‘Gemeenten, laat zien dat jullie het vertrouwen van burgers waard zijn’

Informatiebeveiliging bij gemeenten loopt achter bij digitalisering

Gemeenten slaan steeds meer gegevens digitaal op. Het gaat dan om de basisadministratie met burgerservicenummers en persoonsgegevens van inwoners, maar ook om de uitkeringenadministratie, eventuele schuldsanering, parkeergegevens of vergunningen. ‘Gemeenten hebben de plicht te zorgen dat deze vertrouwelijke informatie veilig is. Ze moeten laten zien dat ze het vertrouwen van burgers waard zijn’, zegt Koedijk. ‘De beveiliging van gegevens loopt vaak achter bij het proces van digitalisering dat bij gemeenten aan de gang is.’

Mogelijke schade aan imago en vertrouwen

Koedijk knikt instemmend. ‘De informatieveiligheid is bij gemeenten nog onvoldoende op orde. Stel dat er een incident is met de persoonlijke gegevens van inwoners en de Autoriteit Persoonsgegevens vindt het verwijtbaar wat er is gebeurd, dan kan een gemeente op grond van de Algemene verordening gegevensbescherming (AVG) een forse boete opgelegd krijgen. Daarnaast is er de aanzienlijke schade aan het imago en het vertrouwen, die is eigenlijk nog ernstiger. Kijk bijvoorbeeld naar de ransomware-aanval vlak voor kerst bij de universiteit van Maastricht. Die werd meerdere dagen breed uitgemeten in de landelijke media.’

- Het is een normenkader, wat wil dat zeggen?

‘Een normenkader is een set doelstellingen die je als overheid wilt bereiken’, legt Koedijk uit. ‘Elke overheidsorganisatie en elke gemeente kan zich op basis van de BIO afvragen: wat betekent dit voor ons? Gemeenten moeten zelf onderzoeken en bepalen wat ze, afhankelijk van het eigen risicoprofiel, moeten doen om zich beter te beschermen tegen risico’s.’

- Wiens probleem is dit bij gemeenten?

Koedijk: ‘De wethouder bedrijfsvoering of ICT  is eindverantwoordelijk op dit terrein en de gemeentesecretaris of de directeur bedrijfsvoering moet dit met hulp van de chief information security officer (CISO) goed regelen. De raad heeft een toezichthoudende rol. Als er iets misgaat, wordt de wethouder daarop aangekeken en de raad zal hem of haar daarover dan vragen stellen. Nog beter is het als de raad een actieve onderzoekende houding aanneemt en de wethouder sowieso op dit thema bevraagt ter voorkoming van incidenten.’

- Weten colleges van burgemeester en wethouders wat ze moeten doen als het gaat om de invoering van de BIO?

Koedijk: ‘De meesten vinden het een ingewikkeld onderwerp. B en W vertrouwt op de ambtelijke organisatie. Het is echter heel moeilijk om goede mensen aan te trekken op dit gebied. Gemeenten nemen wel allerlei initiatieven, maar meestal ontbreekt de samenhang en is er geen integraal “plan-do-check-act-proces” waarop een organisatie kan bijsturen.’

- Wat staat gemeenten nu te doen als ze ernst willen maken met het invoeren van de BIO?

Koedijk: ‘Vanuit de top van gemeentelijke organisaties moet er aandacht komen voor dit onderwerp. Er moet een integrale risicoanalyse worden gemaakt en op basis daarvan moet er een plan komen en dat moet met voorrang worden uitgevoerd, gemonitord en aangepast waar nodig. De verantwoordelijkheden moeten duidelijk zijn. Er moeten mensen komen die het kunnen doen. Maar helaas is het vinden van mensen met de juiste kennis een groeiend probleem. Soms moet het met inhuur worden opgelost en het is dan best lastig om die kennis goed in de organisatie te verankeren.’

Gericht verbeterplannen maken

‘Vervolgens stellen gemeenten vast welke gegevens met prioriteit beveiligd moeten worden’, legt Koedijk uit. ‘Ook wordt een technische analyse uitgevoerd om te bepalen welke beveiligingsmaatregelen er al getroffen zijn voor die belangrijke gegevens en hoe effectief die zijn. Als daaruit tekortkomingen blijken, kun je gericht verbeterplannen maken en die uitvoeren. Als de cruciale gegevens veilig zijn, kun je daarna een meeromvattend plan maken voor de hele organisatie.’

Creëer bewustzijn bij medewerkers over onveilig gedrag

Koedijk: ‘Tenslotte is het belangrijk om voorbereid te zijn. Onderdeel van de verbetering van de veiligheid is het creëren van bewustzijn bij medewerkers over onveilig gedrag. Veel incidenten vinden hun oorsprong bij de eigen mensen. Daarnaast is het invoeren van een protocol belangrijk. Daarin staat beschreven hoe er moet worden gereageerd als zich een incident voordoet. Wat doe je dan om het incident het hoofd te bieden? Hoe voorkom je dat een virus zich verder verspreidt? Zijn er back-upsystemen? Is er een communicatieplan waarin staat hoe medewerkers en de buitenwereld geïnformeerd moeten worden? Afhankelijk van de omvang van een incident komt het in het publieke domein terecht en dan moet een gemeente weten wat er gezegd moet worden en wat niet.’