs”
CvB Erasmus Universiteit weigert tweetalig te vergaderen met medezeggenschap
Taal- en rekentoetsen hebben lerarentekort vergroot maar kwaliteit pabo niet verbeterd