VNG Magazine nummer 5, 22 maart 2024
Tekst: Marten Muskee | Beeld: Shutterstock
NIS2 komt eraan, de EU-richtlijn voor de beveiliging van netwerk- en informatiesystemen. Gemeenten moeten vanaf oktober aan de Europese regels voldoen. Raadslid Alda van Zijl uit Buren pleit voor bewustwording bij gemeenteraden als het gaat om cybersecurity.
Tijdens de afgelopen algemene beschouwingen in Buren bracht raadslid Alda van Zijl de nieuwe Europese cybersecuritywet NIS2 ter sprake. De nieuwe regels moeten organisaties van vitaal belang, waaronder de gemeenten, beter beschermen tegen cyberaanvallen. Onder de bestaande regels zijn de lokale overheden nog uitgezonderd van die eis, maar vanaf aankomende oktober moeten ook gemeenten aan de nieuwe richtlijn voldoen, weet Van Zijl. Maar voor een deel van de raad was het nieuw, zegt ze. ‘Iedereen keek me vragend aan. De meeste raadsleden wisten niet dat dit eraan komt.’
CISO
Na de algemene beschouwingen ging Van Zijl (D66), die ook lid is van de VNG-commissie Raadsleden en Griffiers, het gesprek aan met de burgemeester en verantwoordelijk wethouder: hoe kan er meer bewustzijn komen? De gemeenteraad moet worden meegenomen in digitale veiligheid, want gemeenten zijn verantwoordelijk, zegt ze. ‘Van onze Chief Information Security Officer (CISO) begreep ik dat ambtenaren een wekelijks online lesprogramma krijgen voorgeschoteld, waarbij ze iets leren over digitale veiligheid of phishing. Op mijn voorstel doen raadsleden daar nu ook aan mee.’
Je moet niet even snel een bericht versturen via Gmail
De meeste raadsleden, ambtenaren en bestuurders beseffen het volgens Van Zijl nog niet goed, maar de CISO gaat een belangrijke rol spelen. De functionaris brengt digitale veiligheid onder de aandacht van bestuurders omdat die straks, onder NIS2, verantwoordelijk zijn. Digitale veiligheid wordt chefsache. Dat maakt ook duidelijk dat op dit onderwerp de samenwerking tussen college en raad verbetering behoeft. Daar valt in de meeste gemeenten nog een wereld te winnen, is de ervaring van Van Zijl. ‘Het verhaal richting de raad hoeft niet heel technisch te zijn, als iedereen maar beseft wat de risico’s zijn. Het gaat om basiskennis en informatie waarmee raadsleden zich kunnen inbeelden wat de gevaren zijn. Dat is best een uitdaging en dat moet nog dit jaar gebeuren. Ook colleges en ambtenaren moeten het goed tussen de oren krijgen. Gemeenten werken met privacygevoelige gegevens van inwoners. Daar moet je zorgvuldig mee omgaan.’
Gehackt
Digitale veiligheid is geen sexy onderwerp. De meeste mensen gebruiken internet om iets te bestellen of om een spelletje te spelen. Totdat gegevens gehackt worden en een crimineel hun persoonlijkheid overneemt. Als een gemeente wordt gehackt, zijn de gevolgen veel ernstiger, zegt Van Zijl. ‘Het hele systeem ligt plat. Inwoners die dringend een paspoort nodig hebben, krijgen dat document niet. Uitkeringen kunnen niet worden uitbetaald. Het kost heel veel geld, energie en tijd om het systeem weer draaiende te krijgen.’
De gemeente Buren heeft met een hack te maken gehad. Dan mag je ervan uitgaan dat iedereen nu superalert is, schetst Van Zijl. ‘Iedereen denkt dat we na die hack alles hebben opgelost en dat het veilig is. Op zich is dat momenteel ook wel zo, maar het is een vorm van schijnveiligheid.’
Catastrofale gevolgen
Heel kleine dingetjes die in de organisatie al jarenlang gewoonte zijn, kunnen catastrofale gevolgen hebben. Als voorbeeld noemt Van Zijl het bewaren van een kopie van een paspoort. Dat mag eigenlijk niet. Tijdens de hack in Buren zijn paspoorten en rijbewijzen digitaal gestolen. ‘Een heleboel inwoners, onder wie ikzelf, kregen een nieuw rijbewijs en paspoort om mogelijke identiteitsfraude te voorkomen.’
Een heleboel inwoners kregen een nieuw rijbewijs en paspoort om identiteitsfraude te voorkomen
Een ander voorbeeld is dat de ambtenaren en de bestuurders altijd met beveiligde e-mailadressen moeten werken, dus via het gemeentelijke e-mailadres. ‘Dan moet je niet voor het gemak even snel een bericht versturen via Gmail op je telefoon, omdat je geen zin hebt om in te loggen en een dubbele securitycheck te doorlopen. Het is echt van belang met een goed e-mailprogramma te werken dat beveiligd is.’
Privacy
Een overzicht van ENSIA, de verantwoordingsmethodiek voor informatieveiligheid en basisregistraties van gemeenten, liet zien dat gemeenten op het gebied van privacy goed acteren. Maar volgens het Burense raadslid moeten gemeenten niet achterover gaan leunen. NIS2 is de opvolger van ENSIA en heeft namelijk een bredere reikwijdte. Het is daarom hoog tijd voor de privacy officer of CISO om daarover het gesprek aan te gaan met ambtenaren en het bestuur, zegt Van Zijl. ‘Wat zijn de kaders en wat moeten we controleren? Daar moeten we samen het gesprek over aangaan.’
Voor wat betreft het uitwisselen van gegevens van inwoners met ketenpartners, zoals in de zorg, horen gemeenten zich wat betreft Van Zijl strikt aan de AVG-regelgeving te houden. Die is er niet voor niets. Volgens het raadslid is de privacywet ook geen bottleneck om tot goed zorgbeleid te komen. Het ministerie van Volksgezondheid is immers bezig met de ontwikkeling van speciale programma’s als het elektronisch patiëntendossier die het werk van ambtenaren vergemakkelijken. ‘Alles staat dan in één dossier waarbij bepaalde medewerkers van bepaalde organisaties in de zorgketen toegang hebben. Maar die medewerkers moeten dan weer niet in een mail bijlagen versturen. Dat kan echt niet.’
Bewustwording
Het feit dat niet alle gemeenten hun cyberweerbaarheid evengoed op orde hebben, heeft volgens Van Zijl niet zozeer te maken met middelen en menskracht, dan wel met bewustwording. Daarom is het belangrijk dat de CISO met een wensenlijst rond de nieuwe wet naar het college stapt. Die legt vervolgens de vraag voor aan de gemeenteraad, die geld beschikbaar stelt. ‘Dan krijg je interactie en dan gebeurt er wat.’
Niks is honderd procent zeker, maar AI gaat zeker voordelen bieden
De VNG Agenda Digitale Veiligheid en de bijeenkomsten van Raad op Zaterdag van de VNG en de raadsledenvereniging NVvR dragen zeker bij aan de bewustwording, zegt Van Zijl. Op een gegeven moment moet het dan toch doordringen bij iedereen. Het helpt dan niet, zegt ze, dat het om abstracte materie gaat. De omgevingsvisie zit meer tussen de oren. ‘Het is echt wel een dingetje om digitale veiligheid op het netvlies te krijgen tussen alle grote opgaven als stikstof, de woningbouw, klimaatadaptatie en energietransitie.’
Volgens Van Zijl speelt bij die onderwerpen emotie mee. Inwoners maken zich er druk om, en dat trekt weer de aandacht van gemeenteraadsleden. ‘Je wordt er ook niet populair mee als je hier continu op hamert’, weet Van Zijl. ‘Ik kreeg het in ieder geval voor elkaar dat raadsleden wekelijks aan een klein lesprogramma meedoen. Een eenvoudig begin dat niets kost, want de gemeente had het abonnement al. Niet iedereen vindt de vragen even leuk, maar het gaat niet om leuk. Het gaat om het belang van digitale veiligheid.’
Zegeningen
Ondanks alle gevaren telt Van Zijl de zegeningen van het digitale tijdperk. Ze is dan ook onder de indruk van AI en voorspelt dat dit de gemeentelijke organisatie voordelen gaat opleveren. Wel is het van belang om als ambtenaar alert te blijven. AI is gebaseerd op data die ingebracht of verzameld worden. Als in die input ergens een fout zit, gaat dat eeuwig mee. ‘Vertrouw niet blind op wat AI je geeft, check altijd of de gegevens kloppen. De toeslagenaffaire is eigenlijk een AI-verhaal. Als je verkeerde dingen in een database stopt, komt er iets uit wat een eigen leven gaat leiden. Overigens kan een ambtenaar ook onbewust fouten maken als die iets interpreteert. Niks is honderd procent zeker, maar AI gaat zeker voordelen bieden. Kijk naar de medische wereld. Bij darmonderzoek haalt AI veertig procent meer gevallen boven water dan de specialist. AI wordt niet moe en ziet alles.’