Report meeting Commissie voor Bestuurszaken, Binnenlands Bestuur, Inburgering en Stedenbeleid

De heer Doomst heeft het woord.

Voorzitter, dit is ook zo'n item waar men lokaal enorm mee bezig is.

Op 18 september publiceerde Audit Vlaanderen de resultaten van een bevraging bij 28 besturen. Dat is nog niet veel, maar wel redelijk representatief. Er werd gekeken in hoeverre de informatie voldoende veilig was afgedekt.

De vaststellingen zijn toch niet onbelangrijk. De lokale besturen vullen de rol en de verantwoordelijkheid op het gebied van informatiebeveiliging onvoldoende correct en concreet in. De technische beveiliging van de IT-omgeving is ontoereikend. Het beheer van de toegangs- en gebruiksrechten verloopt niet optimaal. Verder blijken lokale besturen vaak onvoldoende gewapend om snel en gepast te reageren op incidenten. Het is ook merkwaardig dat in 24 van de 28 gevallen ingehuurde ethische hackers controle konden krijgen over de volledige IT-omgeving.

Audit Vlaanderen stelt een aantal remedies voor. Er is nog wat werk aan het in overeenstemming brengen van IT met de behoeften en de doelstellingen van de organisatie. Andere remedies zijn het eenduidig vastleggen van de taakverdeling voor het IT-beheer tussen lokaal bestuur en leveranciers, het vertalen van de relevante regelgeving naar oplossingen met duidelijke voorwaarden, instructies en garanties.

In welke mate worden lokale besturen voldoende bewust gemaakt van mogelijke veiligheidsrisico’s? Bent u van plan om nog aan bijkomende sensibilisering en bewustmaking te doen? De uitdagingen blijken groot en complex te zijn voor een doorsnee lokaal bestuur. Hebt u er hen al op gewezen dat het beter zou zijn dit op een grotere schaal aan te pakken? Zal de Vlaamse overheid bijkomende expertise ter beschikking stellen om op dat vlak vooruitgang te boeken?

Minister Homans heeft het woord.

De thema-audit toont aan dat er tekortkomingen zijn op het vlak van informatiebeveiliging bij de lokale besturen. Dat gaat over meerdere zaken die systematisch werden bekeken door Audit Vlaanderen, namelijk de beveiliging van het netwerk, het wachtwoordenbeleid, het toegangsbeheer, en onvoldoende bescherming van fysieke documenten. Hoewel de audit toont dat er goede praktijken zijn, is er inderdaad nog wel een beetje werk aan de winkel.

U vraagt mij oplossingen en ik vind dat niet erg. U weet dat ik enerzijds een zeer grote pleitbezorger ben van zoveel mogelijk autonomie voor de lokale besturen, die ze dan af en toe ook moeten opnemen en dat doen ze dan meestal wel. Ik ben anderzijds best bereid om ook nog oplossingen aan te reiken. Die staan ook zeer duidelijk in de audit opgesomd. Er is in de eerste plaats actie en meer zelfbewustzijn omtrent deze problematiek nodig bij de lokale besturen. Dat staat letterlijk in de audit.

Dat is de kernboodschap van de audit. Het is belangrijk dat de lokale besturen structureler inzetten op een informatieveiligheidsbeleid en op de uitvoering van dat beleid met duidelijk afgebakende rollen en verantwoordelijkheden. Dat is essentieel om dit op een degelijke wijze te kunnen aanpakken. Er moeten ook voldoende middelen zijn. Daarmee bedoel ik tijd, geld en capaciteit. Het gaat niet enkel om financiële middelen, maar ook om tijd en capaciteit. Er moet ook absoluut meer sensibilisering komen. Nu is dit te weinig uitgebouwd.

De audit toont ook zeer duidelijk aan dat er niet altijd nood is aan grote, nieuwe investeringen om deze zaken te kunnen oplossen. Tijdige updates van systemen, de invoering van een wachtwoordenbeleid en een effectievere recuperatie van sleutels, bijvoorbeeld, kunnen al veel betekenen. Een lokaal bestuur moet op die domeinen zelfstandig orde op zaken kunnen stellen. Het is niet allemaal heel complex.

De audit wijst ook op de nood van een samenwerking tussen lokale besturen om de kennisdeling te bevorderen en om goede praktijken met elkaar uit te wisselen tussen lokale besturen en de andere overheden, waaronder natuurlijk de Vlaamse en federale instanties.

Ik deel absoluut de bevindingen van Audit Vlaanderen. De lokale besturen zijn immers onze partners in de organiseren en het aanbieden van onze diensten. Ze fungeren vaak als eerstelijnsloket voor de burgers. Als Vlaamse overheid hebben we er alle belang bij dat ze over een veilig en stabiel informatiesysteem beschikken.

Ik neem op dit vlak ook mijn verantwoordelijkheid. Tijdens deze legislatuur hebben we door middel van subsidies aan de VVSG en aan de Vlaamse ICT Organisatie (V-ICT-OR) ingezet op de versterking van de informatieveiligheid in honderden gemeenten. Dit is onder meer gebeurd door middel van individuele begeleidingstrajecten, informatieveiligheidstools en de versterking van de lokale kennisdelingsnetwerken. We delen continu onze tools en expertise met de lokale besturen en hun vertegenwoordigers. In het stuurorgaan Vlaams Informatie- en ICT-beleid en in de werkgroep Informatieveiligheid van de VVSG overleggen we systematisch met de lokale besturen over dit thema. We hebben de VVSG recent sjablonen aangereikt om de Algemene Verordening Gegevensbescherming te kunnen uitvoeren. De VVSG kan ook gebruik maken van een door mijn administratie gratis aangeboden online tool om het intern bewustzijn over informatiebeveiliging te verhogen. Ik kan hier meedelen dat die tool ook wordt gebruikt.

De Vlaamse overheid geeft jaarlijks miljoenen uit aan veilige ICT-bouwstenen en platformen waar lokale besturen vaak gratis gebruik van kunnen maken. Ik denk dan bijvoorbeeld aan het Kabel- en Leidinginformatieportaal (KLIP) en aan het platform MAximale GegevensDeling tussen Administraties (MAGDA). U kent dat systeem. Ik heb deze legislatuur, bijvoorbeeld, meer dan 4 miljoen euro extra in MAGDA geïnvesteerd. Het gaat om het informaticasysteem waar onder meer de lage-emissiezone in Antwerpen op draait, om maar een voorbeeld te geven.

Ik heb dat geld tijdens de begrotingsgesprekken vrijgemaakt omdat ik van oordeel ben dat het MAGDA-platform ons kruispunt van digitale informatie is dat de lokale besturen op een zeer veilige wijze toegang tot allerhande gegevens biedt. Ik heb het nu concreet over MAGDA, maar er zijn nog andere voorbeelden. Meer gedetailleerde informatie over al deze zaken is te vinden in een aantal schriftelijke vragen en vragen om uitleg van onder meer de heer Segers en de heer Maertens.

Er is natuurlijk ruimte om nog actiever te communiceren over de oplossingen die wij aanbieden. Alles kan natuurlijk altijd beter, want anders zouden we hier niet zitten. De lokale besturen moeten ons aanbod echter ook zelf actief opzoeken en in staat zijn om onze oplossingen in hun organisatie te integreren. Ik geef toe dat dit niet altijd evident is. Soms is een grotere capaciteit op het niveau van het lokale bestuur nodig.

Mijnheer Doomst, dat kan door middel van samenwerking, zoals Audit Vlaanderen heeft voorgesteld, maar ook door middel van fusies. De samengevoegde lokale ICT-diensten zijn dan groter. Ik heb het dan niet over de fusie van Gooik met een of andere gemeente. Het is ook mogelijk diensten te fuseren en de gemeenten moeten dan niet ook fuseren. Hierdoor staan de ICT-diensten sterker om een aantal zaken aan te pakken.

Zal ik nog bijkomende acties ondernemen? Ja, dat is zeer duidelijk. Dat was eigenlijk al gepland, los van deze audit. Ik kan dit bewijzen. Op 10 oktober 2018 organiseert Informatie Vlaanderen in Oost-Vlaanderen een informatievergadering over informatieveiligheid voor de lokale besturen. Hetzelfde zal gebeuren op 16 oktober 2018 in West-Vlaanderen, op 18 oktober 2018 in Vlaams-Brabant, op 23 oktober 2018 in Limburg en last, but zeker niet least, op 25 oktober 2018 in de provincie Antwerpen.

We hebben al op deze audit geanticipeerd. De titel van die infodagen is: ‘Naar een vlotte en veilige digitale gegevensdeling bij de lokale besturen’. Er zal onder meer worden ingegaan op de knelpunten van de audit. Audit Vlaanderen organiseert hierover ook workshops. Ik doe een oproep aan de lokale besturen om hier volop aan deel te nemen. Ik hoop dat alle aanwezigen die oproep onder hun collega’s zullen verspreiden.

De heer Doomst heeft het woord.

Minister, ik dank u voor het omstandig antwoord, waaruit een grote betrokkenheid bij het probleem blijkt. Ik ben heel blij dat dit de volgende weken tot terreincontacten zal leiden. Ik neem aan dat het Agentschap Binnenlands Bestuur dit enigszins zal monitoren.

Hoe ver staan we eigenlijk? Zitten we aan 50 procent of aan 60 procent? Kunt u hier een percentage op plakken? Hoe hebben we dit al ingevuld? Kunnen we daar een beeld van krijgen? Hoe sterk staan we al? Zitten we al over de helft?

Tot slot vind ik het een goed idee om met clusters te werken. Ik denk dat de individuele gemeenten dit niet moeten aanpakken en dat het absoluut nuttig is grensoverschrijdend te werken.

Minister Homans heeft het woord.

Ik wil nog kort opmerken dat een en ander niet wordt gemonitord door de administratie van de heer Windey, maar door Informatie Vlaanderen, een agentschap dat ook onder mijn bevoegdheid valt. Ik denk dat dergelijke audits van onschatbare waarde zijn.