• Vraag 1

  Bent u bekend met het bericht «Datalek gemeente Buren»?1
  
  

  Ja
  

• Vraag 2

  Klopt het bericht dat er 130 Gigabyte (GB) aan gegevens van de gemeente Buren en gemeente Neder-Betuwe is aangeboden op het darkweb? Zo ja, om wat voor gegevens gaat het? Gaat het hier ook om persoonsgegevens?
  
  

  Ja, het gaat (ook) om persoonsgegevens en vertrouwelijke informatie. Zie ook: https://www.buren.nl/datalek. Ik vind het belangrijk om hierbij aan te geven dat er sprake is van datadiefstal bij de gemeente Buren en niet bij de gemeente Neder-Betuwe. Aangezien de gemeente Buren voor de gemeente Neder-Betuwe taken uitvoert in het kader van de Participatiewet zijn er mogelijk ook persoonsgegevens van een beperkt deel van de inwoners van de gemeente Neder-Betuwe gestolen.
  

• Vraag 3

  Kunt u delen welke criminelen deze ransomware-aanval hebben uitgevoerd? Zo ja, gaat het hier om een crimineel netwerk? Zo nee, is de politie op de hoogte gesteld van de cyberaanval?
  
  

  Er is aangifte gedaan bij de Politie. Het is bekend om welke Ransomware-soort dit gaat. Het is duidelijk dat het hier gaat om een groepering die internationaal veel slachtoffers maakt. In overleg met Politie/OM en de Informatiebeveiligingsdienst van de Vereniging van Nederlandse gemeenten (VNG/IBD) deel ik de naam van de groepering niet.
  

• Vraag 4

  Is bekend op welke manier ransomware criminelen zijn binnengedrongen in de systemen van de gemeente Buren? Zo ja, op welke manier is de aanval verlopen? Worden andere gemeentes over deze modus operandi geïnformeerd, al dan niet via de Informatiebeveiligingsdienst (IBD)?
  
  

  De gemeente Buren heeft direct na ontdekking van de Ransomware-aanval forensisch onderzoek laten opstarten door gespecialiseerde cybersecuritybedrijven. Deze bedrijven staan in nauw contact met de IBD en het Nationaal Cyber Security Centrum (NCSC). Het onderzoek is in volle gang en de resultaten zullen, zo meldt de gemeente Buren mij, in een publiek rapport beschikbaar worden gesteld.
  De IBD heeft de beveiligingsfunctionarissen van Nederlandse gemeenten geïnformeerd over de Ransomware-aanval en de maatregelen die mogelijk zijn om dergelijke situaties te voorkomen. Via de IBD is ook het NCSC betrokken die, waar nodig, andere sectoren zal informeren.
  

• Vraag 5

  Welke stappen zijn genomen voor de personen waarvan de persoonsgegevens op het darkweb staan? Bent u het ermee eens dat personen ingelicht moeten worden voor potentiele identiteitsfraude? Zo ja, is dat ook gebeurd? Zo nee, waarom niet en beoogt de gemeente dit nog te doen?
  
  

  Inwoners en ondernemers en ook de medewerkers en raadsleden worden doorlopend door de gemeente Buren geïnformeerd. Waar het gaat om het beperkte deel van de inwoners in Neder-Betuwe die gebruik maken of hebben gemaakt van de Participatiewet, stemt de gemeente Buren met de gemeente Neder-Betuwe af over de wijze van inlichten.
  Daar waar individuele inwoners, medewerkers of raadsleden het risico lopen op fraude als gevolg van deze datadiefstal worden zij geïnformeerd door de gemeente. Een gespecialiseerd bedrijf brengt in kaart om welke personen dit gaat.
  

• Vraag 6

  Zijn er soortgelijke aanvallen bekend die recent bij andere gemeentes hebben plaatsgevonden? Zo ja, om welke gemeentes gaat het hier?
  
  

  Eerder werden de gemeenten Lochem (2019)2 en Hof van Twente (2020)3 getroffen door een Ransomware-aanval. Daarbij was geen sprake van datadiefstal. Deze gemeenten hebben hier transparant over gecommuniceerd en lessen gedeeld.
  

• Vraag 7

  Hoe groot acht u de kans dat soortgelijke aanvallen bij andere gemeentes plaatsvinden? Welke stappen worden vanuit de rijksoverheid genomen om gemeentes cyberweerbaar te maken tegen ransomwareaanvallen en andere digitale aanvallen?
  
  

  Het is niet te voorspellen of en wanneer soortgelijke aanvallen plaatsvinden. Ik kan in elk geval niet uitsluiten dat een dergelijke aanval opnieuw zal plaatsvinden, noch bij een gemeente, noch bij een andere organisatie in een geheel andere sector.
  Er is nauw contact met de VNG/IBD om te zien of en welke extra ondersteuning vanuit de rijksoverheid nodig is. Ik verwijs in dat verband naar de beantwoording op schriftelijke vragen van de leden Rajkowski en Strolenberg4, waar mijn ambtsvoorganger Knops een aantal acties heeft uitgelicht, zoals de overheidsbrede cyberoefening en het beschikbaar stellen van lessons learned van incidenten. Ik merk verder op dat de VNG en de IBD ook zelfstandig stappen neemt. Zoals in de beantwoording destijds is aangegeven is informatiebeveiliging een gezamenlijke verantwoordelijkheid die om een gezamenlijke aanpak vraagt.
  

• Vraag 8

  Zijn er lessen te trekken uit de aanpak van de gemeente Buren nadat bekend werd dat een ransomware-aanval is uitgevoerd? Zo ja, welke lessen kunnen hieruit getrokken worden?
  
  

  De gemeente Buren meldt mij dat voor dit doel een publieke onderzoeksrapportage en een evaluatie beschikbaar zullen komen. Beide zijn er nog niet. Het is daarom nu nog te vroeg om aan te geven welke concrete lessen uit de aanpak van de gemeente Buren kunnen worden getrokken.
  

• Vraag 9

  In de beantwoording van eerdere schriftelijke vragen van de leden Rajkowski en Strolenberg (Aanhangsel Handelingen II, vergaderjaar 2021–2022, nr. 887) is te lezen dat gemeentes geholpen worden met een ondersteuningspakket van de IBD voor de processen en maatregelen uit de Baseline informatiebeveiliging Overheid (BIO) met de hoogste prioriteit, in welke mate zijn de kaders en richtlijnen van dit ondersteuningspakket geïmplementeerd bij de gemeente Buren? Wordt bovengenoemd ondersteuningspakket nu als voldoende geacht voor het verhogen van de digitale weerbarheid van gemeentes? Zo nee, waarom niet? Bent u het ermee eens dat het hebben van een cyberverdedigingsprotocol handelingsperspectief biedt voor gemeentes en daarmee een goede aanvulling kan zijn voor het instrumentarium van gemeentes om zo goed mogelijk om te gaan met cyberaanvallen en de schade zo beperkt mogelijk te houden? Zo ja, hoe staat het met de uitvoering van de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753)? Maken gemeentes hier al gebruik van? Zo ja welke? Zo nee, waarom niet?
  
  

  In de reactiebrief5 van mijn ambtsvoorganger op de motie Yesilgöz-Zegerius6 en de eerdergenoemde beantwoording op Kamervragen van de leden Rajkowski en Strolenberg is aangegeven hoe mijn ambtsvoorganger uitvoering heeft gegeven aan de motie.
  Ik herhaal hier kort wat mijn ambtsvoorganger in zijn reactiebrief heeft gesteld en waar ik mij bij aansluit. In het beleid wordt niet ingezet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik heb aangegeven in de beantwoording van genoemde Kamervragen, stelt de Baseline Informatiebeveiliging Overheid (BIO) eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
  De gemeente Buren houdt zich aan de BIO en laat onderzoek doen hoe dit incident heeft kunnen gebeuren; ik gaf dit al aan in mijn antwoord op de vorige vraag. Ik hecht eraan te vermelden dat de gemeente nu midden in een grote crisis verwikkeld is en dat het belangrijk is de uitkomsten van het lopend onderzoek en evaluatie af te wachten. Ook merk ik op dat het college van burgemeester en Wethouders hierover primair verantwoording zal afleggen aan de gemeenteraad.
  Uit het onderzoek en de evaluatie moet blijken hoe een dergelijk incident in de toekomst kan worden voorkomen. Dan zal ik ook bezien of het nodig is dat ik aanvullende maatregelen tref.
  

Kamervraag document nummer: kv-tk-2022Z08406

Volledige titel: Het bericht ‘Datalek gemeente Buren’

Kamerantwoord document nummer: ah-tk-20212022-2807

Volledige titel: Antwoord op vragen van het lid Rajkowski over het bericht ‘Datalek gemeente Buren’