De Utrechtse rekenkamer constateert dat de gemeente sinds 2021 goede stappen heeft gezet met de beveiliging van haar digitale systemen. Het lukte ethische hackers niet die te kraken. Maar waar Utrecht zijn digitale beveiliging op orde lijkt te hebben, geldt dat niet voor de fysieke beveiliging. De rekenkamer had ‘ingehuurde insluipers’ ingezet om te onderzoeken hoeveel moeite het kost om de beveiligde delen van het stadskantoor en het stadhuis te betreden.

Insluipers

Dat bleek nog altijd betrekkelijk eenvoudig, ondanks de investeringen die de gemeente had gedaan na 2021 toen een soortgelijk onderzoek plaatsvond. Nog steeds konden insluipers ongezien de beveiligde delen van beide gebouwen betreden en daar ook langere tijd verblijven. Sterker nog: de insluipers werden geen enkele keer door medewerkers op hun aanwezigheid aangesproken.
Dit is niet zonder risico’s, schrijft de rekenkamer. Want nog altijd wordt belangrijke informatie soms op papier bewaard en informatie – en apparaten – kunnen nog altijd worden gestolen. 
In het algemeen constateert de Rekenkamer Utrecht dat het gedrag van medewerkers niet is verbeterd. Niet alleen spreken ze insluipers niet aan, ze geven ook gevoelige informatie zoals inloggegevens af aan mensen met slechte bedoelingen.

Mobiel werken

Het onderzoek van de Rekenkamer Den Haag richtte zich op de kwetsbaarheden van mobiel werken. Bij het besluit om mobiel werken uit te breiden, heeft de gemeente volgens de rekenkamer onvoldoende onderzocht wat daarvan de risico’s zijn. Ook doet ze te weinig aan het bewust en medeverantwoordelijk maken van medewerkers voor veilig werken. 
Den Haag maakt verder te weinig gebruik van de technische mogelijkheden om mobiel werk te beveiligen, en heeft onvoldoende zicht op wie voor welk programma verantwoordelijk is.
Overigens kwamen uit het onderzoek geen ‘directe bedreigingen’ voor de digitale veiligheid naar voren, schrijft de rekenkamer enigszins geruststellend.