Verslag vergadering Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering
Vraag om uitleg over de aandacht voor cyberveiligheid bij de lokale besturen
Verslag
– Wegens de coronamaatregelen werden deze vragen om uitleg via videoconferentie behandeld.
De heer Warnez heeft het woord.
Ik wil het hebben over de tweede thema-audit over de informatiebeveiliging bij de lokale besturen die Audit Vlaanderen op 26 januari heeft gepubliceerd. In de periode 2017-2018 voerde Audit Vlaanderen reeds een dergelijke thema-audit uit. Uit het toenmalige onderzoek dat uitgevoerd werd bij 28 lokale besturen, kwam naar voren dat de lokale besturen heel wel inspanningen deden om hun informatiebeveiliging te verbeteren, maar dat de belangrijkste risico’s toch niet voldoende beheerst waren. Toen bleek dat ethische hackers bij driekwart van de lokale besturen de ICT-omgeving konden overnemen.
Audit Vlaanderen besloot om deze problematiek via een nieuwe audit op te volgen. Daarbij werden zes lokale besturen bezocht: Aalst, Boutersem, Denderleeuw, Geel, Wervik en Zutendaal. Audit Vlaanderen stelt vast dat de gemiddelde resultaten van deze tweede thema-audit geen significante vooruitgang aantonen en dat vele beveiligingsrisico’s nog steeds onvoldoende onder controle zijn. Het gaat over zaken als leveranciersrelaties, het actualiseren van systemen en technische beschermingsmaatregelen.
De meeste lokale besturen blijken er zich ook van bewust te zijn dat de continuïteit van de dienstverlening essentieel is, maar ze maken van het uitwerken van een formeel continuïteitsplan nog onvoldoende werk. Ook wordt opgemerkt dat de lokale besturen voor de verwerking, de opslag en de communicatie van gegevens samenwerken met meerdere software- en ICT-dienstenleveranciers die een verregaande toegang hebben tot de systemen van een lokaal bestuur en dat de lokale besturen ook een grote afhankelijkheid van deze leveranciers hebben. Vaak blijken concrete afspraken te ontbreken rond het beheer en de opvolging, rechten en toegangen, licenties, configuratie, documentatie, logging enzovoort.
De minister heeft al heel wat initiatieven gelanceerd ter ondersteuning van de cyberveiligheid van gemeenten. We denken aan het aanbod voor ethische hacking en de cofinanciering voor ICT-veiligheidsaudits. Uit mijn schriftelijke vraag van 21 oktober 2020 blijkt dat 77 besturen een basisaudit bestelden en 3 lokale besturen een aanvullende audit. 76 lokale besturen hebben zich opgegeven voor de ethische hacktests door Howest-studenten.
Maar de bevindingen van Audit Vlaanderen in deze tweede thema-audit – hoewel ze gebaseerd zijn op maar zes gemeenten – tonen toch aan dat er heel wat werk aan de winkel is. We moeten er rekening mee houden dat er meer en meer ingezet wordt op de digitalisering van de dienstverlening en dat de digitalisering op zich een essentieel speerpunt is van de relancestrategie van de regering. Dus aandacht voor informatiebeveiliging is absoluut aangewezen.
Daarom stel ik u volgende vragen, minister.
Welke mogelijke oorzaken ziet u voor het feit dat in verschillende lokale besturen heel wat beveiligingsrisico’s nog onvoldoende onder controle blijken te zijn? Voorziet u specifieke bijkomende initiatieven om dit te verhelpen?
Kunt u aangeven hoeveel gemeenten op dit ogenblik gebruik hebben gemaakt van het aanbod voor ethische hacking en cofinanciering van veiligheidsaudits? Welke lessen trekt u uit de bevindingen van deze tweede thema-audit naar de verdere uitrol van deze initiatieven? Acht u het aangewezen om deze nog te versterken of de gemeenten meer aan te zetten om er nog effectief gebruik van te maken?
Een belangrijk element ook in deze tweede audit is dat er een grote afhankelijkheid is van lokale besturen ten opzicht van ICT-leveranciers. Zijn er ook initiatieven die u ziet om dergelijke afhankelijkheid zoveel mogelijk te beperken?
Tot slot, welke conclusies trekt u uit de bevindingen van Audit Vlaanderen voor de verdere uitrol van de digitaliseringsagenda van de Vlaamse Regering, zoals onder meer het project ‘gemeenten zonder gemeentehuis’?
De heer Vande Reyde heeft het woord.
Ik heb dezelfde vragen. Ik sluit mij volledig aan bij de heer Warnez. Trouwens, voor de collega’s die het nog niet wisten – het is een beetje buiten de media-aandacht gebleven –, maar de heer Warnez is een van de koppen van de Vlaamse emancipatie in het welbekende boekje van het Vlaams Parlement. Het is dus voor mij een hele eer om in deze vraag om uitleg bij hem aan te sluiten.
Ik heb zelf meer dan een jaar geleden in de plenaire vergadering voorgesteld om ethische hackers in te schakelen. Het is een heel goede zaak dat dat gebeurd is. Uit de audits blijkt dat dat een heikel punt blijft en dat niet alle gemeenten met die audit bezig zijn. Sommige hebben er nog geen aangevraagd. Er is veel bezorgdheid over de veiligheid van die systemen.
Waarom het belangrijk is, heb ik vorig jaar ook gezegd. Het gaat natuurlijk niet enkel over de veiligheid van de systemen van de lokale besturen, maar meteen ook over de gevoeligheid van veel personengegevens, die vaak in een groter netwerk zijn gelinkt. Hackers zoeken altijd naar de zwakste schakels in netwerken. Lokale besturen zijn gelinkt met ziekenfondsen en met allerlei andere netwerken die een grote impact kunnen hebben wanneer er in de zwakste schakel een breach is, een doorbreking. Daarom is de cybersecurity van de systemen van lokale besturen zo belangrijk.
Hoe kunnen we dat nog versterken? Hoe kunnen de lokale besturen nog meer de aandacht daarop vestigen, om die audits te doen?
Minister, uw collega, mevrouw Crevits, is over hetzelfde onderwerp bezig, maar dan wat betreft bedrijven. Er is een heel uitgebreid programma opgestart om bedrijven te helpen met hun cyberveiligheid. Denk aan de problematiek van de ransomware, et cetera. Dat programma is trouwens veel groter dan wat we hebben voor lokale besturen. Ik denk dat het dezelfde problematiek is. Is het mogelijk om die twee op de een of andere manier op elkaar af te stemmen of in elkaar te laten overgaan, zodat dat op het terrein nog meer resultaten kan opleveren?
Minister Somers heeft het woord.
Er zijn tot nu bij de lokale besturen twee thema-audits gevoerd door Audit Vlaanderen, die specifiek focussen op informatieveiligheid en cyberveiligheid. Een eerste werd door mijn voorgangster gelanceerd en betrof 27 lokale besturen. De tweede thema-audit betrof 6 lokale besturen. Daarover verscheen recent een rapport.
Wat leren we daaruit in grote lijnen? Dat staat duidelijk in de auditrapporten zelf. Er zijn nog tekortkomingen op het vlak van informatiebeveiliging. Er is werk aan de winkel. Er is nood aan bijkomende beheersmaatregelen. Dat is glashelder. Het is ook heel goed dat we een auditsysteem hebben. Dat toont de verbeterpunten en de zwakke punten en het jaagt aan om daarmee aan de slag te gaan.
Er zijn in dat rapport ook positieve vaststellingen. Opvolging van de geauditeerde besturen leert dat ze met de auditresultaten aan de slag gaan. In een aantal gevallen kan dat wel wat sneller, maar ze blijven toch niet bij de pakken zitten. De audits tonen ook aan dat lokale besturen sterk hebben ingezet op de vertaling in hun processen van de algemene verordening gegevensbescherming. Dat is positief want die verordening is essentieel voor het garanderen van de gegevensbescherming.
Waarom zijn bepaalde risico’s nog onvoldoende onder controle? Ik verwijs hiervoor ook naar het rapport. Daarin duiken heel wat elementen op, waarbij ik niet in de techniciteit wil vervallen. Dat gaat onder meer over: verantwoordelijkheden inzake informatieveiligheid die nog altijd te weinig worden gedefinieerd, pijnpunten die relateren aan afspraken en opvolging van ICT-softwareleveranciers, verouderde ICT-systemen en het belang van updates, en systemen van toegangsbeheer die nog suboptimaal functioneren.
Welke initiatieven nam ik tot nu toe en wat is mijn appreciatie daaromtrent? U weet dat ik naar aanleiding van de cyberaanval op de gemeente Willebroek bijkomende initiatieven heb ontwikkeld. Ik heb 2 miljoen euro vrijgemaakt voor de cofinanciering voor het uitvoeren van een audit cyberveiligheid. Ik startte een samenwerking met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) onder het logo ‘cyberveilige gemeenten’. Het doel daarvan is: het inzetten van ethische hackers in de lokale besturen; het ontwikkelen van een toolbox cyberveiligheid met draaiboeken, seminars en andere tools die kunnen helpen.
Waar staan we vandaag? 77 lokale besturen gingen in op het aanbod van de ethische hackings door hogescholen. Ik vind dat een behoorlijk aantal. 87 lokale besturen gingen tot hiertoe in op het aanbod om ICT-veiligheidsaudits te organiseren met cofinanciering. Eind januari 2021 hadden dus 129 lokale besturen gebruik gemaakt van dit aanbod, van een van de twee of van beide.
Tellen we daarbij nog de audits door Audit Vlaanderen, dan komen we op 155 lokale besturen. Dan laat ik nog de lokale besturen buiten beschouwing die zelf, autonoom, ethische hackers hebben ingeschakeld of zelf auditdiensten hebben aangevraagd.
Ik evalueer de inspanningen tot nu toe dus als positief. Er is een hoger niveau van bewustwording, een grotere betrokkenheid en meer actiebereidheid bij de lokale besturen. Dat is een ernstige inspanning, maar er is uiteraard nog heel wat werk aan de winkel.
Eenmaal alle ethische hackings door de studenten zijn uitgevoerd, zal ik daarover een globaal rapport maken met inzichten en aanbevelingen. Hetzelfde geldt ook voor de gecofinancierde audits, die nu nog lopen. Als die afgelopen zijn, zullen we de resultaten daarvan groeperen en ter beschikking stellen.
Welke lessen trek ik hieruit en welke bijkomende initiatieven zie ik? Het aanbod voor de gecofinancierde audit staat nog altijd open, zoals ik daarnet zei. Daar is al breed over gecommuniceerd, maar ik zal die communicatieoproep opnieuw doen via alle mogelijke kanalen: het Agentschap Binnenlands Bestuur (ABB), Audit Vlaanderen, de VVSG …
Ik wil nog twee zaken aanhalen over de samenwerking met de VVSG. Ik bekijk samen met de VVSG of we het aanbod voor ethische hacking door studenten kunnen herhalen en of we hierbij eventueel andere academische instellingen kunnen betrekken. Ik denk dat dit een instrument is dat we repetitief kunnen inzetten.
De toolkit cyberveiligheid is in volle voorbereiding. Er is een taskforce opgericht die dit voorbereidt. Binnen enkele weken komt het platform voor de toolkit online. Twee concrete instrumenten binnen die toolkit zijn nu al zo goed als klaar. Ten eerste is er het businesscontinuïteitsplan, om wanneer men het slachtoffer is van hacking, de continuïteit te garanderen en de heropstart te faciliteren. Ten tweede is er het crisiscommunicatieplan, om op een goede manier de crisiscommunicatie bij hacking aan te pakken.
Ik wil nog enkele afsluitende reflecties meegeven. Wanneer u mij daarover bevraagt, dan wil ik toch ook benadrukken dat de lokale besturen zelf aan zet zijn. Zij hebben een verantwoordelijkheid en we moeten die durven benoemen. De informatieveiligheid en het organisatie- en risicobeheer zijn in de eerste plaats hun eigen verantwoordelijkheid.
Verder is het duidelijk dat de schaal hier meespeelt. In het eerste auditrapport komt dit duidelijk naar voren: “hoe kleiner het lokale bestuur, hoe moeilijker het vaak blijft”. Dat heeft onder andere te maken met de grote afhankelijkheid van ICT-leveranciers. Ik durf hierbij mijn bestuurskundige hervormingen in beeld te brengen: enerzijds fusies van gemeenten en anderzijds sterke regionale samenwerkingsverbanden. Denk maar aan wat er gebeurt in het Leiedal in West-Vlaanderen. De regiovorming kan daar misschien een mooi platform zijn om die ICT-empowerment in de praktijk door te voeren. Denk ook aan het project Gemeente zonder Gemeentehuis, waarbij de digitalisering op een cyberveilige manier kan gebeuren. Een verregaande samenwerking tussen ICT-diensten op regionaal niveau lijkt mij heel nuttig.
Collega Vande Reyde, u vroeg naar de samenwerking met minister Crevits, die ter zake ook heel veel werk verzet. De vraag naar samenwerking en afstemming kwam ook al aan bod bij de bespreking met onze administratie en bij de voorstelling in deze commissie van de begrotingselementen. Ik heb toen gesteld dat het enerzijds belangrijk is dat elke minister vanuit zijn eigen bevoegdheden focust op zijn doelgroep, gegeven de eigenheden van lokale besturen en de eigenheden van bedrijven. Dat is geen een-op-eenrelatie. Anderzijds moet het wel onze ambitie zijn om te streven naar gedeelde inzichten en oplossingen.
Dat laatste doen we ook. Binnen het programma cyberveilige gemeenten – de uitbouw van een toolkit cyberveiligheid door de VVSG – is er contact met de diensten van minister Crevits. Het Agentschap Innoveren en Ondernemen (VLAIO), de administratie van minister Crevits, is deelnemer in de klankbordgroep van het project cyberveilige gemeenten.
Mogelijkheden tot samenwerking worden dus zeker bekeken, gezocht en opgezet. Meer concreet focust de samenwerking op manieren om templates en opleidingsmateriaal uit het programma van minister Crevits ook ter beschikking te stellen van de lokale besturen.
Uw suggestie om elkaar op dat vlak te bevruchten en samen te werken, is dus een goede. We zijn er al concreet mee aan de slag en zien al de eerste resultaten op het terrein.
De heer Warnez heeft het woord.
Dank u wel, minister, voor uw antwoorden, en in het bijzonder ook om die oproep aan de lokale besturen te willen herhalen. Het klopt dat de lokale besturen al heel veel doen rond dit thema, mede door de initiatieven die u gelanceerd hebt. Maar het is ook wel belangrijk bij cyberveiligheid dat die zaken herhaald worden. Want wat vandaag veilig is, is morgen weer onveilig, bij wijze van spreken. Men moet dit dus op regelmatige basis herhalen.
Ik heb dan ook een bijkomende vraag over de toolkit. Ik begrijp dat die toolkit als bedoeling heeft alle informatie te verzamelen op één pagina of in één digitaal draaiboek. Zullen daar ook initiatieven uit volgen waarbij er dan opnieuw getest kan worden? Ik denk dat die toolkit begin januari volgend jaar klaar moet zijn. Kunnen er dan opnieuw tests uitgerold worden? Kunnen lokale besturen dan opnieuw via cofinanciering of zelf nagaan of hun systeem veilig is? Of is het enkel een informatiekit?
De heer Vande Reyde heeft het woord.
Bedankt, minister, voor uw antwoord. Ik denk dat u gelijk hebt: we moeten geen keizer-koster zijn in Vlaanderen. Lokale besturen hebben inderdaad hun eigen verantwoordelijkheid daarin. Maar we zijn als Vlaamse overheid natuurlijk wel een partner voor onze lokale besturen. Ik denk dus dat de initiatieven die u genomen hebt, en die blijkbaar nog verder gaan dan wat ik al wist, zeer goed zijn.
Het is ook zeer goed dat u die oproep nog eens zult herhalen. Ik zal u zeggen waarom – een kleine ontboezeming ook. In Diest heb ik, zodra het programma bekend was, natuurlijk aan mijn diensten gezegd dat ze zich moesten inschrijven en zich daarmee moesten bezighouden. Er zijn ook al contacten geweest, maar gezien al de prioriteiten die nadien volgden, ook in de coronaperiode, werd dat eigenlijk altijd wat uitgesteld. Ik heb er nog vaak op gehamerd dat dit wel belangrijk is. Maar het stond nog niet zo hoog in de orde van prioriteiten – cyberveiligheid natuurlijk wel, maar die specifieke audit misschien wat minder. Ik denk dat dit ook voor andere lokale besturen kan gelden in deze moeilijke en drukke periode. Een herhaling, samen met de VVSG, is dus zeker goed.
Ik ben heel blij met die samenwerking met VLAIO en met initiatieven van minister Crevits. Zij werken daarvoor samen met zeven vaste partners, waaronder grote consultancybureaus en kleine ethische hackerscollectieven. Ik wil de suggestie doen – uw diensten moeten maar eens bekijken of dit nuttig kan zijn – dat lokale besturen, als ze voor hun specifieke noden niet direct terechtkunnen bij Howest, dan ook een beroep kunnen doen, onder voordelige voorwaarden, op die zeven partners in het programma voor bedrijven. Als dat niet gaat in de praktijk – want u hebt gelijk dat bedrijven geen lokale besturen zijn – dan is dat zo, maar het is misschien wel een optie die we verder kunnen bekijken.
De heer Van Miert heeft het woord.
Ik denk dat het meeste al gezegd is. Maar we kunnen toch moeilijk het belang van die beveiliging onderschatten, als je ziet welke informatie wij als beleidsmakers, als ambtenaren, als lokale besturen met elkaar uitwisselen. Als je dan ziet hoe die informatie beveiligd is: dat zou in een privéomgeving niet waar zijn, denk ik.
De heer Vande Reyde slaat de nagel op de kop: we zijn maar zo sterk als de zwakste schakel. Er moet maar één schakel in het netwerk gehackt worden en heel onze innerlijke organisatie kan voor de bijl gaan. Ik denk bijvoorbeeld aan e-Besluit, dat we gebruiken voor onze gemeenteraden en voor onze personeelsdossiers, dat volgens mij heel kwetsbaar is in vergelijking met de privésector.
Ik vind het dus een goed initiatief, minister, om opnieuw een oproep te doen. Mijn gemeentebestuur uit de stille Kempen is een van de gemeentebesturen die meedoet met dit initiatief. Wij starten in april met een en ander.
Ik had twee bijkomende, korte vraagjes, minister. Ik heb dus begrepen dat die cofinanciering nog tot het einde van het jaar gegarandeerd is. Maar natuurlijk is straks het bedrag maar zo hoog als wat er nog in de pot zit. Kunt u daar iets over zeggen? Misschien is dat te moeilijk op dit moment, misschien kunnen we het later als info doorgestuurd krijgen, of er nog geld beschikbaar is in de pot voor die cofinanciering. En is er de mogelijkheid – je ziet dat ook in veel organisaties – om met een bepaald certificaat te gaan werken? Als lokale besturen van uw aanbod gebruikgemaakt hebben en onze interne en ook onze externe cyberveiligheid in grote mate hebben laten onderzoeken en gegarandeerd hebben, dat we daar dan een soort van certificaat op zouden kunnen kleven, zodanig dat je uiteindelijk alle driehonderd gemeenten gaat verplichten om te zorgen voor zijn of haar beveiligde IT-verbindingen.
De heer De Loor heeft het woord.
Het is goed dat de collega’s deze belangrijke problematiek onder de aandacht brengen. Lokale besturen leveren enerzijds die essentiële diensten, en een cyberaanval kan de werking van onze lokale besturen serieus verstoren met ernstige gevolgen, zowel naar dienstverlening toe als naar de burgers zelf. Anderzijds beheren ze ook de meest persoonlijke informatie van burgers. Vandaar is het belangrijk om deze problematiek zeker van nabij op te volgen. Het is ook duidelijk een problematiek die veel van onze lokale besturen overstijgt. U hebt al verwezen, minister, naar de schaalgrootte van onze gemeenten, dat die meebepalend is voor de graad van cyberveiligheid. Vandaar is ook die ondersteuning van Vlaanderen nodig om de uitdaging op vlak van cyberveiligheid het hoofd te bieden.
Ik heb daar nog een aantal vragen bij. Audit Vlaanderen hamert ook op meer samenwerking tussen de verschillende niveaus, onder meer met het Cyber Security Centre. Is dit nu al het geval, of plant u om dat te doen? U hebt verwezen naar een aantal bijkomende initiatieven. Ik denk dat het wenselijk is dat die bijkomende initiatieven er zijn. Ik verwijs dan meer specifiek naar de ethische hacking oefening van Audit Vlaanderen: alles samen hebben er al rond de 150 lokale besturen deelgenomen. Vanuit de ervaring weten we dat dat dikwijls de meest gemotiveerde lokale besturen zijn die al deelnamen. Uit onderzoek blijkt ook dat de kleinere lokale besturen vaak achterop hinken. Hoe zult u ervoor zorgen dat ook zij daar actiever mee omgaan?
Minister Somers heeft het woord.
Collega’s, bedankt voor de vele vragen die natuurlijk boeiend zijn, omdat we zien welke sprongen vooruit de digitalisering maakt, en ook hoe belangrijk dat is, ook in coronatijden en waarschijnlijk ook in postcoronatijden, welke mogelijkheden we daarmee krijgen, maar ook welke risico’s eraan verbonden zijn, vaak risico’s van privacy en veiligheid. Ik voel hier toch dat er heel veel positieve betrokkenheid is bij dit thema en dat de vraag er eigenlijk vooral in bestaat om dat beleid voort te zetten en te ontplooien, en desnoods nog sterker te maken. Ik denk dat dat ook een blijvend werk gaat zijn. Het is niet omdat er een keer een audit was en we een keer gehackt hebben, de evolutie van de digitalisering gaat zo snel dat we moeten zorgen dat we permanent werken aan verbetering.
Eerst en vooral, wat die toolkit rond cyberveiligheid betreft. Dat is geen toolkit waarmee er concrete gecofinancierde actie op het terrein gebeurt. Dat is een toolkit die je een handleiding geeft, elementen geeft om ter zake een goed digitaal beleid te voeren. Er is bijvoorbeeld daarstraks verwezen naar het federale Centre for Cyber Security: die zijn mee betrokken bij de uitwerking van die toolkit. We proberen alle expertise die aanwezig is, mee aan boord te krijgen om daarvan toch een sterk instrument te maken.
Ten tweede gaan we wel – ik denk dat collega Vande Reyde daarnaar vroeg, en ook anderen – de operatie ethische hacking voortzetten. Er zijn tientallen gemeenten die daar nu in gesprongen zijn. Sommige zullen dat niet bovenaan hun prioriteiten hebben. Dat wordt wel omhoog geduwd, denk ik. Hoe meer we daar actie rond voeren, hoe belangrijker dat zal worden. Alle lokale besturen gaan daar een beroep op kunnen doen. Dat aanbod blijft openstaan, we blijven daarrond werken. We gaan trouwens ook kijken of we na 2021 dat spoor moeten voortzetten; we gaan dat goed evalueren en daarover nadenken.
Wat de audits betreft blijven de veiligheidsaudits ook lopen, met cofinanciering. We hebben daar een budget van 2 miljoen euro voor voorzien – ik denk dat de heer De Loor ernaar vroeg. Daar is nog maar 350.000 euro van opgebruikt. Daar is dus nog heel veel marge voor lokale besturen om ook een audit te laten doen met cofinanciering van Vlaanderen als ze dat belangrijk vinden. Ik zou ze ook aanraden om dat te doen. Men leert daar immers wel wat van en men wordt vooral geconfronteerd met de eigen zwakheden.
Wat de heer Van Miert zegt, is natuurlijk 100 procent juist. We zijn maar zo sterk als onze zwakste schakel. Collega Vande Reyde en collega Warnez hebben daar ook naar verwezen. Dat betekent ook wel een volgehouden inspanning. Ik denk dat dat een deel is van de kerntaken van een lokaal bestuur. Collega Van Miert maakte de vergelijking met de private sector en zei dat men er in de private sector toch nog wel anders mee omgaat dan in de publieke sector. We kunnen daar misschien wel wat van leren. Ik denk dat dat ook een leerproces is en dat dat zoveel te maken heeft met de inherente zwakte van sommige ICT-diensten in onze lokale besturen. We weten allemaal dat dat een van de onderdelen is van onze lokale besturen waar we ernstig over moeten nadenken. Moeten we die niet wat meer groeperen, zeker voor kleine gemeenten? Op regioniveau of op een andere manier? Voldoende kritische massa is ook wel nodig om al deze evoluties op een goede manier te kunnen volgen.
Er is een suggestie gedaan naar certificaten. Dat gaan we bekijken vanuit Audit Vlaanderen. Over normering: wat daar extra kan gebeuren, moeten we doen. Maar vergeet niet: er zijn vandaag al heel wat normeringen, bijvoorbeeld ISO-normeringen (International Organization for Standardization) en dergelijke meer, die gidsen kunnen zijn voor lokale besturen. Vandaag de dag bestaat dat dus. Maar als daar extra dingen kunnen, moeten we dat absoluut blijven opvolgen, en ook de best practices en het gezamenlijk leren en het gedeeld leren verder ondersteunen.
Conclusie en samenvattend: de twee sporen die we gestart zijn, ethische hackers en audits, blijven we voluit doen. Alle gemeenten kunnen daaraan meedoen. Er komt nog een belangrijke toolkit cyberveiligheid. De goede suggesties die bovendien geuit zijn, neem ik heel graag mee om te kijken hoe we dat verder kunnen integreren in het beleid hierrond.
De heer Warnez heeft het woord.
Misschien nog even over het certificatenidee of -voorstel van collega Van Miert. Ik weet niet of dat een heel erg goed idee is. Ik ben zelf schepen in Wingene en ik heb daar de vraag gekregen van een raadslid of we wel cyberveilig zijn. Ik heb vol trots verteld dat we een basisaudit en een aanvullende audit hadden en ons ethisch lieten hacken, maar onze IT’er was wel bang dat dat ’s anderendaags in de krant ging staan en dat dat als een rode lap ging werken voor de hackers om ons eens aan te vallen. Ik weet dus niet of een certificaat niet eerder een rode lap zou kunnen zijn, maar goed, dat terzijde. Ik onthoud vooral dat er nog veel initiatieven ter zake komen van de minister.
De heer Vande Reyde heeft het woord.
Dank u wel, alles is zeer duidelijk. Misschien nog een kleine ingeving die ik kreeg tijdens de discussie, zoals de appel die op het hoofd van Newton viel. Als het gaat over veiligheid, is dat ook heel pertinent voor de vaccinatiecentra die nu opgebouwd worden. Die vaccinatiecentra worden heel verschillend opgebouwd door lokale besturen. Er wordt ook een heel deel uitbesteed; sommige vaccinatiecentra worden helemaal uitbesteed. Ik heb het volste vertrouwen in de lokale besturen dat die dat wel goed doen, maar er zijn ook heel veel IT-systemen die daarvoor opgezet worden. Hier in Diest hebben wij bijvoorbeeld al twintig extra laptops aangekocht, enkel voor de opstartfase. We moeten natuurlijk ook gelinkt zijn met een heel aantal netwerken, Vaccinnet en andere zaken. Als daar iets fout gaat in de gegevens van wie wanneer zijn prikje moet krijgen, wie welke onderliggende aandoening heeft en dergelijke, gaat dat een groot effect hebben.
Enkele weken geleden werd er ingebroken bij een testcentrum. Niet-ethische hackers deinzen nergens voor terug. Het is misschien goed om daar ook een beetje aandacht aan te besteden, maar ik heb niet direct suggesties hoe. We zullen dat in Diest zeker doen. U mag dat altijd komen bekijken zodra het is opgestart.
Geldt die uitnodiging voor ons allen, mijnheer Vande Reyde?
Eigenlijk enkel voor de minister, want die brengt Het Journaal mee. Het nadeel is wel dat je er dan geen woord tussen krijgt. (Gelach)
Iedereen is welkom in Diest!
Als je een reus uitnodigt, ben je snel een dwerg. (Gelach)
Ik bedoel dat niet alleen naar u, mijnheer Vande Reyde. Maar als de minister op bezoek komt, dan moet alles aan de kant. Dat is waar, hè, minister?
Lach met uzelf, voorzitter. (Gelach)
Zelfkennis is het begin van alle wijsheid.
De vragen om uitleg zijn afgehandeld.