Vragen van het lid Gijs vanDijk (PvdA) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over het bericht dat er binnen de gehele overheid informatieveiligheid nodig is (ingezonden 11 april 2017).

Antwoord van Minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 28 april 2017).

Vraag 1

Kent u het bericht «Cybersecurity niet alleen Rotterdams probleem» (Binnenlands Bestuur)?1

Antwoord 1

Ja.

Vraag 2

Deelt u de mening van de Digicommissaris dat er binnen de gehele overheid investeringen nodig zijn voor betere informatieveiligheid? Zo ja, waarom en wat doet u om dit te bevorderen? Zo nee, waarom niet?

Antwoord 2

Op 16 november 2016 heeft het kabinet de Studiegroep Informatiesamenleving en Overheid ingesteld om een advies op te stellen over (het verbeteren van) het functioneren van de digitale overheid. De Studiegroep is verzocht om, ten behoeve van de volgende kabinetsperiode, te adviseren over een verbetering van het functioneren van de digitale overheid voor wat betreft de doorontwikkeling, de financiering en de governance van de generieke digitale voorzieningen. In haar rapport dat op 18 april is verschenen adviseert de Studiegroep dat «De digitale basisinfrastructuur (Generieke Digitale Infrastructuur, GDI) wordt bestempeld tot vitale infrastructuur voor Nederland. De financiering wordt, inclusief doorontwikkeling en innovatie, structureel geborgd.»2 Het kabinet heeft de overwegingen en aanbevelingen van de Studiegroep zonder nadere standpuntbepaling aan uw Kamer voorgelegd. Als demissionair Minister van BZK laat ik het aan mijn opvolger hoe hij of zij de aanbevelingen van de Studiegroep gaat oppakken.

Vraag 3

Deelt u de mening van de Digicommissaris dat er een snellere implementatie van moderne internetstandaarden nodig is? Deelt u dan ook de mening van de Internet Society Nederland dat er een wettelijke verplichting om beveiligingsstandaarden te gebruiken moet komen? Zo ja, waarom en wat kunt u doen om dit te bewerkstelligen? Zo nee, waarom niet?

Antwoord 3

Er is inderdaad een snellere implementatie van moderne internetstandaarden nodig, met name op het gebied van beveiligingsstandaarden. Daarom worden diverse acties ondernomen. Zo is de rijksoverheid een van de initiatiefnemers van de «veilige e-mailcoalitie», waarin bedrijfsleven en overheid samenwerken om phishing terug te dringen. Daarnaast wordt er deelgenomen aan het Platform Internetstandaarden dat de implementatie van de beveiligingsstandaarden meetbaar maakt via internet.nl, en hebben de overheden in het Nationaal Beraad Digitale Overheid afgesproken om informatieveiligheidsstandaarden een impuls te geven. De standaarden zijn opgenomen in factsheets van het NCSC en de Informatiebeveiligingsdienst voor gemeenten van VNG/KING.

Het voorstel voor de wet Generieke Digitale Infrastructuur, dat onlangs in consultatie was, bevat een grondslag om bij algemene maatregel van bestuur open standaarden, waaronder beveiligingsstandaarden, aan te wijzen die overheden dienen te hanteren in het elektronisch verkeer met andere overheden, met burgers en met bedrijven. Deze aanwijzing zal plaatsvinden indien dit noodzakelijk en proportioneel is gelet op de goede werking, veiligheid, betrouwbaarheid of de doelmatigheid van het elektronisch verkeer, of indien dit voortvloeit uit verdragen of besluiten van volkenrechtelijke organisaties.

Vraag 4

Wat is de stand van zaken met betrekking tot de afspraak tussen de Digicommissaris en het Nationaal Beraad Digitale Overheid over de implementatie van moderne beveiligingstandaarden bij de e-mail van gemeenten per 2018?

Antwoord 4

De stand van zaken van de implementatie van een set informatieveiligheidsstandaarden wordt op verzoek van het Nationaal Beraad halfjaarlijks – via internet.nl – door het Forum Standaardisatie gemeten. De laatste meting treft u aan op de pagina: www.forumstandaardisatie.nl/thema/iv-meting. Uit de laatste meting van begin 2017 blijkt dat de implementatie gestaag groeit. Vooral gemeenten hebben het laatste half jaar een flinke inhaalslag gemaakt. De groei moet echter overheidsbreed verder worden doorgezet, zodat het streefbeeld kan worden gehaald om deze standaarden eind 2017 overal waar van toepassing, te hebben geïmplementeerd.

Vraag 5

Is het aantal van 700 kritieke lekken in de systemen van de gemeente Rotterdam symptomatisch voor de stand van zaken met betrekking tot de informatieveiligheid bij Nederlandse gemeenten? Zo ja, waar blijkt dat uit? Zo nee, waarom niet? Beschikt u over recent onderzoek naar de stand van informatiebeveiliging bij Nederlandse gemeenten?

Antwoord 5

Laat ik voorop stellen dat met eventuele misstanden of aanwijzingen daarvan serieus dient te worden omgegaan, zoals in het voorbeeld van Rotterdam ook is gebeurd. De technische kwetsbaarheden zijn gevonden als gevolg van een penetratietest bij de gemeente Rotterdam, uitgevoerd door de rekenkamer op verzoek van de gemeenteraad van diezelfde gemeente. Ook in andere gemeenten zijn dergelijke onderzoeken uitgevoerd. De conclusies van de rapporten lopen uiteen. Er is op basis van deze rekenkameronderzoeken geen reden om aan te nemen dat de conclusies van één rapport symptomatisch zou zijn voor de stand van zaken bij alle Nederlandse gemeenten – in positieve zin, noch in negatieve zin.

Zoals ik uw Kamer eerder heb laten weten bij de beantwoording van vragen over een hack bij de gemeente Ede, zijn er geen cijfers beschikbaar van aantallen informatiebeveiligingsincidenten of hacks bij gemeenten.3 Er is dus geen allesomvattend overzicht met de diepte van een lokaal rekenkameronderzoek.

Naar boven