U vindt goede informatiebeveiliging duur? Dan rekent u de kosten van het ontbreken van goede beveiliging van informatiesystemen niet mee. Gemeenten hebben een maatschappelijke plicht en daaronder valt ook de dienstverlening aan de meest kwetsbaren. Joost de Jong, wethouder in Eindhoven: Ga jij tegen iemand met een uitkering zeggen dat ‘ie twee maanden moet wachten op zijn geld, omdat de systemen platliggen?

In december 2020 werd raadslid Joost de Jong plots wethouder financiën en bedrijfsvoering van de gemeente Eindhoven, als tijdelijk vervanger van de zittend wethouder. Daarvoor had Joost een IT-functie bij het ministerie van Defensie, waar “alle ICT als essentieel wordt gezien, van informatie- tot en met wapensystemen”. In Eindhoven vallen bedrijfsvoering, ICT en financiën in één portefeuille, dus de voormalig militair pakte bij de gemeente de technische draad weer op. Dacht hij.

Alles gaat goed

“In mijn eerste voorstelrondje vroeg ik de ambtenaren hoe het stond met de beveiliging van gegevens bij de gemeente. Toen kreeg ik het legendarische antwoord: ‘met de beveiliging gaat het goed, we hebben alle audits gehaald.’ Toen vroeg ik hoe het zat met het risicoprofiel van de gemeente, het aanvalsplan, het rampenplan, de plannen voor back-up & restore, de risiconiveaus en de jaarplanning en het werd duidelijk dat het onderwerp informatiebeveiliging niet op de politieke tafel lag zoals ik het voor ogen had.”
De positie van digitale veiligheid is ook geen gemakkelijke. Wanneer het goed geregeld is, merkt niemand dat het werkt. Gemeenten hebben een BIO (Baseline Informatiebeveiliging Overheid), maar dat is een norm en in bestuurlijk opzicht dus vrijblijvend. Wat moet er verplicht worden geregeld? Joost miste best practices en harde richtlijnen. “Partijen bij de rijksoverheid hebben zicht op bedreigingen. Maar waar hebben gemeenten mee te maken? Moeten we ons voorbereiden op internationale spelers, criminele organisaties of lokale groepen met een criminele agenda? Wat wordt er van ons verwacht? Leg de bijbehorende maatregelen dan ook maar wettelijk vast, voor alle overheidsorganisaties.”

Onderbroken dienstverlening

Wat Joost mist in de brede discussie over digitale veiligheid is de blik op de burger. “Dit gaat niet over de gemeenten zelf, maar over de kwetsbare mensen waar wij onze dienstverlening op inrichten. Dat vind ik een onderbelicht risico van de digitale dreiging: hoe kwetsbaarder de burger, hoe meer informatie de gemeente over die persoon heeft, hoe harder die wordt getroffen. Ga jij tegen iemand die afhankelijk is van zijn uitkering zeggen: kom over twee maanden maar terug wanneer alles weer is gerepareerd?”

Deze versturen we 3-4x per jaar.