Commissie bespreekt datalek en gegevensdiefstal bij Limburg.net

“Vorige week schreef Limburg geschiedenis, weliswaar niet in de meest positieve zin. Er is sprake van het grootste datalek uit de Belgische geschiedenis”, begon commissielid Johan Danen (Groen). Hij heeft het over de gegevensdiefstal bij de afvalintercommunale Limburg.net. Naast de Limburgse gemeenten is de stad Diest daar ook bij aangesloten. De hackers eisten 100.000 dollar om de data niet via het darkweb te verspreiden. Limburg.net wenste niet te onderhandelen met de afpersers, aangezien er geen garantie is dat de gegevens niet alsnog in foute handen terechtkomen.

Johan Danen wou van minister Gwendolyn Rutten weten hoe de hacking kon plaatsvinden en of er stappen worden gezet om andere stads- of gemeentebesturen beter te beschermen. Verder gaf hij aan dat Limburg.net via zijn website communiceert over de mogelijke gevaren en gevolgen van de hacking. Maar zullen de betrokken ook rechtstreeks worden gecontacteerd en geïnformeerd?

Commissielid Brecht Warnez (cd&v) bekeek het breder. Hij gaf aan dat er op Europees niveau gewerkt wordt aan de implementatie van de NIS2-richtlijn. Die moet de cyberveiligheid versterken en zal niet enkel van toepassing zijn op steden en gemeenten, maar ook op ziekenhuizen en intercommunales. Hij haalde ook het invoeren van een overkoepelend softwaresysteem aan, dat de steden en gemeenten volledig zou kunnen ontzorgen. Voor zo’n overkoepelende aanpak pleit ook de VVSG. “Maar kan zo’n systeem voldoende worden beveiligd tegen cyberveiligheidsdreigingen?”, vroeg hij zich onder meer af.

Minister Gwendolyn Rutten gaf alvast aan dat het parket van Limburg een gerechtelijk onderzoek is opgestart naar het datalek. “In het belang van dat onderzoek en het feit dat daar ook onderzoeksdaden moeten gebeuren, ben ik eigenlijk beperkt om daar al te veel uitspraken over te doen. Ik zou dat onderzoek op geen enkele manier willen hypothekeren”, zei ze. Ze stelde wel vast dat het nog niet duidelijk was op welke manier de hacking kon plaatsvinden.

De aanbevelingen van het Cyber Response Team (CRT) wil de minister alvast delen met zowel andere intergemeentelijke samenwerkingsverbanden als andere lokale besturen. Het CRT is een Vlaamse kennisorganisatie met een uitgebreide expertise op het gebied van digitale beveiliging. Het is hét aanspreekpunt voor lokale besturen op het vlak van cyberveiligheid. Dat CRT heeft Limburg.net volgens de minister goed ondersteund na het datalek. Maar het federale niveau is bevoegd voor het vatten van de daders.

En wat met de slachtoffers? De minister gaf aan dat het wettelijk verplicht is om slachtoffers van gegevensdiefstal persoonlijk in te lichten over welke gegevens er precies gelekt zijn. “Het is wel de intercommunale zelf die hiervoor verantwoordelijk is en die de communicatie hieromtrent op een zorgvuldige manier, als een goede huisvader of -moeder, dient op te zetten”, zei ze.

De minister benadrukte nog dat steden en gemeenten via een raamovereenkomst een cyberveiligheidsaudit kunnen laten uitvoeren. Zo kunnen de kwetsbaarheden van het dataveiligheidsbeleid in kaart worden gebracht. “Naar aanleiding van de gebeurtenissen bij Limburg.net ben ik van plan om bovenop de investeringen voor cyberveiligheid nog eens budget vrij te maken, zodat ook intercommunales op deze audits een beroep kunnen doen”, aldus de minister. Een algemeen IT-systeem opzetten, zoals de VVSG voorstelt, kan volgens de minister een volgende stap zijn. Maar ook dan kan niet elk risico worden uitgesloten.

Het debat vond plaats op dinsdag 30 januari.