Gemeenten doen op grote schaal aan gegevensverwerking en zij verzamelen, beheren en verwerken daarbij
niet zelden gevoelige persoonsgegevens. Die verwerking vindt plaats in steeds complexere structuren van
(keten-)samenwerking en uitbesteding. Zij moeten daarbij in toenemende mate letten op de
informatiebeveiliging en privacybescherming. Wet- en regelgeving en bestuurlijke afspraken1 – denk aan de
AVG (2016), de BIG (2012) en de BIO (2019), maar ook aan VNG-resoluties (2013 en 2021)2 en de in VNG-
verband vastgestelde 10 bestuurlijke principes voor informatiebeveiliging3 – dwingen gemeenten om hun
informatiebeveiliging serieus te nemen. Doordat de (persoons)gegevens en informatieprocessen steeds meer
gedigitaliseerd zijn, worden gemeenten ook kwetsbaarder voor cybercriminaliteit, of die nu bedoeld is om
bepaalde gegevens te verkrijgen of als afpersingsmiddel. Gemeenten dienen zich daartegen te wapenen,
maar slagen daar niet altijd goed in, getuige recente datalekken en veiligheidsincidenten in bijvoorbeeld de
gemeenten Hof van Twente en Buren.

De uitdagingen waarmee gemeenten worden geconfronteerd vormden de aanleiding voor de gezamenlijke
rekenkamer(commissie)s4 in de regio Rijk van Nijmegen om de stand van zaken van de informatiebeveiliging
en privacybescherming in hun gemeentelijke organisatie te onderzoeken.