Het ministerie van Algemene Zaken heeft de beveiliging van informatie niet op orde. Het voldoet niet aan de geldende wet- en regelgeving en het risico bestaat dat informatie voortijdig naar buiten komt.

Dat concludeert de Algemene Rekenkamer woensdag in het rapport over het jaarverslag van het departement van premier Mark Rutte (VVD).

Zo zijn onder meer de verantwoordelijkheden en bevoegdheden van diverse functionarissen niet vastgelegd.

Ook wordt de controle op het merendeel van de beveiligingsmaatregelen 'niet aantoonbaar' uitgevoerd. Bovendien wordt het beleid niet geëvalueerd.

Vertrouwelijk

Bij Algemene Zaken komt verschillende informatie samen met een veelal vertrouwelijk karakter. "Door de taken van de minister-president (waaronder de voorlichting voor het koninklijk huis) en de hoge mate van vertrouwelijkheid van de informatie die het ministerie beheert, zijn er risico's verbonden aan het voortijdig of ongewenst beschikbaar komen van informatie", concludeert de Rekenkamer.

Algemene Zaken zou op korte termijn het beveiligingsbeleid moeten actualiseren en het informatiebeveiligingsbeleid strikt na moeten leven. Rutte heeft in een reactie laten weten dat er inmiddels wordt gewerkt aan verbeteringen.

Beveiligingsplan

Voor de beveiliging van gegevens moet er een beveiligingsplan zijn en daarop moet onderhoud worden gepleegd. Zo moeten verantwoordelijken medewerkers bekend zijn, regelmatig risico-analyses worden gemaakt en ook maatregelen tegen die risico's worden genomen. De manier waarop dat geregeld kan worden staat in standaarden beschreven. 

Het gebruik van deze normen is niet vrijwillig. Overheden zijn verplicht er aan te voldoen of moeten goed kunnen uitleggen waarom ze dat niet doen. Dit 'pas toe of leg uit'-beleid is unaniem door de Tweede Kamer aangenomen.

Niet direct onveilig

Ook in wetgeving vinden we deze verplichting terug. Zo is iedere organisatie die persoonsgegevens verwerkt volgens de Wet bescherming persoonsgegevens (Wbp) verplicht "passende technische en organisatorische maatregelen" te nemen  "om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking".

Wie niet voldoet hoeft niet direct onveilig te zijn, maar heeft niet meer in de gaten of het beleid nog wel bij de bedreigingen aansluit. Het punt daarbij is dat beveiliging dynamisch is en misschien wel tegen verouderde of niet bestaande risico's wordt beschermd, terwijl nieuwe dreigingen genegeerd worden. Bij een controle van de Algemene Rekenkamer is nu gebleken dat het bij de tijd houden van de plannen nu onvoldoende is gelukt.