Een Vlaamse gemeente is sinds deze week alleen telefonisch en aan de balie bereikbaar na een hackingincident. De digitale loketten en e-mail zijn uit voorzorg dichtgezet. Onderzoekers kijken wat is geraakt en hoe dit kon gebeuren. Het incident raakt ook aan de Europese AI-verordening en de gevolgen voor overheid, omdat veel gemeentelijke systemen algoritmen gebruiken.
Systemen uit voorzorg dicht
De gemeente heeft de website, e-loketten en e-mailverkeer tijdelijk uitgeschakeld. Zo wil zij verdere schade en mogelijk misbruik van gegevens voorkomen. Burgers kunnen voorlopig alleen terecht via de telefoon of fysiek aan de balie.
Het gaat om een hack, maar het precieze type is nog niet publiek gemaakt. Door systemen te isoleren, wordt verspreiding van malware tegengegaan. Isoleren betekent dat onderdelen van het netwerk tijdelijk worden losgekoppeld.
ICT-medewerkers werken samen met externe specialisten aan herstel en extra beveiliging. Eerst worden de belangrijkste diensten veilig opgestart. Pas daarna gaan minder urgente digitale functies weer online.
Onderzoek naar datalek loopt
De gemeente meldt dat er op het moment van schrijven geen tekenen zijn dat persoonsgegevens zijn buitgemaakt. Wel loopt er forensisch onderzoek, waarbij logbestanden en netwerkverkeer worden geanalyseerd. Forensisch onderzoek is technisch speurwerk naar sporen van de aanval.
“We vermoeden geen datalek, maar het onderzoek loopt nog,” aldus het gemeentebestuur.
Een datalek is elk incident waarbij persoonsgegevens per ongeluk of opzettelijk worden ingezien, gewijzigd, verwijderd of gelekt. Onder de AVG moet een datalek in veel gevallen binnen 72 uur gemeld worden bij de toezichthouder. In België is dat de Gegevensbeschermingsautoriteit (GBA).
Als het lek waarschijnlijk een hoog risico oplevert voor betrokkenen, moeten ook burgers worden geïnformeerd. Denk aan risico op identiteitsfraude. De gemeente houdt deze verplichtingen aan en meldt verdere stappen zodra het onderzoek is afgerond.
Impact op dienstverlening
Inwoners en lokale ondernemers moeten rekening houden met vertraging bij aanvragen en inschrijvingen. Digitale formulieren zijn tijdelijk niet beschikbaar. Medewerkers helpen waar mogelijk aan het loket of via de telefoon.
Voor sommige zaken kan een afspraak nodig zijn om wachttijden te beperken. Neem identiteitsbewijs en relevante papieren mee naar de balie. Houd er rekening mee dat verwerkingstijden langer kunnen zijn dan normaal.
Let extra op voor phishing via e-mail, sms of telefoon waarin naar codes of wachtwoorden wordt gevraagd. De gemeente zal daar nooit om vragen. Deel geen gevoelige gegevens en meld verdachte berichten.
AVG en NIS2 eisen
Naast de AVG gelden voor overheid en vitale diensten ook cybersecurityregels uit de Europese NIS2-richtlijn. Die verplicht risicobeheer, versleuteling, logging en snelle incidentmelding. België werkt dit uit via het Centrum voor Cybersecurity België (CCB) en CERT.be.
Bij significante incidenten kan melding aan CERT/CCB verplicht zijn, naast een mogelijke AVG-melding. Dit helpt om aanvallen sneller te delen en te stoppen. Op het moment van schrijven versterken lidstaten toezicht en sancties op nalatigheid.
In Nederland gelden vergelijkbare plichten via de implementatiewet NIS2, het Nationaal Cyber Security Centrum (NCSC) en de Autoriteit Persoonsgegevens (AP). Ook niet-vitale gemeenten moeten passende maatregelen treffen. Denk aan multi-factorauthenticatie, offline back-ups en training van personeel en bestuur.
AI maakt aanvallen slimmer
Cybercriminelen gebruiken steeds vaker AI om phishing en misleiding echter te laten lijken. Met taalmodellen maken zij foutloze e-mails in de juiste toon. Ook voice-cloning kan worden ingezet voor valse telefoontjes.
Verdediging gebruikt eveneens algoritmen, zoals EDR en SIEM, die afwijkend gedrag in systemen opsporen. Zulke tools leren patronen en slaan alarm bij verdachte activiteiten. Menselijke controle blijft nodig om vals alarm te filteren en snel te handelen.
Basismaatregelen blijven cruciaal: streng wachtwoordbeleid, segmentatie van netwerken en herstelde back-ups buiten het netwerk. Test periodiek via oefeningen of plannen werken. Zo beperk je uitval en datarisico’s bij aanvallen.
Europese AI-verordening gevolgen overheid
Gemeenten zetten steeds vaker algoritmen en datamodellen in voor digitale loketten en besluitvorming. De Europese AI-verordening (AI Act) classificeert veel van die toepassingen als hoog risico. Dat vraagt om extra eisen aan risicobeheer, datakwaliteit, robuustheid en uitlegbaarheid.
Cybersecurity is een vast onderdeel van die eisen. Systemen moeten bestand zijn tegen aanvallen en goed loggen wat er gebeurt. Het huidige incident onderstreept dat beveiliging en transparantie hand in hand gaan.
Op het moment van schrijven treden de meeste AI-Act-verplichtingen gefaseerd in werking, met brede toepassing in 2026. Overheden moeten dit borgen in inkoop en beheer van software. Leveranciers zullen moeten aantonen dat zij aan de AI Act, AVG en NIS2 voldoen.
Voor burgers kan dit leiden tot veiligere en beter uitlegbare digitale diensten. Voor gemeenten betekent het strakkere processen, meer audits en duidelijke meldlijnen bij incidenten. Dat vraagt om samenwerking tussen bestuur, ICT en juridische teams.
