De rekenkamercommissie onderzocht het informatieveiligheidsbeleid in theorie en uitvoering bij de gemeenten Medemblik en Opmeer en concludeerde dat het informatieveiligheidsbeleid in beide gemeenten niet op orde was. Het beleid is op een te hoog abstractieniveau geschreven en daardoor moeilijk te operationaliseren en net zo moeilijk te monitoren.
Bij Shared Service Centrum De Som dat Medemblik met andere gemeenten deelt voor de ICT was beveiliging niet op orde en ontbrak noodzakelijke certificering. Het onderzoeksbureau heeft kunnen inbreken in de systemen. Waar het Shared Service Center zorgen uit handen zou moeten nemen, noemen meerdere medewerkers SSC De Som juist als een risico. Ook bleek het voor mysterie guests mogelijk op plaatsen in de gebouwen te komen die niet publiek toegankelijk zouden moeten zijn.
De samenwerking met andere gemeenten binnen SSC De Som – met verschillende prioritering tussen verschillende gemeenten – leidt tot trage besluitvorming, gebrek aan regie en kan daardoor leiden tot extra risico’s.
In de uitvoering zijn op alle drie de onderzochte onderdelen mens, organisatie en techniek onvolkomenheden gevonden. Dit levert risico’s op alle drie onderdelen.