Als cyberburgemeester heeft Iris Meerts (burgemeester Wijk bij Duurstede) een sterk speerpunt: de digitale veiligheid van Nederlandse decentrale overheid moet verhogen. Dagelijks verneemt ze in haar gemeente van DDos-aanvallen en pinpasfraudes, maar ziet ze dat het voor gemeenten een lastige opgave is om hun organisatie te digitaliseren. KED sprak haar over haar rol als cyberburgemeester, de uitdagingen van digitalisering, en vroeg haar om tips voor decentrale overheden.
Als voormalig medewerker van de afdeling European Affairs in Rotterdam staat Europees recht en beleid hoog bij u in het vaandel. Is dat bij andere gemeenten ook het geval?
“Voor zover ik weet leeft Europa niet echt bij de middelgrote en kleine gemeenten. Dat heeft voornamelijk twee redenen. Ten eerste heeft ‘Brussel’ weinig aandacht voor de uitvoerbaarheid van Europees beleid op lokaal niveau. Lang leve het werk dat het Comité van de Regio’s voor ons verricht, maar we zijn er nog lang niet. Ten tweede, gemeenten hebben vaak andere prioriteiten dan het in de gaten houden van Europese ontwikkelingen. Ze zijn bezig met overleven, zo simpel is het. Het is ook lastig hoor, vooral het onderwerp cyberveiligheid. Als burgemeester krijg ik bijvoorbeeld wel gegevens over woningbraken en fietsendiefstallen, maar niets over de cybercrime. De gemeente Wijk bij Duurstede geeft digitale veiligheid wel prioriteit in het veiligheidsbeleid, maar als we er niets over weten, kunnen we er onvoldoende mee.”
Brussel heeft weinig aandacht voor uitvoerbaarheid van Europees recht op lokaal niveau.
Hoort bij uw rol als cyberburgemeester de agendasetting van cyberveiligheid bij gemeenten?
“Ja, dat is nodig. Ik werd cyberburgemeester omdat ik me vanuit mijn vorige rol flink verbaasde over uitspraken als “het komt wel”, “dat ligt niet bij mij” en “ik heb al zoveel op mijn bordje”. Veel collega’s vonden daarnaast dat cyberveiligheid de verantwoordelijkheid is van het Rijk. Dat is begrijpelijk: het is technisch en complex en voor velen een reden om het voor zich uit te schuiven. Voor mij staat wel urgentie voorop. Sinds de oorlog in Oekraïne krijgen wij namelijk in de gemeente vier keer per dag te maken met DDOS-aanvallen op onze vluchtelingengroep, hacks dus. Ik voel daardoor sterk de verantwoordelijkheid om digitale veiligheid hoog op de agenda te zetten. Ik heb er alle vertrouwen in dat dat – misschien soms op termijn – zijn vruchten af gaat werpen. Stoppen is dan ook geen optie, want het wordt alleen maar meer.”
Stoppen is geen optie.
Hoe zorgt u er voor dat medewerkers inzien dat cyberveiligheid een taak voor elke ambtenaar is?
“De kwaliteit van onze dienstverlening vraagt dat we 24/7 up and running en veilig zijn. Wanneer je het over de kwaliteit van de dienstverlening hebt, snapt iedereen het. Dan gaat het namelijk over beleidsvoering: dat is van ons allemaal, daar zijn we voor aangenomen. In feite draait het daar ook om. Het gaat niet zozeer om welke technische tools je gebruikt; het gaat erom dat die dienstverlening veilig en betrouwbaar moet zijn.”
Ziet u in de begroting prioritering van cyberveiligheid of digitalisering terug?
“Nee, we hebben en krijgen te weinig geld hiervoor, terwijl je op gemeentelijk niveau veel kunt regelen. Er kan basisinfrastructuur aangelegd worden die veilig is en privacy respecteert. Dan hoef je de hele discussie over autonomie van gemeenten echt niet te voeren. De kleinere gemeentes kunnen het gewoon echt niet alleen. Dat vervolgens aangrijpen om maar te zeggen dat ‘die kleintjes’ dan te klein zijn voor hun wettelijke taak en maar moeten fuseren, vind ik een beetje flauw.”
Hoe zorgt u ervoor dat die decentrale overheden alsnog met hun digitale veiligheid aan de slag gaan?
“Een leuk initiatief hiervoor zijn de ‘peer-to-peergesprekken’ waar de VNG een tijdje geleden mee begonnen is. Dat zijn gesprekken met twee willekeurige gemeenten en een cyberburgemeester als gespreksleider. Per gemeente zitten een burgemeester, gemeentesecretaris, openbare orde- en veiligheidsadviseur, een Chief Information Security Officer (CISO), en nog wat anderen bij elkaar. In die gesprekken gebeurt vaak iets bijzonders. Iedereen ziet er een beetje tegenop, want het is lastige materie, maar je moet het er met elkaar over hebben. Dan merk je dat je in je eigen kamer eerst ongemakkelijk met de CISO praat, omdat die technische taal gebruikt en bestuurders vaak dingen zeggen waar de CISO weer weinig van begrijpt. Bij de andere gemeente gaat het vervolgens precies hetzelfde. Zo wordt het uiteindelijk een erg leuk gesprek. Er komen altijd leuke dingen uit die ze van elkaar leren en er worden altijd vervolgafspraken gemaakt. Die olievlek proberen we uit te spreiden.”
Peer-to-peergesprekken tussen gemeenten beginnen vaak een beetje ongemakkelijk, maar blijken achteraf altijd nuttig te zijn.
“Daarnaast werkt in Wijk bij Duurstede de inzet van een digitale wijkagent. Hij heeft bevoegdheden om op sociale media opsporingen te doen; ik mag dat bijvoorbeeld niet. Hij kijkt vooral naar strafbare feiten die bijvoorbeeld via smartphone of websites worden gepleegd. De reguliere wijkagenten komen daar niet aan toe. De digitale wijkagent komt bij iedereen die gehackt is even langs om te kijken en te praten. Daar zijn we hartstikke blij mee.
Als laatste tip aan gemeenten: praat met je CISO. Bestuurders en CISO’s zijn volgens mij nog niet overal goed in gesprek. Dat praten met die CISO kan bijvoorbeeld ook tijdens oefeningen van cyberdreigingen. Dat is trouwens ook een goede tip: oefeningen doen. Zo ben je beter voorbereid als het een keer echt gebeurt. En als het dan een keer wel fout gaat, vertel het verhaal dan. Je schaamt je er misschien voor, maar gooi het toch open, want je moet het van elkaar weten. Dan zien bestuurders in dat dit echt gebeurt en dus ook bij hen kan gebeuren. Werk aan de winkel dus!”
Bestuurders, praat met je CISO.