| Ingediend | 15 augustus 2016 |
|---|---|
| Beantwoord | 6 september 2016 (na 22 dagen) |
| Indieners | Astrid Oosenbrug (PvdA), John Kerstens (PvdA) |
| Beantwoord door | Stef Blok (minister zonder portefeuille binnenlandse zaken en koninkrijksrelaties) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD) |
| Onderwerpen | bestuur economie gemeenten ict openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z15276.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-3431.html |
Ja.
De gemeente Ede heeft inderdaad aangifte gedaan bij de politie. Er loopt momenteel een onderzoek. Derhalve kunnen hieromtrent geen mededelingen worden gedaan.
De Autoriteit Persoonsgegevens (AP) beoordeelt op basis van een risico-inventarisatie welke van de ontvangen meldingen zij nader analyseert. Bij de meldingen die zij analyseert, bekijkt de AP onder meer of de verantwoordelijke organisatie het datalek had moeten melden aan de betrokkenen en of dat is gebeurd. Daarnaast beoordeelt de AP of de verantwoordelijke technische en organisatorische maatregelen heeft getroffen om de inbreuk op de beveiliging van persoonsgegevens aan te pakken en om verdere inbreuken te voorkomen. Ten aanzien van de specifieke gemeente die wordt genoemd, doet de AP geen uitspraken.
De AP doet geen uitspraken over specifieke gevallen, zoals de gemeente die wordt genoemd.
Er zijn geen cijfers beschikbaar van aantallen informatiebeveiligingsincidenten of hacks bij gemeenten. Organisaties, waaronder ook gemeenten, zijn ingevolge de Wet bescherming Persoonsgegevens (Wbp) verplicht om melding te doen bij de AP als het gaat om een datalek ten aanzien van persoonsgegevens. In de periode 1 januari 2016 en 27 mei 2016 heeft de AP 147 meldingen van datalekken van gemeenten ontvangen. Daarbij zij aangetekend dat niet alle beveiligingsincidenten ook datalekken zijn die bij de AP moeten worden gemeld, terwijl ook niet alle datalekken hacks betreffen.
De informatiebeveiliging van gemeenten strekt veel breder dan het smalle terrein van websites. Hiervoor bestaan reeds centrale voorzieningen zoals DigiD en mijnoverheid.nl.
Gemeenten zijn als professionele, meest nabije overheid verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief belang bij dat de gehele gemeentelijke branche informatieveiligheid op orde heeft. Gemeenten hebben om dit te bekrachtigen de resolutie »Informatieveiligheid, randvoorwaarde voor de professionele gemeente» aangenomen. Ik onderschrijf de wenselijkheid van bovengemeentelijke samenwerking.
Gemeenten hebben in 2013 de Informatiebeveiligingsdienst voor Gemeenten (IBD) opgericht. De IBD is het sectorale responseteam (CERT/CSIRT) voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers.
Het gaat erom dat gemeenten adequate maatregelen nemen om incidenten zoveel als mogelijk te voorkomen. Gemeenten hebben met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) een gemeenschappelijk normenkader om het beleid en de daaruit voortvloeiende maatregelen te toetsen. De BIG is gebaseerd op en afgeleid van de Baseline Informatiebeveiliging Rijk (BIR). Desondanks kunnen incidenten nooit worden uitgesloten.
Ik deel de mening dat een generieke voorziening voordelen kan opleveren. In mijn brief van 20 april 2015 heb ik de Kamer verslag gedaan van mijn overleg met de VNG over dit onderwerp (Kamerstuk 26 643, nr. 357).
In de digitale agenda 2020 hebben gemeenten de ambitie uitgesproken om gemeenschappelijkheid en collectiviteit in de informatievoorziening te bevorderen met ruimte voor lokaal maatwerk waar dat kan. Informatiebeveiliging is hierbij een noodzakelijke randvoorwaarde. In dit licht zullen de voordelen maar ook de nadelen moeten worden bezien van een eventuele collectieve voorziening voor webformulieren van gemeenten. Het blijft aan gemeenten zelf om hierover te beslissen.
Ik blijf attent op de mogelijkheid om een gemeenschappelijke voorziening dichterbij te brengen. Het kwaliteitsinstituut Nederlandse Gemeenten (KING) ontwikkelt momenteel een proof of concept voor een Generieke Transactievoorziening waarbij gemeentelijke formulieren voor ondernemers centraal worden aangeboden. Als deze proof of concept slaagt zal ik met de VNG gaan overleggen over de mogelijkheden om dit ook te doen met formulieren voor burgers.