De rijksoverheid heeft de informatiebeveiliging nog steeds niet op orde. Zo zijn beveiligingsmaatregelen die voor de overheid verplicht zijn gesteld, bij meerdere ministerie niet genomen. Dat laat de Rekenkamer vandaag weten. Bij 11 organisaties van de rijksoverheid signaleert de Algemene Rekenkamer grote problemen in de informatiebeveiliging. Een verslechtering ten opzichte van vorig jaar.

Het gaat bijvoorbeeld om het ministerie van Algemene Zaken. Zo heeft het ministerie onvoldoende voortgang geboekt met het formaliseren en documenteren van het informatiebeveiligingsbeleid. Daarnaast zijn drie van de vier onderzochte aandachtsgebieden van de Baseline Informatiebeveiliging Rijksdienst in onvoldoende mate uitgerold.

Ook de ministeries van Binnenlandse Zaken en Justitie en Veiligheid voldoen nog niet op alle onderdelen aan de baseline. De baseline biedt afspraken om gegevens binnen de Rijksoverheid op het juiste beveiligingsniveau uit te wisselen. Het gaat dan bijvoorbeeld om het toepassen van e-mailstandaarden zoals STARTTLS.

Een ander ministerie waar de informatiebeveiliging volgens de Rekenkamer niet op orde is, is het ministerie van Onderwijs. “De minister van OCW heeft geen visie en geen vastgesteld beleid voor informatiebeveiliging. Op dit moment loopt de minister van OCW het risico verrast te worden door ongewenste ontwikkelingen op het gebied van informatiebeveiliging binnen haar eigen organisatie”, zo laat de Rekenkamer weten.

Accreditaties

Bij het ministerie van Defensie constateert de Rekenkamer dat er nog een stap moet worden gezet om de accreditaties van kritieke systemen af te ronden. Het gaat hier om machtigingen en goedkeuringen om kritieke systemen te mogen gebruiken. Het ministerie werd hier in 2017 door de Rekenkamer op gewezen. De toen gedane aanbevelingen over de accreditering zijn vorig jaar nog niet afgerond. Daarom is er volgens de rekenkamer sprake van een “onvolkomenheid op informatiebeveiliging”. Het ministerie verwacht de accreditering dit jaar af te ronden.

Ook bij het ministerie van Buitenlandse Zaken heeft de Rekenkamer een onvolkomenheid in de informatiebeveiliging vastgesteld. Het gaat dan met name om accreditaties van informatiesystemen, waarmee wordt aangegeven of het systeem doet wat het moet doen. Deze accreditaties zijn onder meer nodig voor het digitaal uitwisselen van informatie met de Europese Unie en de NAVO. Het risico hierbij is dat de minister van Buitenlandse Zaken de noodzakelijke EU- en NAVO-informatie niet meer digitaal kan ontvangen, zo waarschuwt de Rekenkamer.

Om de informatiebeveiliging bij de overheid te verbeteren kijkt de Rekenkamer naar de minister van Binnenlandse Zaken. Zij zou de mogelijkheid moeten krijgen om informatiebeveiliging van andere ministeries te agenderen en te bespreken in de ministerraad. “Dit is van belang om op het hoogste niveau informatiebeveiliging bespreekbaar te maken en zo te kunnen verbeteren”, aldus de Rekenkamer.