Datalekken en beveiligingsproblemen zijn de afgelopen maanden schering en inslag bij Nederlandse gemeenten. Ze moeten aan de bak, vindt Den Haag. 

Eerder deze maand werd er voor 20 gigabyte aan - vermoedelijk persoonlijke - data gestolen bij de gemeente Almelo. Het was zeker niet het eerste lek of beveiligingsprobleem dat dit jaar plaatsvond bij een Nederlandse gemeente; Rotterdam, Oegstgeest en Utrecht kwamen dit jaar al ook al in het nieuws om soortgelijke problemen.

Sinds dit jaar geldt de meldplicht datalekken, waarin wordt bepaald dat bedrijven en instanties verplicht zijn een melding te maken van een datalek. Uit gegevens van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond, blijkt dat maar liefst 172 van de 390 Nederlandse gemeenten (44 procent) dit jaar een datalek hebben gemeld. Gezamenlijk maakten die gemeenten meer dan driehonderd meldingen.

"Het gaat hier om maatschappelijke problemen, strafrecht, financiën en gezondheid. Daar kun je niet nìet fatsoenlijk mee omgaan", aldus Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. "Gemeenten hebben de verantwoordelijkheid gekregen over deze gegevens, en daar hebben ze maar voor te zorgen."

Knullig

Veel van deze lekken zouden echter al tijdens het testen van de beveiligingssystemen naar voren moeten komen, vindt Erik de Jong van cybersecuritybedrijf Fox-IT. Volgens hem komen de problemen "wat knullig over", maar zijn ze zeker niet uniek; dit komt ook bij bedrijven voor. Wel bevinden de gemeenten zich in een moeilijke positie, vindt hij: "Er zijn een hoop kleine gemeenten, met relatief kleine budgetten. Maar er komt wel een hoop op hen af."

“De manier waarop dit is ingericht is echt niet goed.”
Erik de Jong, Fox-IT

Volgens De Jong is de manier waarop gemeenten nu hun beveiliging regelen - ieder voor zich - verre van goed ingericht. Hij vindt dat die zaken beter gezamenlijk kunnen worden geregeld, om expertise en kosten beter te delen. "De manier waarop dit is ingericht is echt niet goed. Het is alsof je een grote multinational hebt, en elk filiaal de informatievoorziening zelf laat doen."

Den Haag

De Jong is niet de enige die pleit voor een vorm van centralisatie van de gemeentelijke ICT-systemen. Volgens SP-Kamerlid Ronald van Raak is de beveiliging van de gegevens van burgers een verantwoordelijkheid van Den Haag. 

"De regering moet veel meer ondersteuning gaan bieden, en er moet veel meer uniformiteit komen", aldus Van Raak. De cijfers tonen volgens Van Raak de ernst van de zaak aan, maar gemeenten doen volgens hem wel degelijk hun best. "Dat gebeurt alleen overal op een andere manier, en dat zorgt dat voor kwetsbaarheden."

“De ene gemeente geeft er 50.000 euro aan uit, de andere gemeente 2.000 euro.”
Astrid Oosenbrug (PvdA)

Ook PvdA-Kamerlid Astrid Oosenbrug mist die uniformiteit. "De ene gemeente geeft er 50.000 euro aan uit, de andere gemeente 2.000 euro." Daarnaast is het beveiligen van gegevens geen kernactiviteit van gemeenten, stelt het PvdA-kamerlid. 

Daarin kan de overheid volgens haar een veel belangrijkere rol spelen. "Dit heeft niets met de zelfstandigheid van gemeenten te maken. De regering moet garant staan voor de bescherming van de persoonsgegevens."

Tentakels

D66 en VVD zijn terughoudender in hun visie over de rol van Den Haag; beide liberale partijen vinden dat de verantwoordelijkheid wel degelijk op gemeentelijk niveau ligt. 

Wel vinden de partijen allebei dat gemeenteraden verantwoordelijke wethouders harder moeten aanpakken. "Als er een groot infrastructuurproject misgaat, wordt er een wethouder weggestuurd. Ik zou het goed vinden als er meer gevoel voor politieke verantwoordelijkheid zou komen op dit gebied", zegt D66-Kamerlid Kees Verhoeven. 

"Gemeenten moeten echt aan de bak. De gemeenteraden moet de verantwoordelijke wethouders daar echt op aanspreken. Maar als landelijke overheid moet je daar niet met je tentakels in gaan zitten", aldus VVD-Kamerlid Jeroen van Wijngaarden. 

USB-sticks

Het is niet zo dat gemeenten nu niet samenwerken, zegt woordvoerder Remco Groet van de Informatiebeveiligingsdienst (IBD), de organisatie die gemeenten ondersteunt bij de informatiebeveiliging. Bovendien gaat het volgens hem in ruim driekwart van de gevallen om menselijke fouten: een verloren USB-stick, een klik op een verkeerde link. "Dat los je niet op met meer samenwerking."

“Een verloren USB-stick los je niet op met meer samenwerking”
Remco Groet, IBD

De problemen die er zijn, gelden volgens Groet voor de hele maatschappij. "Niet alleen gemeenten of de overheid hebben hiermee te maken. Iedereen heeft wel eens een phishingmail ontvangen."

Trapliften

Volgens de IBD hebben gemeenten juist de afgelopen veel geïnvesteerd in hun informatiebeveiliging. "Er kan natuurlijk altijd meer geld en tijd worden besteed aan beveiliging. Maar er zit ook een grens aan wat redelijk is. Een te hoge mate van beveiliging staat ook de bedrijfsvoering in de weg. En er moeten ook trapliften worden gekocht."

“Persoonlijke gegevens zijn niets om mee te experimenteren.”
Wilbert Tomesen, AP

Wilbert Tomesen van de Autoriteit Persoonsgegevens is het daar niet mee eens. "Het is niet of of. Het is allebei, en ik geloof ook niet dat gemeenten daar niet aan willen." Een kwestie van gewenning mag het van Tomesen ook niet zijn. "Persoonlijke gegevens zijn niets om mee te experimenteren. Dit moet je vanaf het begin goed doen."

Lees meer achtergrondverhalen in NUweekend