Report meeting Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering

– Wegens de coronamaatregelen werden deze vragen om uitleg via videoconferentie behandeld.

De heer Van Rooy heeft het woord.

Het Vlaams Parlement gebruikt Zoom al een tijdje. Ook in heel wat steden en gemeenten wordt dat gebruikt, zoals in Antwerpen. Ik heb straks opnieuw een gemeenteraadscommissievergadering die via Zoom zal gebeuren. Ik ben zeer blij dat er nu is beslist dat commissies steeds meer opnieuw fysiek zullen plaatsvinden. Morgen heb ik voor het eerst een commissievergadering die fysiek zal plaatsvinden in het Vlaams Parlement, de commissie Energie van minister Demir. Het is absoluut nodig dat we dat zo snel mogelijk doen en dat dat mogelijk is, uiteraard mits inachtneming van de socialdistancingregels.

Maar ik maak me toch wel zorgen over het gebruik van Zoom, omdat er toch al heel wat getuigenisverhalen naar buiten zijn gekomen over problemen met Zoom wat betreft de betrouwbaarheid en de veiligheid. Als er vanuit het niets plots pornografische beelden opduiken, dan kan dat misschien nog op enige hilariteit worden onthaald. Maar ik zie toch dat steeds meer bedrijven en organisaties beslissen om Zoom niet meer te gebruiken, omdat ze het qua veiligheid niet vertrouwen. Blijkbaar heeft het toch een zekere zwakte qua hacking. De Universiteit Antwerpen stopt met het gebruik van Zoom. Alle pc’s zullen worden ontdaan van de applicatie Zoom. Maar ook de National Aeronautics and Space Administration (NASA) – toch niet de minste – en het ministerie van Buitenlandse Zaken in Duitsland, hebben beslist om Zoom niet meer te gebruiken.

Ik heb deze vraag toevallig gisteravond ook gesteld in de Antwerpse gemeenteraadscommissie. Er is mij door burgemeester De Wever verzekerd dat Zoom er, na vergelijking met een hele reeks van dit soort applicaties – hij heeft er een tiental opgenoemd – als beste is uitgekomen, ook qua veiligheid.

Goed. Wij, of ik althans, ben daarin geen expert. Maar ik wil toch even wijzen op de lange en goede uiteenzetting die we daarnet in deze commissie hebben gekregen over het digitaal stemmen, waaraan ook een luik rond veiligheid was verbonden. Het ging daarbij over de samenwerking met federale veiligheidsdiensten.

Minister Somers, ik wil van u weten hoe u hiertegenover staat. Wij gebruiken dit op dit eigenste moment, al weet ik dat u daarover niet meteen een beslissing kunt vellen. Maar er zijn toch heel wat lokale besturen die deze applicatie aanhoudend gebruiken. In de toekomst zou het misschien kunnen zijn dat er opnieuw een pandemie of iets anders voorvalt, waardoor er vanop afstand moet worden vergaderd. Ik hoop uiteraard van niet. Maar toch: hoe staat u daar tegenover? Plant u actie te ondernemen, in die zin dat u lokale besturen zou aanraden om dit toch beter te onderzoeken, of ze ervan zou bewustmaken dat er toch problemen zijn met Zoom? Welke stappen kunt en zult u hierin nemen?

De heer Van Miert heeft het woord.

Mijn vraag sluit heel nauw aan bij de vorige, het is bijna een doorslag van de duiding die collega Van Rooy daarnet aan jullie heeft gegeven. Ik kan hier dan ook heel kort zijn. Ik denk niet dat er nog veel duiding nodig is, of misschien toch een beetje. Ik denk dan aan advies aan de lokale besturen, want die bezorgdheid duikt op bij meerderheid en oppositie. Wij gebruiken het in Turnhout ook vaak voor onze commissievergaderingen en onze gemeenteraad.

We moeten natuurlijk niet overdrijven. De bespreking die wij hier vanmiddag bijvoorbeeld hebben, is door iedereen te volgen, en is straks ook op televisie te zien. Ook onze commissievergaderingen en onze gemeenteraad zijn openbaar, dus we mogen niet overdrijven. Maar zoals collega Van Rooy al terecht aangaf: als het over staatsveiligheid of over stemmingen gaat – ik denk bijvoorbeeld aan ons managementteam – of over persoonlijke zaken, wordt het natuurlijk wel delicaat.

Het blijft uiteindelijk ook informatie die bedrijfseigen is, informatie die eigendom is van dat bedrijf, en die ook legaal is beschermd. Dan moeten we toch een beetje opletten hoe we een en ander communiceren, en hoe zaken naar de buitenwereld zouden kunnen geraken.

Minister, hoe staan wij vanuit Vlaanderen tegenover deze applicatie?

Minister Somers heeft het woord.

Ik dank collega’s Van Rooy en Van Miert voor hun vraagstelling, omdat ik denk dat het een belangrijk thema is in deze tijd. We zijn de voorbije weken en maanden massaal overgeschakeld op thuiswerken en digitaal werken. Wij doen het trouwens nu ook als parlementsleden en politici. Een belangrijke randvoorwaarde bij dat digitale werk is natuurlijk een maximale aandacht voor de bescherming van persoonsgegevens en aandacht voor het voldoende beveiligen van de systemen waarmee men werkt.

Een van de belangrijke tools die wereldwijd worden gebruikt is Zoom. Wij hebben de Vereniging van Vlaamse Steden en Gemeenten (VVSG) bevraagd: wordt dit systeem veel gehanteerd door gemeenteraden? Zij vertelden ons dat dat eerder beperkt is, al spreken de voorbeelden dat tegen: blijkbaar gebruikt men het in Antwerpen en Turnhout. Maar het was een algemene reactie van de VVSG dat het toch niet op zo heel veel plaatsen wordt gebruikt. Maar het wordt dus wel gebruikt.

Er zijn inderdaad veiligheidsissues aan het licht gekomen met Zoom, en die hebben de pers gehaald. De Vlaamse overheid en ikzelf zijn daarvan op de hoogte. De werkgroep informatieveiligheid van de Vlaamse overheid, die onderdeel is van het Stuurorgaan Vlaams Informatie- en ICT-beleid, waarin ook de VVSG vertegenwoordigd is, heeft op basis van die artikels zeer snel gereageerd met een advies. En we hebben de lokale besturen geïnformeerd over de risico’s. We hebben dat advies overgemaakt. Het Agentschap Binnenlands Bestuur heeft dat gedaan op 20 april in zijn nieuwsbrief op de website. Zij hebben gecommuniceerd onder de titel ‘Veilig online (vergader)tools kiezen’. In dat bericht is ook een link naar het advies van de werkgroep naar voren gekomen. Ook met de VVSG heeft de Vlaamse overheid over dit advies gecommuniceerd en de VVSG heeft dit verder binnen haar werkgroep informatieveiligheid gecommuniceerd. Als u dat bekijkt, zult u dat advies uitvoerig vinden. Het is rondgestuurd naar iedereen, het staat op de website enzovoort.

De Vlaamse overheid kan deze zaken niet verplichten of verbieden. Ze kan alleen maar adviseren. Dat hebben we dan ook gedaan. Die adviezen bieden we op basis van experten.

De keuze voor bepaalde ICT-tools is een aangelegenheid van de lokale besturen zelf, waarbij ze veiligheidsafwegingen moeten maken en de conformiteit met de regelgeving bewaken. Als Vlaamse overheid moeten we daarbij ondersteunen en richtlijnen geven, en dat hebben we nu dus gedaan.

Ik ben zelf geen expert, maar een leek in deze zaak, en ik sluit me vanzelfsprekend aan bij het advies van de werkgroep informatieveiligheid van de Vlaamse overheid. Samengevat komt het advies neer op het volgende. Het is af te raden om Zoom zelf te installeren en het is raadzaam te opteren voor andere platformen om online te vergaderen als lokaal bestuur. Dat is het advies van de werkgroep.

Als je als lokaal bestuur het gebruik overweegt, moet je een aantal voorwaarden invullen. Je moet bijvoorbeeld een verwerkersovereenkomst afsluiten met Zoom – dat is dus mogelijk – en zelf een veiligheidsanalyse maken, die dan zal leiden tot bijkomende veiligheidsmaatregelen bij het gebruik. De werkgroep stelt ook dat je kunt deelnemen aan Zoommeetings op uitnodiging van iemand anders – als je zelf de vergadering niet organiseert –, maar enkel via de browser, dus zonder de app te installeren. Dat is toch een relatief duidelijk advies van de werkgroep informatieveiligheid.

Voor deze commissie wordt ook Zoom gebruikt. Ik begrijp dat de diensten van het Vlaams Parlement dit doen op basis van een eigen veiligheidsanalyse en met bijkomende veiligheidsmaatregelen.

Plan ik nog initiatieven? Ik vind het waarborgen van gegevensbescherming en veilige ICT-systemen in de lokale besturen cruciaal en probeer de lokale besturen daarin maximaal te ondersteunen. Getuige daarvan is het budget dat ik recentelijk heb vrijgemaakt voor een samenwerking met de VVSG – een subsidie van 180.000 euro – om een toolkit cyberveiligheid uit te werken en ethische hackers in te zetten in de lokale besturen.

Een tweede financieringsluik is de cofinanciering van ICT-veiligheidsaudits in de lokale besturen om technische kwetsbaarheden op te sporen en te remediëren. Daarvoor heb ik 2 miljoen euro uitgetrokken. Morgen hebben we een rondetafelconferentie over cyberveiligheid, met onder meer een casestudie van de gemeente Willebroek. U herinnert zich vast dat de gemeente Willebroek enkele maanden geleden gehackt is geweest. Burgemeester Bevers van Willebroek heeft daar op een zeer voorbeeldige manier met zijn administratie op ingespeeld. Het is eigenlijk een modelvoorbeeld van hoe een lokaal bestuur daarop kan reageren.

Daarop gaan we voortwerken. Ik zal ook de digitale praktijken in lokale besturen blijven bundelen in mijn coronagids voor lokale besturen. Straks komen daarover nog vragen om uitleg van de heren Ongena en De Loor, en dan kan ik daar nog verder op ingaan.

Op basis van het advies van de werkgroep informatieveiligheid, dat we ruim hebben verspreid, wordt Zoom afgeraden. We vragen het niet zelf te installeren, als men het gebruikt dat te doen via de browser en niet via de app, en onder een aantal heel duidelijke voorwaarden, zoals een verwerkingsovereenkomst en een veiligheidsanalyse die men zelf kan maken.

De heer van Rooy heeft het woord.

Minister, het is toch kras om te horen dat de Zoomapplicatie die wij op dit eigenste moment gebruiken, wordt afgeraden. Daar komt het advies op neer. Het mag wel worden gebruikt, maar dan onder een aantal voorwaarden, waaraan wij hier hopelijk voldoen. Voorzitter, ik zie u ja knikken.

Niettemin heb ik nog enkele vragen. Is er in dat advies dan een andere app die wel wordt aangeraden, die wel veilig is of toch alleszins veiliger dan Zoom? Honderd procent veiligheid bestaat helaas niet en zal ook nooit bestaan, dat besef ik natuurlijk ook. Is er geen app die wel wordt aangeraden en waarover wij ons in het Vlaams Parlement moeten beraden of we die dan niet beter gebruiken?

Ik wil er toch nogmaals op wijzen dat, als de Universiteit Antwerpen en het Duitse ministerie van Buitenlandse Zaken drastisch beslissen om Zoom niet meer te gebruiken, dus zelfs niet als die voorwaarden in acht worden genomen, dat toch een teken aan de wand moet zijn. Minister, ik heb uiteraard wel vertrouwen, net als u, in onze informaticadienst. Ik ben hier zelf ook min of meer een leek in, maar nogmaals, als dat soort organisaties, zoals ook de NASA, beslissen om daarmee te stoppen, dan denk ik dat ook wij ons daar toch eens goed over moeten beraden, en zeker ook die lokale besturen.

De heer Van Miert heeft het woord.

Minister, ook van mij dank voor uw antwoord. Van onze IT’ers weet ook ik sinds kort dat er wel degelijk een verschil is tussen de Zoom die bijvoorbeeld mijn kinderen op hun smartphone installeren en de professionele versie die wij als bedrijf, als bestuur hebben. Qua gebruik heeft die toch wel meer beveiliging dan wat onze kinderen op hun smartphones gebruiken om met elkaar te communiceren. U werkt daaraan. Ik ben blij te horen dat u daarmee doorgaat. Het is heel belangrijk dat er toch wel een beetje een bovenlokaal kader wordt afgebakend voor de lokale besturen, want corona of niet, ik denk dat deze manier van werken in de toekomst toch nog wel haar plaats zal hebben. Niet alleen als de wegen zijn dichtgesneeuwd of het openbaar vervoer platligt of wat dan ook, maar ook als mensen wat ver van elkaar zitten en reizen om welke reden dan ook niet raadzaam of moeilijk is, of te veel tijd in beslag neemt, zal deze manier van werken blijven, ook bij de lokale besturen. In de privésector had dit al ingang gevonden, denk ik, maar nu heeft men dit middel ook leren kennen om lokaal te vergaderen. Dan is het misschien wel goed dat we weten wat ons ter beschikking staat om dat op de beste, de veiligste manier te doen.

Ik had geen verdere vragen.

De heer Vaneeckhout heeft het woord.

Ik wou even tussenkomen, want ik vind deze vraag van de collega’s zeer relevant. Dank om die te stellen. Net als de heer Van Miert wil ik ook nuanceren. Bij Zoom bestaan er inderdaad verschillende types. Je hebt inderdaad de professionele versie die door bedrijven en organisaties wordt gebruikt, en de gratis versie. Nu blijkt uit een aantal scans inzake informatieveiligheid en privacy dat daar toch wel wat verschil op zit. Voor alle duidelijkheid, ik ben geen grote aanhanger van Zoom. Daar kom ik straks nog toe. Ik heb ook begrepen dat Zoom de afgelopen weken toch wel een aantal extra stappen heeft gezet om toch voor een stukje een antwoord te geven op de grote kritiek die was ontstaan.

Ik ben inderdaad zelf ook geen groot voorstander van Zoom, maar ik wou eventjes tussenkomen omdat ik lid ben van het Uitgebreid Bureau en er in de vraagstelling ook al enigszins werd verwezen naar het feit dat het Vlaams Parlement zelf met deze technologie werkt. Collega Janssens was ook aanwezig op het moment dat we die beslissing hebben genomen. Er zijn nog een aantal collega’s in deze commissie die toen aanwezig waren. Zij weten ook dat er inderdaad de vraag is gesteld, onder andere door mezelf, wat de impact en de risico’s daarvan zijn qua privacy, en dat de diensten van het parlement dit grondig hebben gescreend. Eigenlijk is het fundamentele verschil dat al onze werkzaamheden in fysieke commissies tot op vandaag eigenlijk ook al publiek waren, dat alles daarbij ook wordt geregistreerd. Dat is natuurlijk het grote verschil. Daarom was de keuze van het Vlaams Parlement niet fout. Zoom was immers het programma dat het best beantwoordde aan de noden. Ik zeg dat nog eens duidelijk, want misschien fronsen heel wat mensen thuis de wenkbrauwen omdat we zelf met dat systeem werken. Voor publieke commissies en ook voor gemeenteraden lijkt dit me minder een probleem. Bij Zoom is het grote probleem de besloten vergaderingen en alles wat daarmee te maken heeft. Dat is natuurlijk een zeer belangrijk nuanceverschil. Dat is de reden waarom wij bijvoorbeeld voor onze partij- en fractieorganisatie hebben beslist om niet met Zoom te werken. Voorzitter, dat is uiteraard niet omdat wij daar geheimen vertellen. Ik zie u al vragend kijken. In vertrouwelijke omgevingen lijkt het me niet interessant om met Zoom te werken, ten eerste omdat er risico’s zijn qua hacking.

Ten tweede worden er enorm veel rechten gegeven aan de hosts van de vergaderingen. Ze kunnen je microfoon in- en uitschakelen, zelfs zonder dat je het merkt. Ook onze commissiesecretaris heeft dat recht en ook hier wordt alles geregistreerd, al ik heb daar natuurlijk wel alle vertrouwen in. Als je echter in een privévergadering zit waar je ook een chatfunctie voor privéberichten gebruikt en als die gelezen kunnen worden door de hosts van de vergadering, dan zijn daar toch problemen aan verbonden. Daarom kiezen wij voor andere systemen en andere types van vergaderingen.

Ik wilde vooral als lid van het Uitgebreid Bureau verduidelijken dat we consequent moeten zijn in de beslissing die we daarover nemen. In de specifieke context van dit type vergadering, zoals een commissie, lijkt er geen acuut probleem te zijn, maar we moeten dit uiteraard blijven opvolgen. Ik ga ervan uit dat de heer Van Rooy daarvoor ook bij zijn fractieleider te rade kan gaan indien daarover nog verdere vragen zijn.

Ik ben in elk geval blij met deze aanvulling vanuit het Uitgebreid Bureau. Ik voel me gerustgesteld wat deze werkzaamheden betreft. Ik geef met plezier het woord aan de minister, want dat recht heb ik dan wel.

Minister Somers heeft het woord.

Dit is een interessante gedachtewisseling. Het advies over werken met Zoom werd gemaakt voor onze lokale besturen. Voor hen wordt dat afgeraden, en dat is natuurlijk in de allereerste plaats voor de besloten vergaderingen, waar bijvoorbeeld ambtenaren met elkaar moeten overleggen over een bepaald dossier en waarin privacygegevens worden besproken. Als zo’n overleg gevoelig is voor hacking, dan is dat natuurlijk een ernstige zaak, dit in vergelijking met de commissie die nu loopt, want dat is van nature een publieke vergadering waarin alles wat wij zeggen en horen toegankelijk moet zijn voor het brede publiek. Een hacker die hier terechtkomt, kan alleen maar wijzer en verstandiger worden door uw vragen en mijn antwoorden. Dat is dus een belangrijk onderscheid.

Toch vind ik het advies dat werd gegeven, niet iets dat je zomaar naast je kunt neerleggen. Er zijn verschillende soorten Zoom. Toch zegt men dat je daar beter niet mee kunt werken, tenzij onder heel duidelijke randvoorwaarden: een verwerkingsovereenkomst afsluiten, zelf een veiligheidsanalyse maken met protocollen voor de host enzovoort. Zijn er andere, meer betrouwbare mogelijkheden? De werkgroep verwijst naar Teams. Ik ben echter leek, dus ik volg wat zij mij vertellen. U vindt deze informatie ook op de website van ABB.

Nog eens ter verdediging van het parlement – al heb ik daar als deel van de uitvoerende macht, voor alle duidelijkheid, niets over te zeggen, want de wetgevende macht organiseert de werking: er werd wel degelijk een veiligheidsanalyse gemaakt en er werden bijkomende veiligheidsmaatregelen genomen. De context waarin Zoom wordt gebruikt, is voor de publieke vergaderingen, die in het overgrote deel van de gevallen openbaar zijn. U moet zeker eens de website van ABB hierover consulteren indien u hierover meer wilt weten. Mijn kabinet kan u die link ook nog bezorgen.

De heer Van Rooy heeft het woord.

Dank u voor uw antwoorden. Ik besefte het al, maar nu nog meer, dat ik op dat vlak in Antwerpen nog het nodige moet doen in de commissie en de gemeenteraad waarin ik zetel. Ik heb echter nog even snel gegoogeld en dan bots je meteen op een krantenartikel in The Guardian dat luidt: ‘UK government told not to use Zoom because of China fears’.

In het licht van de coronacrisis en wat daarover wordt gezegd en geschreven, namelijk dat we moeten proberen om Vlaanderen steeds minder afhankelijk te maken van de rest van de wereld, maar toch vooral van een land als China of een regime als het Chinese, denk ik toch dat dit ook geldt voor dit soort software. De heer Vaneeckhout heeft terecht gewezen op het feit dat deze vergaderingen openbaar zijn. Maar het is natuurlijk ook een kwestie van principe dat wij weten wie deze vergadering al dan niet volgt. En hacking is natuurlijk meer – dat weet ik dan wél nog, als leek – dan slechts ‘stiekem’ deze vergadering mee komen volgen. Dat is ook, bijvoorbeeld via het programma Zoom, proberen in computers in te breken.

Ik sluit af. Ik denk dat we in de toekomst, lokaal of bovenlokaal, steeds meer zelfvoorzienend zullen moeten zijn, ook in het ontwikkelen van dit soort applicaties. Waarschijnlijk zal dat meer geld kosten. Maar we mogen niet voortdurend afhankelijk zijn van dit soort software die in het buitenland werd ontwikkeld, zeker niet door een regime als het Chinese.

De heer Van Miert heeft het woord.

Voorzitter, ik heb geen extra opmerkingen. De minister heeft een duidelijk antwoord geformuleerd.