Foto: Roeland van Schaik
“Als je van een afstandje naar het werk van gemeenten kijkt, dan zijn we eigenlijk grote dataverwerkingsfabrieken geworden.” Aan het woord is Ester Weststeijn, burgemeester van de gemeente Rozendaal, lid van de VNG-commissie Informatiesamenleving en een van de Cyberburgemeesters in Nederland. In dit interview stellen we Weststeijn 5 vragen rondom de digitale veiligheid van gemeenten en de aanstaande Cyberbeveiligingswet (Cbw, vertaling NIS2-richtlijn). Ze benadrukt de waarde van de Cbw én geeft tips. Want wat kan juist deze wet voor die ‘dataverwerkingsfabrieken’ – gemeenten – en hun inwoners betekenen?
Gemeenten zijn grote dataverwerkingsfabrieken, beschrijft u. Waar denkt u dan aan?
Weststeijn: “Onze aandacht is altijd gericht op het oplossen van maatschappelijke vraagstukken en de dienstverlening aan onze inwoners. We realiseren ons niet altijd dat de rol van digitale data, registraties en koppelingen daarbij onmisbaar is geworden. Onze organisaties zitten er vol mee. Denk bijvoorbeeld aan de Basisregistratie Personen en gegevens over wie er recht heeft op bijstand. Of geodata die we gebruiken bij de behandeling van omgevingsvergunningen en tools waarin we meldingen van inwoners over de openbare ruimte afhandelen. Maar ook data uit parkeersystemen, verkeerslichten, sensoren, systemen voor de bediening van sluizen of bruggen. De voorbeelden zijn legio. De mogelijkheden om hier slimmer mee te werken trouwens ook. Digitalisering biedt kansen, zeker als we als gemeenten toegroeien naar meer standaardisering en collectivisering van onze digitale diensten. Het maakt de gemiddelde inwoner immers weinig uit of de vergunningen in systeem A of B geregistreerd worden, als het maar goed en veilig gebeurt.”
U benoemt het belang van digitale veiligheid. Waar zit wat dat betreft de kwetsbaarheid binnen gemeenten?
“Als om wat voor reden dan ook onze systemen stokken, wordt het vuilnis niet meer opgehaald en uitkeringen niet meer verstrekt. Het klinkt dreigend, maar dan gaan alle schermen op zwart. Als bestuurder zou dit schrikbeeld alleen al genoeg moeten zijn om je bezig te houden met informatiebeveiliging. Straks is dat wettelijk verplicht (vertaling NIS2-richtlijn in de Cbw, red.), maar los daarvan voel ik de morele verplichting aan onze inwoners, ondernemers en organisaties. Je gebruikt hún gegevens, over hún leven. Ze ontlenen er rechten en plichten aan. Daar moet je zorgvuldig en veilig mee omgaan. Het is geen zaak van automatiseerders alleen, of van techneuten. Als het misgaat, is dat heel voelbaar in de echte wereld.”
Wat zijn voorbeelden waarbij dit duidelijk voelbaar was, waarvan we kunnen én moeten leren?
“De gemeente Lochem is een veelgenoemd voorbeeld. Daar kregen ze in 2019 al te maken met een cybergijzelaanval. Maandenlang was een indringer bezig geweest om op intelligente wijze het gemeentelijke systeem te saboteren. Gericht op het versleutelen van bestanden met ransomware, waarbij losgeld zou worden geëist om de toegang tot de systemen te herstellen. Dat werd gelukkig op tijd ontdekt en had veel erger kunnen zijn, maar het veroorzaakte wel flinke verstoringen in de gemeentelijke dienstverlening.”
Weststeijn vervolgt: “De aanval legde belangrijke gemeentelijke diensten plat, waaronder het doorgeven van verhuizingen, het aanvragen van paspoorten en de telefonische bereikbaarheid van de gemeente. Back-ups waren niet meer betrouwbaar. Dan sta je als organisatie – en als bestuurder – voor een grote opgave. Waren bijstandsuitkeringen wel correct verstrekt, vergunningen rechtmatig afgegeven? Konden geplande huwelijken doorgaan? En dan heb ik het niet eens over de enorme gevolgkosten om de boel weer op orde te krijgen. Ik neem Lochem als voorbeeld, maar ik had ook de gemeente Hof van Twente kunnen noemen. Of de gemeente Buren. Of de DDoS-aanvallen op Nederlandse ziekenhuizen 2 jaar geleden. Het is niet de vraag óf je gehackt wordt, maar wanneer, hoor ik vaak. In de huidige geopolitieke tijd waarin ook cyberdreigingen toenemen, lijkt me dat nog steeds een juiste stelling.”
Voor Weststeijn is voormalig burgemeester Sebastiaan van ’t Erve van Lochem een held: “Want deze cybercrisis droeg eraan bij dat hij op de barricade ging voor digitale weerbaarheid. Hij hield de ervaringen in zijn gemeente niet onder de pet, maar deelde ze juist breed om anderen bewust te maken van het gevaar van cyberaanvallen. Hij is niet voor niets IT-politicus van het jaar 2024 geworden.”
De Cyberbeveiligingswet (Cbw) komt eraan. Wat adviseert u lokale bestuurders rondom de digitale veiligheid van hun organisatie?
“Mijn advies aan bestuurders: voel je verantwoordelijk en pak die verantwoordelijkheid. Informatieveiligheid is te belangrijk om alleen aan de IT’ers over te laten. Ik wil er best enige druk op leggen: je moet je als lokaal bestuurder intrinsiek verantwoordelijk voelen voor de totale gemeentelijke organisatie, en voor de data die je met ketenpartners deelt. Dat is de essentie van de Cbw.”
“Die Cbw kun je zien als vervelende stok achter de deur, met een toezichthouder, dreiging van boetes en de verplichting van opleiding, maar ik zie dat anders. Namelijk als een hulpmiddel voor bestuurders om in hun organisatie en gemeenteraad de juiste aandacht en structurele financiering geregeld te krijgen. Daarbij is de CISO de rechterhand van de bestuurder in het voortdurende gesprek over informatieveiligheid. Voer dus regelmatig het gesprek over de risico’s met de CISO en in de gemeenteraad. Dat gaat niet vanzelf. Om de Cbw als hulpmiddel te kunnen inzetten, moeten gemeenten wel beschikken over kennis en expertise, een goede informatiepositie én voldoende structurele middelen. Daar vragen we aandacht voor bij het Rijk. Samen moeten de VNG en het Rijk zich blijven inzetten om de wetgeving goed te laten landen in Nederland.”
En hoe zit het met risicomanagement?
“Goede vraag, want risicomanagement staat aan de basis van de Cbw. We kennen dat vanuit het financiële of juridische deel van ons werk. Risicogericht werken vraagt dat we met elkaar cyclisch het gesprek voeren over waar onze zwakheden zitten in digitale veiligheid. En dat we met elkaar verkennen welke risicobeperkende maatregelen prioriteit hebben. Daar moet je dus ook in investeren en het effect meten via bijvoorbeeld audits of pentests. Zo werk je voortdurend aan het versterken van je digitale voor- en achterdeur. En denk dan ook aan het zolderraampje, zodat onze inwoners erop kunnen blijven vertrouwen dat wij veilig ons werk kunnen doen, voor hen.”
Lees meer over de vertaling van de NIS2-richtlijn in de Cbw en ga direct aan de slag.
