Terugkoppeling lunchgesprek: Digitalisering en de gemeenteraad

Hij heeft inmiddels ongeveer 40 bestuurlijke gesprekken gevoerd. Hierbij is het hem opgevallen dat in ruim de helft van de gemeenten de raad niet is aangehaakt op het thema digitale veiligheid.

Tijdens zijn presentatie nam Peter ons mee door het programma ADV (Agenda Digitale Veiligheid) van de VNG.

Actuele dreigingen
In een onderzoek van de Informatie Beveilingsdienst (IBV), worden de meest actuele dreigingen genoemd: meer ransomware met destructievere gevolgen, steeds meer en ernstigere kwetsbaarheden in software, de gevaren van ketens uit het zicht en een aantal kwetsbaarheden met hoge impact.

De grootste risico’s die gemeenten daarmee lopen op het gebied van informatiebeveiliging en gegevensbescherming zijn verstoringen in de bedrijfsvoering, vertrouwelijke informatie die in de verkeerde handen valt en zelfs volledige uitval van de dienstverlening.

De IBV komt in dat verband met zes succesfactoren die de weerbaarheid vergroten:

1. Mensen: investeer in bewustwording en weerbaarheid;
2. Financiën: zorg voor structureel budget voor digitale veiligheid;
3. Techniek: implementeer de basismaatregelen tegen ransomware;
4. Eigenaarschap: zet informatiebeveiliging en gegevensbescherming op de bestuurlijke agenda;
5. Organisatie: breng de ambtelijke experts in positie en zorg voor een veilige cultuur;
6. Samenwerkingsverbanden: maak afspraken en zie erop toe.

Vanuit dit dreigingsbeeld zijn door de VNG vijf bestuurlijke prioriteiten uitgewerkt:

1. Voeren van het gesprek met de gemeenteraad;
2. Herijken van het Integraal Veiligheidsplan;
3. Borgen van de bedrijfscontinuïteit;
4. Versterken van de weerbaarheid tegen steeds professionelere cyberdreiging;
5. Pakken van de regierol richting leveranciers en samenwerkingsverbanden.

De Agenda Digitale Veiligheid is een breed programma met vijf actielijnen.

Deze actielijnen worden in de praktijk gebracht door bestuurlijke gesprekken te organiseren tussen gemeenten onderling over de volgende onderwerpen:

Mocht je als griffier van mening zijn dat deelname aan een dergelijk gesprek je gemeente ten goede zou kunnen komen, laat het ons dan even weten door een berichtje te sturen aan info@griffiers.nl of aan teamadv@vng.nl. De VNG is gaarne bereid dit voor je te organiseren.

Betrekken van de raad
Maar nu even terug naar de gemeenteraad. Waarom zou je de raad betrekken? Niet alleen omdat de raad inhoudelijke en financiële kaders stelt (ook voor Digitale Veiligheid), maar ook het College controleert. Daarnaast nemen de bedreiging en de complexiteit toe en wordt de gemeentelijke dienstverlening steeds afhankelijker van digitalisering (waarvan de kosten stijgen). Daarnaast komt er een Europese richtlijn (NIS2), die het bestuur aansprakelijk stelt voor alle daaruit voortvloeiende problemen.

Good practices
Vervolgens gingen we in gesprek met een aantal “good practices” gemeenten.

Bij de gemeente Westerkwartier heeft men een Rekenkamer onderzoek naar dit onderwerp laten uitvoeren. Naar aanleiding daarvan zijn er hele concrete aanbevelingen gedaan, die ook door de raad zijn overgenomen:

• Wees alert op mogelijke vertragingen in de implementatie van het beleid informatieveiligheid en informeer actief naar de voortgang en de mogelijke knelpunten daarin;
• Laat je eens per jaar actief en specifiek informeren over het informatieveiligheidsbeleid;
• Vraag bij het college actief naar de aandacht voor informatieveiligheid bij het inrichten van werkprocessen, naast de inhoudelijke kwaliteit en control;
• Vraag het College te streven naar BIO-niveau 3 en faciliteer in wat daarvoor nodig is in termen van formatie en techniek.
• Vraag het College zich actief in te zetten op het voorwaardelijk maken van een training privacy en informatieveiligheid voor toegang tot het systeem.

Manifest Digitaal Nieuwegein
In de gemeente Nieuwegein, zo vertelt Jan Karens, heeft de raad het Manifest Digitaal Nieuwegein vastgesteld. Het is een handzaam document waarin de belangrijkste inhoudelijke kaders in de vorm van publieke waarden voor de ontwikkeling van de digitale samenleving zijn vastgelegd. Naast waarden als ‘inclusief’ en ‘privacy’ is ook ‘veiligheid’ opgenomen in het manifest. Deze waarde is als volgt omschreven: ‘Informatie is waardevol, daar gaan we zorgvuldig mee om. We beveiligen onze systemen en data tegen verlies, diefstal en misbruik. We maken van onze stad een veilige digitale plek om in te werken en te leven.’

Het manifest heeft ervoor gezorgd dat de raad betrokken is op het thema en het belang van digitale veiligheid onderkent. Tip van Jan Karens: stel Sir Askalot ter beschikking van de raadsleden!

Gemeente Oude IJsselstreek
Tenslotte hebben we nog een laatste voorbeeld uit de gemeente Oude IJsselstreek. Hier is de gemeenteraad actief meegenomen in het nieuwe Integraal Veiligheidsplan waar digitale veiligheid onderdeel van uitmaakt. In de aanloop naar dit IVP is een bewustwordingsprogramma uitgevoerd met drie onderdelen:

• Een escaperoom waarbij de raadsleden in teams aan de slag zijn gegaan met de thema’s privacy, informatiebeveiliging, AVG en datalekken.
• Een bijeenkomst over het thema ‘eigen huis op orde’.
• Een inhoudelijke bijeenkomst voor de raad met als thema digitale weerbaarheid voor burgers en bedrijven.

Als resultaat onderkennen raadsleden nu het belang van het thema digitale veiligheid. Ook zijn zij intrinsiek geïnteresseerd in dit onderwerp en beter in staat om hun rol op het gebied van digitale veiligheid in te vullen.

Robert van Dijk, griffier in Noordwijk en lid van de Commissie Informatiesamenleving van de VNG voegt hieraan toe dat de ontwikkelingen op het gebied van digitalisering zo snel gaan dat je vaak achter de feiten aan loopt, maar dat je je hierdoor niet moeten laten beangstigen of ontmoedigen. Er zitten ook vele positieve kanten aan. Die kun je zien als uitdagingen en nieuwe kansen. Ook met het opstellen van een baseline voor de aanbesteding van een Raadsinformatiesysteem is een werkgroep bezig. Dit wordt dan een hulpmiddel of een handvat voor de griffier wanneer hij met zo’n aanbesteding te maken krijgt. De Vereniging van Griffiers moet in de baseline voor het RIS de regierol pakken richting leveranciers.

Tot slot advies van de VNG:

• Checklist digitale veiligheid voor raadsleden
• Agenda Digitale Veiligheid 2020 – 2024 – Een veilige (digitale) gemeente
• Ook een bestuurlijk gesprek? Mail naar teamadv@vng.nl

Je kunt het lunchgesprek hier terugkijken.