Commentaar

Rotterdam moet cybersecurity updaten, niet rekenkamer muilkorven

Datalekken

Rotterdam kampt met verbluffend slecht beveiligde informatiesystemen. Dat betekent dat gegevens van burgers zomaar op straat kunnen komen te liggen. Sterker, dat is vorig jaar ook gebeurd: door een datalek waren namen, adressen en burgerservicenummers uit belastingbestanden van de gemeente over de jaren 1997-2004 op internet te lezen. Uit een vorig week gepubliceerd rapport van de Rotterdamse rekenkamer blijkt bovendien dat de stad zo slordig omspringt met beveiliging dat er „reële risico’s” zijn voor identiteitsfraude, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen. Bovendien lopen „politiek-bestuurlijke ambtsdragers” gevaar omdat hun persoonlijke whereabouts via gelekte persoonlijke agenda’s bekend kunnen zijn bij kwaadwillenden. Dat wil zeggen dat bijvoorbeeld ook burgemeester Ahmed Aboutaleb (overigens zelf formeel de hoogst verantwoordelijke voor deze puinhoop) onnodige risico’s heeft gelopen.

Vrijdag verklaarde de Leidse specialist cyberveiligheid, Bibi van den Berg, in NRC dat Rotterdam niet de enige gemeente is die laks omspringt met de beveiliging van data en dat dit „een groot en veel voorkomend probleem is” dat bovendien in veel meer gemeenten speelt.

Reden hiervoor is dat cyberveiligheid voor gemeenten geen prioriteit heeft en dat zij er dus te weinig geld voor vrijmaken. De Autoriteit Persoonsgegevens waarschuwt ondertussen al jaren dat door Haagse decentralisatie gemeenten steeds meer gevoelige persoonsgegevens te verwerken krijgen. De ironie wil dat deze nationale privacywaakhond zelf te weinig budget heeft om goed toezicht te houden. Een toestand zoals nu in Rotterdam zou te denken moeten geven.

Dit is overigens nog maar de helft van het verhaal. B&W van Rotterdam heeft namelijk ook alles in het werk gesteld om het rapport van de eigen rekenkamer, dat intern allang bekend was, geheim te houden. Onder het aanroepen van principe van ‘responsible disclosure’ , dat beveiligingsproblemen pas publiek mogen worden als deze zijn opgelost, heeft het bestuur publicatie proberen te verhinderen. Daarbij is zelfs gedreigd met een gang naar de rechter, wat behalve een gotspe ook een brevet van bestuurlijk onvermogen is.

Van een bestuur van een grote stad als Rotterdam mag de burger meer verwachten. In het geval van kritiek, zoals dat van de Rotterdamse rekenkamer, dient een stadsbestuur snel de gesignaleerde gebreken te herstellen. En hierover transparant te zijn. Deze poging tot doofpot van B&W Rotterdam is amateuristisch en beschamend.