De VVD in Barendrecht wil opheldering over de digitale veiligheid bij de gemeente. De fractie heeft op het moment van schrijven schriftelijke vragen gesteld aan het college van B&W. Het gaat om de bescherming van systemen en persoonsgegevens van inwoners. De partij wijst op recente cyberaanvallen op overheden en op strengere regels zoals de AVG, NIS2 en de Europese AI-verordening (AI Act) met gevolgen voor de overheid.
VVD wil duidelijkheid beveiliging
De VVD vraagt hoe de gemeente haar ICT-systemen en databronnen beschermt. De kern is of basismaatregelen goed zijn ingericht, zoals multi-factorauthenticatie, tijdige updates en versleuteling van gevoelige data. Ook wil de partij weten hoe back-ups worden beheerd en getest. Dat is nodig om diensten snel te herstellen na een incident.
Daarnaast gaat het om voorbereiding op crisissituaties. Is er 24/7 monitoring en een actueel incidentresponsplan, met duidelijke rollen en bereikbaarheid? En hoe verloopt de samenwerking met de Informatiebeveiligingsdienst (IBD) van de VNG en het Nationaal Cyber Security Centrum (NCSC)? Zulke verbanden verkorten de reactietijd bij aanvallen.
Leveranciersrisico’s krijgen extra aandacht. Gemeenten werken vaak met clouddiensten en software van derden. De VVD vraagt hoe de gemeente toetst op beveiliging bij inkoop en tijdens het gebruik. Denk aan eisen rond ISO 27001, penetratietesten en dataminimalisatie volgens de AVG.
Gemeenteprocessen en risico’s
Gemeenten verwerken veel gevoelige informatie. Voorbeelden zijn het bevolkingsregister (BRP), jeugdzorgdossiers en gegevens over uitkeringen. Deze data zijn aantrekkelijk voor criminelen. Ransomware en datadiefstal kunnen daardoor direct maatschappelijke schade veroorzaken.
De technische omgeving is vaak complex. Er zijn koppelingen tussen oude en nieuwe systemen, en medewerkers werken deels op afstand. Dat vergroot de kans op fouten en op phishing via e-mail of sms. Heldere procedures en eenvoudige, veilige tools verkleinen die kans.
Continuïteit is een tweede groot risico. Zonder recente, offline back-ups is herstel traag of onmogelijk. Regelmatig oefenen van herstel verkort uitval van loketten en digitale diensten. Ook goede crisiscommunicatie naar inwoners en ondernemers hoort daarbij.
AI vergroot de aanvalskans
Aanvallers gebruiken generatieve AI om overtuigende phishing en nepberichten te maken. Modellen zoals GPT-4 van OpenAI en Gemini van Google schrijven foutloze teksten in elke taal. Ook stem- en beeldklonen maken misleiding geloofwaardiger. Dat verhoogt de druk op gemeentelijke helpdesks en baliemedewerkers.
AI helpt criminelen ook bij het zoeken naar zwakke plekken. Geautomatiseerde scripts scannen op verkeerde instellingen of vergeten updates. LLM’s kunnen voorbeeldcode of instructies leveren voor malafide macro’s. Zo worden aanvallen sneller en persoonlijker.
Tegelijk kan de verdediging slimmer worden. Moderne detectiesystemen met AI, zoals Microsoft Defender en Sentinel, herkennen afwijkend gedrag sneller. In combinatie met strikte toegangsregels en loganalyse verkleint dat de schade. Belangrijk is wel dat deze systemen goed zijn ingesteld en regelmatig worden geëvalueerd.
Europese AI-verordening raakt overheid
De AVG verplicht publieke organisaties tot dataminimalisatie, versleuteling en snelle melding van datalekken. Een datalek moet op tijd worden gemeld bij de Autoriteit Persoonsgegevens en soms aan betrokkenen. Ook is een Data Protection Impact Assessment (DPIA) nodig bij risicovolle verwerkingen. Gemeenten moeten dit proces aantoonbaar op orde hebben.
De NIS2-richtlijn stelt zwaardere eisen aan beveiliging en rapportage voor veel publieke en vitale diensten. Organisaties moeten hun toeleveringsketen beheersen en binnen 24 uur een waarschuwing en binnen 72 uur een eerste incidentmelding doen. In Nederland spelen het NCSC en de IBD een centrale rol in ondersteuning en coördinatie. Dit vraagt om duidelijke afspraken en geoefende procedures.
De Europese AI-verordening (AI Act) legt extra plichten op bij hoog-risico algoritmen, zoals systemen die kunnen meebeslissen over publieke voorzieningen. Dan gelden eisen aan risicobeheer, transparantie, logging en menselijke controle. Gemeenten moeten inventariseren of zij zulke systemen gebruiken of inkopen. Zo ja, dan hoort registratie en conformiteitstoetsing bij de voorbereiding.
Aanpak: testen, trainen, rapporteren
Een praktische route is “zero trust”: elk verzoek om toegang wordt gecontroleerd, ook binnen het eigen netwerk. Combineer dit met sterke authenticatie, device-checks en minimale rechten. Gebruik Endpoint Detection & Response (EDR) en een Security Information and Event Management (SIEM) voor snelle detectie. Test instellingen periodiek met onafhankelijke penetratietesten.
Menselijke weerbaarheid blijft cruciaal. Plan korte, frequente trainingen over phishing, wachtwoorden en deepfakes. Oefen realistische crisisscenario’s met IT, communicatie en bestuur, inclusief besluitvorming en herstel. Betrek de CISO en de Functionaris Gegevensbescherming actief bij elke stap.
Veranker het geheel in bestaande normen en audits. Werk volgens de Baseline Informatiebeveiliging Overheid (BIO), vraag leveranciers om aantoonbare controles en rond jaarlijks de ENSIA-audit af. Leg aan de gemeenteraad en inwoners publiek verantwoording af met een beknopt, begrijpelijk jaarverslag. Transparantie versterkt vertrouwen en helpt prioriteiten stellen.
De Baseline Informatiebeveiliging Overheid (BIO) is de verplichte norm voor informatiebeveiliging bij Nederlandse overheden en geeft eisen voor mensen, processen en techniek.
