De rekenkamercommissie onderzocht het informatieveiligheidsbeleid in theorie en uitvoering bij de gemeenten Medemblik en Opmeer en concludeerde dat het informatieveiligheidsbeleid in beide gemeenten niet op orde was. Het beleid is op een te hoog abstractieniveau geschreven en daardoor moeilijk te operationaliseren en net zo moeilijk te monitoren.
Bij Shared Service Centrum De Som dat Medemblik met andere gemeenten deelt voor de ICT was beveiliging niet op orde en ontbrak noodzakelijke certificering. Het onderzoeksbureau heeft kunnen inbreken in de systemen. Waar het Shared Service Center zorgen uit handen zou moeten nemen, noemen meerdere medewerkers SSC De Som juist als een risico. Ook bleek het voor mysterie guests mogelijk op plaatsen in de gebouwen te komen die niet publiek toegankelijk zouden moeten zijn.
De samenwerking met andere gemeenten binnen SSC De Som – met verschillende prioritering tussen verschillende gemeenten – leidt tot trage besluitvorming, gebrek aan regie en kan daardoor leiden tot extra risico’s.
In de uitvoering zijn op alle drie de onderzochte onderdelen mens, organisatie en techniek onvolkomenheden gevonden. Dit levert risico’s op alle drie onderdelen.

Is de informatieveiligheid bij de gemeente Medemblik respectievelijk Opmeer voldoende gewaarborgd?
De rekenkamercommissie richtte zich daarbij op drie verschillende aspecten van het beleid en beleidsuitvoering:
1. Organisatie en proces
2. Mens
3. Techniek
In het onderzoek heeft de rekenkamercommissie zich zowel gericht op het beleidskader als op de beleidsuitvoering.