Digitale veiligheid

­­Waar gaat het over?

Digitalisering biedt naast kansen ook bedreigingen. Hoe maken gemeenten zichzelf en hun inwoners en bedrijven daartegen weerbaar?


Achtergrond

Digitalisering biedt gemeenten veel kansen om hun dienstverlening en bedrijfsvoering te verbeteren. Digitale vernieuwingen maakten het gemeenten bijvoorbeeld mogelijk om tijdens de coronacrisis inspraakavonden online organiseren. Deze trokken vaak meer en andere inwoners.

Maar met de groei van digitale mogelijkheden nemen ook de risico’s toe. Gemeenten beschikken over veel persoonlijke data van inwoners. Tegelijkertijd zijn ze bij het beheer van die data en datagestuurde systemen, zoals bijvoorbeeld verkeerslichten of brugbediening, afhankelijk van externe (markt)partijen.

Gemeenten moeten dan ook zorgen voor ‘digitale veiligheid’. Zij zijn niet alleen verantwoordelijk voor het beschermen van informatie, maar ook voor de gevolgen van digitale ontwikkelingen voor de openbare ruimte en voor de veiligheid van inwoners in de gemeente. Gemeenten moeten enerzijds zichzelf wapenen tegen digitale bedreigingen en anderzijds hun inwoners en bedrijven beter weerbaar maken.

De VNG ondersteunt, samen met de Rijksoverheid, gemeenten om zich voldoende aan te passen aan de risico’s van digitalisering. De focus ligt daarbij op vier thema’s: informatieveiligheid, digitale incidenten en crises, digitale criminaliteit en online aangejaagde ordeverstoring. Hieronder lichten we die thema’s kort toe.

 

Informatieveiligheid gaat over de eigen bedrijfsvoering en dienstverlening. Voor de beveiliging van gemeentelijke informatiesystemen is de Baseline Informatiebeveiliging Overheid (BIO) opgezet. De BIO is een gemeenschappelijk normenkader van Rijk, provincies, gemeenten en waterschappen. Denk aan een herstelprotocol als een medewerker een verkeerde link aanklikt, of aan minimale eisen over het maken van back-ups, zodat de dienstverlening (bijvoorbeeld paspoortuitgifte) na een digitale aanval weer snel functioneert. Dat is geen overbodige luxe: in december 2020 was de gemeente Hof van Twente slachtoffer van een gerichte aanval die nagenoeg alle gemeentelijke dienstverlening en bedrijfsprocessen stil legde. Het herstel duurde ruim een jaar en kostte de gemeente ongeveer 4 miljoen euro.

Digitale incidenten zijn incidenten in de openbare ruimte of blokkades van datasystemen als gevolg van elektronische storingen of digitale aanvallen. Een voorbeeld van het eerste is de storing in 2019 bij telecomprovider KPN, waardoor in het hele land tijdelijk het alarmnummer 112 niet bereikbaar was. Uitval van websites of hackaanvallen kunnen ook de dienstverlening verstoren en bijvoorbeeld verstrekking van uitkeringen tijdelijk uitschakelen.

Voorbeelden van digitale criminaliteit zijn onder meer fraude met DigiD, of geldelijk gewin door het hengelen via nep-e-mails naar persoonlijke informatie (phishing), of afpersing met seksueel getinte afbeeldingen.

Een actueler thema is online aangejaagde ordeverstoring: maatschappelijke onrust als gevolg van online verspreid nepnieuws of gerichte hetzes tegen personen of organisaties. Demonstraties die hieruit voortkomen, kunnen escaleren en geweldsdelicten of verkeershinder voor hulpdiensten tot gevolg hebben.

Wettelijke bepalingen en verantwoordelijkheden

Gemeenten moeten ervoor zorgen dat privacygevoelige informatie van inwoners en samenwerkingspartners niet ‘op straat komt te liggen’. Zo is het college onder meer verantwoordelijk voor naleving van de Algemene Verordening Gegevensbescherming (AVG). De AVG eist bijvoorbeeld

een duidelijke verantwoording voor het gebruik van persoonsgegevens en toestemming van de persoon om wie het gaat. De gemeenteraad controleert dit.

Gemeenten zijn verplicht om maatregelen uit te voeren die voortvloeien uit het gemeenschappelijke normenkader van de Baseline Informatie Overheid. Via rapportages (ENSIA) moet het gemeentebestuur de raad uitleg geven over hoe de gemeente dit doet. De raad kan ook besluiten of daarvoor meer middelen beschikbaar moeten komen. De gemeente is bovendien verplicht om hierover verantwoording af te leggen aan de Rijksoverheid. De raad houdt in de gaten dat dat gebeurt.

De gemeente heeft ook de verantwoordelijkheid om inwoners en ondernemers bewuster te maken van digitale risico’s zoals ID-fraude en phishing. De door het Rijk geïnitieerde website veiliginternetten.nl en de campagne Alert Online bieden tips aan het publiek om veilig te internetten.

Verspreiding van ‘fake news’ of online aangejaagde ordeverstoringen zijn opkomende fenomenen. De raad kan gedragslijnen afspreken, om de gemeente aan te sporen een open houding aan te nemen en te blijven luisteren naar andere geluiden. Het Burgerlijk Wetboek biedt mogelijkheden om op te treden tegen fake news als ‘onrechtmatige daad’ die een beperking van de vrijheid van meningsuiting zou kunnen rechtvaardigen. Waar de openbare orde in het geding is, heeft de burgemeester op grond van de Gemeentewet mogelijkheden tot handhaving.

De meeste gemeenten nemen hun plannen voor verhoging van de digitale veiligheid op in het algemene veiligheidsbeleid. Daartoe stelt de raad een Integraal Veiligheidsplan vast. De raad kan al in een vroeg stadium bij de totstandkoming van dit plan betrokken zijn. De VNG roept gemeenten op tot extra inspanningen zoals het delen van incidenten, het opstellen van een digitaal incidentbestrijdingsplan en periodieke cyberoefeningen.

De raad kan ook besluiten om digitalisering of digitale veiligheid te beleggen bij een wethouder of een gelijknamige raadscommissie in het leven roepen. Ook kan de raad middelen vrijmaken om te investeren in preventie van digitale incidenten.

Het Rijk werkt aan nieuwe wetgeving, zoals de Wet Digitale Overheid, die de betrouwbaarheid van elektronische identificatie bij het gebruik van (publieke) diensten versterkt. Volgens de staatssecretaris Digitalisering moet het onderwerp ook politieker worden gemaakt. Digitalisering gaat om ethische en politieke keuzes en niet om technische oplossingen. De volksvertegenwoordigers moeten antwoorden formuleren op de vraag hoe en ‘hoeveel’ de overheid technologie gebruikt.

Tools voor raadsleden

De Lokale Cyberwegenkaart van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) is een gids op weg naar een cyberweerbare gemeente en is in 2022 geactualiseerd met een routekaart Online aangejaagde ordeverstoringen

De Toolbox Ethisch Verantwoorde Innovatie helpt ontwikkelaars en bestuurders op weg in wat er nodig is voor ethisch verantwoorde innovatie; dus met respect voor belangrijke publieke waarden en grondrechten.

Toolbox Cyberincident van de Rijksoverheid helpt overheids(organisaties) zich beter te weren tegen crisissituaties

De Informatiebeveiligingsdienst als onderdeel van de VNG heeft een standaard verwerkersovereenkomst voor gemeenten

Het Digital trust Center van de Rijksoverheid heeft een toolkit voor gemeenten die veilig digitaal ondernemen willen stimuleren

Interventiekaart bij online aangejaagde ordeverstoringen van Noord-Holland Samen Veilig en de VNG

Cyberspiekbrief is opgezet voor volksvertegenwoordigers en biedt handzame uitleg van begrippen rond digitale veiligheid

 

Inspiratie en praktijkvoorbeelden

Praktijkvoorbeelden van gemeenten bij het Centrum voor Criminaliteitspreventie en Veiligheid (CCV)

Bestuurlijke lessen van de hack bij gemeente Hof van Twente in december 2020 (VNG)

De VNG heeft een kaart voor de secretaris met belangrijke aandachtspunten bij een digitale crisis zoals een hack

Gemeente Den Haag organiseert jaarlijks een hack-event: Hâck the Hague