Het inzien van documenten in dossierkasten was een peulenschil. Dat blijkt uit het rapport Zo sterk als de zwakste schakel van de Rekenkamer Utrecht. Door een extern bureau, Hoffmann, werden zogenoemde inlooptesten gedaan op het Stadskantoor en het Stadhuis, om ongeautoriseerd toegang te krijgen tot kantoorruimtes. De opzet slaagde met verve.

Een ’mystery guest’ vroeg op het Stadskantoor een dag-pas aan, kon daarmee door de beveiligingspoorten, dossierkasten openen en stukken bekijken. En of dat nog niet genoeg was, werd een laptop van een ambtenaar, waar een post-it met bijbehorend wachtwoord bij zat, ’geleend’.

Een al even ontluisterende vertoning speelde zich af in het Stadhuis. Daar liepen onderzoekers doodgemoedereerd achter iemand aan naar binnen, en een van hen werkte daarna de hele dag op kantoor, zij aan zij met een medewerker. Een andere onderzoeker kon werken op een computer van iemand die zijn of haar werkplek verliet.

Ook hadden virussen makkelijk achtergelaten kunnen worden door USB-sticks die onderzoekers van Hoffmann bedrijfsrecherche bewust lieten slingeren. Bij twee van de vier opslagapparaten werd toegehapt. De onbekende USB-sticks werden in een computer gestopt, zonder te letten op potentiële gevolgen.

Het onderwerp gegevensbescherming staat al jaren op de agenda van de gemeente. In 2019 kwam er nieuw beleid. In de praktijk komt daar te weinig van terecht; een stuurgroep, vakgroep, regiegroep en taskforce ten spijt. De Rekenkamer: ’De uitvoering van het informatiebeveiligingsbeleid loopt op cruciale onderdelen achter op de oorspronkelijke planning.’

Wachtwoord

De Rekenkamer herinnert de gemeente Utrecht ook aan haar eigen credo: ’Wij zorgen ervoor dat burgers en ondernemers gegevens aan de gemeente toe durven te vertrouwen omdat de gemeente deze gegevens aantoonbaar goed beschermt.’

Bij een test met phishingmails, waarbij van buitenaf geprobeerd wordt in te loggen op het netwerk, verstrekten 950 medewerkers (zestien procent) hun gebruikersnaam en wachtwoord. Dat is overigens vergelijkbaar met andere gemeenten. Het risico bestaat dat de gemeente slachtoffer wordt van ransomware, waarbij gegevens worden versleuteld en alleen tegen losgeld vrijgegeven. Momenteel is er grote zorg over de veiligheid van thuiswerkplekken.