Verslag vergadering Commissie voor Bestuurszaken, Binnenlands Bestuur, Inburgering en Stedenbeleid
Vraag om uitleg over de cyberbeveiliging van de gemeentelijke websites
Verslag
Mevrouw Segers heeft het woord.
Voorzitter, de volgorde van de vragen sluit netjes bij elkaar aan. Daarnet ging het over de beveiliging van de digitale omgevingen van onze lokale besturen. Mijn vraag om uitleg heeft daarop betrekking.
Onlangs bleek dat een op de vijf Vlaamse gemeentewebsites geen veilige HTTPS-verbinding voor hun digitaal loket gebruikt. Dat bleek na een onderzoek van een aantal ethische hackers. Daardoor kunnen persoonlijke gegevens worden onderschept door cybercriminelen, met mogelijke identiteitsfraude tot gevolg. Naast de digitale loketten bieden veel gemeenten ook een meldings- of contactformulier aan op hun website. Daarmee kunnen inwoners problemen melden in hun buurt en klachten of vragen doorsturen naar het gemeentebestuur. Ook hier is de beveiliging vaak ondermaats.
In meer dan de helft van de gemeenten is er geen veilige verbinding tussen de gebruikers en de website. Nochtans laten inwoners ook op deze formulieren vaak persoonlijke informatie achter, denk maar aan adres- en contactgegevens. Dat blijkt uit een onderzoek van die ethische hackers, in samenwerking met Terzake.
Daarnaast trad in mei 2016 de nieuwe Europese AVG-richtlijn (algemene verordening gegevensbescherming), in Engels jargon ook bekend als GDPR, in werking. Van alle organisaties – dus ook van lokale besturen – die data bijhouden van hun klanten of contacten, wordt verwacht dat ze tegen 25 mei 2018 hun bedrijfsvoering in overeenstemming brengen met de AVG. Daarna kunnen privacy-autoriteiten zoals de federale Commissie voor de bescherming van de persoonlijke levenssfeer, kortweg de Privacycommissie, boetes opleggen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet van een onderneming. Voor grote bedrijven zoals Facebook gaat dat over aanzienlijke sommen, maar ook voor kleine organisaties.
Minister, op welke manier worden de lokale besturen vanuit de Vlaamse overheid gesensibiliseerd en/of ondersteund om te werken aan de cyberveiligheid van hun systemen? Kunnen lokale besturen een beroep doen op de expertise van de departementen om hun bedrijfsvoering in overeenstemming te brengen met de AVG-richtlijn? Hebt u reeds overlegd met de lokale besturen over deze specifieke problematieken? Welke dringende knelpunten worden volgens hen gedefinieerd? Op welke manier denkt u dit aan te pakken?
De heer Maertens heeft het woord.
Minister, mijn vraag om uitleg gaat ook over cyberbeveiliging, maar ik wil dit opentrekken naar de digitale maturiteit van de gemeenten en het onderzoek dat daarnaar is gevoerd.
Het Agentschap Informatie Vlaanderen heeft in samenwerking met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) en V-ICT-OR de i-monitor 2016 ontwikkeld. De i-monitor heeft de sterkte en maturiteit van de gemeenten en OCMW’s in Vlaanderen onderzocht inzake ICT en informatieveiligheid. Daaruit bleek dat de meeste gemeenten er toch wel mee bezig zijn, maar nog niet in sterke mate. 61 procent van de gemeenten en OCMW's gaf aan een informatieveiligheidsconsulent ter beschikking te hebben. 52 procent heeft een informatieveiligheidsplan, wat in feite verplicht is. Dat is dus al een moeilijk gegeven. 45 procent, minder dan de helft dus van de lokale besturen, heeft jaarlijks een audit over de informatieveiligheid.
Als reactie op de i-monitor heeft de VVSG, met uw steun, een ondersteuningsaanbod op maat uitgewerkt voor 30 lokale besturen. 27 lokale besturen, die volgens de i-monitor de laagste score hadden inzake digitale maturiteit, zijn daar effectief op ingegaan.
Een op de vijf Vlaamse gemeentewebsites is kwetsbaar voor cybercriminelen. Het gaat dan heel vaak over webtoepassingen die de gemeenten hebben aangekocht. Ik denk aan bepaalde eventloketten of webloketten, maar ook over de e-formulieren die de gemeenten zelf op hun website plaatsen.
Als burgemeester van mijn stad ben ik ook bevoegd voor het ICT-beleid, maar ik ben absoluut geen deskundige. Ik moet me dus laten leiden door onze mensen. Ik moet eerlijk zeggen, het risico wordt in heel veel organisaties onderschat. Dat mag u lezen als een bekentenis, maar heel veel lokale bestuurders zullen zich hierin herkennen. We weten vaak niet waar de kwetsbaarheid zit inzake informatieveiligheid. Het is door de recente uitlatingen en de resultaten van die studie dat er in heel veel steden en gemeenten een alarmbel is afgegaan. Je merkt dat ook aan de leveranciers van digitale loketten, die plots melden dat er een probleem is met een aantal van hun toepassingen inzake informatieveiligheid. Als gemeente moet je dan het geluk hebben dat ze maar een beperkte meerprijs aanrekenen om in die informatieveiligheid te voorzien. Dat zou eigenlijk standaard in het pakket moeten zitten.
Minister, afgaand op de i-monitor, hoeveel lokale besturen hebben uiteindelijk deelgenomen aan het ondersteuningsaanbod door de VVSG? Hoe verloopt dat? Is het al afgelopen? Is het al geëvalueerd? Wat zijn de resultaten? Overweegt u om het ondersteuningsaanbod voort te zetten?
Nu zijn verschillende instanties zoals de VVSG, V-ICT-OR, Audit Vlaanderen op de een of andere manier bezig met de informatieveiligheid van de lokale besturen. Overweegt u een meer gecoördineerde aanpak van de informatieveiligheid bij de lokale besturen? Zult u in het kader van Vlaanderen Radicaal Digitaal nieuwe initiatieven nemen om de aandacht voor cyberveiligheid bij de lokale besturen te versterken?
Minister Homans heeft het woord.
Ik zal beginnen met de essentie. Dat is dat de verantwoordelijkheid van de gemeenten in deze zaak als een paal boven water staat. Het zijn de lokale besturen zelf die hun verantwoordelijkheid moeten dragen om hun gegevensbeveiliging in orde te hebben. Wil dat zeggen dat we niets doen? Neen. Dat is absoluut niet mijn boodschap. Ik kan natuurlijk moeilijk tegelijk pleiten voor lokale autonomie – en terecht, ik geef jullie die ook – en aan de andere kant, als het even niet lukt, kijken naar de toezichthoudende overheid.
Het onderzoek van enkele ethische hackers in samenwerking met het VRT-programma Terzake op 27 september 2017 maakt duidelijk dat een groep gemeenten actie moet ondernemen. Dat is een duidelijk resultaat, maar we laten daarbij de gemeenten absoluut niet aan hun lot over.
Ten eerste, er zijn verschillende overlegfora waarbij mijn administratie kennis uitwisselt met de lokale besturen over deze thematiek. Bijvoorbeeld – ik ben niet volledig, ik geef een aantal voorbeelden – informatiesessies over gegevensbescherming door het Agentschap Informatie Vlaanderen. In september 2017 namen 169 gemeenten deel aan zo’n sessie. Dat is toch wel veel, 169 van de vooralsnog 308, maar dat worden er minder de volgende legislatuur. Een ander voorbeeld is het maandelijkse VVSG-overleg met de gemeentelijke informatieveiligheidsconsulenten om eventuele behoeften te capteren van gemeenten.
Ten tweede stellen we tools en systemen ter beschikking om de informatieveiligheid van gemeenten en bewustwording daarover te vergroten. Lokale besturen kunnen bijvoorbeeld kosteloos gebruik maken van een e-learningtool informatieveiligheid van het Facilitair Bedrijf en via deze tool leren hoe ze veilig kunnen omgaan met gegevens en informatie. We stellen ook ICT-bouwstenen ter beschikking. Een voorbeeld is het MAGDA-platform waarlangs de gemeenten een veilige toegang hebben tot allerhande databanken, die op die manier met elkaar kunnen worden gelinkt.
Ten derde heb ik in het kader van het programma Vlaanderen Radicaal Digitaal twee ondersteuningsprojecten opgezet, namelijk een projectsubsidie van 650.000 euro voor de Vlaamse ICT-organisatie waarmee deze organisatie onder meer een 50-tal gemeenten heeft ondersteund bij het opmaken van informatieveiligheidsplannen. 650.000 euro is niet min, zou ik zeggen. Dan is er ook nog een projectsubsidie voor de VVSG van 450.000 euro, waarmee ik een begeleidingstraject in 28 zwak scorende lokale besturen uit de i-monitor heb gecofinancierd. Ook bij deze trajecten wordt ingezet op acties ter verbetering van de informatieveiligheid.
Wat is de stand van zaken van deze trajecten? Er zijn 28 lokale besturen in gestapt. Eind 2017 zal elk ondersteuningstraject afgelopen zijn en kan er een evaluatie van de resultaten gebeuren. Vooraleer we nieuwe initiatieven nemen, is het best dat we eerst evalueren wat we hebben gedaan.
Kunnen lokale besturen een beroep doen op de expertise van de departementen om hun bedrijfsvoering in overeenstemming te brengen met de AVG-richtlijn? Wat betreft de instanties onder mijn verantwoordelijkheid kan ik u melden dat lokale besturen bij mijn diensten inderdaad terechtkunnen voor expertise met betrekking tot de Algemene Verordening Gegevensbescherming en dat er al veel expertise-uitwisseling is geweest met veel gemeenten. Dat verloopt op twee manieren: via uitwisseling van informatie en expertise in verschillende werkgroepen en overlegplatformen waarbij ook de Algemene Verordening Gegevensbescherming aan bod komt, of via ad-hocondersteuning op basis van vragen aan het contactcenter of het zogenaamde 1700-nummer bij het Agentschap Informatie Vlaanderen.
Heb ik reeds overlegd met de lokale besturen over deze specifieke problematiek? Zal er een gecoördineerde aanpak van de informatieveiligheid bij de lokale besturen volgen? Ik ben zo vrij geweest deze vragen samen te nemen. Zoals gezegd, is er dus vandaag al veel overleg en coördinatie tussen mijn diensten en de lokale besturen over informatieveiligheid. Natuurlijk ook over heel veel andere thema's, maar het gaat hier concreet over informatieveiligheid. Daarnaast is er een duidelijk aanbod aan ondersteuning en andere initiatieven vanuit de Vlaamse overheid voor de gemeenten en steden.
Zoals aan het begin van mijn antwoord gesteld, ligt de verantwoordelijkheid voor informatieveiligheid bij de lokale besturen zelf. Maar u ziet ook dat we hen niet in de steek laten. Dat is een belangrijk signaal. We kunnen de lokale besturen tools bieden, we kunnen hen ondersteunen en doen dat ook, maar het initiatief ligt nog altijd bij hen en vele besturen doen hun huiswerk op dit vlak. Dat is bemoedigend. Het is niet omdat Vlaanderen een tool ter beschikking stelt of ondersteuning aanbiedt, dat ze, eens terug in hun gemeente, hun huiswerk naar behoren doen. Dat kunnen wij natuurlijk niet verifiëren, maar ik heb er alle vertrouwen in dat ze dat op een degelijke manier doen.
Het is alvast mijn intentie om met mijn faciliterend en ondersteunend aanbod dat ik heb geschetst, verder bij te dragen aan een hoger veiligheidsniveau binnen de gemeenten. Vooral de verdere ontwikkeling van ICT-bouwstenen die de lokale besturen kunnen gebruiken, zal in dit proces een belangrijke rol spelen om een hoger veiligheidsniveau te bereiken.
Mevrouw Segers heeft het woord.
Minister, u hebt tot twee keer toe beklemtoond dat de verantwoordelijkheid en de autonomie bij de lokale besturen liggen. Ten dele klopt dat natuurlijk, maar voor deze nieuwe situatie is het absoluut nodig dat er meer ondersteuning komt van uw kant.
Collega Maertens verwijst naar de i-monitor. Ook zijn bekentenis als burgemeester was treffend, door toe te geven dat, ook al weet men perfect wat er misgaat, het op het niveau van de lokale besturen vaak ontbreekt aan kennis over de pijnpunten van het netwerk en welke concrete actiepunten ze kunnen ondernemen. De knowhow op het terrein ontbreekt volledig bij de gemeenten, zeker de kleine gemeenten. Minister, u kunt niet zomaar zeggen dat het hun verantwoordelijkheid is. Er mag nog meer worden verwacht van u om hen daarbij te helpen.
Ondertussen staan er dankzij het programma van de VRT en de ethische hackers, van de 60 gemeenten die slecht scoorden en onveilig waren, weer 20 op veilig. Dat betekent dat er nog altijd een flink pak achterblijven. Bovendien is gisteren nog maar het nieuws bekendgemaakt dat de four-way handshake die aan de basis ligt van beveiligde wifinetwerken, ook is gekraakt door Belgische onderzoekers.
Dat maakt dat er ook gaten zitten in de wifi-netwerken die gemeenten aanbieden. Ook in ons netwerk in het Vlaams Parlement kunnen er gaten zitten en het moet zeker eens worden getest. Er is nood aan een veel sterkere beveiliging. Ik roep u op en pols naar uw bereidheid om samen met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) een gecoördineerde actie op te zetten om de gemeenten aan te sporen daar dringend werk van te maken en te helpen met een tool voor het systematisch laten testen van hun netwerken door security-experts.
Hetzelfde wil ik doen voor de GDPR. U zegt dat uw departement ter beschikking staat om hen te helpen tegen 25 mei 2017 conform te zijn met de nieuwe AVG-richtlijn, maar ik ben er zeker van dat heel wat kleine gemeenten nog lang niet bezig zijn met GDPR en amper weten wat het betekent en impliceert. Oorspronkelijk dachten we dat het enkel om grote bedrijven ging, maar eigenlijk gaat het om alle organisaties die bezig zijn met het verzamelen van data. Daarom stel ik alle ministers ook dezelfde vraag. Vorige week heb ik ze aan minister Muyters gesteld. Hij antwoordde dat UNIZO en Voka genoeg doen en dat hij geen extra ondersteuning moet bieden. Toen bleek echter dat kleine ondernemers en zelfstandigen zich helemaal niet bewust zijn van het probleem en dat geldt ook voor kleine gemeenten. Vandaar mijn oproep, minister, om samen met de VVSG werk te maken van een echte beveiliging en conformiteit met de GDPR, zodat de kleine gemeenten future proof zijn in een echt radicaal digitaal Vlaanderen.
De heer Maertens heeft het woord.
Dank voor uw antwoord, minister. Collega Segers, wat die bekentenissen betreft, dat valt nog wel mee. Ik zie hier geen journalist van Dag Allemaal zitten.
Minister, u hamert terecht op de autonomie van de gemeenten en hun verantwoordelijkheid ter zake. Dat is evident. Het werd ook zo afgesproken, dat blijft zo en ook het regeerakkoord geeft dat signaal. Als we vertrouwen geven, mogen we ook verantwoordelijkheid terugvragen. Dat is dus zeker ok.
Maar het is ook goed dat Vlaanderen, dat uw departement de lokale besturen daarin ondersteunt. Sterke lokale besturen zijn in het belang van Vlaanderen, ook specifiek op het niveau van informatieveiligheid. Vanuit de lokale besturen wisselen wij constant en automatisch gegevens uit met de Vlaamse overheid, en dan is het belangrijk dat de lokale besturen die gegevens veilig kunnen bijhouden. Ik stel vast dat Vlaanderen en de Vlaamse Regering zich op heel veel vlakken ten dienste stellen van de steden en gemeenten en we rekenen er uiteraard op dat dat ook zo blijft. Alleen al voor dit thema is er, voor twee projecten, 1,1 miljoen euro uitgetrokken voor de ondersteuning van lokale besturen. Dat is zeker niet weinig. Dank daarvoor, en ik hoop dat we daar in de toekomst op kunnen blijven rekenen.
Minister Homans heeft het woord.
In mijn initieel antwoord ben ik volgens mij al ingegaan op de bijkomende vragen van mevrouw Segers, onder andere in het antwoord op de vraag van de heer Maertens hoeveel lokale besturen aan de ondersteuning door de VVSG hebben deelgenomen. Ik heb het ook over de projectsubsidie gehad die we hebben toegekend en over het feit dat 28 laag scorende lokale besturen aan dat project hebben deelgenomen. Ik heb ook gezegd dat ik informatieveiligheid natuurlijk belangrijk vind en denk dat de VVSG een natuurlijke partner van de Vlaamse overheid is om lokale besturen daarin te ondersteunen. Dat zullen we ook in de toekomst blijven doen.
Mevrouw Segers heeft het woord.
Minister, u hebt opgesomd wat de VVSG doet en mijn oproep was om met de VVSG te bekijken wat er extra mogelijk is. Ik denk namelijk dat dat nodig is. Zeker als de regering haar ambitie ‘radicaal digitaal’ waar wil maken, moet ze de daad bij het woord voegen en extra inspanningen leveren als blijkt dat er een probleem is.
De vraag om uitleg is afgehandeld.