#29 - Informatiebeveiliging onderzocht door een Rekenkamer (met Johan Snoei en Vince van Houten)
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen en daar veel over te bespreken dus veel plezier en keep talking. In die prachtige binnenstad van die meest centraal gelegen stad van Nederland zit ik op een kantoor van de rekenkamer een nieuwe podcast op te nemen voor qeep talking. En dit keer niet met 1, maar met maar liefst 2 gasten. Ze zitten tegenover mij aan een ietwat statige tafel hier in de binnenstad. Recht tegenover mij zit.
Vince:Ik ben Vince van Houten. Ik ben onderzoeker bij de rekenkamer Utrecht.
Renco:Welkom Vince.
Vince:Dank je wel.
Renco:En naast jou zit.
Johan:Johan Snoei en ik ben projectleider en secretaris van de rekenkamer.
Renco:Nou, ontzettend leuk dat jullie wat tijd wilden vrijmaken om met mij te podcasten. Het is misschien goed om te vertellen, wij kennen mekaar al een beetje. Wij hebben met elkaar samengewerkt in de zin dat ik een opdracht heb gedaan voor de gemeente Utrecht. En daarmee kwam ik in aanraking met jullie, omdat de rekenkamer Utrecht besloot een onderzoek uit te voeren naar informatiebeveiliging. En daar was ik ook bij betrokken.
Renco:We gaan het over dat onderzoek hebben. Waar ging dat over? Waarom hebben jullie dat gekozen? Kan 1 van jullie eerst nog wat vertellen over de rekenkamer Utrecht? Wat is het?
Renco:Wat doet het? Veel mensen kennen het misschien niet of hebben het gevoel dat hier allemaal moeilijke sommen opgelost worden.
Johan:Ja, dat is denk ik een van de grootste misvattingen die er over rekenkamers bestaan. Dat een rekenkamer vooral rekent. Oorspronkelijk komt het woord rekenkamer van rekenschap. Dus rekenschap afleggen aan. En iedere overheid in Nederland heeft een rekenkamer.
Johan:Dus je hebt op landelijk niveau de algemene rekenkamer. Die is vaak heel bekend bij mensen.
Renco:Die kan ik wel heel goed.
Johan:Je hebt ook provinciale rekenkamers en je hebt ook lokale rekenkamers die eigenlijk het gemeentelijk beleid tegen de tegen het licht houden.
Renco:Is het een is het een wettelijke verplichting dat al die overheidslagen een rekenkamer hebben?
Johan:Ja, het is een wettelijke verplichting en het is ook sinds een aantal jaren wordt er streng op gelet en wordt het gehandhaafd ook met een wet. Dus in die zin zijn veel gemeenten daar ook weer wat actiever mee aan de slag gegaan. Omdat er veel rekenkamers waren die ofwel geen budget hadden of dat er nou ja, weinig beschikbaar was. Dus er is de afgelopen jaren best wel in geïnvesteerd om rekenkamers meer body te geven.
Renco:Ja. Ja. En jullie moeten toch wel de meest hippe rekenkamer van Nederland zijn, want jullie hebben ook een eigen podcast.
Vince:Ja, dat klopt.
Renco:Ja, Ja, moet gewoon even geplugged worden denk ik dan.
Vince:Zeker. De rekenkast 30. Dus elke keer als we met een nieuw onderzoek naar buiten komen, dan maken we een aflevering over dat onderzoek. Ja. Wat we precies hebben onderzocht, wat daar uitkomt, hoe we dat hebben gedaan.
Vince:Zeker een aanrader zou ik zeggen.
Renco:Precies, het is schaamteloos geplugd. Ik denk ik moet met de belangrijke zaken beginnen.
Vince:Ik dacht dit komt wel aan het einde, maar helemaal aan het begin is nog beter hè?
Renco:Ja, dat is nog beter. Ja, nee, first things first. En als rekenkamer onderzoeken jullie dus van allerlei dingen. Je gaf wel aan Vincent, ik ben onderzoeker. Ja.
Renco:Wat onderzoek jij dan zoal?
Vince:Ja, wat niet kan ik misschien beter zeggen. Nee, we proberen altijd de hele gemeentelijke begroting langs te gaan. Maar we zijn een vrij kleine club. We doen het met in totaal ongeveer 5 mensen in de staf die dus de onderzoeken uitvoeren. En we hebben ook nog een driekoppig bestuur.
Vince:Zij vormen eigenlijk samen de rekenkamer en zij zijn verantwoordelijk. Het bestuur
Renco:en de onderzoeken samen bedoel je? Of bestuur
Vince:vormt de rekenkamer. Het zijn eigenlijk gewoon 3 leden die zijn samen de rekenkamer. En daaronder hangt dus het stafbureau. En wij met zijn vijven voeren de onderzoeken uit.
Renco:En jij en Johan, jullie zijn allebei lid van dat stafbureau.
Vince:Precies.
Renco:Of lid, dus dat klinkt misschien raar. Jullie werken in dat stafbureau.
Johan:Ja, zo zou je het
Vince:wel kunnen zeggen ja. En dus we proberen ieder jaar 3, 4 onderzoeken te doen. En dat kan over van alles gaan. Dus in dit geval informatieveiligheid. Maar ik ben nu bezig met een onderzoek naar hulp bij het huishouden bijvoorbeeld.
Vince:Dat gaat gewoon wat anders. Ja, maar dat maakt het werken ook zo leuk. Omdat je steeds naar nieuwe onderwerpen toegaat. En die ga je helemaal onder de loep nemen. Dat is ook heel leuk voor jezelf, want je doet allerlei nieuwe kennis op.
Renco:Super leerzaam lijkt me.
Vince:Nou zeker, en ik zal heel eerlijk zijn, ja ik wist niet zoveel van informatieveiligheid voordat ik met dit onderzoek aan de slag ging. En nu weet ik er een heel stuk meer van, ja ik ben geen expert, Maar ja, het is gewoon leuk dat je elke keer weer naar iets nieuws toe kan zeg maar.
Renco:Ja, ja. En Johan, hoe kiest een rekenkamer dan de onderwerpen? Want hè, Vincent je zei net, we gaan de hele begroting langs. Nou, gemeentelijke taken is nogal een divers pakket zou je kunnen zeggen. De wettelijke taken die door gemeentes worden uitgevoerd.
Renco:Hoe kiest nou de rekenkamer daaruit waar het onderzoek over moet gaan? Hoe prioriteer je dat?
Johan:Ja, een van de eerste stappen is eigenlijk dat we in gesprek gaan met gemeenteraadsleden. Dus we hebben ieder jaar wel een rondje langs de verschillende fracties. Waarin we gewoon het gesprek voeren van nou wat zou wat de gemeenteraad betreft een belangrijk onderwerp zijn om mee aan de slag te gaan.
Renco:Oké.
Johan:Daar halen we dus onderwerp uit op, maar we volgen ook het nieuws. We kijken ook regelmatig natuurlijk bij andere rekenkamers wat daar aandacht krijgt. Dus hebben verschillende kanalen waarin we eigenlijk naar onderwerpen ophalen. En het prioriteren gebeurt eigenlijk meer aan de hand van een aantal criteria. En nou, ik zal ze niet allemaal noemen, maar belangrijk zijn bijvoorbeeld maatschappelijke impact van een onderwerp.
Johan:Gaat het financieel gezien ook over een belangrijk onderwerp. Dus ga niet bij wijze van een subsidie onderzoeken van 10000 euro. Maar dan gaat het al gauw over het subsidiebeleid en nou ja, hoe gaan we er als gemeente mee om. Dus ja, in zin weeg je af van wat is belangrijk genoeg, omvangrijk genoeg en wat kunnen we ook een plek geven in ons jaarplan. Omdat wat Vince al zei, we zijn met een vrij kleine club, we hebben een beperkte capaciteit.
Johan:Dan wil je ook wel juist een bijdrage leveren op onderwerpen waar je het verschil kan maken.
Vince:Ja, je wil
Renco:die impact natuurlijk maximaal maken met de onderzoeken die je uitkiest.
Johan:Ja, precies.
Renco:Ja. En is er, wat ging er door jullie hoofd dan om informatieveiligheid te kiezen?
Johan:Ja, eigenlijk hebben we 2 keer
Renco:Ik zeg het een beetje alsof dat echt een totaal vergezocht onderwerp is. Dat lukt natuurlijk niet, Nee,
Johan:eigenlijk hebben we 2 keer onderzoek gedaan. En dat is op zich uniek omdat ik werk hier nu zelf 10 jaar en dit is 1 van de onderwerpen die die 2 keer voorbij gekomen is. Naast de hulp bij het huishouden die Vince net ook noemde. In 2020 was het eigenlijk een onderwerp wat regelmatig aandacht kreeg ook in de media. Veel mensen herinneren zich misschien de gemeente Hof van Twente nog.
Johan:Kwestie daar. De gemeenteraad hier had ook al een aantal keren aandacht gevraagd voor informatieveiligheid. Zei van ja, dat vinden wij ook een belangrijk onderwerp om eens goed naar te kijken. Toen zijn wij daar als rekenkamer mee aan de slag gegaan.
Renco:Het rapport ligt hier ook, de luisteraars zien dat natuurlijk niet, maar de rapporten, zowel het eerste onderzoek als het tweede onderzoek liggen hier ook op tafel.
Johan:Ja, en het eerste is dus zo sterk als de zwakste schakel, omdat we eigenlijk toen ook ingezoomd hebben op de 3 terreinen die van belang zijn, Dus de techniek, de mens en meer de organisatie en proceskant. Maar toen hebben we eigenlijk al met de uitkomsten van dat onderzoek met elkaar besproken van ja, eigenlijk geeft dit wel aanleiding om er nog een keer naar te kijken. Omdat het best wel nou ja, in die zin een ernstige situatie was qua technische beveiliging en de menselijke kant.
Renco:Ja, voor de duidelijkheid die rapporten die hier liggen, die zijn gewoon openbaar, hè. Ja. Dus iedereen kan daar kennis van nemen. Ik zal ook bij de omschrijving van de podcast linkje toevoegen naar jullie website, zodat mensen dat als ze dat leuk vinden, die rapporten ook zelf kunnen inzien. Ja.
Renco:Maar je geeft net aan het eerste rapport. Daar stonden een aantal zorgelijke zaken in. En toen is eigenlijk al besloten van op een later moment gaan we hier nog een keer naar kijken.
Johan:Ja, ja, klopt. En in eerste instantie hadden we toen bedacht, nou dat doen we dan na ongeveer een jaar. Alleen gaandeweg werd wel duidelijk van het zijn toch flinke maatregelen en dat vraagt echt wel een bepaalde doorlooptijd voordat dit nou ja, effectief is aangepakt. Dus we hebben daarin wat meer tijd ingebouwd en uiteindelijk gezegd in nou ja, ergens vorig jaar. Van nou nu is het nu zo'n goed moment om hier weer een keer naar te gaan kijken.
Renco:En konden jullie dat dan ook aan? Ik bedoel schreeuwen jullie het van de daken. Wij gaan nu naar onderwerp x inzoomen. Of is het gewoon tadaa, klok klok plan. Ja.
Renco:Daar zijn we.
Johan:Nee, meestal, wat ik zei, staat het in het jaarplan. Dus daar is, nou ja, ruim van tevoren wel november van het jaar ervoor zeg maar, is in beeld van welke onderwerpen gaan we het jaar daarna oppakken.
Renco:Maar Dat Japan is voor de duidelijkheid ook een openbaar stuk dus. Ja, precies.
Johan:En dat gaat ook naar de gemeenteraad. Dus zij zien ook van nou welke onderwerpen zijn nu uiteindelijk uit dat rondje wat de rekenkamer heeft afgelegd naar voren gekomen. Dus daar zit al een soort van aankondiging in. En dan beginnen we daarna in het jaar zelf wel met een aantal gesprekken gewoon met betrokkenen bij het onderwerp. Gewoon ook om de scope te bepalen, te bespreken van nou waar liggen voor de rekenkamer nou goede mogelijkheden om onderzoek naar te doen.
Johan:Ja. Ook omdat er soms al een onderzoek loopt in de ambtelijke organisatie. Dus je wil ook niet zeg maar gemeenschapsgeld nog een keer aan hetzelfde onderwerp uitgeven. Dus zo gaat dat wel een beetje in een samenspel. En dan komt er een onderzoeksplan uit wat ook openbaar wordt en uiteindelijk op onze website dan voor iedereen is in te zien.
Johan:Zodat je ook een helder nou ja, verwachtingspatroon hebt van wat gaat er gebeuren en
Renco:Maar je kan wel stellen dat eigenlijk bijna alles wat jullie doen is gewoon allemaal openbaar te volgen. Ik bedoel jullie jaarplan, het onderzoeksplan, het rapport, maar ook de bespreking daarvan in het gemeentebestuur. Alle, ja, kan je natuurlijk sowieso als burger en als willekeurig geïnteresseerde kan je daar natuurlijk op aanhaken. Er worden streams van gemaakt. Daar kan je altijd nog terugkijken.
Renco:Ik bedoel eigenlijk alles wat jullie doen ligt potentieel onder een vergrootglas van een liefhebber of een journalist of een hacker die denkt van eens even kijken waar ik naar binnen zou kunnen komen bij de gemeente Utrecht. Ik kan me voorstellen dat dat laatste argument niet bij alle onderwerpen speelt die jullie onderzoeken. Maar hier wel. Hoe hebben jullie daar dan in gebalanceerd? Dus hoe uitgebreid wil je dan zijn in zo'n rapport?
Renco:Als je zegt, nou, iedereen loopt zo naar binnen. Dat is goed om te weten, denkt in de aanvaller dan misschien.
Vince:Ja, ik moet wel zeggen dat, dat zijn ook dingen die we natuurlijk uiteindelijk wel bespreken met de ambtelijke organisatie en met de gemeente als er echt dingen in staan. Volgens mij is dat jammer bij dat eerste onderzoek ook gebeurd, Dat is namelijk voor mijn tijd geweest. Dat er wel ook een afweging is gemaakt van ja, wat kan wel naar buiten worden gebracht en wat niet als het ook gaat om technische kwetsbaarheden. Want je wil natuurlijk niet dat in een rapport staat van je kan via deze weg makkelijk de gemeentelijke systemen binnendringen. Succes ermee.
Vince:Maar ik weet hoe dat destijds is gegaan. Is er toen tijd eerst gegeven om die kwetsbaarheden op te lossen voordat het naar buiten werd gebracht?
Renco:Nou dat zie je natuurlijk ook vaak ja.
Johan:Ja, want eigenlijk je noemt het inderdaad een aantal belangrijke momenten waarin het openbaar is. Maar er gebeurde ook heel veel wel nog voordat we zover zijn. Dus gedurende het onderzoek heb je ook wel inderdaad een aantal contactmomenten. We hebben in beide gevallen ook een extern bureau ingehuurd om dit onderzoek uit te voeren. Omdat we zelf niet een expert zijn op de technische kant.
Renco:Jullie hebben niet zelf de penetratie testen uitgevoerd begrijp ik.
Johan:Nee, precies. Dat inderdaad door door externe gedaan. Die er ook veel beter zijn in zijn dan wij. Dus zij hebben de inloop testen gedaan. Zij hebben ook die die technische kant doorgelicht.
Johan:Daar komen dan allerlei bevindingen uit naar voren en die delen we dan intern zeg wel wel met de nauw betrokkene om inderdaad te voorkomen dat op het moment dat wij een onderzoek naar buiten brengen alsnog een soort ingang wordt geschetst voor meer kwaadwillende personen.
Vince:Ja, maar ik moet wel daarbij zeggen van dat is, dat doen we alleen bij dit soort belangrijke, ja, unieke gevallen zou ik maar even willen zeggen. Het is niet zo dat wij normaal gesproken altijd eens met de gemeente in gesprek gaan en dat we bepalen van wat mag wel en niet naar buiten omdat het misschien onwelgevallig is of iets dergelijks. Ik bedoel wij zijn volledig onafhankelijk en brengen dat soort dingen altijd naar buiten. Alleen in dit geval, ja je wil niet mede verantwoordelijk zijn voor een aanval die plaatsvindt of iets dergelijks. Dus daar moet je wel heel voorzichtig mee omgaan.
Renco:En voor wie werken jullie eigenlijk? Voor wie werkt de rekenkamer?
Vince:Nou, ik zou zeggen uiteindelijk, dat is een beetje lastig omdat ons werk doen we uiteindelijk voor de gemeenteraad. En zij kunnen met ons onderzoek weer nieuwe informatie aan het licht brengen waar de gemeenteraad vervolgens mee over in debat kan gaan. We doen ook aanbevelingen, daar komen we zo meteen nog wat op terug. De gemeenteraad gaat in debat over ons rapport.
Renco:De gemeenteraad is het hoogste bestuursorgaan. Daar lever je het aan op, zeg maar.
Vince:Ja, alleen wat ik zeg, lastig maakt, is zij zijn niet formeel onze opdrachtgever, omdat de rekenkamer volledig onafhankelijk is en ook zelf tot een onderwerp selectie kan komen.
Renco:Dus eigenlijk in dat opzicht je eigen opdrachtgever. Ja. Maar de gemeenteraad is het hoogste bestuursorgaan. Dus het is logisch om het dan daar aan op te leveren in de hoop dat zij natuurlijk daar het college of de portefeuillehouder dan op aanspreken. Ik bedoel, werkt die, hoe werkt het dan, laat ik het zo zeggen, als je oplevert aan wat ik noem het hoogste bestuursorgaan, hoe druppelt dan dat zeg maar weer naar beneden naar de afdeling of het individu wat dan een bepaalde maatregel zou moeten nemen?
Renco:Die daarvoor aan de lat staat. Nou,
Vince:laten we dan toch maar over die aanbevelingen beginnen. Ik denk dat dat toch wel handig is. Ik bedoel uiteindelijk komt er een rekenkamerrapport naar buiten. Dat bevat conclusies van hoe het gaat bijvoorbeeld. Hoe het gaat met de informatieveiligheid in dit geval.
Vince:En daar zitten ook altijd aanbevelingen bij. Dat zijn maatregelen waarvan wij denken dat de gemeente die zou moeten nemen om de informatieveiligheid nog verder te verbeteren.
Renco:Ja, dus die staan in jullie onderzoek dan?
Vince:Die staan in het onderzoeksrapport inderdaad en daar maken we dan een raadsvoorstel van. Dus bijvoorbeeld als er 6 aanbevelingen in zo'n rekenkamerrapport staan, dan maken wij een raadsvoorstel met daarin 6 beslispunten. En ieder beslispunt is dan een aanbeveling. En de gemeenteraad gaat over het rapport in debat en ook over de aanbevelingen in debat, sorry. En vervolgens wordt er ook over gestemd, over het raadsvoorstel.
Vince:En het is eigenlijk vrijwel altijd het geval dat dat raadsvoorstel ook wordt aangenomen. Unaniem. Ja, meestal unaniem. Ja, ik
Renco:zag het ja in de, ik heb er zin te spieken, maar
Vince:Ja, heel goed, heel goed. Ja, ik dacht, ik zeg gewoon vrijwel altijd aangenomen, niet unaniem, want zo ben jezelf een beetje op de schouder gekomen. Dat doe ik dan. Dat
Renco:gerepeteerd dit.
Vince:Heel fijn, nee, nee, zeker niet, zeker niet. En op het moment dat zo'n raadsvoorstel ook is aangenomen, ja, dan moet de gemeente, het college daarmee aan de slag. Die moet die aanbevelingen gaan doorvoeren. Die moeten ook een plan van aanpak voor maken van hoe ze daarmee aan de slag willen gaan. Ja, en uiteindelijk moet dat natuurlijk landen in de ambtelijke organisatie die ook uitvoering aan die aanbevelingen moet geven.
Vince:En ook soms dingen gewoon structureel op een andere manier moet gaan doen.
Renco:Ik probeer het even samen te vatten. Ja. Dus een raadsvoorstel vertaling van jullie onderzoeksrapport naar de gemeenteraad met beslispunten daarin. Laten we veronderstellen dat dat inderdaad unaniem wordt aangenomen door de raad. Dan zegt de raad oké.
Renco:En die geeft dan met dat aangenomen raadsvoorstel het college de opdracht om uitvoering te geven aan die aanbevelingen die jullie als rekenkamer in jullie rapport hebben geformuleerd. Ja. En het college zegt oké, moeten of wij gaan daar, wij willen daarmee aan de slag. En als antwoord op die aanbevelingen die de gemeenteraad eigenlijk het college oplegt, zullen maar zeggen. Ik weet of je normaal de juiste woorden gebruikt, maar een antwoord daarop schrijft het college een plan van aanpak waarin ze uitwerkt naar die raad toe.
Renco:Oké, we hebben u gehoord. We hebben raadsvoorstel en aanbevelingen en het rapport natuurlijk bestudeerd. We hebben een plan van aanpak waarin we uiteenzetten per aanbeveling hoe we denken te verbeteren. Ja. En ook dat is openbaar.
Renco:Dat plan van aanpak kan je ook gewoon Zeker. En dan, dan wordt dat plan van aanpak wordt door het college vastgesteld? Of moet het door de raad worden? Wat gebeurt er dan?
Vince:Nee, dat wordt naar de raad gestuurd. Maar het is wel in principe, het gaat in principe over de uitvoering van beleid. Dus dat is een verantwoordelijkheid van het college.
Renco:Dus het is meer een soort ter info gaat hier naar de raad. Weet dat wij hier serieus werk van maken.
Vince:Ja, maar als de gemeenteraad ervoor kiest van hé hier zien wij opvallende dingen in en we willen toch dat plan van aanpak bespreken, dan is dat wel altijd mogelijk. Dan moet de gemeenteraad dat wel zelf agenderen en vervolgens gaan bespreken. Maar wat wij altijd doen is als zo'n plan van aanpak uitkomt, dan geven we daar altijd een reactie op. Dus wij gaan altijd heel secuur naar kijken van oké, wat is het plan per aanbeveling en wat vinden wij daar nou van? Ja, dus dit
Renco:is een soort kwaliteitscheck in van jullie kant nog? Of je vindt dat de aanbevelingen uit jullie onderzoeksrapport zeg maar voldoende serieus worden genomen of voldoende zijn uitgewerkt in dat plan van aanpak. Dus wat het college voorneemt te doen of dat daadwerkelijk jullie aanbeveling voldoende afdekt. Ik zie jou knikken Johan.
Johan:Ja klopt inderdaad. En wat we ook nog aanvullend aan wat Vinz verteld heeft doen. En dat gebeurt niet altijd. We bieden aan om ook met mensen in de uitvoering nog een keer in gesprek te gaan over ons onderzoek. Dus eigenlijk ons rapport is natuurlijk een basis om op voort te borduren.
Johan:Maar er ligt vaak een heel proces achter waar we graag natuurlijk ook wat meer over vertellen. Dus in die zin bieden we ook wel aan om bij mensen die met het onderwerp aan de slag gaan of uiteindelijk de uitvoering moeten gaan verzorgen voor die aanbevelingen. Nog een keer dat nou ja, proces ook toe te lichten van nou waar zijn we tegenaan gelopen, hoe moet je bepaalde dingen wellicht lezen. Als daar vragen over zijn kunnen mensen dat gewoon ook aan ons rechtstreeks stellen. Dus in die zin presenteren we het ook nog wel eens bij de organisatie.
Renco:Precies in de organisatie dat is dan dus niet het bestuur, is de ambtelijke organisatie die zodra het college dat plan van aanpak heeft opgesteld en ter informatie naar de raad heeft gestuurd. En de raad kan natuurlijk nog besluiten daar vanalles van te vinden. Maar laten we zeggen dat ze gewoon zeggen nou, dat ziet er goed uit. We worden graag op een later moment weer geïnformeerd of zoiets. En het college zegt dan eigenlijk tegen de ambtelijke organisatie nou, dit plan van aanpak inclusief de tijdslijnen voor zover die erin staat, Wilt u dit uitvoeren?
Renco:Ik zeg het misschien een beetje raar, maar er wordt het eigenlijk overgedragen naar de ambtelijke organisatie en die moet dan het gaan waarmaken.
Johan:Klopt, ja.
Renco:Ja, maar dan Johan, gaf al aan, het is vrij uniek dat we 2 keer achter elkaar zo'n onderzoek doen met een periode van grofweg 3 jaar ertussen. Je gaf ook aan dat je eigenlijk bij het presenteren van het eerste onderzoeksrapport al het idee had om nog een opvolgingsonderzoek te doen. Dat zou je kunnen uitleggen als hij had er niet veel vertrouwen in dat die aanbevelingen allemaal goed zouden worden opgevolgd.
Johan:Ja, ik denk niet dat het echt een kwestie van vertrouwen is. Wel dat we ook bij het eerste onderzoek zagen dat sommige dingen te weinig prioriteit hadden gekregen in de jaren daarvoor. Oké. Dus in die zin hoop je wel dat een rekenkamerrapport dan ook een soort week op kool is van nou hier moeten we echt serieus aandacht aan gaan geven. Dus in die zin is het wel denk ik goed om te kijken van is er dan ook in de manier van werken en in de houding ten opzichte van zo'n onderwerp iets veranderd.
Johan:Maar we hebben wel echt ingezoomd op de onderdelen die destijds naar boven zijn gekomen. Dus weer die techniek, de menskant en de organisatie en processen om te kijken van nou is er nou in die periode een verbetering zichtbaar. En en nou ja, in ieder geval op de technische kant hebben we nu geconstateerd is het een stuk beter dan een aantal jaren geleden. En op de op de menskant zagen we nog nog aandachtspunten Zonder al te diep op de uitkomst in te gaan. Maar dan zie je wel inderdaad dat er in die 3 jaar best wel wat is verbeterd.
Renco:Gelukkig moeten jullie toch ook, ik bedoel jullie willen impact maken met zo'n onderzoek. Jullie kiezen je onderzoeken of jullie onderwerpen zorgvuldig, ook verstandig gebruik maken van de beperkte capaciteit die jullie hebben als rekenkamer. Hoe kijken jullie terug op dit onderzoek? En dan bedoel ik het eigenlijk meer los van de inhoudelijke bevindingen op het proces. Want zo'n onderzoek heeft best wel een lange doorlooptijd.
Renco:Dat is inclusief de bestuurlijke behandeling zou ik zeggen, een jaar wel of zo. Ja. Misschien nog wel iets meer, dat weet ik niet helemaal. Hoe kijken jullie qua proces terug op dit onderzoek? Was dit er eentje die gewoon volgens het boekje ging, lekker liep?
Renco:Of ja, was dit lastig omdat het misschien een onderwerp is wat verder bij jullie weg staat omdat je geen techneut bent? Of hoe kijken jullie op dit onderzoek?
Vince:Zal ik hem overnemen?
Johan:Waar ga jij nu eerst?
Vince:Eigenlijk wel positief. Dat heb ik ook intern een paar keer gezegd al. Met name omdat ik vond dat de medewerking vanuit de gemeente heel goed was. Dus er was grote bereidheid om met ons in gesprek te gaan en om snel informatie aan te leveren, documenten. Dus dat was heel erg prettig.
Vince:Maar ik merkte ook heel erg de echte bil bij de mensen binnen de gemeente om echt ervan te leren zeg maar. En dat het rekenkamerrapport ook echt wel een bijdrage kon leveren. Een verdere bijdrage moet ik misschien zeggen. Dit tweede onderzoek. Ja.
Vince:Aan verbeteringen op informatieveiligheid vlak.
Renco:Dus medewerkers zagen het niet zozeer of niet primair als een soort onprettige toets, maar meer als een vehikel, oneerbiedig gezegd of een manier om gewenste veranderingen, verbeteringen die er misschien nog wel waren, maar die om wat voor reden dan ook er nog niet van gekomen waren of nog niet op die manier van gekomen waren om langs de as van het, over de as van het rekenkameronderzoek eigenlijk dingen ook gedaan te krijgen. Is dat dan? Of leg ik jou nu te veel woorden
Vince:in je mond? Nee, leg me nu wel te veel woorden in de mond denk ik ja, maar, nee, maar je merkt wel heel snel van hé, zijn de mensen waar waar we nu langskomen om te kijken van hey hoe kan het beter staan die positief tegenover tegenover onze kom zeg maar en dat was hier wel wel heel erg geval bij mij in ieder geval gevoelsmatig.
Johan:Ja, nou ik herken dat wel. En ik denk ook dat het ook wel vaak is uitgesproken van het eerste rekenkameronderzoek om het dan zo te noemen. Heeft ook wel bijgedragen aan een soort bewustwording in de organisatie van kijk dit is echt wel serieus en we lopen hier als gemeente best wel grote risico's. Ja. Dus willen we daar serieus werk van maken dan is dat alleen maar nuttig om ook de uitkomsten van dit onderzoek daarbij te betrekken.
Johan:En dan ook richting de raad te laten zien van kijk, hé, we hebben deze bevindingen en we hebben die conclusies en alles onderschreven. Maar we gaan er ook serieus werk van maken om een herhaling te voorkomen.
Renco:Ja, 2 misschien dat opzicht heeft dat eerste onderzoek misschien duidelijk gemaakt voor mensen ook wat het teweeg brengt, een rekenkameronderzoek. For better or for worse, whatever. Maar misschien mensen daardoor in die tweede, in de tweede ronde, om het maar even zo te zeggen, een aantal jaren later. Ja, er waren natuurlijk voor een groot deel dezelfde mensen die nog steeds dezelfde functie hadden ten tijde van het eerste onderzoek. Dus we hebben al een keer ondervonden hoe het is om met jullie samen te werken en ook iets te ervaren van ja, wat er eigenlijk zo'n onderzoek teweegbrengt, zowel ambtelijk als bestuurlijk.
Renco:Maar wat viel dan tegen?
Vince:Nou, in proces viel niet zoveel tegen, maar wij zijn wel heel erg gewend om zelf onze onderzoeken uit te voeren. Bij dit, dus bij dit opvolgingsonderzoek, het tweede onderzoek, waren we zelf natuurlijk in de lead voor een heel groot deel van het onderzoek. Maar ja, wat we net ook al aangaven voor die penetratie en die insluiptesten, waren we toch afhankelijk van een extern bureau. De samenwerking daarmee verliep overigens hartstikke goed. Alleen ik
Renco:zie nu in 1 keer als jullie zouden hebben overwogen om het zelf te doen zie ik jou met zo'n lange jas zie ik jou voor het stadskantoor staan. Hopen natuurlijk.
Vince:Ja, en een hoed op en een plaksnor. Zeker. Nee, ja, dat klinkt natuurlijk ook heel erg leuk. Ja, dat is leuk. Maar als je zelf bij de gemeente werkt, dan is dat natuurlijk geen optie.
Vince:Nee. En je wil juist getrainde mensen die, en wat insluiten klinkt misschien makkelijk, maar je moet er wel ook een beetje gehaaid voor zijn. Is dat het goede woord?
Renco:Je lef hebben?
Vince:Ja, nee precies ja. En een beetje, kijk ik weet ook bijvoorbeeld, je kent zelf de gebouwen natuurlijk een heel stuk beter. Dus je weet misschien dat het wat makkelijker, sneller de plekken te vinden die wat kwetsbaarder zijn om het zo maar even te zeggen.
Renco:Het zou ook dezelfde uitkomsten van het onderzoek nog kunnen kleuren. Je niet een neutrale informatiepositie hebt eigenlijk.
Vince:Maar als je gewend bent om zelf onderzoeken uit te voeren en je moet dan toch altijd even de controle loslaten. Of dat een extern bureau daarmee aan de slag gaat. Ik zou niet zeggen dat ik er wakker van lig. Maar het liefst doe je zoveel mogelijk zelf. Maar ja, als je de kennis niet in huis hebt, dan moet je het op een andere manier oplossen.
Vince:En dan is het juist fijn om mensen te hebben die echt expertise hebben op technische penetratie testen en dat soort dingen. Ja, nee, dat moet je mij niet vragen. Liever ze wakker. Ja, precies.
Renco:Nu is dat op een moment is dat onderzoeksrapport opgeleverd. We hebben dat proces net doorgelopen. En wanneer vinden jullie nou als, gewoon als mensen die hier aan tafel zitten of als rekenkamer in totaal, wanneer vinden jullie nou dat een onderzoek zeg maar gelukt is? En daar bedoel ik mee dat het teweeg heeft gebracht wat jullie hoopte dat het teweeg zou brengen. Wanneer is een onderzoek voor jullie een succes?
Johan:Ja, kijk, ik denk dat daar verschillende antwoorden op te geven zijn. Aan de ene kant is het al een succes voor ons op het moment dat we eigenlijk onderzoek technisch hebben gerealiseerd wat we hebben beloofd, hè. Dus het plan wat we hebben gemaakt bleek dat ook een goede manier uitvoerbaar en tot een mooi resultaat te leiden. Dus dat is al een deel van het gewenste resultaat voor onszelf. Een tweede eigenlijk laag zou je kunnen noemen is dat debat in de gemeenteraad.
Johan:Dus dat zij ook weer handvatten krijgen om hier de juiste dingen op te bespreken en besluiten. Dus meer de de bestuurlijke kant van het verhaal. En uiteindelijk is natuurlijk ons werk wel gericht op die maatschappelijke impact en de burger van de stad.
Renco:Ja, dat noemde je ook als criteria voor het bepalen van de onderwerpen die jullie onderzoeken.
Johan:Ja, Dus dat we uiteindelijk ook tegen de Utrechter kunnen zeggen van nou informatie die je bij de gemeente hierin vertrouwen deelt, Die is op een goede manier beveiligd en de waarborgen zijn aanwezig om dat niet op straat te laten belanden. Ja. Dus in die zin is het ook succesvol eigenlijk totdat er een soort tegendeel bewezen is dat het uiteindelijk toch niet goed gaat op dat punt. Ja. En dat hebben we hier gelukkig in Utrecht niet meegemaakt.
Johan:Dus in die zin zou je ook over een soort van gewenste resultaat kunnen spreken in de stad.
Renco:En hebben jullie dan ook, dit is gewoon een vraag die me nu neemt te binnen schieten, hebben jullie dan ook bijvoorbeeld als rekenkamers ook onderling contact? Want misschien dat een andere rekenkamer wel, die kan ook al die rapporten natuurlijk inzien, want ja, die zijn allemaal openbaar. Jullie onderzoeksplannen, jullie jaarplannen, alles wat jullie eigenlijk opleveren is openbaar. Misschien zegt een andere rekenkamer wel van, potjandrie dat is nog eens een goed idee, weet je wel. Jullie onderzoeksaanpak, dat zouden wij ook wel kunnen gebruiken.
Renco:Kan dat gewoon schaamteloos? Ik bedoel, moedig je dat misschien zelfs wel aan om elkaars onderzoeken soms voor een deel over te nemen qua aanpakken? Het voelt ook als, anders het wiel zelf elke keer uitvinden. We doen onderzoek naar informatiebeveiliging. Ik struikel er altijd over, want dan wil ik informatiebeveiliging en informatieveiligheid tegelijk zeggen.
Renco:Dat kan niet. Een onderzoek naar informatieveiligheid, juist vanwege die maatschappelijke kant. Ja, ik ga ervan uit dat heel veel rekenkamers in een onderwerpenlijstje 1 keer in de zoveel tijd dit onderwerp voorbij laten komen.
Johan:Ja, nee, dat klopt inderdaad. Er zijn heel veel rekenkamers die hier onderzoek naar hebben gedaan. We hebben ook wel bij het eerste onderzoek herinner ik me geprobeerd om een vergelijking te maken met een aantal andere rekenkamers. Alleen daar zie je dan ook wel dat het toch wel een uniek terrein is. Waar iedere gemeente toch weer op een andere manier invulling aan geeft.
Johan:Dus je zag best wel veel verschillen in de manier van werken, in de proceskant, de organisatie. En dat zie je dan ook terug in de uitkomsten. Plus dat er ook wel wat tijd overheen gaat. Je noemde al een onderzoek bij ons als rekenkamer duurt ongeveer een jaar. Begin dat we eraan gaan denken zeg maar om naar een onderzoek te kijken tot aan de publicatie.
Johan:Nou ja, dan heb je dus ook andere rekenkamers die hier onderzoek naar gedaan hebben, maar dat vindt dan bijvoorbeeld 2 jaar geleden plaats.
Renco:Ja, misschien juist in dit onderwerp is dat dan al sneller weer gedateerd wat je dan.
Johan:Ja, precies. Ja, want dat staat elke dag is het in beweging eigenlijk. En dan heb je iedere dag te maken met veranderingen. Dus de conclusie van moment x is misschien niet meer relevant op een later moment.
Renco:Ja ja, dus de Ja. Ja, want wat mij ook opviel. Ik heb ook wel al rekenkamer rapporten bestudeerd de jaren heen. Ik vind bijvoorbeeld de scoping van het onderzoek nogal uiteenlopen. Hè de je kunt elke rekenkamer noemt het een onderzoek naar informatiebeveiliging of informatieveiligheid.
Renco:Maar als je verder gaat kijken naar de onderzoeksaanpak en de afbakening van het onderzoek, dan kan
Vince:daar al een wereld van verschil tussen zitten. Ja, maar dat is ook mooi denk ik. Dat is ook alleen maar goed. En die informatie uitwisseling tussen rekenkamers die vindt veel plaats. Ik bedoel heel toevallig had ik gisteren nog een gesprek met iemand van de rekenkamer Rotterdam die ook geïnteresseerd was in een bepaalde onderzoeksaanpak van een onderwerp.
Renco:Je noemt daar meteen een rekenkamer. Die hebben een aantal jaren geleden ook een sappig onderzoeksrapport gepubliceerd.
Vince:Precies, ja dat klopt.
Renco:Was heftig.
Vince:Ja, nee maar dan wordt er wel gewoon gevraagd, nee weet je, wij zitten er ook over na te denken om naar dit specifieke onderwerp onderzoek te doen. Hoe hebben jullie dat destijds gedaan? Dan probeer je elkaar te helpen. Dus ik heb ook toegezegd om iets aan te leveren van een bepaald Excel overzicht dat ik dat wil hebben gemaakt. Niet iedereen opnieuw het wiel probeert uit te vinden.
Vince:En het leuke is dat dan vervolgens ook zo'n andere rekenkamer dus inderdaad ook weer andere keuzes kan maken. Dus wel een deel hetzelfde voelt, maar ook weer net een andere invalshoek. En dat vind ik alleen maar leuk. Kijk, als het alleen maar kopieer plakwerk wordt, is er weinig origineels meer aan. Zou ik zeggen.
Renco:En Vincent, toch even zo op de valreep van deze aflevering, nog de vraag. Je doet van allerlei onderzoeken. Ik gaf je al aan, verschillend. Ja. Wat is nou de leukste?
Vince:Moet ik er 1 noemen? Ja, je mag wel antwoorden zorgen. Laat ik hem zodanig inleiden dat ik vind het altijd leuk wanneer onderzoeken of onderwerpen echt impact hebben op specifieke doelgroepen. Dus als ik het heb over dat hulp bij het huishouden, ja dat zijn mensen die zelf niet meer hun huis schoon en leefbaar kunnen houden. Maar die wel zelfstandig thuis moeten Moeten is dan weer zo'n woord.
Vince:Dat is natuurlijk de wens dat mensen zo lang mogelijk zelfstandig thuis blijven wonen. Sommige mensen hebben daarvoor extra hulp in huis nodig. Want dan komt er een huishoudelijke hulp bijvoorbeeld 1 keer in de week, 2 uur om het huis schoon te maken. Ja, dan ga je ook met dat soort mensen in gesprek. Dus die daadwerkelijk dan die zorg krijgen om vast te stellen van hé, hoe gaat het nou met hulp bij het huishouden in Utrecht?
Vince:En je gaat in gesprek met huishoudelijke hulp.
Renco:Dat heel dicht
Vince:op de doelgroep. En bij een onderwerp als informatieveiligheid, ja dat is ook heel belangrijk voor mensen, maar dat raakt mensen veel meer indirect. Dus mij, ja, als het hebt over wat zijn nou je favoriete, wat is je favoriete onderzoek, nou dan zou ik wel zeggen meer een sociaal onderzoek zeg maar. En als ik er een moet uitkiezen, dan denk ik het onderzoek naar de toegankelijkheid van stembureaus.
Renco:Oké, dat is ook wel een actueel onderwerp dan.
Vince:Ja, toen zijn we, ja heel actueel zegt dat, de verkiezingen komen eraan. Nee, het idee daarbij was dat, of is, dat gemeenten ervoor moeten zorgen dat iedereen zelfstandig kan stemmen ongeacht een fysieke beperking. En dat iedereen vanaf de straat tot in het stemhokje kan komen, zelfstandig zonder hulp.
Renco:Hoeveel stemlokalen hebben jullie in de stad?
Vince:Nou, in 2023 tijdens de Tweede Kamerverkiezingen waren het er 217. En toen zijn we op de verkiezingsdag met een heel team langs 151 stembureaus gegaan om die allemaal te controleren op toegankelijkheid. Oké. En dat is gewoon een leuk onderwerp omdat je dan met zijn allen, je bent niet met zijn allen op pad op 1 locatie, maar door de stad verspreid ben je op verschillende plekken en doe je het met zijn allen op 1 dag. Ga je ook op
Renco:een bijzondere dag ook nog.
Vince:Zeker, een hele mooie dag waarop we de democratie vieren. Dat is een mooi cliché altijd.
Renco:Dan zeg ik het zelf.
Vince:Nee, dus dat is ook goed voor teamgevoel. En ja, een beetje een uniek onderzoek wat je niet vaak tegenkomt. Echt in de praktijk kijken van hé, hoe gaat het nou op 1 dag en daar een rapport over maken. Dus dat is, ja, nee, heel leuk.
Renco:En Johan, heb jij tenslotte, heb jij ook nog een favoriet? Je gaf al aan, ik niet of dat voor of tijdens de opname was, maar dat je bijna 10 jaar voor de rekenkamer werkt. Dus je hebt al, ja, no offense, Vinz, maar je hebt al wat meer onderzoeken meegedraaid dan
Vince:Nou, dat is gewoon zo.
Renco:Heb je daar een favoriet?
Johan:Nee, ik zat te denken tijdens het antwoord van Vince ook. Wat ik wel leuk vind aan onderzoeken als informatieveiligheid en ook dat onderzoek naar toegankelijkheid van stembureaus. Is dat het ook wel redelijk nou ja, het zwart wit of goed of niet goed. Ja. Dus dat is wel in ons werk vaak een uitdaging.
Johan:Dat soms heb je beleidsterreinen waar gewoon heel veel gradaties in zitten. Ja. Je kunt heel veel discussies krijgen ook over van nou ja, is het nou het nou goed of is het fout of zit het ergens tussenin. En als je het met een ander perspectief bekijkt.
Renco:Ja, dan valt er misschien ook weer
Johan:wat te zeggen. Ja. En zowel bij informatieveiligheid als bij toegankelijkheid is het gewoon je kunt wel of niet zelfstandig stemmen. Je kunt wel of niet bij gevoelige informatie. En dat is eigenlijk in die zin dan vrij nou ja, niet discutabel zeg maar.
Renco:Dat lijkt me dan comfortabeler, comfortabeler terrein dan om onderzoek op te doen en vooral ook om aanbevelingen op te doen. Omdat het wat scherper kan of zo. Omdat ja, ik kan me voorstellen dat als het allemaal gradaties grijs zijn, dan kan je zeggen ja, het is donkergrijs. Ja, het is lichtgrijs. Het is me nou afhankelijk van welke zonnebril je opzet.
Renco:Ik zeg, ik bedoel dan wordt het wel moeilijker denk ik om die beoogde impact met zo'n onderzoeksrapport te maken.
Johan:Ja, en je krijgt gewoon meer discussie erover. En ook in de politieke kleur zit er dan vaak meer variatie. Ja. Je ziet ook in de raad dat er dan verschillend tegen wordt aangekeken. En dat is bij informatie veiligheid een stuk minder.
Johan:Daarvan zal niemand zeggen van nou ja, ik vind het wat minder een probleem dat we gegevens af en toe een keer verliezen of dat er een keer iemand met geheime informatie de deur uitloopt. Ja, dat gaat niemand.
Renco:Ja, dat moet toch kunnen.
Johan:Ja, nee. Nee, dus ja, dat is inderdaad een voordeel bij dit soort onderwerpen. Ja, leuk. Maar favoriet blijven wel ook voor mij de onderwerpen die aan bijvoorbeeld doelgroepen raken die zelf geen stem hebben richting een gemeentebestuur. Dus bij mij komt ook wel een onderzoek naar armoedebeleid naar boven.
Johan:Waarin we dan kijken van joh, hoe bereiken nou die regelingen de doelgroep? Wat vinden die mensen daar zelf van? Dus we zijn daar ook met mensen in de stad in gesprek gegaan om te
Renco:Ja, daar waar Vince net zei, dat je heel dicht bij die burger
Johan:staat. Ja,
Renco:ja, ja. Nou, ik vond het een ontzettend interessante en gezellige gesprek zo samen. Dank Vince, dank Johan voor jullie tijd en openhartigheid. En met jullie goedvinden zal ik ook in de show notes van deze aflevering een linkje opnemen. Of misschien zelfs wel meer naar jullie internetsite waar jij dan alle rapporten kan vinden.
Vince:Mooi, ja.
Renco:En nou, ik hoop dat jullie deze opname ook nog even zelf terugluisteren. Al is het maar omdat het altijd wat apart is om je eigen stem weer terug te horen. Voor nu heel veel dank en ja, tot ziens.
Vince:Ja, dank je wel.
Renco:Daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassing in je eigen werk. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert. Tot dan!
