MAASSLUIS– De digitale bescherming van de gemeente Maassluis schiet op meerdere punten tekort. Uit een recente quickscan door onderzoeks- en adviesbureau Kurtosis (in opdracht van de Rekenkamer) blijkt dat de gemeente kwetsbaar is voor hackers en dat incidenten mogelijk onopgemerkt blijven. Hoewel beleid en procedures op papier goed zijn geregeld, blijkt de uitvoering in de praktijk nog niet voldoende. Zo ontbreekt een compleet bedrijfscontinuïteitsplan. Dit betekent dat er geen geteste draaiboeken klaarliggen om de dienstverlening snel te herstellen bij bijvoorbeeld een grote hack of systeemstoring. Uitwijkmogelijkheden zijn deels aanwezig, maar zijn niet volledig getest. Daarnaast mist Maassluis een centraal systeem om verdachte activiteiten automatisch te signaleren. Logging is er wel, maar monitoring gebeurt nauwelijks. Hierdoor kan een cyberaanval laat worden ontdekt, met mogelijk grote schade tot gevolg.
Op het gebied van toegangsbeheer zijn er ook risico’s. Bij speciale accounts zoals beheerdersrechten ontbreekt een regelmatige controle. Mislukte inlogpogingen worden nog niet altijd vastgelegd. Voor mobiele telefoons is nog niet elk apparaat goed beveiligd, ondanks dat dit al sinds 2023 op de agenda staat. Bij het testen van software gaat het soms mis: er wordt nog in de productieomgeving getest, omdat aparte testomgevingen ontbreken. Dit vergroot de kans op fouten en datalekken. Ook back-ups voldoen niet altijd aan de eisen en worden niet consequent hersteld om te controleren of data volledig teruggezet kan worden. De bewustwording onder medewerkers kan beter. Trainingen zijn er, maar de CISO en Privacy Officer worden vaak pas laat betrokken bij projecten, waardoor risico’s soms pas achteraf in beeld komen.
De Rekenkamer noemt het positief dat Maassluis stappen zet, maar waarschuwt dat de plannen voor betere bewaking en snelle reactie bij incidenten snel concreet moeten worden. Het college zegt in reactie dat dit jaar nog een nieuw monitoring-systeem wordt ingevoerd en dat het bedrijfscontinuïteitsplan eind 2025 gereed moet zijn. Tot die tijd blijft de gemeente op onderdelen kwetsbaar.
