Vragen van de leden Oosenbrug en Kerstens (beiden PvdA) aan de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Veiligheid en Justitie over een inbraak in de database van de gemeente Ede (ingezonden 15 augustus 2016).

Antwoord van Minister Blok (Binnenlandse Zaken en Koninkrijksrelaties), mede namens de Minister van Veiligheid en Justitie (ontvangen 6 september 2016).

Vraag 1

Kent u het bericht «Database Ede gehackt: gegevens duizenden inwoners mogelijk op straat»?1

Antwoord 1

Ja.

Vraag 2

Is er door de gemeente Ede aangifte bij de politie gedaan? Zo ja, wat is de stand van zaken daarvan? Zo nee, waarom heeft de gemeente geen aangifte gedaan?

Antwoord 2

De gemeente Ede heeft inderdaad aangifte gedaan bij de politie. Er loopt momenteel een onderzoek. Derhalve kunnen hieromtrent geen mededelingen worden gedaan.

Vraag 3

Wat doet de Autoriteit Persoonsgegevens naast het in ontvangst nemen van meldingen van datalekken nog meer met dergelijke meldingen? En wat doet deze autoriteit specifiek met de melding van de gemeente Ede dat er sprake was van de genoemde datalek?

Antwoord 3

De Autoriteit Persoonsgegevens (AP) beoordeelt op basis van een risico-inventarisatie welke van de ontvangen meldingen zij nader analyseert. Bij de meldingen die zij analyseert, bekijkt de AP onder meer of de verantwoordelijke organisatie het datalek had moeten melden aan de betrokkenen en of dat is gebeurd. Daarnaast beoordeelt de AP of de verantwoordelijke technische en organisatorische maatregelen heeft getroffen om de inbreuk op de beveiliging van persoonsgegevens aan te pakken en om verdere inbreuken te voorkomen. Ten aanzien van de specifieke gemeente die wordt genoemd, doet de AP geen uitspraken.

Vraag 4

Wat is het is het oordeel van de Autoriteit Persoonsgegevens over deze datalek en met name het risico dat er de persoonsgegevens van bewoners voor andere doeleinden dan het doorgeleiden naar een advertentiewebsite kunnen worden gebruikt?

Antwoord 4

De AP doet geen uitspraken over specifieke gevallen, zoals de gemeente die wordt genoemd.

Vraag 5

Hoeveel gemeenten zijn het afgelopen jaar slachtoffer geworden van een hack binnen hun digitale infrastructuur?

Antwoord 5

Er zijn geen cijfers beschikbaar van aantallen informatiebeveiligingsincidenten of hacks bij gemeenten. Organisaties, waaronder ook gemeenten, zijn ingevolge de Wet bescherming Persoonsgegevens (Wbp) verplicht om melding te doen bij de AP als het gaat om een datalek ten aanzien van persoonsgegevens. In de periode 1 januari 2016 en 27 mei 2016 heeft de AP 147 meldingen van datalekken van gemeenten ontvangen. Daarbij zij aangetekend dat niet alle beveiligingsincidenten ook datalekken zijn die bij de AP moeten worden gemeld, terwijl ook niet alle datalekken hacks betreffen.

Vraag 6

Bent u van mening dat de beveiliging van gemeentelijke websites niet alleen mag afhangen van de inspanningen de desbetreffende gemeente, maar dat dat ook een zaak is die het niveau van gemeenten overstijgt? Zo ja, waarom en welke rol speelt u of gaat u spelen om gemeenten te helpen bij het beveiligen van hun digitale infrastructuur? Zo nee, waarom niet?

Antwoord 6

De informatiebeveiliging van gemeenten strekt veel breder dan het smalle terrein van websites. Hiervoor bestaan reeds centrale voorzieningen zoals DigiD en mijnoverheid.nl.

Gemeenten zijn als professionele, meest nabije overheid verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief belang bij dat de gehele gemeentelijke branche informatieveiligheid op orde heeft. Gemeenten hebben om dit te bekrachtigen de resolutie »Informatieveiligheid, randvoorwaarde voor de professionele gemeente» aangenomen. Ik onderschrijf de wenselijkheid van bovengemeentelijke samenwerking.

Gemeenten hebben in 2013 de Informatiebeveiligingsdienst voor Gemeenten (IBD) opgericht. De IBD is het sectorale responseteam (CERT/CSIRT) voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers.

Het gaat erom dat gemeenten adequate maatregelen nemen om incidenten zoveel als mogelijk te voorkomen. Gemeenten hebben met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) een gemeenschappelijk normenkader om het beleid en de daaruit voortvloeiende maatregelen te toetsen. De BIG is gebaseerd op en afgeleid van de Baseline Informatiebeveiliging Rijk (BIR). Desondanks kunnen incidenten nooit worden uitgesloten.

Vraag 7

Bent u van mening dat indien de digitale communicatie tussen burgers en gemeenten via een generieke voorziening zou gaan verlopen, dit naast een verbetering van het gebruiksgemak, ook beter te beveiligen zou zijn dan in het geval iedere gemeente zijn eigen portal behoudt? Zo ja, waarom en wat doet u om die generieke voorziening tot stand te brengen? Zo nee, waarom niet?

Antwoord 7

Ik deel de mening dat een generieke voorziening voordelen kan opleveren. In mijn brief van 20 april 2015 heb ik de Kamer verslag gedaan van mijn overleg met de VNG over dit onderwerp (Kamerstuk 26 643, nr. 357).

In de digitale agenda 2020 hebben gemeenten de ambitie uitgesproken om gemeenschappelijkheid en collectiviteit in de informatievoorziening te bevorderen met ruimte voor lokaal maatwerk waar dat kan. Informatiebeveiliging is hierbij een noodzakelijke randvoorwaarde. In dit licht zullen de voordelen maar ook de nadelen moeten worden bezien van een eventuele collectieve voorziening voor webformulieren van gemeenten. Het blijft aan gemeenten zelf om hierover te beslissen.

Ik blijf attent op de mogelijkheid om een gemeenschappelijke voorziening dichterbij te brengen. Het kwaliteitsinstituut Nederlandse Gemeenten (KING) ontwikkelt momenteel een proof of concept voor een Generieke Transactievoorziening waarbij gemeentelijke formulieren voor ondernemers centraal worden aangeboden. Als deze proof of concept slaagt zal ik met de VNG gaan overleggen over de mogelijkheden om dit ook te doen met formulieren voor burgers.

Naar boven