Het onderwerp ‘kwaliteit van de informatiebeveiliging’ was opgenomen in het onderzoeksprogramma van de rekenkamer voor 2016. Aanleiding was het gegeven dat als gevolg van de decentralisaties in het sociaal domein de gemeente Rotterdam steeds meer (bijzondere) persoonsgegevens in beheer heeft.
Naar aanleiding van een datalek verzocht de gemeenteraad de rekenkamer het onderzoek meteen uit te voeren. Onderzocht zijn niet alleen het datalek, maar ook de opzet en implementatie van het beleid inzake informatiebeveiliging (zoals risicomanagement, dataclassificaties, beheersmaatregelen). Ook is de beveiliging getest door interne en externe hacks, inlooptesten en phishing mails.

De centrale onderzoeksvraag luidt als volgt: Heeft de gemeente Rotterdam adequaat opvolging gegeven aan het datalek in februari 2016 en is gevoelige informatie, zoals (bijzondere) persoonsgegevens, bij de gemeente Rotterdam in veilige handen?
Deelvragen:
1. Beschikt de gemeente Rotterdam over een adequaat informatiebeveiligingsbeleid en is sprake van een goed georganiseerde informatiebeveiligingsfunctie?
2. Welke maatregelen heeft de gemeente Rotterdam genomen na het datalek in februari 2016 en zijn deze voldoende om dergelijke incidenten in de toekomst redelijkerwijs te voorkomen?
3. Heeft de gemeente Rotterdam in brede zin een goed beeld van de belangrijkste risico’s op het gebied van informatiebeveiliging en in het bijzonder gevoelige informatie zoals (bijzondere) persoonsgegevens?
4. Heeft de gemeente Rotterdam voldoende maatregelen getroffen om gevoelige informatie te beschermen tegen de belangrijkste veiligheidsrisico’s?
5. Is het mogelijk oneigenlijke toegang te krijgen tot gevoelige informatie die de gemeente Rotterdam in beheer heeft?