Het bericht 'Duo niet goed beveiligd'

Vragen

1. V1Heeft u kennis genomen van het artikel «DUO niet goed beveiligd» op de website van ScienceGuide? 1

2. V2Klopt het dat de Auditdienst Rijk (ADR) in 2011 al heeft vastgesteld dat het informatiebeveiligingsplan niet volledig was afgerond? Klopt het dat eind 2012 er nog steeds sprake is van dat DUO «voortdurend risico's op het gebied van informatiebeveiliging loopt»? Welke concrete acties heeft u ondernomen of gaat u ondernemen om het tactische security-management te verbeteren?

3. V3Klopt het dat voor het bewaken van de voortgang en het uitvoeren een controlcyclus het auditrapport stelt dat het essentieel is dat het management van DUO «zichtbaar betrokken is»? Deelt u de stelling dat het management meer «zichtbaar betrokken» moet zijn? Zo ja, hoe wendt u uw invloed aan om dit te realiseren?

4. V4Klopt het dat in het aangehaalde auditrapport staat dat het ontbreken van een bedrijfscontinuïteitsplan (BCP) de kans vergroot dat bij een calamiteit niet de meest doelmatige procedures worden gevolgd? Klopt het dat dit kan leiden tot een groot politiek afbreukrisico? Bent u voornemens om nog dit jaar capaciteit vrij te maken voor het opstellen van een overkoepelend BCP, zoals in het auditrapport wordt aanbevolen?

5. V5Klopt het dat in het auditrapport expliciet gewaarschuwd wordt voor de risico's op het gebied van informatiebeveiliging, mede door de vele klantrelaties en de sterke afhankelijkheid van ICT? Deelt u de mening dat invoering van het leenstelsel deze kwetsbaarheid verder zou kunnen vergroten en studenten daardoor nog meer risico lopen dat hun vertrouwelijke gegevens in handen komen van onbevoegden? X Noot 1 ScienceGuide.nl, 8 augustus 2013