Interne evaluatie van het op 25 februari 2016 gemelde datalek in de gemeente Oegstgeest

Transcriptie

1 1 Interne evaluatie van het op 25 februari 2016 gemelde datalek in de gemeente Oegstgeest Oegstgeest, 22 juni 2016 Directie Bestuur- en Concernondersteuning Gemeente Oegstgeest

2 2 Aanleiding interne evaluatie Op 25 februari 2016 ontving de gemeente Oegstgeest melding dat bestanden met daarin privacygevoelige gegevens van een deel van de inwoners en oud-inwoners tijdelijk openbaar zijn geweest via internet. Deze melding werd gedaan door de leverancier. Voor een overzicht van wat er daarna is gebeurd, wordt in deze evaluatie verwezen naar de raadsmededeling d.d. 17 maart 2016 met als onderwerp Openbaarheid privacy gevoelige gegevens maart Vanaf 1 januari 2016 is de meldplicht datalekken in aanvulling op de Wet bescherming persoonsgegevens- in werking getreden. Sinds dat moment wordt er door gemeenten gemiddeld dagelijks een datalek gemeld bij de Autoriteit Persoonsgegevens 1. Dat de kennis omtrent het melden van datalekken nog geen gemeengoed is, blijkt uit het voorbeeld van de gemeente Amersfoort. Ambtenaren van die gemeente herkenden een datalek uit januari 2016 niet als zodanig 2. Er is behoefte aan een handelingsrepertoire voor de fase na het herkennen en melden van een datalek. Die behoefte blijkt uit de soms nog niet te beantwoorden - vragen die de gemeente Oegstgeest de afgelopen maanden heeft gesteld aan de Autoriteit Persoonsgegevens (AP), de IBD en het Centraal Meld- en Informatiepunt Identiteitsfraude en -fouten (CMI). De behoefte aan een handelingsrepertoire blijkt ook uit de vragen die de gemeente Oegstgeest op ambtelijk en bestuurlijk niveau krijgt van andere gemeenten die geconfronteerd worden met een datalek en onze gemeente om advies en voorbeeldmateriaal vragen. In de eerste plaats heeft de ambtelijke organisatie van Oegstgeest nu zelf behoefte om te reflecteren en terug te kijken op de aanpak van het datalek, sinds de bekendwording daarvan op 25 februari Het datalek zelf is ontstaan in de periode Tevens is er de wens om de toepassing van het proces melden datalek en beveiligingsincident te evalueren. De resultaten van deze interne evaluatie zijn tevens interessant voor de gemeenteraad en inwoners van Oegstgeest, die dit proces met veel interesse hebben gevolgd. De resultaten van deze evaluatie kunnen ook relevant zijn voor de gemeenten die adviezen en voorbeeldmateriaal vragen aan de gemeente Oegstgeest. Deze interne evaluatie betreft dan ook primair de zelfreflectie van de ambtelijke organisatie Oegstgeest, maar kan hopelijk ook andere gemeenten helpen in hun zoektocht naar hoe om te gaan met een datalek. Om die reden zal deze interne evaluatie (actief) verstrekt worden aan geïnteresseerden. 1 Binnenlands Bestuur d.d. 15 juni 2016, Dagelijks een datalek bij gemeenten 2 Binnenlands Bestuur d.d. 20 juni 2016, Datalek Amersfoort niet gemeld vanwege gebrek aan kennis

3 3 Opzet van deze interne evaluatie De hoofdvraag die centraal staat in deze interne evaluatie is: In hoeverre is de aanpak adequaat (tijdig en zorgvuldig) geweest en voldoet het proces melden datalek en beveiligingsincident op basis van de opgedane ervaringen? Deze evaluatie is grotendeels tot stand gekomen op basis van interviews met betrokkenen bij dit datalek. In bijlage 1 leest u het overzicht van geïnterviewden. De ambtelijke organisatie van Oegstgeest heeft daarnaast de IBD gevraagd om een bijdrage te leveren aan deze evaluatie vanuit hun onafhankelijke positie en vakinhoudelijke kennis. De zienswijze van de IBD leest u verderop in deze evaluatie. In deze evaluatie worden de volgende procesonderdelen onderscheiden: - Melding datalek en Incidentprocedure die daarop volgt; - Crisisfase (29 februari maart 2016); - Nafase (25 maart mei ); - Communicatie. Van ieder procesonderdeel wordt in deze evaluatie beschreven: - Wat het onderdeel behelst; - Sterke punten en aandachtspunten t.a.v. organisatie; Deze evaluatie besluit met conclusies en aanbevelingen die volgen uit de beschreven sterke punten en verbeterpunten. 3 Feitelijk bevinden we ons op het moment van schrijven nog in de nafase. Op 31 mei 2016 is echter een start gemaakt met de interne evaluatie. Om die reden betreft de evaluatieperiode 25 februari tot en met 30 mei 2016.

4 4 Melding datalek en Incidentprocedure die daarop volgt Beschrijving Het college van Oegstgeest heeft op 29 maart jl. de Incidentprocedure voor het melden van een datalek en beveiligingsincident vastgesteld. Dit is op 16 april 2016 ook aan de raad meegedeeld. Toen de leverancier op 25 februari 2016 melding deed in Oegstgeest, was de Incidentprocedure weliswaar nog niet door het college vastgesteld, maar al wel gereed. Deze procedure heeft dan ook als kader gediend voor het proces van melden van het datalek en de procedure die daarop volgde. Sterke punten: De zorgvuldige wijze waarop het datalek ruim binnen de daarvoor gestelde termijn aan de AP - is gemeld en alle acties die daarop onverwijld zijn genomen. Naar de ervaring van de gemeente Oegstgeest wordt dit beeld ook bevestigd in de communicatie met de betrokken instanties (AP, CMI, IBD). De Incidentprocedure is zeer behulpzaam geweest bij het melden van het datalek en het proces dat daaruit volgde. Het grootste deel van het proces is verlopen zoals in de procedure beschreven. Aandachtspunten: In Oegstgeest zijn nog niet alle rollen ingevuld die in de Incidentprocedure worden onderscheiden. Daardoor zijn processtappen soms weliswaar genomen, maar niet door de daarvoor bedoelde functionaris. Zo kent de gemeente Oegstgeest nog geen privacy beheerder Wet bescherming persoonsgegevens, geen functionaris gegevensbescherming en wordt de rol van Chief Information Officer (CIO) voorlopig opgepakt door de gemeentesecretaris. Tevens is een aantal stappen in de procedure weliswaar gezet, maar niet door de gemeente Oegstgeest. Zo werden de stappen bepalen welke repressieve en correctieve maatregelen worden getroffen en uitvoeren maatregelen uitgevoerd door de gemeente Rotterdam. Het registreren van het datalek is niet gebeurd zoals beschreven. Onder meer doordat er geen meldingenregister is bijgehouden. Dossiervorming ten aanzien van dit datalek is een aandachtspunt (zie ook aandachtspunten bij nafase). Aanbeveling: Zorg voor invulling van de rollen die in de Incidentprocedure worden onderscheiden en het correct uitvoeren van de procedure. De functionarissen die in deze procedure worden genoemd, dragen bij aan een veilig(er) omgang met persoonsgegevens.

5 5 Crisisfase (29 februari maart 2016) Beschrijving Op 29 februari 2016 was duidelijk geworden dat het datalek dermate veel adressen betrof, dat de verwachte impact groot was. Daarom is door de gemeentesecretaris/ algemeen directeur besloten om te kiezen voor een crisisaanpak. Op 29 februari 2016 zijn het beleidsteam (zijnde het college) en het Team Bevolkingszorg ingesteld. Het Team Bevolkingszorg kwam vanaf dat moment tweemaal per dag bijeen om de acties te bespreken. Het beleidsteam kwam alleen bijeen indien besluiten gewenst waren. Onder meer de volgende acties vonden plaats tijdens de crisisfase: - Melden en dichten datalek; - Contacten met AP, IBD, CMI, gemeente Rotterdam en leverancier; - Opstellen en versturen van de eerste brief aan betrokkenen (8 maart 2016); - Opstellen van de Q&A en deze informatie op de website plaatsen (9 maart 2016); - Opstellen van de eerste raadsmededeling (9 maart 2016); - Callcenter voor het beantwoorden van vragen (3-15 maart 2016); - Opstellen van de tweede raadsmededeling (17 maart 2016); - Afhandeling van vragen, klachten en verzoeken. In de crisisfase was veelvuldig contact en afstemming met de gemeente Rotterdam, die door hetzelfde datalek is getroffen. Op 24 maart 2016 werd geconstateerd dat voldoende duidelijk was wat het datalek precies omhelsde en was er een planning voor het verdere proces. Vanuit die gedachte is op 24 maart 2016 de crisisorganisatie opgeheven en werd de verdere afhandeling van het datalek in de reguliere lijn gebracht. Sterke punten De crisisorganisatie is een prettige werkvorm gebleken om in korte tijd veel werk te verzetten. Het aan tafel brengen van de juiste expertises verliep soepel. De rollen en verantwoordelijkheden waren binnen het beleidsteam en het Team Bevolkingszorg (en tussen deze twee teams) duidelijk belegd. De lijnen waren kort en er was veel energie om de klus samen te klaren. De samenwerking met Rotterdam. Over en weer werd gebruik gemaakt van elkaars expertise en communicatie werd op elkaar afgestemd. Aandachtspunten De raad (hetzelfde geldt voor de ambtelijke organisatie) is niet eerder over het datalek geïnformeerd dan de betrokkenen. Deze keuze is bewust gemaakt zodat eenieder gelijktijdig over dezelfde informatie zou beschikken. Geïnterviewden geven aan dat het belangrijk is om in dergelijke gevallen de bewuste afweging te blijven maken of de raad voortijdig of gelijktijdig wordt geïnformeerd. Er is bewust gekozen voor samenwerking met de -eveneens door dit datalek getroffengemeente Rotterdam. Deze samenwerking heeft goed uitgepakt, met één uitzondering. De gemeente Rotterdam was opdrachtgever voor het technisch onderzoek naar dit datalek. Er zijn geen afspraken gemaakt over inzage/eigenaarschap van dit rapport door de gemeente Oegstgeest. Tot op heden heeft de gemeente Oegstgeest geen inzicht gekregen in de rapportage. De conclusies uit het rapport zijn wel bekend. Aanbevelingen: De crisisorganisatie wordt vaak geassocieerd met een crisis t.a.v. de fysieke veiligheid. In het geval van dit datalek heeft de crisisstructuur ook goed gefunctioneerd. Aanbevolen wordt om bij een eventuele volgende crisis die niet de fysieke veiligheid betreft, de positieve ervaringen van de crisisorganisatie t.b.v. het datalek te benutten, zowel qua

6 6 organisatiestructuur (invulling beleidsteam en Team Bevolkingszorg) als qua acties (Q&A, callcenter). Blijf bewuste afwegingen maken t.a.v. het moment waarop de raad betrokken wordt bij een crisis en neem daarbij de ervaringen van dit datalek mee. Maak duidelijke afspraken over rollen, bevoegdheden en rechten wanneer wordt samengewerkt met andere gemeenten. Dat kan gaan om het gezamenlijk uitvoeren van een onderzoek, zoals t.a.v. dit datalek is gebeurd met Rotterdam, maar het kan ook om andere samenwerkingen gaan.

7 7 Nafase (25 maart mei 2016) Beschrijving Op 24 maart 2016 werd geconstateerd dat voldoende duidelijk was wat het datalek precies omhelsde en was er een planning voor het verdere proces. Vanuit die gedachte is op 24 maart 2016 de crisisorganisatie opgeheven en werd de verdere afhandeling van het datalek in de reguliere lijn gebracht. Dit betekent dat vanaf dit moment de teammanager Bedrijfsondersteuning, de directeur Bestuur- en Concernondersteuning en de portefeuillehouder verantwoordelijk werden voor het verdere proces volgend uit het datalek. Onder meer de volgende acties vonden plaats tijdens de nafase 4 : - Contacten met AP, IBD, CMI, gemeente Rotterdam en leverancier; - Opstellen en versturen van de tweede brief aan betrokkenen (17 mei 2016) - Informatieavond (25 mei 2016); - Blijvend actualiseren van de Q&A en informatie op de website; - Afhandeling van vragen, klachten, voorlopige aansprakelijkstellingen en informatieverzoeken. Sterke punten Medewerkers hebben zich (evenals in de crisisfase) in deze fase loyaal en flexibel getoond bij het verzetten van de grote hoeveelheid werk die volgt uit het datalek. Medewerkers beschikken over grote inhoudelijke kennis. Met de beperkte middelen (waaronder tijd) die de ambtelijke organisatie ter beschikking staan, wordt veel output gerealiseerd en met een goede kwaliteit. Aandachtspunten In de crisisfase waren rollen en verantwoordelijkheden helder. In de nafase waren rollen en verantwoordelijkheden wel helder, maar werd de invulling daarvan diffuus. Het ambtelijk en bestuurlijk opdrachtgeverschap liep soms door elkaar heen, waardoor niet op de meest efficiënte en effectieve wijze werd gehandeld (bijvoorbeeld t.a.v. de vraag: Wie neemt besluiten t.a.v. inhoud van externe communicatie?). In de crisisfase en de nafase betekende het datalek een zware druk op de tijd van betrokken ambtenaren. Hierdoor kwamen ofwel de acties volgend uit het datalek ofwel de reguliere taken in de knel. De administratieve verankering van het datalek in Join is niet goed geweest. De registratie was dusdanig dat er geen goed zicht meer was op afhandelingstermijnen en niet duidelijk was wie een zaak diende af te handelen. Bovendien was er onvoldoende administratieve kracht beschikbaar. Hierdoor liep afhandeling in sommige gevallen vertraging op. Mede hieruit volgt dat de sturing op afhandeling van vragen, klachten, Wob-verzoeken en voorlopige aansprakelijkstellingen niet optimaal was en een aantal zaken (te) lang bleef liggen. Betrokken ambtenaren hebben grote maatschappelijke en politieke impact van het datalek ervaren. De beleving is dat men door het debat in de raad en de berichten in de media onder een steeds groter vergrootglas werkte en er meer aandacht was voor wat fout ging dan wat goed ging. Dit is door ambtenaren ervaren als een kwetsbare en ook onprettige context om in te werken. Geïnterviewden geven aan dat tijdens de informatiebijeenkomst op 25 mei door een aantal personen is aangegeven dat de bezorging van de eerste brieven aan betrokkenen niet goed is verlopen. 4 Zoals aangegeven behelst deze evaluatie de periode tot en met 30 mei Overige onderdelen van de nafase, zoals de aansprakelijkstelling van de leverancier, zijn weliswaar onderdeel van de nog lopende nafase, maar maken geen deel uit van deze evaluatie.

8 8 Aanbevelingen: Koester de kwaliteit, flexibiliteit en loyaliteit van de bij het datalek betrokken ambtenaren in de gemeente Oegstgeest. Laat dit blijken door: o Signalen t.a.v. te grote werkdruk serieus te nemen en op te lossen; o Bij te dragen aan een veilige context om in te werken. Zorg ervoor dat ten aanzien van alle taken de rollen en verantwoordelijkheden in de nafase helder belegd zijn, nog voordat wordt overgegaan van de crisisfase naar de nafase. En handel naar deze rollen. Stel een uniform proces op voor de wijze waarop bij crises (en omvangrijke dossiers) wordt omgegaan met registratie en dossiervorming. Heb hierbij tenminste aandacht voor: o De wijze waarop fysieke en digitale inkomende post, telefonische meldingen en meldingen aan de balie tezamen komen; o De wijze waarop in Join geregistreerd wordt; o De verantwoordelijkheden voor het afhandelen van vragen, klachten, opmerkingen en verzoeken; o Voldoende administratieve capaciteit.

9 9 Communicatie (tijdens crisis- en nafase) Beschrijving De communicatie over het datalek en het proces dat daaruit is gevolgd maakt een belangrijk onderdeel uit van zowel de crisis- als de nafase. Omdat de communicatie als een rode draad door beide fases heenloopt, worden de sterke punten, aandachtspunten en aanbevelingen ten aanzien van communicatie hier separaat beschreven. Sterke punten Er is na het constateren van het datalek onverwijld gecommuniceerd richting betrokkenen, zodra voldoende informatie beschikbaar was. Het inrichten en functioneren van het callcenter met eigen medewerkers in de crisisfase was goed. De eerste brief aan betrokkenen, de eerste raadsmededeling en de eerste versie van de Q&A waren er snel nadat duidelijk was wat het datalek behelsde. De presentatie (en voorbereiding daarvan met externe deskundigen) tijdens de informatieavond d.d. 25 mei 2016 was goed. De geïnterviewden hebben de communicatie als snel en transparant ervaren. Aandachtspunten De toon van de communicatie richting betrokkenen is door ontvangers als sterk formeel ervaren. Het gaat dan zowel om de brieven aan alle betrokkenen, als om de één-op-één communicatie n.a.v. vragen, klachten, opmerkingen, Wob-verzoeken en voorlopige aansprakelijkstellingen. Terugkijkend zijn de ambtelijk en bestuurlijk betrokkenen van mening dat weliswaar de kwaliteit van de informatievoorziening in de communicatie grotendeels goed was. De toonzetting sloot echter niet altijd aan bij de behoefte van de lezer. Communicatie was mede door het onverwijlde karakter daarvan - veelal technisch ingestoken en gaf (te) weinig blijk van de menselijke maat en emotie. Het wordt betreurd dat een aantal lezers daardoor de communicatie van de gemeente als kil heeft ervaren. Dit is geenszins de bedoeling geweest. In de eerste informatiebrief zijn enkele keuzes gemaakt waarvan later bleek dat die helaas bij een deel van de ontvangers tot onduidelijkheid heeft geleid. Dit kwam tot uiting tijdens de informatiebijeenkomst op 25 mei en door reacties aan de gemeente. o In de eerste brief aan betrokkenen is verwezen naar een website met voorbeelden over identiteitsfraude. Op deze website worden voorbeelden van (ernstige) identiteitsfraude genoemd, die niet het gevolg kunnen zijn van het betreffende datalek in Oegstgeest. Hierdoor leken de mogelijke gevolgen van het datalek ernstiger dan ze in feite zijn. Er was ook bij de verschillende instanties waarmee regelmatig overleg was, (nog) weinig voorbeeldmateriaal beschikbaar van schade die o wel kon ontstaan door dit datalek. Geinterviewden geven aan dat ontvangers in de eerste brief aan inwoners informatie hebben gemist over het aansprakelijk stellen van de gemeente in het geval van aantoonbare schade door het datalek. Toen het complete overzicht van metagegevens bekend was, werd niet het volledige bestand gedeeld vanwege het technische karakter daarvan. In de communicatie werd omwille van toegankelijkheid en duidelijkheid gecommuniceerd dat het onder meer ging om de volgende persoonsgegevens: NAW-gegevens en BSN-nummers. Later werd gecommuniceerd dat ook andere persoonsgegevens onderdeel uitmaakten van het bestand. Terugkijkend geven geïnterviewden aan dat het overzicht van metagegevens juist wel vroegtijdig verstrekt had moeten worden. Op die manier was ook bekend geworden welke gegevens niet in het bestand voorkwamen, zoals DIGID-gegevens en bankrekeningnummers. Betrokkenen waren bang dat ook deze gegevens benaderbaar zijn geweest. In de communicatie en houding van de gemeente is onvoldoende rekenschap gegeven van het onveiligheidsgevoel dat het datalek heeft veroorzaakt bij betrokkenen.

10 10 In de crisisfase is voortvarend gecommuniceerd richting betrokkenen. In de nafase werd geredeneerd vanuit het uitgangspunt alleen communiceren als er nieuws is. Het datalek was onderwerp van gesprek bij betrokkenen, de raad en de media. Kortom: de impact van het datalek was groot en er werd veel over gepraat, maar de gemeente bleef een periode in de nafase te stil. De gemeente had kunnen en moeten voorzien dat vanwege het permanente en sluimerende risico van dit datalek, de nafase hiervan langduriger zou zijn dan bijvoorbeeld communicatie over de tijdelijke crisisopvang van vluchtelingen. Dit vraagt om periodiek informeren (ook als er geen nieuws is). Geïnterviewden geven terugkijkend aan dat bij deze keuzes rondom communicatie telkens is gezocht naar een balans tussen adequaat informeren en onnodig alarmeren. De informatiebijeenkomst van 25 mei 2016 kwam volgens geïnterviewden te laat. In de crisisfase werd via de Q&A en het callcenter actief gecommuniceerd en daardoor is te weinig zicht geweest op behoefte aan een informatiebijeenkomst. Nu moest om een informatieavond gevraagd worden, terwijl de gemeente reeds het voornemen had om een informatieavond te organiseren op het moment dat daaraan behoefte bleek te zijn. De informatiebijeenkomst zelf had veel informatiewaarde, maar verliep organisatorisch niet optimaal. Aanbeveling: Trek bij communicatie in het algemeen - en zeker als het gaat om zeer technische/specifieke onderwerpen - lering uit de ervaringen t.a.v. communicatie rondom het datalek. Bijvoorbeeld door: o Op korte termijn een voorbeeld communicatiestrategie uit te werken die in het geval van een crisis gebruikt kan worden. Betrek hierbij de leerpunten n.a.v. dit datalek. Werk in de voorbeeld communicatiestrategie verschillende scenario s uit en ga daarbij onder meer in op: De verwachte duur van de crisis en daaruit volgende communicatiebehoefte; Het communicatie instrumentarium dat ter beschikking staat; De wijze waarop het perspectief van de lezer/ontvanger verankerd wordt in de aanpak; o Meer te redeneren vanuit wat de ontvanger wil weten en hoe informatie op hem/haar overkomt en daarbij oog te hebben voor de emotionele aspecten van de crisis; o Bij de communicatie ook personen te betrekken die geen inhoudelijk expert zijn (geworden) en met een frisse blik mee kunnen lezen. Zorg in het geval van een crisis voor een budget voor ondersteuning/faciliteiten (bijvoorbeeld t.b.v. inhuur van expertise cq. capaciteit, huren van locaties en catering, etc.)

11 11 Zienswijze IBD op handelen gemeente Oegstgeest De ambtelijke organisatie van Oegstgeest heeft de IBD gevraagd om een bijdrage te leveren aan deze evaluatie vanuit hun onafhankelijke positie en vakinhoudelijke kennis. De zienswijze van de IBD leest u op pagina 11. De IBD onderscheidt de volgende stappen in de response na constatering van een datalek: - identificatie - schade indamming (insluiting en beperking) - remediatie en herstel - kennisgeving - rapportage en evaluatie Wat deze stappen exact inhouden, is beschreven in het voorbeeld incidentmanagement en response beleid. De zienswijze van de IBD is integraal te lezen op de volgende pagina. Het is niet de taak van de IBD om een oordeel te vellen over de wijze waarop Oegstgeest (en andere gemeenten) acteren na de constatering dat er sprake is van een datalek. De ambtelijke organisatie waardeert het dat de IBD met bijgevoegde zienswijze een bijdrage heeft willen leveren aan de zelfreflectie, en is blij met de inhoud van deze zienswijze. Het beeld dat de IBD schetst wordt overigens bevestigd door het volgende. Uit het mondeling contact met de AP blijkt dat er vooralsnog geen aanleiding is om de gemeente te beboeten, omdat de gemeente de juiste procedures conform de richtlijnen van de autoriteit heeft gevolgd.

12 12

13 13 Conclusies en aanbevelingen Voorgaand zijn de sterke punten, verbeterpunten en aanbevelingen benoemd t.a.v. de melding van het datalek en de procedure die daarop volgt, de crisisfase, de nafase en de communicatie. Tot slot worden hier enkele conclusies geabstraheerd uit hetgeen voorgaand is beschreven. Conclusies: De gemeente Oegstgeest heeft het betreffende datalek als zodanig herkend en vervolgens de stappen gevolgd die de interne en externe procedures voorschrijven. Wat dat betreft heeft de gemeente Oegstgeest goed gepresteerd. Men kijkt ook terug op een goed functionerende crisisorganisatie, een groot saamhorigheidsgevoel en de overtuiging dat men in alle flexibiliteit en loyaliteit de klus wilde klaren. Men is trots op het kennisniveau waarover de gemeente Oegstgeest beschikt en op de output die deze professionals hebben weten te genereren. Deze trots wordt versterkt door de wetenschap dat het fenomeen datalek nieuw is voor gemeenten en er nog weinig best practices en voorbeeldmateriaal voorhanden waren. Met andere woorden, de beleving is dat de kleine gemeente Oegstgeest op een aantal fronten het wiel moest uitvinden en dit goed heeft gedaan. Desondanks is er in Oegstgeest veel onrust ontstaan door dit datalek. De maatschappelijke en politiek-bestuurlijke impact is groot. In de eerste plaats wordt dat verklaard door het datalek zelf en het grote aantal betrokkenen. Een aantal andere factoren (en de wisselwerking daartussen) heeft eveneens bijgedragen aan de grote maatschappelijke en politieke impact. Keuzes ten aanzien van de organisatie en communicatie door de ambtelijke organisatie en college hebben onbedoeld geleid tot onrust. Daardoor ontstond debat in de gemeenteraad en er verschenen berichten in allerlei media. Vanzelfsprekend heeft de gemeenteraad expliciet een controlerende rol en doen media verslag van een dergelijke calamiteit. Daarbij wordt geconstateerd dat het debat hierover in de gemeenteraad en de berichten in de media niet hebben bijgedragen aan de de-escalatie van de gevolgen van het datalek. Geconstateerd moet dan ook worden dat ondanks de goede start en beschikbare deskundigheid, niet enkel tevreden teruggekeken wordt op met name de organisatorische en communicatieve aspecten n.a.v. dit datalek. Op de technische aspecten van dit datalek wordt met grote tevredenheid teruggekeken. In deze interne evaluatie zijn aanbevelingen opgenomen die behulpzaam kunnen zijn voor Oegstgeest en andere gemeenten t.a.v. de omgang met een datalek en de organisatorische en communicatieve aspecten die daarbij of bij andere complexe dossiers horen. Aanbevelingen Zorg voor invulling van de rollen die in de Incidentprocedure worden onderscheiden en het correct uitvoeren van de procedure. De functionarissen die in deze procedure worden genoemd, dragen bij aan een veilig(er) omgang met persoonsgegevens. De crisisorganisatie wordt vaak geassocieerd met een crisis t.a.v. de fysieke veiligheid. In het geval van dit datalek heeft de crisisstructuur ook goed gefunctioneerd. Aanbevolen wordt om bij een eventuele volgende crisis die niet de fysieke veiligheid betreft, de positieve ervaringen van de crisisorganisatie t.b.v. het datalek te benutten, zowel qua organisatiestructuur (invulling beleidsteam en Team Bevolkingszorg) als qua acties (Q&A, callcenter). Blijf bewuste afwegingen maken t.a.v. het moment waarop de raad betrokken wordt bij een crisis en neem daarbij de ervaringen van dit datalek mee. Koester de kwaliteit, flexibiliteit en loyaliteit van de bij het datalek betrokken ambtenaren in de gemeente Oegstgeest. Laat dit blijken door:

14 14 o Signalen t.a.v. te grote werkdruk serieus te nemen en op te lossen; o Bij te dragen aan een veilige context om in te werken. Zorg ervoor dat ten aanzien van alle taken de rollen en verantwoordelijkheden in de nafase helder belegd zijn, nog voordat wordt overgegaan van de crisisfase naar de nafase. En handel naar deze rollen. Stel een uniform proces op voor de wijze waarop bij crises (en omvangrijke dossiers) wordt omgegaan met registratie en dossiervorming. Heb hierbij tenminste aandacht voor: o De wijze waarop fysieke en digitale inkomende post, telefonische meldingen en meldingen aan de balie tezamen komen; o De wijze waarop in Join geregistreerd wordt; o De verantwoordelijkheden voor het afhandelen van vragen, klachten, opmerkingen en verzoeken; o Voldoende administratieve capaciteit. Maak duidelijke afspraken over rollen, bevoegdheden en rechten wanneer wordt samengewerkt met andere gemeenten. Dat kan gaan om het gezamenlijk uitvoeren van een onderzoek, zoals t.a.v. dit datalek is gebeurd met Rotterdam, maar het kan ook om andere samenwerkingen gaan. Trek bij communicatie in het algemeen - en zeker als het gaat om zeer technische/specifieke onderwerpen - lering uit de ervaringen t.a.v. communicatie rondom het datalek. Bijvoorbeeld door: o Op korte termijn een voorbeeld communicatiestrategie uit te werken die in het geval van een crisis gebruikt kan worden. Betrek hierbij de leerpunten n.a.v. dit datalek. Werk in de voorbeeld communicatiestrategie verschillende scenario s uit en ga daarbij onder meer in op: De verwachte duur van de crisis en daaruit volgende communicatiebehoefte; Het communicatie instrumentarium dat ter beschikking staat; De wijze waarop het perspectief van de lezer/ontvanger verankerd wordt in de aanpak; o Meer te redeneren vanuit wat de ontvanger wil weten en hoe informatie op hem/haar overkomt en daarbij ook op te hebben voor de emotionele aspecten van de crisis; o Bij de communicatie ook personen te betrekken die geen inhoudelijk expert zijn (geworden) en met een frisse blik mee kunnen lezen. Zorg in het geval van een crisis voor een budget voor ondersteuning/faciliteiten (bijvoorbeeld t.b.v. inhuur van expertise cq. capaciteit, huren van locaties en catering, etc.)

15 15 Vervolg Deze interne evaluatie betreft de periode vanaf de melding van het datalek tot en met de nafase. De gemeente heeft behoefte en toegezegd om naast deze evaluatie ook een blik op het verleden en op de toekomst te werpen, door: - Te onderzoeken hoe dit datalek heeft kunnen ontstaan; - Te onderzoeken hoe we kunnen voorkomen dat een vergelijkbaar incident nog eens voordoet. Zoals ook in deze evaluatie aangegeven, is de ambtelijke capaciteit beperkt en vergt de afwikkeling van het huidige datalek in het hier en nu veel capaciteit. De personen die nu zorg dragen voor de afwikkeling van het huidige datalek, zijn dezelfde personen die ook het onderzoek t.a.v. het ontstaan van dit datalek en het voorkomen van een vergelijkbaar incident moeten oppakken. Momenteel hebben de lopende zaken rondom het huidige datalek en het uitvoeren van deze interne evaluatie prioriteit gehad. Deze evaluatie biedt immers handvatten om in de nafase, waarin we ons nog steeds bevinden, direct aanbevelingen op te pakken. Zodra de capaciteit dit toelaat, zullen wij ons allereerst verder richten op het onderzoeken hoe voorkomen kan worden dat vergelijkbare incidenten zich in de toekomst voordoen. Hier zijn reeds stappen voor ondernomen. Hierbij zal tevens gekeken worden naar de situatie en periode ( ) waarin het huidige datalek kon ontstaan en de leerpunten die daaruit gehaald kunnen worden ten behoeve van de toekomst. Wanneer dit onderzoek gereed is, zullen ook de resultaten daarvan (actief) verspreid worden. Daarbij worden de volgende toezeggingen meegenomen die wethouder Den Boer op 25 mei 2016 heeft gedaan: - Naar aanleiding van het genoemde voorbeeld dat een geboortedatum zichtbaar was in het venster van een envelop van de stempas, heeft de gemeente toegezegd dit mee te nemen in de aanscherping van de veiligheidseisen op het gebied van informatieverwerking. - In de evaluatie van het datalek onderzoekt de gemeente de vraag of nog te achterhalen valt of er nog meer bestanden bij externe leveranciers zwerven. - Eveneens gaat de gemeente na of en hoe zij het downloaden van vertrouwelijke gegevens van computers van de gemeente kan onderzoeken en voorkomen.

16 16 Bijlage 1: Lijst van geïnterviewden Burgemeester Loco-burgemeester Portefeuillehouder Gemeentesecretaris/ algemeen directeur Voorzitter crisisorganisatie TBZ Lid crisisorganisatie TBZ Teammanager Bedrijfsondersteuning Teammanager Publieksvoorlichting Communicatieadviseur Senior adviseur Informatie, Gegevens en Systemen Senior Adviseur Informatievoorziening Juridisch adviseur