Print:

Interview Franc Weerwind

“Informatiebeveiliging gemeentes moet vele malen beter”

Gemeentes schieten tekort in de beveiliging van informatiesystemen, waarschuwt Franc Weerwind, burgemeester van Velsen. “We moeten zijn voorbereid op een nieuwe Diginotar, NSA of Lektober. Dat is onze grootste opgave voor de toekomst,” vertelt hij in een interview met Gemeente.nu en IIR.nl “Het heeft alle aandacht, maar het kan vele malen beter.”

Begin oktober haalde de Inspectie SZW fors uit naar gemeenten omdat zij persoonsgegevens van burgers niet goed bewaken. De beveiliging van gegevens die worden uitgewisseld met het UWV en SVB werd omschreven als “onder de maat”: slechts 4 procent van de 80 onderzochte gemeentes voldeed aan alle gestelde veiligheidsnormen, terwijl 13 procent er niet in slaagde om ook maar één norm te handhaven.

De kritiek van de Inspectie SZW sluit aan in een lange serie incidenten. Daaruit kan het beeld ontstaan dat overheden onverantwoord omgaan met de gegevens van burgers, bedrijven en organisaties. Weerwind bestrijdt echter dat verbeteringen uitblijven. “We maken wel degelijk progressie. Maar 100% veilig bestaat niet. Daar moeten we ons ook bewust van zijn.” Burgemeester Weerwind werkte in het verleden onder meer bij automatiseerder CMG (inmiddels onderdeel van CGI). Daarnaast is hij sinds deze zomer bestuurslid van de Vereniging Nederlandse Gemeenten (VNG), alsmede lid van de VNG-subcommissie Gemeentelijke Dienstverlening en Informatiebeleid (GDI) en bestuurslid van Informatie- en Communicatie- Technologische- uitvoerinsorganisatie (ICTU).

Hoewel hij optimistisch is over de voortgang die is gemaakt, erkent hij dat er nog een hoop ruimte is voor verbetering. “We moeten zijn voorbereid op een nieuwe Diginotar, NSA, of Lektober. Dat is onze grootste opgave voor de toekomst. Het heeft alle aandacht, maar het kan vele malen beter.”

Mentaliteitsverandering vereist
Weerwind pleit voor een mentaliteitsverandering bij niet alleen bestuurders, maar ook ambtenaren en managers. De digitalisering van de maatschappij dwingt overheden om ook de overheidsprocessen te digitaliseren. “Alles wat een gemeente doet is gebaseerd op dataverkeer. Data is misschien de onderste laag van ons productieproces, maar wel de belangrijkste laag.” Hij wijst op de technische mogelijkheid om bijvoorbeeld data te wijzigen, waardoor een crimineel de identiteit van een paspoortaanvraag verandert of beleidsstukken aanpast. “Als dat gebeurt, raakt de burger het vertrouwen in de gemeente kwijt. Ik ben een informatiehuis, en dat zijn veel overheden.”

Vlaardingen verdient volgens Weerwind lof omdat de gemeente afgelopen zomer als eerste met succes de ICT-Beveiligingsassessment DigiD afrondde. Daarmee toont de gemeente een grotere bewustwording voor informatiebeveiliging: “Daarmee tonen de betrokken bestuurders, maar ook het management en de medewerkers dat ze hierop willen doorpakken en dat ze doorhebben hoe fundamenteel dit onderwerp is in hun beleids- en bedrijfshuishouding,” zegt Weerwind. De jaarlijks verplichte DigiD toetsing werd in 2012 ingevoerd als reactie op de Diginotar-crisis en Lektober. Bij beide incidententen uit 2011 kon de veiligheid van de digitale communicatie met de overheid niet worden gegarandeerd.

Naast een grotere bewustwording voor het belang van data, pleit Weerwind ook voor een mentaliteitsverandering. Hij juicht de toegenomen aandacht voor best practices toe, waarbij instanties van elkaar leren hoe zij problemen kunnen oplossen, maar constateert dat er problemen en fouten vaak nog worden weggemoffeld. “We zijn niet gewend om bad practices uit te wisselen omdat we dan onze kwetsbaarheden tonen. Ik kan juist veel leren van de fouten die een ander heeft gemaakt of de risico’s die zij hebben gezien,” bepleit Weerwind. “Het niet denken in dergelijke cross overs om kennis en kunde te delen, is nog een vraagstuk voor ons.”

Weerwind zou graag zien dat het Ministerie van Binnenlandse Zaken dergelijke samenwerking meer stimuleert. Maar ook instanties als ICTU, het Kwaliteitsinstituut Nederlandse Gemeenten (KING)  en de VNG-subcommissie GDI zouden daar volgens Weerwind een rol kunnen spelen. Hij waarschuwt tegelijkertijd dat dergelijke organisaties alleen adviseren, maar zij nemen de verantwoordelijkheid niet weg bij de overheden. “Je kunt niet zeggen: ‘Ik ben niet goed ondersteund.’ Die tijden zijn voorbij. Ik kan als burgermeester wel praten over clean desk policies, maar het gaat uiteindelijk om wat mensen doen. Als ik een USB stick laat rondslingeren, dan kunnen daar nare dingen mee gebeuren. Dat moet tussen de oren zitten bij alle betrokkenen functionarissen.”