Verslag vergadering Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering
Vraag om uitleg over de vraag van de VVSG naar het ontzorgen van lokale besturen zodat de data van burgers veilig zijn
Verslag
– Een aantal sprekers nemen mogelijk deel via videoconferentie.
De heer Danen heeft het woord.
Vorige week schreef onze mooie provincie geschiedenis, weliswaar niet in de meest positieve zin. Er is sprake van het grootste datalek uit de Belgische geschiedenis. We zullen zien of dat ook zo zal blijken na onderzoek. Ik heb er alleszins een aantal vragen over. Het gaat specifiek over een gegevensdiefstal bij de afvalintercommunale Limburg.net, waar trouwens niet alleen Limburgse gemeenten bij zijn aangesloten, maar ook de mooie stad Diest.
De afvalintercommunale Limburg.net werd op 13 december 2023 het slachtoffer van een cyberaanval. Ik moet dit misschien even corrigeren. Vanmorgen was er een persconferentie van Limburg.net waarop werd gezegd dat er zelfs op 17 november al een aanval was, dus nog eerder dan we eerst dachten. Maar dat doet misschien minder ter zake voor wat betreft de hoofdlijnen. De hack die toen uitgevoerd werd, lijkt te resulteren in het grootste datalek in de Belgische geschiedenis.
Om te voorkomen dat de gehackte informatie te koop zou worden aangeboden op het darkweb, vroegen de hackers aan Limburg.net om 100.000 dollar over te maken. Limburg.net is niet op deze eis ingegaan, omdat zij niet wensen te onderhandelen met afpersers en omdat ze geen enkele garantie zouden hebben dat de gestolen gegevens niet alsnog in malafide handen zouden terechtkomen.
Ik wil eerst ook aangeven dat Limburg.net natuurlijk slachtoffer is van het hele gebeuren, net zoals de burgers. Maar ik moet misschien toch meegeven dat het in eerste instantie wat kleiner bleek te zijn. Het werd aanvankelijk geminimaliseerd. Ik wil niet zeggen dat dat bewust gebeurde, maar men zei eerst dat het ging om oude gegevens en niet zoveel gegevens. Het leek dus allemaal niet zo'n vaart te lopen, maar uiteindelijk blijkt dus wel, zoals we vandaag weten, dat de gestolen gegevens onder andere de rijksregisternummers bevatten van 311.000 Limburgers en Diestenaren, alsook adresgegevens en andere gegevens, gegevens die ook vrij constant blijven in de tijd. Deze gecombineerde gegevens zijn uiterst geschikt om aan identiteitsdiefstal te doen, zeker bij kwetsbare personen.
Limburg.net liet in eerste instantie ook weten dat er geen e-mailadressen of telefoonnummers werden ontvreemd, maar uit recentere informatie blijkt dit niet volledig te kloppen. Ook zouden er gegevens zijn buitgemaakt die dateren van na 2015. Uit de informatie die recent opdook, bleek dat er ook betalingsherinneringen uit 2017 werden buitgemaakt, inclusief naam en adres. De kans is groot dat het hier om personen gaat die zich in een financieel kwetsbare positie bevinden. De kans dat deze personen het voorwerp worden van gerichte phishing of identiteitsdiefstal is dus niet ondenkbaar.
Minister, ik heb hierover de volgende vragen, waarbij ik wil aangeven dat vanmorgen op de persconferentie een aantal vragen deels werden beantwoord. Het is natuurlijk een dossier dat in beweging is en ik hoop dat dat ook ten goede zal zijn de komende dagen en weken.
Blijkbaar blijven er nieuwe gegevens opduiken die het resultaat zouden zijn van de hack bij Limburg.net. De hack gaat dus om veel meer dan het rijksregisternummer en adres van 311.000 Limburgers en Diestenaren. Welke gegevens werden er nog buitgemaakt bij de hacking? Weten we nu definitief wat er aan de hand is?
De gegevensautoriteit beveelt de verwerkingsverantwoordelijke, Limburg.net, aan in geval van een inbreuk die een groot aantal betrokkenen betreft, en zeker wanneer het gaat over kwetsbare betrokkenen zoals minderjarigen, werknemers, patiënten enzovoort, om iedereen te informeren. Via de website verstrekt Limburg.net informatie over de hacking en eventuele betrokkenen kunnen contact opnemen met hen. Contacteert en informeert Limburg.net op eigen initiatief mogelijk kwetsbare personen en werknemers? Ik heb vanmorgen begrepen dat ze dat gaan doen. De vraag is dus al deels beantwoord, maar misschien kunt u daarbij nog wat meer duiding geven.
Is er al duidelijkheid over de wijze waarop deze hacking heeft kunnen plaatsvinden? Worden er stappen gezet naar andere intergemeentelijke samenwerkingen om te voorkomen dat zij ook het slachtoffer kunnen worden van een dergelijke hacking? Ook stads- of gemeentebesturen kunnen natuurlijk voorwerp worden van hacking. Gaat u stappen zetten om hen beter te beschermen?
Mijn laatste vraag gaat over het zo klein mogelijk houden van de gevolgen van de hacking. Limburg.net communiceert op zijn website over de mogelijke gevaren of gevolgen van deze hack en geeft ook aan welke stappen er eventueel genomen kunnen worden door de getroffenen. De kans bestaat dat een groot aantal mensen deze informatie niet gelezen zullen hebben op de website of niet goed begrijpen of kunnen inschatten wat er precies aan de hand is. Zult u nog op andere manieren naar hen communiceren over wat de gevaren kunnen zijn of zet u nog andere stappen om oneigenlijk gebruik van persoonsgegevens te verminderen? Daarbij wil ik onmiddellijk al meegeven dat louter een brief, een telefoontje of een telefoonnummer waar men informatie kan inwinnen, niet voldoende zal zijn om mensen die digitaal wat minder onderlegd zijn, te ondersteunen om identiteitsdiefstal te vermijden. Wat zult u nog meer doen om die mensen extra te beschermen?
De heer Warnez heeft het woord.
Collega Danen heeft de context in Limburg, bij Limburg.net, al goed geschetst. Ik ga dat dus niet herhalen. Het is een groot dossier als je kijkt naar het aantal en het type documenten. Ik ga een klein beetje uitzoomen, want het is een probleem dat natuurlijk verder reikt. Het is een voorval met gevolgen die verder reiken dan de betrokken organisatie. Op Europees niveau wordt er op dit ogenblik gewerkt aan de implementatie van de NIS2-richtlijn (Network and Information Security), die de bedoeling heeft om de cyberveiligheid te versterken. Het is een richtlijn die niet alleen de steden en gemeenten, maar als we het nu zo wat bekijken, ook de ziekenhuizen en intercommunales ertoe zal dwingen om de digitale beveiliging op te schroeven. Tegelijkertijd is er ook een groeiende discussie over – en ik formuleer het wellicht te simpel, omdat ook de media het wat simpel formuleren – het invoeren van een soort uniform computersysteem of software voor alle lokale besturen.
Het idee van een gestandaardiseerd systeem kan uiteraard voordelen bieden. Dat lijkt mij logisch. Ook experten zeggen dat dat noodzakelijk is om de veiligheid van een potentieel systeem grondig te kunnen evalueren. De vraag is natuurlijk of een dergelijk systeem, ongeacht de specificaties, voldoende kan worden beveiligd tegen cyberveiligheidsdreigingen. Maar goed, ik denk dat het incident bij Limburg.net in elk geval onderstreept dat er een urgente behoefte is, en er een doordachte en diepgaande aanpak van cybersecurity op alle niveaus van het lokale bestuur nodig is.
Vlaanderen heeft deze legislatuur al heel wat gedaan. Ik denk aan de verschillende audits die er zijn, waarbij lokale besturen op een vrij goedkope manier hun digitale beveiliging kunnen laten testen. Ik mag ondertussen zeggen dat ik daar zelf aan heb deelgenomen, en dat is een zeer interessante audit. Uiteindelijk bleek de prikklok bij ons een onveilig systeem. Dat is ondertussen beveiligd. We hebben ook het Traject Ethisch Hacken via Howest. Dat is ook heel boeiend. We hebben dat bij ons in Wingene ook gedaan, en het was zeer succesvol om daar dingen uit te leren. Er is de toolkit cyberveiligheid die samen met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) is opgezet.
Ik las, bij monde van de VVSG, dat men vraagt om een stap verder te gaan. Men wil dat Vlaanderen, alsook het federale niveau, de steden en gemeenten volledig ontzorgt. Men stelt dat het lokaal laten beheren van bepaalde systemen eigenlijk niet meer veilig genoeg is. Men vraagt een meer overkoepelende aanpak.
Hebt u al meer inzicht in de oorzaak van het grootschalige datalek?
Op welke manier heeft de Vlaamse overheid, na het vaststellen van het lek, ondersteuning kunnen bieden aan de intercommunale in kwestie?
Ziet u de nood aan een volgende stap in de cyberveiligheid van onze lokale data door zo’n algemeen systeem of gestandaardiseerd systeem? Plant u hiertoe nog een initiatief?
Minister Rutten heeft het woord.
Dank u wel, collega’s. Inderdaad, u zei het: Limburg komt heel vaak op een positieve manier in het nieuws, en is ook een bijzonder fijne provincie, maar met dit voorval wordt toch wel een zwarte bladzijde geschreven. Zij zijn het slachtoffer geworden van een grootschalige hacking. Ik wil misschien eerst zeggen dat het parket van Limburg een gerechtelijk onderzoek is opgestart, en in het belang van dat onderzoek en het feit dat daar ook onderzoeksdaden moeten gebeuren, ben ik eigenlijk beperkt om daar al te veel uitspraken over te doen. Ik zou dat onderzoek op geen enkele manier willen hypothekeren. Het is dus ook nog niet duidelijk op welke manier deze hacking heeft kunnen plaatsvinden. Daarvoor moeten we het onderzoek nog afwachten. Ik neem aan dat we daar later wel uitgebreid op kunnen terugkomen.
Het is alvast mijn bedoeling om de lessen die we kunnen trekken via de kanalen van het Cyber Response Team (CRT) te delen met zowel andere intergemeentelijke samenwerkingsverbanden als andere lokale besturen. Het gaat hier, voor alle duidelijkheid, om een intergemeentelijke samenwerking, waar het in principe de gemeentebesturen zijn die de bevoegdheid hebben en samen die intercommunale aansturen.
Wat hebben wij wel gedaan? Het Vlaamse Cyber Response Team heeft meteen na het incident – en dan spreken we over 13 december – contact opgenomen met Limburg.net. Dat is vanuit de ondersteunende rol die wij vanuit Vlaanderen spelen. Ze hebben hen geadviseerd in de te nemen stappen, bijvoorbeeld onmiddellijk melding maken bij de gegevensautoriteiten, en het aanstellen van een externe partner, zodat er een forensisch rapport kon worden opgemaakt. Wij bieden ondersteuning zoveel wij kunnen. Voor alle duidelijkheid, het federale niveau is bevoegd voor alles wat het vatten van de daders en het criminele aspect betreft. Wij zijn vanuit Vlaanderen preventief en ondersteunend bevoegd. Dat zijn dus de stappen die wij hebben gezet.
Ik ben blij dat er vanmorgen een persconferentie is geweest, want communicatie is in deze zaak natuurlijk ongelooflijk belangrijk. Zorgen dat er helderheid is, er is vanuit de Vlaamse Regering op aangedrongen om dat te doen. Ik ben blij dat ze het gewoon zelf hebben gedaan. Ik wil ook meegeven dat het wettelijk verplicht is om alle slachtoffers van gegevensdiefstal persoonlijk in te lichten over welke gegevens er bij hen gelekt zijn. Het is wel de intercommunale zelf die hiervoor verantwoordelijk is en die de communicatie hieromtrent op een zorgvuldige manier, als een goede huisvader of -moeder, dient op te zetten. Daarmee sluit ik de eerste beschouwing over de zaak zelf af.
De voorbije jaren hebben we helaas verschillende incidenten gehad. Die hebben duidelijk gemaakt dat we de impact en reikwijdte echt niet mogen onderschatten. We zijn heel vaak bezig met veiligheid, ook inzake gemeentebesturen. Het stadhuis moet op slot en er hangen camera’s. We zetten een slot en veiligheidssysteem op de deur, bij wijze van spreken. Als je de digitale deur onvoldoende beveiligt en niet op slot doet, komen de criminelen langs de digitale weg binnen. Dan zijn de gevolgen navenant. Het is heel belangrijk dat er op een zorgvuldige en doordachte manier mee wordt omgegaan. We trekken daar heel wat middelen voor uit en roepen daartoe op.
Er zijn verschillende initiatieven. Ik heb al verwezen naar het Cyber Response Team dat zowel preventief als reactief ondersteuning kan bieden. In samenwerking met de VVSG – de heer Warnez heeft er al naar verwezen – ontwikkelden we een toolkit waarmee men een crisiscommunicatie- en een bedrijfscontinuïteitsplan kan opmaken. Als er toch iets gebeurt, hoe verzekeren we dan de continuïteit van de dienstverlening? Deze toolkit is te raadplegen op de website van de VVSG en is dus ook toegankelijk voor de intercommunales.
Intergemeentelijke samenwerkingsverbanden kunnen tot slot ook cyberveiligheidsaudits laten uitvoeren. Intercommunales kunnen gebruikmaken van die raamovereenkomsten om hun risico’s in kaart te brengen en hun kwetsbaarheden aan te pakken. Ze worden dan professioneel begeleid.
De cofinanciering is momenteel enkel voorzien voor steden en gemeenten, nog niet voor intercommunales. Naar aanleiding van de gebeurtenissen bij Limburg.net ben ik van plan om bovenop de investeringen voor cyberveiligheid nog eens budget vrij te maken, zodat ook intercommunales op deze audits een beroep kunnen doen.
Voor deze zaak loopt het onderzoek, maar het bewustzijn van de problematiek blijft zeer belangrijk. Ik wil daarin een volgende stap zetten.
Ik kom tot uw laatste vraag, collega Warnez. Ik begrijp dat de VVSG ervoor pleit om steden en gemeenten volledig te ontzorgen op het vlak van IT. Misschien is dat de volgende stap die nodig is. Het is alleen zo dat je op dit moment, als je een algemeen systeem opzet vanuit Vlaanderen, ook niet zeker kunt zijn dat elk risico wordt uitgesloten. We hebben het hier vaak over het onzorgvuldig omgaan met paswoorden, het niet toezien op het feit of een computer die op de cloud of op het netwerk is aangesloten, niet vrij toegankelijk is voor iedereen, en het ontbreken van tweetrapsverificatie. Dan maakt het weinig uit of men een eigen systeem dan wel een algemeen Vlaams systeem gebruikt.
Nogmaals, als men de deur laat openstaan of de achterdeur niet op slot doet, dan komen ze binnen. Dan maakt het weinig uit wie het IT-systeem verzorgd heeft. Ik druk me zo plastisch mogelijk uit. Het gaat om bewustwording en veiligheid. Ik begrijp dat dat vaak vervelend is. Digitale tools zijn gemakkelijk, je zet de computer aan, je opent je mails, je bent bezig en voilà. Maar gemakkelijk wil vaak zeggen: onveilig. Als er een dubbele verificatie voorzien is, vraagt dat elke keer een dubbele stap. Er zijn veel manieren om een dubbele verificatie te doen, met een code of iets nieuws waarmee men kan inloggen. Dat vraagt telkens tijd, maar het is een pak veiliger. Het zit echt in een ‘change of mentality’. Het vraagt discipline om zelf voor die veiligheid te zorgen. Daarmee doe ik geen enkele uitspraak over de oorzaak in het geval van Limburg.net. Dat onderlijn ik. Het onderzoek loopt. We zullen lessen moeten trekken uit de resultaten.
Minister-president Jambon en Digitaal Vlaanderen zetten wel stappen om collectieve oplossingen te vinden voor steden en gemeenten. Het programma Lokaal Digitaal waar we al vaker over gesproken hebben, is daar een mooi voorbeeld van.
Op dit moment trachten wij te coachen, begeleiden en ontzorgen. Ik vrees dat we hier in de toekomst steeds meer mee geconfronteerd gaan worden. Voor we vanuit Vlaanderen een kader opleggen waaraan iedereen moet voldoen, kunnen we er het best eerst voor zorgen dat steden en gemeenten zich voldoende bewust zijn van de problematiek en mee kunnen in de oplossingen die we voorzien.
De heer Danen heeft het woord.
Dank u wel, minister, voor uw antwoorden.
Ik begrijp dat u de initiatieven waar gemeentebesturen vandaag een beroep op kunnen doen, wilt uitbreiden naar intercommunales, zeker wat betreft de cyberveiligheidsaudit. Dat is interessant om te horen.
Een vraag die ik heb gesteld en waar ik geen antwoord op hoorde, ging over het proberen te beperken van de gevolgen voor de getroffenen, mensen dus die kwetsbaar zijn of wiens gegevens gehackt werden en die achteraf worden gecontacteerd door iemand die malafide is. Hoe kun je maximaal proberen te voorkomen dat iemand daar intrapt? Ik weet dat daar geen gouden oplossing voor bestaat, maar ik denk toch dat we, naar aanleiding van deze zaak, echt waakzaam moeten zijn. Het zou wel eens kunnen dat het specifiek gericht is op kwetsbaren of op mensen die betalingsproblemen hadden. We weten natuurlijk niet wat er allemaal in de hoofden van malafide datadieven speelt. Allicht is het systemen ontwrichten, maar natuurlijk ook geld verdienen. En zoals het vaak is, zijn de kwetsbaarsten daar vaak het eerste slachtoffer van.
Mijn vraag is: wat gaat u doen om de impact van dit soort aanvallen, en specifiek van deze aanval, zo klein mogelijk te houden? Dit is natuurlijk geen lokaal dossier meer, het is een dossier dat een heel brede impact heeft.
Ik begrijp ook dat u niet veel uitspraken kunt doen over de specifieke casus. Dat begrijp ik heel goed, het onderzoek loopt. Maar ik betreur natuurlijk wel dat er een heel groot welles-nietesspel bezig is in diverse media over of alles wel of niet goed was beveiligd, wie er fouten heeft gemaakt en zo verder. Ik weet niet of we daar heel ver mee komen. We moeten eigenlijk vooral vooruitkijken om te zien hoe we kunnen voorkomen dat dit soort zaken nog kunnen gebeuren.
Mijn vraag is: zal hetgeen u vandaag hebt geantwoord over preventie vanuit uw diensten, wel voldoende zijn? Ik begrijp dat collega Warnez daar onlangs ook een schriftelijke vraag over heeft gesteld. Ik stel vast dat een aantal gemeenten niet ingaat op de zaken die u voorstelt. Dan is mijn vraag: zijn die gemeenten dan zo zelfzeker? Weten zij hoe alles loopt? Of staat dat minder hoog op hun agenda? Ik denk dat we dat zouden moeten weten. En zeker ook voor intercommunales lijkt dezelfde vraag me relevant.
Dan wilde ik ook de vraag stellen naar de datalink met de server van het Rijksregister. Ik heb begrepen dat in dit geval – nogmaals, dit is een grote zaak, geen lokaal dossier meer – zij rechtstreeks kunnen beschikken over rijksregisternummers via een datalink, en dat gemeentebesturen dat dus ook kunnen. Die connectie is gelegd langs verschillende kanten. De vraag die ik daarbij heb is deze: weten we vandaag zeker dat die servers van het Rijksregister, maar ook van de gemeentebesturen, niet geïmpacteerd zijn door dit lek? Weten we dat vandaag? Kunnen we dat vandaag met zekerheid zeggen of is het ook iets dat moet worden onderzocht? Dat is toch iets waar ik me zorgen om maak, zonder natuurlijk aan paniekzaaierij te willen doen.
Mijn volgende vraag gaat over de samenwerking tussen de Vlaamse Toezichtcommissie, de federale politie en de Gegevensbeschermingsautoriteit. Ieder neemt zijn verantwoordelijkheid, maar wordt er op dat vlak goed samengewerkt? Als we niet samenwerken, dan gaan we er, denk ik, zeker niet komen.
Dat waren mijn vragen.
De heer Warnez heeft het woord.
Dank u wel, minister, voor het antwoord.
Ik denk inderdaad dat de impact en reikwijdte niet te onderschatten zijn. Ik ben heel blij dat u zegt dat u de basisaudit wilt uitbreiden naar intercommunales. Ik kan nogmaals zeggen – ik heb het zelf meegemaakt in mijn lokaal bestuur – dat het superhandig is. We hebben ook een aanvullende audit gedaan. Maar daarnaast heb ik misschien nog een suggestie. Als we die intercommunales meenemen, dan zouden we beter ook de provincies meenemen, Limburg.net is zelfs meer dan een provincie. Ik denk dat daar ook wel wat data te beveiligen zijn.
Ten tweede is het op dit ogenblik niet echt mogelijk om een geheel Vlaams kader voorop te stellen, zegt u. Ik snap dat wel, maar ik denk dat het wel interessant is om vanuit Vlaanderen te kijken naar software die ofwel vaak gebruikt wordt, ofwel datagevoelig is. Als we vandaag in gemeentebesturen met Office werken, ja, dan hebben we onze ‘two factor authentication’. Die gasten hebben dat allemaal geïnstalleerd of die hebben dat geïmplementeerd, liever. Ik probeer wat voorzichtig te zijn. Ik wil geen namen van software noemen om niemand op ideeën te brengen of om niet aan ‘naming and shaming’ te doen. Maar zelfs software, denk ik, waar wij onze schepencolleges en onze gemeenteraad en misschien zelfs ons bijzonder comité voor de sociale dienst mee voorbereiden, die toch heel datagevoelig is, bevat niet altijd ‘two factor authentication’. En misschien is het wel zinvol om vanuit Vlaanderen te kijken of we voor die grote, veelgebruikte softwareprogramma’s in eerste instantie – ik weet dat niet meteen alles kan – geen standaarden moeten opleggen, zodat we de risico’s beperken.
De heer Van Miert heeft het woord.
Goedemiddag, minister, collega’s. Ja, het is toch wel weer een beetje schrikken, zeker als het gaat over de omvang, maar ook de manier waarop het allemaal binnenkwam, dat we weer eens te maken hebben met een heel groot datalek. Het zet heel de discussie, ook hier binnen onze werkzaamheden, weer op scherp. Het is al vaak gebeurd nu, bijvoorbeeld bij de federale overheid. We kunnen bijvoorbeeld ook vaststellen dat bij de grootste centrumstad in Vlaanderen het puin van hun aanval destijds nog geeneens geruimd is. Minister, u hebt er ook al naar verwezen: het belang van al deze werkzaamheden kan dus moeilijk onderschat worden. Je ziet het niet alleen bij burgers. We hadden gisteren bijvoorbeeld cijfers van de mensen die cybercriminaliteit komen melden bij de politie. Bij ons was al meer dan 10 procent van alle criminaliteit cybermatig in 2023 en het is nog stijgende, dus het zal ook in onze lokale overheden nog stijgen.
Ik had één concrete vraag voor u, minister, en die gaat over het Cyber Response Team. Ik weet dat u nog niet lang in deze positie werkzaam bent, te vroeg natuurlijk om de eerste maanden van het CRT al helemaal te evalueren. Ik wou echter toch even vragen of u met ons al enige inzichten kunt delen van hoe u het ziet, de werkzaamheden van dat team, of u daar wat meer inzichten in kunt geven.
Ik wilde ook nog heel even kort reageren op collega Warnez. Die integrale aanpak, ik heb daar toch ook wel wat schrik voor, eerlijk gezegd. Een integrale aanpak? Ik zie daar de goede collega van Oostende zitten. Als hij het ongeluk heeft om een kraak mee te maken, kan ik me voorstellen dat we in Turnhout – als we een integraal systeem hebben – tien minuten later ook het haasje zijn. Ik denk dat we daar enigszins voorzichtig moeten zijn.
Waarover ik wel met u akkoord was, mijnheer Warnez, was dat kader. Ik denk dat we wel vanuit Vlaanderen een duidelijk kader met richtlijnen moeten opzetten om onze lokale besturen te ondersteunen. Dat denk ik dus wel.
Ik had echter dus die ene vraag, voorzitter.
De heer Buysse heeft het woord.
Ik steun natuurlijk ook de voorstellen om de ondersteuning uit te breiden naar intercommunales, maar een stad als Brugge heeft bijvoorbeeld ook heel wat welzijnsverenigingen, waar ook heel wat geld en persoonlijke gegevens en zo mee gemoeid zijn. Ik denk dat het goed zou zijn dat men dat zo ver mogelijk uitbreidt naar organisaties die verbonden zijn met onze lokale besturen.
Ik wilde het echter heel kort nog even hebben over die bewustwording. Ik heb bijvoorbeeld destijds zelf de vraag gesteld in mijn stad Brugge of men zal intekenen op het project om de subsidie voor die ondersteuning te krijgen. Toen was dat niet nodig. Ze zegden: "Wij zijn grote jongens, wij hebben dat niet nodig. Dat is in feite voor de kleinere gemeenten.” Je voelt daar dus iets wat bevestigd wordt door ambtenaren die op sommige IT-diensten werken. Die zeggen dat het probleem heel dikwijls ligt bij een aantal mensen van het bestuur zelf, die in feite niet voldoende onderlegd zijn daarin, de gevaren niet vlug zien en die natuurlijk ook niet bereid zijn om daar vlug middelen voor uit te trekken.
Eind dit jaar komen er heel veel nieuwe lokale bestuurders op post. Minister, wat ik me afvraag, is of het geen goed idee zou zijn dat men proactief, vanuit het agentschap, al specifiek iets voorbereidt voor die doelgroep. Zo kan men hun van bij het begin al duidelijk maken wat de risico’s zijn en dat men niet mag wachten tot er eventueel iets gebeurt, om dan nadien te moeten remediëren.
Collega’s, ik geef direct het woord aan de volgende, maar wij hebben bezoekers gekregen. Beste mensen, als jullie even hier blijven, mogen jullie ook een rijtje naar voren schuiven, dan zie je iets. We zijn hybride aan het vergaderen, met mensen aanwezig en mensen vanaf hun bureau, dus zet u maar op een comfortabele stoel.
De heer Warnez heeft het woord.
Voorzitter, het zijn mensen uit de prachtige stad ‘Toeroet’.
Ah, van ‘Toeroet’? (Gelach)
Welkom. Dan gaan we verder. We gaan niet zo ver van Torhout weggaan, we gaan naar Oostende.
De heer Tommelein heeft het woord.
Dank u wel, voorzitter. Ik werk wel vanuit Brussel hoor, maar ik zit inderdaad op mijn bureau.
Minister, gegevens verzamelen is inderdaad altijd delicaat. Als overheid moeten wij er altijd alles aan doen om te waarborgen dat die gegevens veilig zijn. Uiteraard heeft elk bedrijf dat gegevens verzamelt, ook diezelfde taak. Dat geldt niet voor een overheid, dat geldt voor elke organisatie, elk bedrijf, maar dat staat hier los van.
Inderdaad, niet enkel overheden moeten instaan voor de veiligheid van de gegevens, maar ook intercommunales. Ook het onderzoek naar een Vlaams beleidskader voor Vlaamse lokale besturen, waaraan ze moeten voldoen wat betreft de cyberveiligheid, is een zeer goede zaak, net zoals de inspanningen die we samen met minister-president Jambon en Digitaal Vlaanderen doen om stappen te zetten om steden en gemeenten te ontzorgen. Ik vind dit inderdaad een zeer goed initiatief en ik heb wel het gevoel dat het overgrote gedeelte van de inspanningen op het vlak van cyberveiligheid momenteel bij die lokale besturen zelf ligt, collega’s. Wij besteden daar heel veel aandacht aan en heel wat energie en inspanningen.
Het is ook wel een zeer goed initiatief dat die intercommunales, waar de focus minder op ligt, toch ook heel wat gegevens verzamelen en ook een beroep zullen kunnen doen op cofinanciering voor die cyberveiligheidsaudits. Ik denk dat er ook in Brugge inderdaad nog wel wat welzijnsverenigingen zijn, zoals de collega zegt. Er zijn ook nog wel wat autonome bedrijven in steden en gemeenten, dus ik denk dat we ook daar aandacht aan moeten geven.
Mijn vraag aan de minister is: denkt u of er nog zaken zijn waarbij intercommunales zouden kunnen worden betrokken?
De heer Van Rooy heeft het woord.
Ik zou vanuit Antwerpen toch een kleine tussenkomst willen doen. We hebben daar natuurlijk ook de nodig ervaring mee, helaas. U herinnert zich nog de grootschalige hacking van het Antwerpse stadbestuur en de dienstverlening van de stad Antwerpen. Dat is echt een verschrikkelijke zaak geweest.
We mogen dat niet onderschatten. Dat kost vele tientallen miljoenen euro’s, ongeveer 70 miljoen euro. Dat heeft de dienstverlening naar de Antwerpse burger toe, vele maanden, tot zelfs een jaar wat sommige diensten betreft, zwaar beïnvloed. Tot op de dag van vandaag is het eigenlijk niet duidelijk wat die hackers al dan niet allemaal buit hebben kunnen maken, net zoals het ook niet duidelijk is of het Antwerpse stadsbestuur ook losgeld heeft betaald.
Wat wel duidelijk is, is dat de hoge kostprijs van de gevolgen daarvan eigenlijk groter is, veel groter zelfs, dan de investering in de nodige veiligheidsmaatregelen die men had moeten doen, maar dus niet heeft gedaan. De online veiligheid wordt een steeds groter probleem.
Naast de financiële kostprijs is er natuurlijk ook een maatschappelijke kostprijs. Die is zeer groot. Mensen verliezen hun vertrouwen in de overheid. Er wordt aan mensen gezegd dat ze steeds meer digitaal moeten doen, dat ze steeds meer van hun gegevens digitaal moeten toevertrouwen aan de overheid. Veel te vaak – het is al zo vaak gebeurd – blijkt dat de overheid daar onzorgvuldig mee omgaat. Ik denk ook dat in het geval van Limburg.net zal blijken dat er, net zoals in Antwerpen, nalatigheid in het spel is. Ik neem dat woord niet lichtzinnig in de mond.
Als er hier wordt gesproken over slachtoffers of een slachtoffer, wil ik er toch op wijzen dat het in de allereerste plaats de burger is, de belastingbetaler, die hier het slachtoffer van is, en niet bijvoorbeeld Limburg.net of het stadsbestuur, die veel te onzorgvuldig met die gegevens zijn omgesprongen, en die dus nalatig zijn geweest. De burger ziet zich zwaar aangetast in zijn privacy.
Voorzitter, ik zal hiermee afronden. Eigenlijk is mijn oproep aan deze minister, maar eigenlijk aan politici in het algemeen, om toch veel omzichtiger en minder lichtzinnig om te springen met digitalisering. Want wat we vandaag eigenlijk zien, is dat er een overheid is, of overheden zijn, zowel lokaal als bovenlokaal, die veel te snel hebben gedigitaliseerd of aan het digitaliseren zijn, zonder de nodige veiligheidsmaatregelen te nemen. Daar zien we de verschrikkelijke gevolgen van, en dat zal in de toekomst helaas ook nog zo zijn.
Minister Rutten heeft het woord.
Dank u wel, het was een hele ronde, met heel wat bijdragen. Ik ga proberen om alles te overlopen, anders wijst u me er maar op.
Wat de suggestie van de heer Buysse betreft om opleidingen te voorzien voor nieuwe mandatarissen: we voorzien aan het begin van de legislatuur altijd een pakket aan opleidingen. Die suggestie wordt inderdaad meegenomen, om ervoor te zorgen dat er vanaf het begin wordt gewezen op cyberveiligheid. Ik doe dat dan dubbel: in hun eigen hoedanigheid natuurlijk, maar ook als beleidsmaker, om dat mee te nemen in het bestuursakkoord van hun stad. Want het is natuurlijk meer dan alleen de verantwoordelijkheid van de bestuurders alleen. Het gaat over alle medewerkers, over iedereen die daar zit. Maar ik neem de suggestie mee.
Ik schets nog even de moeilijkheid – hoewel er initiatieven zijn om meer en meer te ondersteunen, zeker vanuit Digitaal Vlaanderen – van wat het nadeel kan zijn van op te leggen hoe het moet. Ik ga eventjes de vergelijking maken. We gaan er allemaal van uit dat het fysieke stadhuis, waar ook een dienst burgerlijke stand is, waar vroeger de kasten met de dossiers stonden, goed beveiligd is. Er is nochtans geen wet die zegt dat er een dubbel slot moet zijn, een veiligheidscamera moet hangen, of dat er een alarmsysteem moet zijn, laat staan welk alarmsysteem.
In de fysieke wereld weten we dat we dat moeten doen, dat niemand zomaar het gemeentehuis mag binnenwandelen, een lade mag opentrekken, en daar een deel van de dossiers mag meenemen. In de digitale wereld is, door het gebruiksgemak en doordat het allemaal heel snel is gegaan, die bewustwording er blijkbaar niet.
Als je dan gaat opleggen dat het op een bepaalde manier moet, denk ik dat je ook, los van het feit dat je richting kunt geven, innovatie en ontwikkeling niet wilt tegenhouden. Voordat er een wet is veranderd, voordat er nieuwe veiligheidstoepassingen zijn, zijn we wel weer wat verder. Dan hinken we wel weer achterop.
We moeten daar een evenwicht in zoeken. We moeten heel duidelijk maken wat de standaard moet zijn, wat we verwachten van gemeentebesturen. Daar kan ik u voor een stuk wel in volgen. Maar ik zou niet te gedetailleerd zijn in hoe je dan voor die veiligheid moet zorgen. Laat de markt daar ook maar wat spelen en met goede oplossingen komen.
Mijnheer Warnez, mijnheer Danen, ik neem jullie suggestie mee – of uw suggestie, ik weet niet meer wie van de twee ze heeft gedaan – om de provincies daarbij te betrekken. Dank daarvoor, ik was het bijna vergeten. Het ging hier natuurlijk over een zaak van een intercommunale, we zullen die dan ook mee opnemen in de cofinanciering.
Ik zei al dat ik daar bijkomende middelen voor zal uittrekken en dat we dat toepassingsgebied dan zullen uitbreiden. Voor alle duidelijkheid, ze kunnen daar vandaag al instappen. Het is niet uitgesloten, maar er is geen cofinanciering voorzien. Als het financiële aspect de drempel zou zijn, zal ik middelen vrijmaken om naar cofinanciering te gaan.
Mijnheer Danen, u vraagt naar de slachtoffers. Ik vind dat een heel goede vraag. Ik heb dat deels ook bij de heer Van Rooy gehoord. De slachtoffers zijn natuurlijk de burgers van wie de gegevens op straat liggen, van wie de privacy werd geschonden.
Ik herhaal dat er een onderzoek loopt. Ik herhaal ook dat het aan Limburg.net is om élk slachtoffer te contacteren. Iedereen van wie er gegevens werden gelekt, moet op een zorgvuldige manier persoonlijk worden geïnformeerd. Dat is het eerste, dat is wat de wet voorschrijft.
U vroeg daarenboven: wat met extra kwetsbare groepen? Kan daar iets voor worden gedaan?
Dat is natuurlijk heel moeilijk. Ik zal niet zeggen dat er niets kan. De hackers die over de gegevens beschikken, hebben tig toepassingen om te gaan phishen. Wij kunnen onmogelijk zeggen dat je moet oppassen omdat er een mail zal komen van iemand die zich voordoet als van de politie, of een mail waarin het lijkt alsof je een prijs hebt gewonnen. ‘We don’t know.’ Ze zullen daar wel creatief genoeg voor zijn. Het enige wat wij kunnen zeggen, is dat je superalert moet zijn. Dubbelcheck, triple check, klik nergens op. Ben je niet zeker, neem contact op met Limburg.net.
Ik wil graag een oproep doen. Limburg.net is een intercommunale. Het zijn gemeenten die die intercommunale maken. In elk van die gemeenten hebben ze zicht op welke de verenigingen zijn die met kwetsbare mensen werken. Als er dus initiatieven moeten worden genomen richting die kwetsbare groepen, is dat volgens mij de taak van de intercommunale en de gemeenten die daaronder zitten. Zij moeten zorgen voor – ik zeg maar iets – een loket, een ondersteuning vanuit het OCMW of dergelijke. Zo kunnen we ervoor zorgen dat die alertheid tot op het terrein komt.
Ik kan mij inbeelden dat je iemand die in budgetbeheer zit, die bij jou komt en slachtoffer was als gevolg van die affaire, aanmaant om nu echt wel dubbel op te letten wanneer er naar hun gegevens wordt gevraagd.
Vanuit de Vlaamse overheid is het bijzonder moeilijk om op die manier te infiltreren op het terrein en zo dicht bij de mensen te gaan. Eigenlijk moet iedereen heel goed weten wat er hier kan gebeuren. Tot daar gaat mijn antwoord over de betrokkenheid.
U zei terecht dat het over Limburg gaat. Ook Diest, de stad Diest, uit de provincie Vlaams-Brabant, is aangesloten bij Limburg.net. Voor zover ik weet en men mij heeft geïnformeerd vanuit het Agentschap Binnenlands Bestuur en Digitaal Vlaanderen, is er op dit moment geen Vlaamse betrokkenheid of schade. Als dat uit het onderzoek zou blijken, kunnen we die informatie uiteraard nadien geven. Op dit moment is dat echter een zaak van de Limburgse gemeenten en de stad Diest. Vooralsnog is het nog een Vlaamse aangelegenheid.
Ik denk dat ik hiermee op nagenoeg al jullie opmerkingen ben ingegaan.
Dat zullen we zo dadelijk horen van de twee initiële vraagstellers.
De heer Danen heeft het woord.
Minister, ik dank u voor uw antwoorden. Wat hier gebeurt, is een heel ernstige zaak. Dit zal wellicht niet de laatste zijn wat dit soort aanvallen betreft.
Iedereen wil steeds meer digitaal. Persoonlijk wil ik dat ook wel, maar we mogen niet vergeten dat een hele grote groep van onze samenleving schrik heeft van het digitale en niet helemaal mee is. Dit soort van gevallen zorgt ervoor dat het draagvlak bij die groepen nog wat meer wordt onderuitgehaald. We moeten er inderdaad alles aan doen om, ten eerste, ervoor te zorgen dat deze zaak zo goed mogelijk wordt afgehandeld, en ten tweede, te vermijden dat dit soort van zaken nog voorkomen.
Ik weet dat u er niet op kunt vooruitlopen. Het is echter belangrijk dat, als mensen die zorgvuldig zijn geweest, toch het slachtoffer worden van phishing of andere identiteitsfraude en daar een financieel nadeel van ondervinden, zij op de een of andere manier worden tegemoetgekomen. Ik zeg niet wie dat dan precies moet doen, maar het kan toch niet dat een burger de dupe wordt van een probleem bij de overheid. Ik wil u er dus toe oproepen om daar kaders voor uit te werken. Het zou toch niet mogen zijn dat iedere gedupeerde dan naar de rechtbank moet stappen. We mogen niet van dat model uitgaan. Ik doe de oproep om getroffen burgers, bij wie de schade echt kan worden aangetoond, financieel tegemoet te komen en hen op weg te helpen om de identiteitsfraude of diefstal zo goed mogelijk weg te werken. Ik kan mij voorstellen dat sommige mensen echt in paniek zijn, zeker wanneer ze daardoor nadeel zullen ondervinden. Dat is de oproep die ik wil doen.
Ik denk dat het ook belangrijk is dat iedere overheid zijn verantwoordelijkheid neemt om dit soort criminaliteit zoveel mogelijk in de kiem te smoren.
De heer Warnez heeft het woord.
Ik wil eerst nog kort reageren op collega Van Miert voor wat de integrale aanpak betreft. Collega Van Miert zei dat wanneer men kan binnendringen in een gemeente, men ook kan binnendringen in een andere gemeente. Ik denk dat wat de VVSG hierover vraagt, niet is om alle data op een server in de cloud te zetten en ook niet om eenzelfde code te gebruiken voor de toegang tot elke gemeente. Ik denk dat het vooral gaat over een integrale aanpak die betekent dat men gemeenten sterker gaat ontzorgen, bijvoorbeeld een kader aanbieden dat software kan screenen op het al dan niet bruikbaar zijn in het kader van cyberveiligheid.
Collega Danen heeft een heel terecht punt aangehaald: niet iedereen is mee op de digitale trein en daar moeten we voor zorgen. We moeten voor alle slachtoffers zorgen. Maar ik wil misschien wijzen op het Vlaams initiatief rond e-inclusie. De voorganger van de minister heeft aan 160 gemeenten subsidies gegeven om digitale inclusieprojecten op te zetten. Ik ben ervan overtuigd dat er van die 160 gemeenten zeker een deel zijn aangesloten bij Limburg.net. Misschien kunnen zij hun praktijken gebruiken om Limburg.net te inspireren.
Minister, ik ben zeker en vast tevreden. Ik heb twee beloften gehoord, een over audits die ook gecofinancierd worden voor intercommunales en voor provincies, en een over het feit dat er een stap komt naar een soort richtinggevend beleidskader – ik begrijp dat het geen dwingend Vlaams beleidskader is, want dat is niet zinvol – met bijvoorbeeld standaarden om steden en gemeenten verder te ontzorgen.
De vragen om uitleg zijn afgehandeld.