• Buro Jansen & Janssen is een onderzoeksburo dat politie, justitie, inlichtingendiensten, de overheid in Nederland en Europa kritisch volgt. Een grond-rechten kollektief dat al 30 jaar publiceert over uitbreiding van repressieve wetgeving, publiek-private samenwerking, bevoegdheden, overheids-optreden en andere staatsaangelegenheden.
    Buro Jansen & Janssen Postbus 10591, 1001EN Amsterdam, 020-6123202, 06-34339533, signal +31684065516, info@burojansen.nl (pgp)
    Steun Buro Jansen & Janssen. Word donateur, NL43 ASNB 0856 9868 52 of NL56 INGB 0000 6039 04 ten name van Stichting Res Publica, Postbus 11556, 1001 GN Amsterdam.

  • Jeugdzorg Beveiliging ICT Infrastructuur

    Wob gedaan door Jeroen van der Ham ook te vinden op zijn website

    Het begon allemaal met een startknop. Niet veel later was er een dikke vinger. Na een jaar stond ik voor het eerst voor de rechter en uiteindelijk kreeg ik na veel aandringen te horen dat ik niets zou krijgen. Niet omdat het niet mocht, maar omdat er niets te halen viel. Maar daarmee kan ik wel laten zien dat de gemeente geen interesse lijkt te tonen voor de beveiliging van een belangrijke ICT infrastructuur. Een verslag van mijn eerste WOB-verzoek.

    In oktober 2013 ging ik met mijn jongste dochter naar het consultatiebureau. De kinderarts zocht wat dingen op en ik keek mee op het scherm. Tot mijn schrik zag ik daar een grijze startknop. Zo een die hoort bij een uitgefaseerde Windows versie. Maar op die computer staat heel veel gevoelige informatie over mij, mijn dochter, maar ook over andere ouders en kinderen in de buurt, en verbonden met computers met gegevens uit heel Utrecht.

    WOB verzoek

    De Wet Openbaarheid Bestuur fascineerde me al langer en nu had ik meteen een erg belangrijk onderwerp. Met behulp van het WOB-verzoek over het EPD van Brenno de Winter, had ik vrij makkelijk iets in elkaar gedraaid en al snel electronisch naar de gemeente gestuurd. Ik wilde informeren naar de beveiliging van de infrastructuur voor het elektronisch kinddossier(Later realiseerde ik me dat het “elektronisch kinddossier” allang afgeschoten was. Zo’n groot plan komt er dan natuurlijk toch wel maar dan met een minder sexy naam. Het werd “digitaal dossier jeugdgezondheidszorg”). Na een paar dagen kwam de bevestiging en dan begint het wachten.

    De gemeente heeft in eerste instantie vier weken om op een verzoek te reageren. Ze kunnen die termijn eventueel verlengen met vier weken, maar dat gebeurde niet (die verlenging doet de gemeente Utrecht nu standaard in de bevestigingsbrief al). Na vijf weken was er nog steeds niets en ik begon me af te vragen of ik dan die beruchte boete kon gaan opeisen. Maar op de allerlaatste dag van de termijn viel het besluit op de mat: uw aanvraag slaat niet op documenten die onder de WOB vallen dus u krijgt niets.

    Bezwaar maken

    Ik was verbijsterd, aangezien Brenno toch een hoop documenten boven tafel had gehaald met zijn EPD verzoek. Ook had ik contactgegevens in de brief gezet, dat ik beschikbaar was als er vragen waren over mijn verzoek. Maar de gemeente en GGD laten niets van zich horen. Ik begon te informeren bij anderen met meer ervaring. Onder andere bij Dimitri Tokmetzis, die er een gesneden column over schreef.

    Met hulp van anderen heb ik een bezwaarschrift ingediend over het verzoek en in januari 2014 was er een hoorzitting bij de gemeente. Deze werd voorgezeten door een andere ambtenaar. Ze had de stukken bestudeerd en eigenlijk voor de hoorzitting haar besluit al genomen. Ik mocht mijn bezwaren toelichten. Er werd al vrij snel erg duidelijk doorgeschemerd dat het weinig zin had. Het uiteindelijke besluit zou door de burgemeester en wethouders worden genomen, maar het advies van de ambtenaar zou zeer zwaar wegen. En inderdaad, een paar weken later lag de afwijzing in de bus: mijn bezwaar was ongegrond verklaard.

    Gang naar de rechter

    De betuttelende houding van de ambtenaren samen met deze afwijzing stuiten me zeer tegen de borst. Ik ben nu nog gemotiveerder om dit tot op de bodem uit te zoeken. Dit betekent wel dat ik naar de rechter moet. Ik dien in maart 2014 mijn bezwaar in en geef aan dat ik mijn gronden voor bezwaar later zal aanvullen.

    Na veel lees en zoekwerk blijft het allemaal toch best lastig. Ik besluit mijn rechtsbijstandsverzekering te benaderen, of ze me niet zouden kunnen helpen of bijstaan in mijn rechtsprocedure. Ik leg de hele procedure uit en tot mijn verbazing krijg ik al vrij snel te horen dat ze me bij zullen staan. De kosten voor de procedure worden betaald en een advocaat zal me helpen om de rechtsprocedure te doen. Ik beschrijf een flink aantal redenen waarom de gemeente wel stukken openbaar zou moeten maken en mijn advocaat helpt om dit juridisch goed omkleed in te dienen.

    Nieuw WOB-verzoek met resultaat

    Ik zoek ook samenwerking met Rejo Zenger, ervaren WOBber. Samen hebben we de formulering verbeterd en het WOB-verzoek beter opgesteld. Ongeveer gelijktijdig dienen we het nieuwe WOB-verzoek in, ik wederom in Utrecht, Rejo in Amsterdam. Al vrij snel krijg ik een bevestiging, met direct een verlenging van de beslistermijn.

    Tot mijn verbazing krijgen we na een paar weken in mei 2014 dan toch (eindelijk) wat documenten boven water:

    In Amsterdam krijgen we een vergelijkbare set aan documenten. Vooral de offerteaanvraag is een goede bron van inspiratie voor bezwaar. Er worden hoge eisen gesteld aan de beveiliging. Er moet een helpdesk zijn, incidentbeheer, upgrade beleid, bugs moeten snel verholpen worden, maar vooral belangrijk: hierover moet ook allemaal worden gerapporteerd. Een klein regeltje blijkt vooral erg hoopvol: het systeem moet voldoen aan de NEN normen 7510, 7511 en 7512.

    De NEN 7510 norm beschrijft beveiligingseisen voor medisch informatie systemen in Nederland. Het is bij wet verplicht dat medische systemen in de Jeugdzorg hieraan voldoen.
    Een handige quickscan (lokale kopie)van een consultancy bedrijf laat zien dat er zo een dozijn rapportage documenten moeten bestaan waarin de beveiliging van het systeem beschreven moet worden. Uiteraard maken we bezwaar en dienen dit in augustus 2014 bij de gemeentes Amsterdam en Utrecht. De beveiligingseisen rapporteer ik ook maar direct aan de rechter.

    Rechtsgang

    Uiteindelijk heeft de rechtbank op 28 augustus een plek in de agenda om mijn bezwaar over mijn eerste verzoek te behandelen. Tot mijn verbazing zie ik daar de ambtenaar van de hoorzitting, zij neemt plaats als verdediging van de gemeente Utrecht. Ze geeft al snel aan dat mijn bezwaar ongegrond is, want de gemeente heeft nu toch al documenten geopenbaard door mijn tweede verzoek. Na een kort beraad besluit de rechter dat mijn initiële beroep wel gegrond is, omdat de gemeente nu toch documenten openbaar heeft gemaakt. Maar ik ben in bezwaar gegaan, dus de rechter geeft ons nog de kans om deze procedure verder door te zetten. Mocht dat niet lukken kunnen we versneld bij de rechtbank terecht via de lopende procedure.

    Hoorzitting voor het tweede verzoek

    Op 10 september 2014 vindt dan de hoorzitting plaats voor mijn tweede verzoek, waarin wel een paar documenten openbaar waren gemaakt. Nu treffen we een veel welwillendere ambtenaar die respect toont voor het werk dat ik erin gestoken heb, en zich eigenlijk ook verbaast over het lage aantal documenten. Opnieuw vooringenomen dus, maar ditmaal in mijn voordeel. We besluiten op de zitting een informeel traject in te gaan. De ambtenaar zal aan de slag gaan en binnen een week aan te geven hoe snel de procedure afgerond zou kunnen worden.

    De positieve teneur van de hoorzitting blijkt na een week toch al snel weer te zijn verdwenen. Er blijft onduidelijkheid, de ambtelijke molen gaat ineens toch weer heel traag en er komt weinig uit. Uiteindelijk komt er dan op 16 oktober een memo met daarin samengevat: het systeem is extern gehost en akkoord bevonden, dus wij hebben niets. Ik besluit nog eenmaal te vragen of de gemeente dit echt zeker weet en dat dan maar in een officieel besluit te vervatten. [edit]Dit is op 3 december 2014 uiteindelijk op mijn deurmat gevallen. Zie Afsluiting WOB verzoek Jeugdzorg [/edit]

    Politieke desinteresse in ICT

    Uiteindelijk heb ik op 21 november 2014, meer dan een jaar na mijn originele verzoek, moeten concluderen dat de gemeente slechts summiere documentatie heeft over de veiligheid van de ICT voor de jeugdzorg. Volgens de eigen offerte en volgens de NEN 7510 norm waar het systeem wettelijk aan moet voldoen, moeten er meer dan een dozijn documenten en rapportages zijn. Dit varieert van een document over het informatiebeveiligingsbeleid, tot rapportages over het verhelpen van bugs of verbeteringen in de software.

    Het lijkt er op dat de gemeente voor de beveiliging van deze belangrijke infrastructuur vertrouwt op de blauwe ogen van de leverancier. Er is een clausule opgenomen in de aanbesteding, die zal teruggekomen zijn in het uiteindelijke contract. Na mijn WOB verzoeken is nu duidelijk dat er geen enkele rapportage beschikbaar is bij de gemeente over de status van de beveiliging van deze infrastructuur.

    De conclusies van de commissie Elias over ICT lijken ook hier van toepassing. ICT is geen hot issue voor de overheid en dat geldt blijkbaar tevens voor de beveiliging. Ik hoop dat men door mijn uitzoekwerk wakker geschud wordt. Dat ook gemeentes zich realiseren dat beveiliging geen status is of vinkje is, maar een continu proces. Ik hoop ook dat dit idee beter zal worden meegenomen bij de nieuwe decentralisatieplannen van de Jeugdzorg, met alle nieuwe verantwoordelijkheden, samenwerkingsverbanden en systemen die daarbij komen kijken…

     

    [Dutch] Afsluiting WOB verzoek Jeugdzorg

    Op 3 december 2014 heb ik de uiteindelijke beslissing gekregen op mijn bezwaar. Dit besluit heeft erg lang op zich laten wachten nadat we op 10 september geprobeerd hebben het informeel op te lossen. De gemeente heeft haar besluit nu uitvoerig gedocumenteerd.

    Het belangrijkste argument staat helemaal achteraan in de brief:

    Dat bepaalde informatie niet is aangetroffen binnen de gemeentelijke organisatie hangt samen met het feit dat het beheer en de hosting extern plaatsvindt bij een derde partij. Deze beheerder voldoet aan de geldende kwaliteitsstandaarden als ISO270001 en NEN7510. Voor onze heroverweging is van belang of deze partner als een onder onze verantwoordelijkheid werkzaam bedrijf is aan te merken. Een verzoek om informatie kan namelijk tot het bestuursorgaan zelf of tot een onder zijn verantwoordelijkheid werkzame instelling dienst of bedrijf worden gericht. Er is naar onze mening in dit geval geen sprake van een directe zeggenschap over de uitvoering van de werkzaamheden bij de beheerder of bestuurlijke werkzaamheden die onder onze verantwoordelijkheid wordt verricht. Bij onze heroverweging hebben wij dan ook geen onderzoek gedaan naar de informatie die beschikbaar is bij de beheerder.

    Kort samengevat: ‘Wij vertrouwen de leverancier op zijn blauwe ogen omdat ze met papiertjes kunnen zwaaien. Trouwens, we hebben de dienst uitbesteed, dus we zijn helemaal niet verantwoordelijk.’