De achterdeur stond wagenwijd open bij de gemeente Rotterdam

De achterdeur stond wagenwijd open bij de gemeente Rotterdam

Auteur: Sander Diks CIA - Drs. Margot Hovestad RO
Beeld: 123RF®
7 min

Paul Hofstra, directeur van de Rekenkamer Rotterdam, over het rapport In onveilige handen en de unieke rol van de gemeentelijke rekenkamer.

Hoe wordt een oud-bestuursvoorzitter van het IIA directeur van de Rekenkamer Rotterdam?

“Ik was van 1998 tot 2001 voorzitter van het IIA. Toen ik begon als voorzitter was ik hoofd Operational Audit van de Belastingdienst. Halverwege mijn termijn als voorzitter van het IIA maakte ik de overstap naar Deloitte. Daar werd ik – als niet-RA – partner in de accountantspraktijk. Uiteindelijk ging deze functie schuren met mijn bestuurswerk en besloot ik te stoppen bij het IIA. Na tien jaar externe praktijk wilde ik graag terugkeren in het publieke domein en werd ik in 2009 directeur van de Rekenkamer Rotterdam door gewoon een sollicitatiebrief te sturen toen de functie beschikbaar kwam.”

Waarom solliciteerde u?

“Ik heb destijds gesolliciteerd omdat in deze functie een aantal elementen samenkomen die ik uitdagend en inspirerend vind: onderzoekswerk in een complexe politiek bestuurlijke context. En ook nog eens in Rotterdam, de stad waar ik vandaan kom. Je bent in deze functie bovendien je eigen opdrachtgever en aan geen enkel orgaan verantwoording verschuldigd. Die combinatie is vrij uniek. Je krijgt een bestuurstermijn van zes jaar met mogelijkheid van herbenoeming. Ik zit nu halverwege mijn tweede termijn.”

Paul Hofstra, Rekenkamer Rotterdam: “Het college heeft willens en wetens risico’s gelopen. Dat vind ik ernstig en neem ik het college behoorlijk kwalijk”

Het thema van dit nummer is ‘veiligheid’. De rekenkamer publiceerde begin 2017 het rapport In onveilige handen.  Wat zijn de belangrijkste conclusies?

“We hebben het onderzoek zelf geïnitieerd en gekeken naar de bescherming van gevoelige digitale informatie zoals bijzondere persoonsgegevens, omdat daar een wettelijke taak van de gemeente ligt. Onze conclusie was dat de bescherming van geen kant klopte aan de daaraan te stellen eisen. De gemeente had zelf het idee dat het allemaal best goed op orde was. Zij heeft vooral gekeken naar het risico van cyberaanvallen van buiten. En dat is inderdaad goed geregeld. Het is ons tijdens het onderzoek dan ook niet gelukt om via internet bij gevoelige informatie te komen.”

Maar…

“Helaas stond de achterdeur wel wagenwijd open. Op de fysieke locaties konden onze mensen zo binnenlopen ondanks de poortjes en beveiliging. Vervolgens was het vrij eenvoudig om toegang te krijgen tot gemeentelijke informatiesystemen. De door de rekenkamer ingehuurde hackers hadden binnen een halve dag de hoogste rechten in handen en waren in principe in staat om bruggen open te zetten, verkeerslichten te ontregelen en hadden toegang tot de agenda’s van de leden van het college van Burgemeester en Wethouders (college). Hierdoor bestaan er risico’s op identiteitsfraude, verstoring van de openbare orde, misbruik van publieke middelen en fysieke onveiligheid van bijvoorbeeld collegeleden. Het merendeel van de conclusies was overigens twee jaar geleden al bekend bij het college, maar er is toen vrijwel niets mee gedaan. Het college heeft daardoor willens en wetens risico’s gelopen. Dat vind ik ernstig en neem ik het college behoorlijk kwalijk.”

Bent u er achter gekomen waarom het college niets heeft gedaan met de kennis die zij al twee jaar had?

“Twee jaar terug was wellicht de financiële positie meer precair dan nu het geval is. Het was een ingewikkelde tijd met veel reorganisaties en grote tekorten. Informatiebeveiliging had, mede gegeven de financiële beperkingen, niet de prioriteit die het nodig had. Anderzijds had de gemeente het idee dat er weinig problemen waren, omdat de beveiliging tegen aanvallen van buiten goed op orde was. Misschien was het college ook echt niet op de hoogte van de omvang van het probleem. Twee jaar terug zijn er namelijk geen inlooptesten uitgevoerd zoals wij nu wel hebben gedaan, waardoor ook niet duidelijk werd dat de achterdeur wagenwijd openstond. Gelukkig komt er nu een meerjarig programma Informatiebeveiliging en worden er miljoenen euro’s extra per jaar uitgetrokken voor informatiebeveiliging. Dat ligt vast in de voorjaarsnota 2017. Dat is pure winst en dat werd tijd ook.“

“Het is bij mijn weten nog nooit eerder voorgekomen dat binnen een publieke organisatie het ene bestuursorgaan het andere voor de rechter dreigde te slepen”

Het college heeft geprobeerd de publicatie van het rapport tegen te houden. Waarom?

“Ik weet het niet precies. In de eindfase van het onderzoek heb ik de ambtelijke top mondeling geïnformeerd over de uitkomsten en de conclusies die de rekenkamer daaraan zou verbinden. Het bleek dat er geen verschil van mening was over de resultaten van het onderzoek. Ik heb tijdens deze bijeenkomst aangegeven dat het rapport openbaar zou worden gemaakt. Een mededeling waar de gemeente niet mee kon leven, waardoor de rekenkamer in een traject terechtkwam dat er uiteindelijk in resulteerde dat de gemeente dreigde met een kort geding als er zou worden gepubliceerd.”

Dat is tamelijk uniek. Is dat eerder voorgekomen?

“Het is bij mijn weten nog nooit eerder voorgekomen dat binnen een publieke organisatie het ene bestuursorgaan het andere voor de rechter dreigde te slepen. Als het gaat om publicatie van rekenkamerrapporten is de wet volstrekt helder: een onderzoeksrapport van de rekenkamer wordt openbaar gemaakt tenzij er naar de aard vertrouwelijke informatie in staat. Dat was hier niet het geval. Door het college werd het rapport van meet af aan geframed als een ‘handboek voor hackers’. We zouden door publicatie van het rapport kwaadwillende hackers vrij spel geven en de burgers en medewerkers van de gemeente daardoor onnodig in gevaar brengen. Onzin natuurlijk want hackers hebben mijn rapport helemaal niet nodig. Bovendien maakten de technische analyses geen onderdeel uit van het gepubliceerde rapport. Die liggen hier veilig in de kluis.”

Had u het gevoel dat het college niet meer terug kon?

“Dat gevoel had ik wel. Als je al begint te roepen dat het rapport een les is in ‘hoe hack je de gemeente’, dan sla je een duidelijke toon aan. Het blijft gissen, maar het wordt lastig als je eenmaal een dergelijke weg hebt ingeslagen om dan achteraf te zeggen, ‘Ach, het valt allemaal wel mee’. Nu het rapport is gepubliceerd, is ook niet gebleken dat er problemen zijn geweest. Het rapport heeft uiteindelijk met het meerjarig programma Informatiebeveiliging een positieve doorwerking gekregen. En overigens niet alleen in Rotterdam.”

Toch hebt u een aantal concessies gedaan in het rapport

“Ik heb geen concessies gedaan maar wel een beperkt aantal wijzigingen aangebracht. Naar aanleiding van de dreiging van het kort geding is gekeken of alles wat in het rapport stond ook echt nodig was om de conclusies te onderbouwen. Wij hebben toen bijvoorbeeld de plaatjes die erin stonden verwijderd. Ook is een aantal zinnen iets anders geformuleerd zonder dat dat afbreuk deed aan de conclusies. Het college wilde ook de laatste twee hoofdstukken er helemaal uit hebben. Dat hebben wij niet gedaan. Ik heb namelijk naast de wettelijke bepalingen ook nog te maken met de Professional Standards van het IIA, ik ben RO en CIA. Ik kan daardoor niet zomaar teksten schrappen zonder afbreuk te doen aan de conclusies. Daarnaast sta ik niet toe dat de inhoud van een rapport de uitkomst wordt van een onderhandelingstraject met het college. Dat zou een forse inbreuk betekenen op de positie van de rekenkamer. Ook vind ik dat het afleggen van verantwoording over het gevoerde beleid door het college ten principale met ‘open raadsdeuren’ moet plaatsvinden, dat wil zeggen, in volle openbaarheid.”

U geeft aan dat het niet alleen een positieve uitkomst had voor gemeente Rotterdam. Zijn er ook lessen te trekken voor andere organisaties?

“Het belangrijkste is dat het belang van informatiebeveiliging prominenter op de agenda van de gemeente Rotterdam is komen te staan. Informatiebeveiliging is ‘Chefsache’ geworden. Wij hebben echter ook veel reacties gekregen van andere organisaties en niet alleen van rekenkamers. Verschillende publieke organisaties hebben gevraagd of zij ons plan van aanpak mogen ontvangen. Ik heb zelfs verzoeken uit België gekregen om het rapport op te sturen. Het heeft daarmee een breed effect gehad. De digitale kwetsbaarheid is natuurlijk ook niet alleen iets van de gemeente Rotterdam maar speelt breed.”

In hoeverre werken Concern Audit van de gemeente Rotterdam en de rekenkamer samen?

“Ik heb een keer per kwartaal overleg met het hoofd Concern Audit en dan bespreken wij onze plannen en nemen we kennis van de uitkomsten van elkaars onderzoeken. Dit betekent overigens niet dat ik bepaalde onderwerpen niet oppak omdat Concern Audit hier al onderzoek naar doet. De positie en doelgroep van de rekenkamer wijkt namelijk af van die van Concern Audit. Concern Audit is er ten behoeve van het college. De onafhankelijkheid is daarmee relatief. De rekenkamer is echt onafhankelijk, zowel van de gemeenteraad als van het college. Dat is wettelijk zo geregeld. En omdat onze rapporten per definitie openbaar gemaakt worden, hebben ze een grotere impact en zijn ze vaak ook politiek gevoeliger. We bepalen namelijk zelf onze onderzoeksagenda. Wij steunen soms wel op informatie van Concern Audit. Ik heb een hoge pet op van de kwaliteit van Concern Audit. Het is een van de weinige organisatieonderdelen waar wij op willen en kunnen steunen. Vanwege de kwaliteit die ze leveren én omdat ze relatief onafhankelijk tot een oordeel komen.“

“Ik waak ervoor dat de rekenkamer gebruikt wordt als politiek breekijzer. Omdat ik over mijn eigen onderzoeksagenda ga kan ik verzoeken dus ook weigeren”

Hoe komt het onderzoeksprogramma van de rekenkamer tot stand?

“We starten met het opstellen van een longlist. Deze komt tot stand door gesprekken met de circa 150 stakeholders van de rekenkamer. Het onderzoeksbureau van de rekenkamer voert onderzoeken uit voor de gemeenten Rotterdam, Barendrecht, Lansingerland en Capelle aan den IJssel. Dat betekent dus gesprekken met vier burgermeesters, alle wethouders, alle fracties in de gemeenteraden, directeuren van ambtelijke diensten en een keur aan maatschappelijke organisaties. Daarnaast voeg ik onderzoeken toe aan de lijst waarvan ik en mijn medewerkers vinden dat deze uitgevoerd dienen te worden.”

En dan inkorten dus?

“De longlist wordt vervolgens teruggebracht tot een shortlist van tien tot vijftien onderwerpen per gemeente. De shortlist wordt met behulp van elektronische stemapparatuur in separate sessies geprioriteerd door de betrokken gemeenteraden en de medewerkers van de rekenkamer. Aangezien ik enig lid van de rekenkamer ben en de wet niet toestaat dat er een andere opdrachtgever is dan de directeur van de rekenkamer, geef ik uiteindelijk formeel een klap op het onderzoeksprogramma. Ook krijg ik gedurende het jaar twee tot drie verzoeken van de gemeenteraad van Rotterdam, waarvoor ik ruimte aanhoud in de toe te wijzen onderzoekscapaciteit. Deze verzoeken worden per motie ingediend. Om gehoor te kunnen geven aan een dergelijk verzoek vind ik het belangrijk dat een comfortabele meerderheid in de gemeenteraad het onderzoek steunt. Ik waak ervoor dat de rekenkamer gebruikt wordt als politiek breekijzer. Omdat ik over mijn eigen onderzoeksagenda ga kan ik verzoeken dus ook weigeren.”

Zijn er verschillen tussen internal auditors en onderzoekers van de rekenkamer?

“Niet zozeer in kwaliteit maar wel in expertise. De meeste onderzoeken van de rekenkamer zijn beleidseffectiviteitsonderzoeken. Onze expertise ligt dan ook vooral op dit vlak. De meeste internal auditors houden zich hier niet mee bezig. Een internal auditor is sterk gericht op management control en op onderzoeken met een operational-auditinsteek. Maar als je kijkt naar de onderzoeken die wij verrichten gericht op bedrijfsvoering, dan komt dat redelijk overeen met wat ik gewend was bij een IAF. Ondanks dat ik qua achtergrond en opleiding een heel breed team heb, zit er geen RA en sinds kort ook geen RO meer in mijn team. Dit zou ik graag nog willen veranderen.”

Over
Paul Hofstra was inspecteur van financiën op het ministerie van Financiën, hoofd Operational Audit bij de Belastingdienst en partner bij Deloitte Accountants. Sinds juni 2009 is hij directeur van de Rekenkamer Rotterdam, Barendrecht, Capelle aan den IJssel en Lansingerland. Van 1998 tot 2001 was Hofstra bestuursvoorzitter van het IIA.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp: