De Agenda Digitale Veiligheid 2020-2024 van de VNG is een handzaam stuk van nog geen twintig pagina’s waarin gemeenten vastleggen wat hun standpunten zijn. En vooral: welke acties zij gaan ondernemen om het vertrouwen van hun inwoners en bedrijven in hun digitale veiligheid te vergroten en vast te houden. De agenda pretendeert niet minder te doen dan het bieden van een toekomstperspectief voor gemeentebestuurders die hiermee kunnen werken aan een lokaal krachtige digitale overheid.

Het stuk valt uiteen in vier onderdelen: bewustzijn, goed bestuur, risicogericht handelen en één overheid/samen organiseren. Het begint, zegt burgemeester Sjoerd Potters van De Bilt, met bewustzijn of, zoals het hip in het stuk wordt genoemd, awareness.

Je zou verwachten dat digitale veiligheid wel tussen de oren zit van bestuurders, na de incidenten in het verleden (met het lek in de Citrix-servers in januari nog vers in het geheugen) en alle berichten over malware, phishing-mails, privacyschendingen door bedrijven als Facebook en fenomenen als cyberpesten en sextortion. Was het maar waar, zegt Potters, lid van de VNG-commissie Bestuur en Veiligheid. ‘Het staat nog net iets te ver van de belevingswereld van bestuurders, terwijl digitale criminaliteit wel de snelst groeiende vorm van criminaliteit is. Als persoonsgegevens in verkeerde handen komen, kan dat ontzettend ontwrichtend werken. Dus bewustwording is het allerbelangrijkst. Daar is de agenda mede voor bedoeld, om het onderwerp te agenderen. Het is ook een dynamisch stuk, het zal de komende jaren niet af zijn.’

Niet stilgezeten

De agenda bevat tien actielijnen waarmee kan worden gewerkt aan de beantwoording van bestuurlijke vragen als: wat is je legitimering om te handelen bij een digitale ontwrichting, hoe neemt een bestuurder daarin positie, hoe werken overheid en het lokale bedrijfsleven samen? Bestuurders worden op verschillende manieren geconfronteerd met digitale veiligheid. Zij moeten zorgen voor de continuïteit van de gemeentelijke dienstverlening en bedrijfsvoering (informatiebeveiliging). Ze worden geconfronteerd met incidenten in de openbare ruimte die voortvloeien uit digitale ontwrichting. En zij hebben een rol bij de bestrijding van digitale criminaliteit vanuit hun verantwoordelijkheid voor de openbare orde en veiligheid.

Gemeenten hebben de afgelopen jaren niet stilgezeten. Zo is de Baseline Informatiebeveiliging Nederlanse Gemeenten (BIG) geïmplementeerd, is de verantwoording aan de departementen gestroomlijnd en is er gewerkt aan een transparante rapportage over informatieveiligheid aan gemeenteraden. Maar, zo staat in de agenda, het werk is niet af. ‘Gemeenten moeten zich blijven inzetten voor het op orde brengen van de digitale weerbaarheid.’ De IBD, de Informatiebeveiligingsdienst gemeenten, ondersteunt daarbij. 

Kunnen we dan een digitaal straatverbod opleggen?

Risico’s beheersen

Het niet langer werken met USB-sticks, dubbele verificatie bij het inloggen en het vaker veranderen van wachtwoorden is niet voldoende. Wat belangrijk is, is dat beter en structureler wordt nagedacht over digitale veiligheid binnen én buiten de muren van het gemeentehuis. Nu de digitale technologie oprukt en de samenleving steeds meer gaat sturen, staan lokaal bestuurders voor de uitdaging om, samen met ondernemers, de risico’s te beheersen.

Overheid en ICT is geen gelukkig huwelijk. Grote ICT-projecten verlopen stroperig en kosten vaak veel meer dan geraamd, en als ze eenmaal zijn ingevoerd, blijken ze niet optimaal te werken. Zie het communicatiesysteem van de hulpdiensten, C-2000, als meest recente voorbeeld.
Dat klopt, beaamt Potters. En juist daarom is het belangrijk dat bestuurders zich erin verdiepen. ‘Digitale veiligheid is geen kwestie van nice to have, maar van need to have. Onze inwoners hechten aan digitale dienstverlening, ze vragen erom. Dat betekent dat er veel persoonsinformatie digitaal wordt uitgewisseld. Daar is de overheid verantwoordelijk voor. Daarom moeten we up-to-date blijven.’

Overigens was Potters positief verrast door de manier waarop gemeenten reageerden op het lek in de Citrix-applicatie, begin dit jaar. ‘Dat verliep best goed, ook hier in De Bilt. Niet alle interne processen hoefden stilgelegd te worden, wel de verbinding naar buiten. De meeste gemeenten bleken goed voorbereid, er brak geen paniek uit.’

Digitaal straatverbod

De focus van het debat ligt nu vaak op cyberaanvallen van buiten. DDoS-aanvallen, internetcriminaliteit, hacken en datalekken – ze hebben allemaal grote impact en komen uitgebreid in het nieuws. Maar digitale veiligheid is meer, benadrukt Potters. ‘Veel systemen zijn met elkaar verknoopt. Als bij stroomuitval de digitale aansturing van de verkeerslichten uitvalt, hoe ga je daar dan mee om? Mijn ervaring is dat mensen op een stroomstoring ontspannen reageren, maar dat verandert naarmate ze langer duurt. Dan krijg je grootschalige ontwrichting. Dat is ook onderdeel van de scenario’s die we nu meenemen in het denken over de crisisbestrijding.’

De rol van de burgemeester zal ook veranderen, verwacht Potters. ‘Als iemand in de fysieke wereld nu iemand lastigvalt, dan kun je dat gericht aanpakken, bijvoorbeeld met een straatverbod. Maar wordt straks van de burgemeester ook een verantwoordelijkheid verwacht om inwoners te beschermen tegen een digitale vijand? Kunnen we dan een digitaal straatverbod opleggen, kunnen we een bepaald IP-adres dat de bron is van crimineel gedrag aanpakken? Dat klinkt nu nog heel raar, maar het zou in de toekomst best kunnen gebeuren. Hoe verhoud ik me daartoe als burgemeester? Over dat soort thema’s denken we nu na.’

Verkiezingsprogramma’s

De burgemeester ziet ook een verantwoordelijkheid weggelegd voor de politieke partijen. Zij zouden, vindt hij, voor de komende gemeenteraadsverkiezingen hier in hun verkiezingsprogramma’s aandacht aan moeten besteden, maar het is daarom niet minder belangrijk. Ook de huidige generatie raadsleden zou hiermee bezig moeten zijn, zegt Potters. Zijn eigen raad werkt met raadsrapporteurs, twee vooruitgeschoven raadsleden met kennis van zaken die aan de raad kunnen terugkoppelen over de digitale ontwikkelingen bij de gemeente. Potters: ‘Maar de deskundigheid blijft beperkt tot een klein aantal mensen. Een training van de hele raad zou nuttig zijn. Hoe zit het met de veiligheid, hoe bereiden we ons voor op de risico’s, wat gebeurt er bij stroomuitval of bij een nieuwe Citrix-zaak? Het kan allemaal ontwrichtend werken, daar zullen we de raad meer in mee moeten nemen.’