Uitvoering ICT Visie 2030 en Cyberveiligheid

Dames en heren, rustig, we beginnen. Timemanagement hè, 8 uur. Er zijn wat weinig raadsleden, maar dat zou kunnen zijn doordat er een heel groot onderwerp, stationsontwikkeling Driebergen-Zeist, vanavond ook plaatsvindt. Ja, dat is waar. Ik pak even mijn spiekbriefje erbij. Nee, want ik heb toch geen sluit. Welkom, kwaliteit welkom. Ook de mensen thuis. Ik heet Adhriendis, ik mag voorzitter zijn vanavond en deze bijeenkomst is beeldvormend. Dat houdt in dat het delen en verzamelen van informatie centraal staat. ICT Visie 2030 en cyberveiligheid. We hebben die vorig jaar vastgesteld, hè? De ICT Visie 2030. En daar staat onder andere in dat we de dienstverlening de komende jaren met behulp van ICT gaan verbeteren. Vanavond zijn er een behoorlijk aantal mensen aanwezig om u daarover te informeren. Ik stel voor dat die mensen zichzelf even kort voorstellen straks als ze aan bod komen, dat spaart tijd. En de presentatie die u straks gaat zien, die staat al in het in het er is. En de wethouder vanavond die verantwoordelijk is voor ICT is Walter van Dijk, en die zou ik graag even het woord geven. Er zijn ook opnames, misschien dus dan moeten we toch even ook met audio doen. Ben ik zo te verstaan? Mooi. En de heer van Nieuwstadt heeft helemaal gelijk. Het gaat om de mensen die aanwezig zijn en dat dat zijn jullie en daar. Daar zijn we dankbaar voor en we realiseren ons dat de concurrentie vanavond inderdaad lastig is met een groot onderwerp als Driebergen-Zeist, maar nogmaals, jullie zijn er en wij zijn er ook, dus dan kunnen we er gewoon een mooie avond van maken en dat is nodig ook, want dit onderwerp staat zo'n beetje dagelijks in de krant en met dit onderwerp bedoel ik met name tweede onderwerp voor vanavond. Cyberveiligheid, cyberweerbaarheid. Een onderwerp wat nou ook vandaag weer volop aan de orde was omdat ons Nederlandse leger op dat gebied forse investeringen gaat doen, dus allemaal niet voor niets heeft allemaal te maken met dreigingen die op ons afkomen. Nou, we hebben ook een een aantal slides vanavond over hoe men landelijk dreigingen inschat en ik de vorige keer ook wel heb aangegeven. Als gemeente zit je in een bijzondere situatie is toch heel anders dan een bedrijf. Wij zijn verantwoordelijk voor heel veel gevoelige data. Van onze inwoners op het moment dat iemand vrijkomt vanuit geretineerdheid, dan weten wij waar iemand gaat wonen. Wij weten wie welke mate van schulden heeft en zo zijn er meer vormen van informatie waarvan je er toch niet aan moet denken dat die op straat terechtkomt. En nogmaals, wij zijn wel betrokken bij die informatie. We moeten dus borgen dat die informatie ook zo goed en veilig mogelijk blijft. Er is dus in alleen al om die reden willen we de raad ook graag meenemen in in waar we staan. Ja, dat zullen we enerzijds doen door zelf aan te geven waar we staan met de uitvoering van, zeg maar de de ICT Visie en meer specifiek waar we staan met cyberveiligheid. Maar we proberen vanavond ook heel nadrukkelijk daar een onafhankelijk oordeel op te laten zien. Dat zal door Mark Tissink gebeuren. Onze externe CISO later in het jaar. Dat zeg ik niet goed, zal begin volgend jaar zijn, denk ik, dan zal de externe FG. Zeggen katoes ook weer, zeg maar met een een rapport onafhankelijk en en. En en ongetwijfeld kritisch naar draad toekomen, maar wat ook wel van belang is, is dat de raad zelf ook een speler is en we zullen vanavond dus een aantal dingen presenteren, maar zeker tweede deel van de avond is veel meer bedoeld om in interactie met jullie te kijken van wat voor dilemma's lopen nu tegenaan? En dat gaat ook over dilemma's die direct raken aan de rol van raadslid. Dus eerlijk gezegd verheug ik me daar vooral op voorzitter en. Wensen komt ons allen een informatieve en vooral ook interactieve avond toe, dank jullie wel. Dank u wel wethouder. Wie trapt af. Ja. Ik ga er even bestaan, dus meneer meneer Tissink, hè? Oh Minken, sorry. Je hebt, ik mag even aftrappen. Ik ben Ron Minke, ik ben reiniging van het team. Informatievoorziening binnen de gemeente Zeist en op direct niveau ook eindverantwoordelijk voor de hele digitalisering binnen onze gemeente. En daar valt dit onderwerp ook onder en ik mag samen met een aantal. Iets dichterbij de IS. Ik mag samen met een aantal collega's jullie daar vandaag in meenemen. En Walter zei het net al precies een jaar en één dag geleden is de is televisie 2030 door jullie vastgesteld en dat is onderdeel van is één van de fysieke documenten dat onderdeel is van hoe zetten we die digitale transformatie organisatie nou in met elkaar? En kern van die ICT Visie 2030 en daarom is het ook zo belangrijk dat we ook hier vandaag met elkaar staan. Is dat we zien dat. Waar vroeger ICT iets faciliterends was die zorgde de laptops. Die zorgde dat de schermen werkten, zien we het steeds meer. De vermenging tussen de primaire processen en digitalisering en dat ook keuzes die hier steeds meer gemaakt worden, randvoorwaardelijk en samenhangen met alles wat op iets is tegen gebied gebeurt en daarmee ICT op bepalend gaat zijn en daarom zo belangrijk dat de raad daar naar steeds meer eigenlijk vanaf weet en ook steeds meer iets van gaat vinden, omdat steeds meer bepaald welke keuzeruimte we ook met elkaar daarin hebben. Vandaag gaan we het hebben over wie is televisie? 2030 Mark Neute zal ze straks nog even voorstellen, maar die gaat jullie daar een stuk in meenemen. Mark Tissing als CISO gaat voornamelijk zoom we daarna zoomen. We voornamelijk in op de zijn beveiligheid met elkaar. En Robert. Wie zal jullie meenemen in wat we daar ook de komende jaar weer verder in gaan doen en daarna op een mooie mooie gesprek met elkaar te voeren. Dat voor mijn aftrap, en dan geef ik Mark. Dankjewel dag goedenavond allemaal. Ik ben Mark Neute. Ik ben één van de adviseurs, strategisch adviseurs informatievoorziening, één van de penvoerders van de ICT Visie 2030 die nou nogmaals een jaar geleden is vastgesteld en het leek ons even aardig om even een korte recapt te doen naar de ICT Visie. 2030 ging het ook alweer over. We hebben aan de hand van 5 thema's. In in in samenhang overigens. Gekeken naar wat, wat komt er op ons af en wat is onze opdracht om het goede te doen voor goede leven in Zeist? Vanuit de ICT tot 2030 en vanaf vorig jaar. Ik zal de thema's even kort toelichten. Dit dit. Dit is eigenlijk een herhaling, maar toch goed om even noemen. Één van de dingen is sourcing sourcing gaat eigenlijk over van hé, wat doen we nog zelf? Wat besteden we uit? We zien dat de IT steeds meer. Nou, dat nemen we steeds meer als een dienst af, wat betekent dat ook voor onze organisatie bijvoorbeeld betekent, hè? We moeten meer regie voeren op de uitvoering, in plaats van dat we de uitvoering zelf doen. Daar daar, daar kunnen we ook zeggen van nou OK, als we lokaal hè in de ICT als we lokaal het verschil moeten maken, kunnen we er ook voor kiezen kiezen we er vaak voor om het zelf te blijven doen. Hè dus dan kan je denken aan iets heel praktisch als bijvoorbeeld de helpdesk ICT. Dat de nabijheid die we gaan kiezen in onze kernwaarden. Daar zullen we waarschijnlijk zelf wel even doen. Maar dingen die wat generieker zijn of die in de markt heel goed beschikbaar zijn, of die we eigenlijk zelf niet zo goed kunnen, zoals 24 uur bewaking, dan moet je ervan afvragen, wil je dat nog zelf doen? In de volgende sheet kom ik een paar voorbeelden wat de afgelopen jaren gedaan is, hè dat ik een beweging heb geweest en dan zal het wat meer gaan leven, hoop ik. De kwaliteit van dienstverlening dat gaat ook over heel erg over digitalisering. Maar ook over het oog van de op de geletterdheid van de inwoners van Zeist en niet iedereen kan meekomen met de digitalisering dus uit digitaal tenzij wordt wel eens gezegd. Tegelijkertijd is het maatwerk waar nodig. Dat staat ook in de ICT Visie. Nou, ik ben ICT er pur sang, dus ik zou zeggen, we digitaliseren alles. Tegelijkertijd weet ik ook, kijk, denk aan mijn eigen moeder bijvoorbeeld, daar is ook een nog steeds. We hebben nog steeds een loket nodig en het loket de vraag is of het loket. Digitaal moet zijn. Ik denk dat alle diensten digitaal moeten aanbieden, maar daar waar het nodig is, hè, passen we ons aan. En dan denk ik uiteindelijk dat de kwaliteit van dienstverlening dat we daar goed op gaan scoren, scoren sowieso redelijk goed, denk ik maar, maar ook daar zijn bewegingen in geweest. We hebben kom ik zo bij voorbeelden bijvoorbeeld de burgerzaken applicaties. Nou, de meeste van jullie zijn inwoners verzeist. Daar gaan we nou begin volgend jaar komt daar wel een hele grote. Nou ja, verbetering, verwacht ik. Collectieve tijd samenwerking nou, wij zijn natuurlijk onderdeel als gemeente van de VNG. De VNG neemt heel veel initiatieven als het gaat om ICT informatievoorziening. Over ze onze collega wethouder Walter van Dijk is daar ook heel actief in en maar ook de gemeentes om ons heen. Een bijzonder gemeente Nieuwegein heb ik staat ook een ICT Visie. Daar hebben wij afgelopen 5 jaar onze datacenter mee geëxploiteerd. En, dat is eigenlijk een nou fijn die partner een Nieuwegein is bijvoorbeeld, hè? Even grootqua inwoners, dat is altijd fijn samenwerken. Maar we verwachten ook via VNG dat we we doen als gemeentes 80% van onze dienstverlening. Ja, is hetzelfde dus dat nou ja, dat is heel veel grond om dingen samen te doen, wel vanuit IT perspectief, dus dat gaat over inkopen, maar ook samen ontwikkeling. Nou, we hebben misschien jullie hebben gehoord. Van Common ground is een term die veel voorkomt. Ja, daar zullen we als Zeist nou, daar zijn we we kijken in ieder geval geïnteresseerd naar. En we zien een aantal gemeentes daar al hele grote stappen in maken. De ontwikkeling van de organisatie nou, wat ik net al zei, we gaan steeds meer naar regie organisatie. Dat dat betekent dat we meer kijken, hè? Regie voeren op de uitvoering in plaats van dat we het zelf doen. En dat betekent ook wel iets voor de competenties die we in huis hebben waarin we hè. Eerder voerden we het zelf uit en nu hebben we competenties. Iemand die weet bijvoorbeeld servicemanagement. Nou, we hebben sinds een maand of 3, 1 1 service level manager. Bij IV rondlopen die rol kennen wij voorheen helemaal niet. Nou, dat zegt al iets over de de ontwikkeling, hè? De organisatie moet zich ook ontwikkelen om dat te kunnen doen, want de regie voeren. Daar komt iets meer bij kijken dan het zelf doen. Want ja, je moet ook zorgen dat de kwaliteit hoog blijft, terwijl iemand anders het doet, kun je alles bij voorstellen het laatste en daar komen we ook op de de het focuspunt van vanavond. Dat is eigenlijk een veiligheidsconnuïniteit. Eigenlijk is dat natuurlijk een voorwaarde voor alles wat ik net genoemd heb. Zal ik zo nog even toelichten en nou de sprekers na mij zullen daar wat meer meer op inzoomen. Een nou een heel nou actueel onderwerp is het al een hele tijd, maar we staan wel. Ja, er staat wel onder druk. Continuïteit hè? De veiligheid hangen natuurlijk samen met elkaar. De continuïteit komt in het geding als de veiligheid niet op orde is, een hack en de dingen die jullie ook in de krant lezen. Ik zal niet altijd gras voor de voeten wegmaaien van mijn volgende sprekers. Om even toe te lichten. Wat? Om het even wat beeldend te maken. Wat hebben we het afgelopen jaar onder andere gedaan? Ik heb wat voorbeelden genoemd. Dit plaatje is overigens niet door onszelf. Dit is door een Enterprise architect van gemeente Zwolle heeft daar ooit initiatief voor genomen, maar het geeft heel erg aan en ik hoop dat het een beetje leesbaar is. De lage die hè samenhang als het gaat om ICT of informatievoorziening waarin je onderin eigenlijk de techniek ziet. Daar zie je steeds meer dat we dat niet meer zelf doen, hè? Dat gaat heel erg over cloud. Dat gaat heel erg over saas en dat soort termen. Dan heb je daar hè daarboven op al die techniek draaien dus één applicaties en daar slaan we informatie op. Tot zover is het allemaal nog ICT vaak voor mensen heel onzichtbaar, dan komen we op onzichtbare deel. Dat gaat eigenlijk over de organisatie hè? De processen die daar spelen dus de. De mensen bij achter de balies die hier bij de burgerzaken werken en die gebruiken dan vervolgens weer de informatie en applicaties die we draaien op techniek en uiteindelijk draagt het allemaal bij. Aan het goede leven in Zeist, daar is Zeist. Niet mooi, hoor. De wat ik ik zat net nog even te lezen, hè? Nederland is één van de meest gedigitaliseerde landen van Europa en Zeist dus zeker geen uitzondering. Ik denk dat nagenoeg een groot deel van onze dienstverlening is ook digitaal beschikbaar, even met de kanttekening heb ik maatwerk waar nodig. En daar, daar blijven we ook op inzetten wat we hebben gedaan het afgelopen jaar. Nou is dit een beetje voor het beeld. Ik weet niet of het het kan, denk ik niet weg. Of kan ik alleen mijn? Lekker gaat wegzetten. Één van de grootste projecten van het afgelopen jaar is dat we ons datacenter wat voorheen op zolder stond, hier in het Lengkeek gebouw, dat is gemigreerd volledig per 1 maart. Operationeel in naar Amsterdam verhuist. Amsterdam ja, we hebben daar gekozen via een aanbesteding. We wilden daar ook soevereiniteit is daar heel belangrijk, hè? We wilden dus controle hebben over waar staat de data, wie kan erbij, waar gaat het over? Het draait nu in een datacenter Amsterdam. Met ja met 24 7 monitoring 24 uur 7 hele hoge continuïteit. Dat nou, je kunt je iets bij voorstellen wat voor een project dat geweest is dat. Daarvan is dus nu ook daar. Dat doen we dus ook niet meer zelf. De techniek wordt eigenlijk als een dienst afgenomen. En hier in het gemeentehuis. Weinig last van gehad is feitelijk alleen nog maar wat zijn alleen nog maar werkplekken en netwerken aanwezig? Daar hoort ook monitoring bij. Ja, dat is onderdeel van de regievoering. Dus weten wat er speelt en hoe het loopt, dat doen wij deels zelf. We zijn ook bezig via de VNG overigens weer met monitoring respons. Dat is een een gezamenlijk inkooptraject waarin we ja, ik wil niet teveel jargon gebruiken, maar het siem sok dat gaat eigenlijk over dat je ook weer. Een dienst inkoopt die dus toezicht houdt op het dit geval datacenter dus hè gebeuren. De vreemde dingen zijn, er zijn er is er malware, zijn er andere dingen. Nou Nieuwegein noemde ik al, want daar deelden we datacenter mee. We zijn nu een soort, een echt schenking uit elkaar gegaan, maar we zijn wel hele sterke kennis partners van elkaar Nieuwegein en zij is de ja lijkenqua organisatie best wel veel op elkaar en ik zie dat dat nog steeds een nou heel waardevol is in in het samen ja kennis delen, maar ook potentieel samen projecten doen inkoop trajecten, lopen of samen misschien wel deelname en deelnemen aan VNG. Aanbestedingen. Nou, wat hebben we daar meer op één niveau hoger hebben we daar gedaan. We hebben een aantal processen, een aantal kernapplicaties vervangen. Belangrijkste is denk ik dat we de burgerzaken applicaties waar zowel de inwoners als de medewerkers en burgerzaken werken die is aanbesteed en we gaan. Begin volgend jaar eind dit jaar live met een compleet nieuwe omgeving. En daar zitten nou, dat is ook wel een hele stap voorwaarts in moderne software, waarbij ook de ambteloze processen. Volgens mij noemt PinkRoccade. Er zijn dus heel veel processen die digitaal volledig door de inwoners zelf gedaan kunnen worden zonder. Inmenging van een van een ambtenaar, 24 keer 7. Dat kan juridisch voor een deel al, maar de software moet het ook ondersteunen. Nogmaals, daar is het altijd een kanting bij. We moeten daar natuurlijk altijd weer kijken van is dat voor iedereen beschikbaar, maar dat we het kunnen aanbieden is, denk ik een hele gewoon mooie stap. En de software die we nu hebben wat ik ervan gezien heb. Ik zat zelf in de commissie, daar werd ik zelf al enthousiast van. Ik heb zit even naar mijn tijd te kijken. Een belangrijke opgave voor Zeist, is architectuur. Architectuur is eigenlijk vooral het in kaart brengen. Hoe werken die systemen, hoe hangen ze samen, zodat bij nou bij onderbrekingen, maar ook bij grote wijzigingen we ook weten wat de impact is? Dan zou je denken, nou, dat doen jullie toch al lang? Nou, dat kan al een stuk beter. Daar, daar zijn we nu afgelopen maanden mee bezig. De cyberweerbeid is een andere aanbesteding vanuit de VNG. Dat gaat daar zit, die zal. In december wordt daar waarschijnlijk een gunning voor. Bekend, daar zitten producten in, zoals Awareness, campagnes, pentesten, allerlei zaken waarmee we ook kunnen kijken. Nou ja, we hebben denk ik goed op orde, maar laten we het ook maar testen proof of the pudding is in de eating. Dan meer op het niveau van de medewerkers, maar ook naar de inwoners hebben we de privacy en digitale weerbaarheid dat zijn dus de daar zijn we natuurlijk altijd mee bezig overigens, maar onze eigen digitale weerbaarheid, hè? Ook onze de ambtenaren collega's nou herkennen wij phishing mails bijvoorbeeld herkennen we. En wat doen we dan volgens mij? Wat doen we daarmee? Het andere is AI nou, dat is natuurlijk het het buswoord van de afgelopen jaren. Daar zijn we als Zeist via gemeente Breda en de VNG zijn we bezig met een nou de experimenten media. We hebben eigenlijk aan de organisatie gevraagd. Wat denken jullie dat EI kan betekenen voor jouw werk? En er lopen nu op dit moment. Ik zit zelf in de AI Werkgroep 3. Ja experimenten eigenlijk waarin we vooral gaan kijken, hé, ik kan ja meerwaarde geven in bepaalde processen binnen de organisatie. Dus in die zin zoeken we voor het voor de oplossingen een probleem. Dat is niet altijd de goede volgorde, maar we gaan EI niet iets niet wegzetten als iets te doen, niet gevaarlijk, dat weten we niet. Het kan zijn dat de conclusie is dat we het er eigenlijk niet kunnen gebruiken of dat het niet toepasbaar is, maar dat daar komt waarschijnlijk nog een aparte sessie voor als moet ik. Nou heel mooi Mark om een verhaal. Het bruggetje naar veiligheid, want al deze dingen we zijn natuurlijk erg afhankelijk van informatieverziende ICT valt. Er staat toch wel met je de mate van veiligheid? Er is een hack op het datacenter, het datalek in de informatie of een onderbreking van processen door iets. Ja, dan komt het goede leven en zij is toch in de knel dus cyberveiligheid verzamelen term voor alles wat te maken hebben met veiligheid is wel dat moet op orde zijn. Mooi bruggetje naar mijn volgende spreker. Mark. Die gaat jullie verder meenemen op dat onderwerp. Ja één gemene goedenavond mijn naam is Mark Tissink, expert op het gebied van informatiebeveiliging, risicobeheersing en sinds nou bijna een jaar als extern CISO. Vergelijkend aan de FG die jullie misschien kennen verbonden aan deze gemeente, dus eigenlijk het stukje ja externe toezicht houden van hé, hoe gaat het nouqua informatieveiligheid? En ja. Het mooie en vervelende van mijn vak is. Er is altijd genoeg voorbeeld, deze slides heb ik een paar dagen geleden gemaakt, dus het is alweer wat verouderd nieuws. Maar. Natuurlijk kunnen we niet om die grote lek heen die hack bij ClinicalDiagnostics met al die BSN met medische gegevens persoonsgegevens waar een heel groot deel van het Nederlandse populatie in zit. En ook die partij die had de certificaten. Die had de certificeringen, die hadden controles, die hadden toetsing. En toch komt gebeuren. De details moeten nog bekend gemaakt worden. Maar dit is wel iets wat er is gebeurd met toch grote gevolgen. Misschien, dat zal moeten blijken hoe dat straks vergaat. Punt zelf al informatie ligt op straat. Een andere. Marechaussee accepteert door storing alleen nog contant geld voor nood paspoort. We zijn zo afhankelijk van ketens van leveranciers, want de marechaussee die heeft natuurlijk niet zelf een complete betaal pinautomaat. Straat die nemen ze in bij een leverancier en die hebben ook weer een onderdeel van een leverancier en weer van hun leverancier en die hele keten van leveranciers, het bedrijf en de klant die daar naar voren komen. Ja, hoe gaan we daar als? Bedrijven in het midden, in dit geval misschien onze gemeente hoe jullie gemeente moet ik zeggen? Hoe gaan we daar grip op houden? En ook en dat is natuurlijk een stuk verderop, maar. Ministerie van Defensie in Amerika, die heeft gewoon het ketenbeheer. Hoe ga ik om met de leveranciers als hun grootste risico betiteld? Even los van het feit OK, dan kan je dus alleen met contant geld. Hoe zou dat? Hoe zou het werken als de pinautomaat hier in het gemeentehuis niet werken? Wat voor maatregelen hebben ze allemaal bedacht? Of is dan dat de burger naar de pinautomaat moet om contanten betalen en nemen we eigenlijk nog contanten aan? Dus de hele ICT wereld is prachtig zolang het werkt, maar als het niet werkt. We hebben er dan over nagedacht wat we kunnen gaan doen om te zorgen dat het wel weer gaat werken. En wat doen we in de tussentijd? En dan komt het NCSC, het Nationaal Cybersecurity Center, ook een onderdeel van een VNG, dus gaat over de digitale veiligheid. En hij is niet van de VNG, dus komt vanuit de Nederlandse overheid. De informatiebeveiligingsdienst is onderdeel van de VNG, die geeft dus inderdaad adviezen die geeft inzichten en blijkbaar. Was er een of andere PDF editor. Om de chef je je bestand te kunnen bewerken? En daar zat dus die anti die die malware in. Ja, hebben we dat draaien, hoe gaan we daarmee om? Wat moeten we nu doen? Moeten we nu werk stopzetten? Al dat soort vragen zijn dan op dat moment dat zoiets naar boven komt. Onderwerpen waar dus de organisatie mee belast wordt. En ik had zo nog 15 andere onderwerpen kunnen pakken. Software kwetsbaarheden die zijn alledag en elke keer vinden we weer nieuwe software kwetsbaarheden waar we dus ook weer wat mee moeten. Dus ik denk ook dat een heel slim idee is dat zeker voor de onderdelen waar de gemeente zich echt niet zelf onderscheidend in is, dat wel bij een partij leggen die daarin gespecialiseerd is en daar zoals Mark ook zei regie op houden. Nog zon ander onderwerp. En die vind ik wel heel spannend, die veel meer uitzoomt. De big tech en dan hebben we het ook over data soevereiniteit. Oftewel, waar staat mijn data? Die kan bij mijn data. En dat vind ik ook heel tof dat deze gemeente voor niet voor heeft gekozen. Nou weet je, we zetten het lekker bij Microsoft hier in het datacenter in Frankfurt of in in Londen of in Amsterdam. Amsterdam. Wetende dat er nog steeds wet en regelgeving is vanuit Amerika dat ze erbij kunnen. Ze als zijnde Amerikaanse overheid met de juiste vragen met de juiste verzoeken is dat gewoon technisch mogelijk en daar worden nu ook weer rechtszaken tegenaan gespannen. En, dit maakt het allemaal niet veel makkelijker. En dan komt er weer een nieuwe kwetsbaarheid en weer een nieuwe kwetsbaarheid en zo kunnen we door blijven gaan. Even kijken. Ja, dit is welgeteld toch wel over 3 dagen verspreid dit nieuws en elke dag komt er weer zo'n nieuwe lijst met allerlei zaken waar wat mis mee is. En ik vind het nog steeds bijzonder dat. Alles wat we vandaag de dag hebben gebouwd als mensheid in de digitale systemen dat er toch over het algemeen goed werkt. Over het algemeen doet alles het en blijft alles werken. Totdat niet meer werkt. En dan zien we dus in ene de hele maatschappij horten tot stilstand komen. Waarbij we gaan kijken, ja en nu. En hopelijk heeft de organisatie er wel eens over nagedacht. OK, dit kan gebeuren. Oh, dan doen we dit. Dan doen we dat en we krijgen het weer aan de gang. En ondertussen kunnen we ook nog de diensten blijven leveren die wij moeten leveren. Dat is dus inderdaad het onderwerp van BCM business continuity management. Namelijk. Hoe kunnen we bedrijven door laten gaan als de systemen stoppen? Nee, daar moeten we wel over nadenken. En gelukkig. We hebben dus net kwam even de NCSC langs Nationaal Cybersecurity Center. We hebben ook de NCTV Nationaal Coördinator voor Terrorisme en Veiligheid. En die geven gewoon hele duidelijke uitdagingen. Want en dat horen we ook gelukkig vaak genoeg die toenemende en veranderende dreiging op de vitale infrastructuur. Als Zeist aangevallen zou worden, is natuurlijk vraag één is, is dat vanwege zo'n toenemende dreiging? Of, is dat gewoon een malafide bende die. Ja toevallig toevallig dit bedrijf langs ging is een gerichte aanval. Met hoog geavanceerde technologie om in te breken koste wat kost willen, wat willen en willen we binnenkomen of is het? Ja, dit lag toevallig voor het oprapen. We pakken deze. Zal maken met OK, wat moeten we daaraan doen? Ik kom zo gelukkig met ook eenantwoord, veel gaat al wel goed. Hetzelfde ook. Die van naar de wereldorde die we ook elke dag in het nieuws lezen ook hier. Ja, de data soevereiniteit, waar staat mijn data van wie is? Mijn data? Is een heel belangrijk vraagstuk. Zijn wij nog steeds in het controle over alle gegevens die wij hebben weten dat wij als gemeente. Die die belangrijke basisregistraties met personen met gebouwen dat wij die moeten, die moeten wij beveiligen. Dat is, dat is de kern van wat wij hier te digitaal te bieden hebben. Even los van alle processen die we natuurlijk ook moeten leveren. En, het wordt alleen maar erger. Maar ik heb ik heb geleerd. Biedt ook nieuwe kansen. Ik hoop dat de burgerbalie hierop voorbereid is. Als er straks veel meer. Burgers langskomen omdat ze een nieuw paspoort of ID kaart willen hebben. Dat is een data uitgelekt is en we inderdaad gaan werken met het vernieuwen van een een identiteitsbewijs. Goed, dit even het stukje van mij als expert beschouwende wereld. Ik heb begin vorig. Begin dit jaar heb ik ook mijn beeld gedeeld. Ik heb gesprekken gehouden in de organisatie. Ik heb gezien wat er aanwezig is. Hoe zit in tijd? Zal ik maar even een heel stukje hierover mogen vertellen over. Hoe gaat het nou binnen? Zeist ja hoor. Oh, sorry, ik ben Robert Lee strategisch adviseur en ja, bent een beetje opgeknipt. Ik mijn bijdrage vanavond is om iets te vertellen over wat zijn jullie eigenlijk allemaal aan het doen binnen Zeist, hoe gaat het met ons en ik? Ik doe even een algemene introductie en dan komt Mark weer aan bod, want. Oh, nee, dat is het nog van jou. Nee, dat is toch voor jou, Mark? Dus dat dat dreigingsbeeld en daar worden ook inderdaad door verschillende bedrijven ook allerlei stukken over geschreven hier ook weer naar het cybersecuritybeeld. Grootschalige uitval het is ook. Het is belangrijk, er is, het is zo dubbel enerzijds. Er is heel veel bangmakerij van stel, het gaat fout en wat gaan we dan doen? En het kan groot uitvallen en het kan catastrofaal zijn en we hebben criminele actoren en we zijn veel boeven. En tegelijkertijd biedt die hele digitalisering ook ons zoveel mogelijkheden. Kijk wat we vandaag de dag allemaal kunnen doen. Kijk wat we 3 jaar geleden tijdens het hij is van de corona pandemie. Hoe we als maatschappij toch wel draaiende konden blijven met alle digitale technologie die we hebben. Kijk het gemak van AI vandaag de dag. Twee analogieën s ochtends deed ik een lezing bij KPN. Ik heb gehoord. Ze hebben afgelopen jaar ruim 202 150 EI specialisten in in dienst genomen om daar dienstverlening op te bouwen. Aan de andere kant, ik zal met mijn dochtertje die is bijna 5. Ik had ooit mooie beeldje uit India meegenomen. Ik had een foto van gemaakt, geüpload naar ChatGPT. Een vraag, wat zijn deze beeldjes? En vertel even wat erbij krijg ik netjes in zo'n stukje uitleg over wie die goden zijn, waar waar ze voor staan en hoe ze hoe je ze kan gebruiken in je leven prachtig. Ik was naar vliegtickets aan het kijken en ik vraag denk mee als een denk mee als een specialist, waar moet ik aan denken voor de de beste prijs? Je kan die dingen voor zoveel inzetten en dat is natuurlijk het probleem met de digitale technologie. Je kan ze voorgoed en voor kwaad inzetten. En dan is dus ook tegelijk weer de vraag hoe digiefaardig en daarmee uiteindelijk digi veilig zijn wij als maatschappij? En dan de vraag van mij erachter, zou ik van ja welke rol vervullen we daarin als gemeente? Of als, werkgever. En die brede manier van die digitale dreigingen. Daaraan wat te doen? En er zit zoveel concentratierisico op die grote bedrijven, een Google, een Microsoft.

Die zon gigantische hap in die markt hebben. Kunnen we er omheen? Ja of nee? Het is lastig. Het is ontzettend lastig en hetzelfde geldt ook met netwerken. Hetzelfde geldt ook met smartphones. Je hebt twee merken of ja, je hebt Android of je hebt iPhone en Android heb je allerlei leveranciers of je hebt Apple. Welke pakken we, welke doen we en hoe kunnen we daar ons voldoende veiliger mee maken? Hoe zorgen we er dus voor die goede cyberveiligheid? Want die veiligheid blijft essentieel. Wij moeten ervoor zorgen dat wij beschikbaar blijven. Dat is verbonden met de nationale veiligheid, aldus het NCSC. En ook daar komt weer vervolgd. Rijningsbeeld op, het wordt alleen maar complexer. We doen alleen maar meer moeilijke dingen. En laat ik wel wezen, informatiebeveiliging en zelfs privacy. Het is niet gewezen veranderd de afgelopen 50 jaar. De basiseisen en wensen wat we in informatiebeveiliging, cyber en privacy willen, is nog steeds hetzelfde. Alleen vandaag de dag moeten we dat op zo'n complex digitaal landschap proberen te plotten. Waarbij we heel veel verbindingen hebben, liggen internetverbindingen met applicaties die dan weer data naar andere applicaties zetten die weer koppelen aan dit en weer koppelen aan dat en dat complexe ecosysteem moeten we zorgen. Twenty Four Seven dat het beschikbaar blijft. En daar slagen we toch best wel heel erg goed in elke keer. En, dat wordt niet makkelijker. Is dit stukje dat jij wat over de agenda wil vertellen? OK. Dus de VNG heeft onlangs ook de digitale veiligheidsagenda 2028 gepubliceerd, met daarin een heel aantal concrete stappen, waarbij ja de digitale veiligheid gewoon de gedragsnorm de norm is in gemeentes. Of. Zoals Esther van de VNG dat zegt, digitale veiligheid is onze nieuwe norm. Met deze ambitieuze agenda willen we niet alleen inspelen op de nieuwe technische ontwikkelingen zoals AI en ik durf er ook nog wel achter zetten en cloud. Maar ook inzetten op de digitale weerbaarheid van de samenleving. De veilige gemeentelijke dienstverlening. Alleen door krachten te bundelen en kennis te delen, kunnen we een robuuste digitale infrastructuur opbouwen die bestand is tegen de uitdagingen van morgen. Niet dat als er één keer zo'n stukje ransomware langskomt. Dat de hele organisatie plat ligt en dan kunnen we natuurlijk zeggen. Goede medewerker, foei burger je had niet op dat linkje mogen klikken. Maar het is ook het linkje en de mail en de vervolgstap en het landschap. Het is niet alleen dat ene linkje. Er zijn nog veel meer plekken. Is er een fout gemaakt waardoor dit heeft kunnen ontstaan en. Ook hier, meneer de voorzitter gaf dat inderdaad aan einde aan de ICT. Versnippering vanuit het VNG Magazine van vandaag zelfs waar, waar zij ook inderdaad aangeven. Ja, leveranciersmanagement één inkoop, driehonderdtweeënveertig gemeentes onderhandelen apart. En natuurlijk. Gemeentes hebben hun lokale verschillen en hun. Lokale unieke kleur. Maar op techniek niveau voor basisniveau. Is het min of meer hetzelfde en zijn er slechts paar accentverschillen. De digitale veiligheid, zoals ik net ook benoemde. Gemeenschappelijke die alarmsysteem waar Mark het net over had, informatiebeveiligingsdienst die daar oplossingen voor biedt oefenen. We vinden het nog steeds heel normaal dat er een BHV ontruiming is dat we allemaal op een. Altijd niet goed uitkomen. Moment het pand uit moeten, maar als ze zeggen, nou, laten we even kijken hoe we de IT kunnen ontruimen of dat allemaal goed veilig gaat en alles weer veilig kunnen krijgen. Ja, maar dat komt niet uit. En zoals ik al noemde de cloud en digitale afhankelijkheid. De Europese alternatieven voor Amerikaanse tech giganten. Ook dat is een onderwerp. Niet zozeer hoor ik hem terug in de Nederlandse politiek, maar zeker wel op het Europese speelveld. Dus ik heb wel hoop voor de toekomst. Ik zie dat. Misschien wel vanwege de perikelen in Amerika er wel een soort van trend op gang aan het komen is dat we gaan zorgen voor die kwaliteit voor die beheersing. Met hoofdthema's. Waarbij de arbeidskrapte niet heel handig is. Ook ik sta hier als een externe te vertellen. En zo zit er al nog meer inderdaad op externe externe plekken. En, dat is niet alleen deze organisatie, dit hoor ik terug in heel veel organisaties overal zijn uitdagingen krijgen we de goede mensen in huis kunnen goede mensen hebben. Wat het ook weer niet makkelijker maakt. Goed, de lokale situatie, hoe doen we het? In Zeist? Hebben we het op orde. Dat is een stukje waar ik dit is. Jouw stukje, hè, ik wou zeggen. Ik was eventjes weg. Excuses? Inderdaad Robert Lee, ik ben satés adviseur, informatieveiligheid en ik ja, mijn bijdrage is vanavond me iets vertellen van. Hoe doen we het in Zeist? Wat doen we in Zeist? En ik denk dat jullie dat wel graag willen weten van hoe doen we dat nou? In Zeist doen we het goed, doen we het slecht, zijn we helemaal veilig of moeten we ons zorgen maken? En ik wilde eigenlijk de opmerking bij maken van. Ja dat we het nooit 100% waterdicht kunnen maken. Ik weet nog, het is vandaag nine eleven dat ik 20 jaar geleden bij Schiphol werkte en was net na nine eleven. Beveiliging was ver twintigvoudigd uitgaven aan beveiliging skyhal en dan alsnog kwam er een journalist de het vliegtuig binnen van het Koninklijk Huis. Schiphol is zo lek als een mandje en nou daarna diezelfde avond stonden onze directeur. Aan tafel bij de praatprogramma en toen begon het verhaal van je krijgt de beveiliging nooit 100% veilig en is het dialoog ontstaan. Beveiliging is van ons allemaal en vanaf dat moment zijn we van piloot tot schoonmaker van iedereen die eigenlijk op de luchthaven werkt, is het besef van veiligheid toen nog in het kader van terrorismebestrijding? Is men heel serieus gaan nemen. Terug naar Zeist van, hoe doen we het nou in Zeist? Doen we het nou goed of slecht? Nou, we kunnen het nooit helemaal goed doen. De vraag is niet. Of het gaat gebeuren, maar vooral wanneer. We kunnen ons vooral heel goed voorbereiden en beschermen en ook meten. We kunnen gaan kijken door onafhankelijke experts van hoe doen we het nou eigenlijk? En dat is. Ook gebeurd twee jaar geleden is ook vanuit de Rekenkamer. Willen jullie als Raad ook een rol in? Hebben we gespeeld een onafhankelijk onderzoek geweest. Uitkomst was voldoende, maar ga vaker met elkaar in gesprek en informeer elkaar over het onderwerp. Informatieveiligheid bij deze. Nou verder worden we ook jaarlijks gehouden aan zogenaamd n CIA onderzoek. Daar krijgen jullie ook de resultaten van ntsia onderzoek is een een verplichting om te kijken of we voldoen aan de beveiligingsnormen. Kunnen we daarna nog hè? Als als we daaraan voldoen mogen we weer gebruik maken van diensten zoals DigiD die we keihard nodig. Nou, we hebben twee jaar geleden ook een verslag, een jaarverslag van onze functionaris gegevensbescherming gehad. Ook die heeft geconstateerd, is voldoende, maar er is ruimte voor verbetering en inmiddels zitten we in de stijgende lijn en zoals Mark net al aangaf hebben we ook dit jaar. Een jaarverslag voor het eerst opgesteld voor de informatieveiligheid, Mark kwam als nieuw onafhankelijk chisal en heeft zij bevindingen. Opgeschreven en ook met jullie gedeeld in juni is die geloof ik langs geweest in de Raad en dan gaat hij nu kort iets over vertellen. Ja. Mijn rapportage. Dat was inderdaad een. Een spannende. En, het is ook wederom weer heel dubbel, want en hij gaat ook komend jaar weer komen. Van ja, hoe doen we het nou eigenlijk als? Hoe doet gemeenten? Zij zijn het eigenlijk als ik dan kijk naar de organisatie, de gesprekken hou, zie wat er gebeurt. De belangrijkste resultaten delen. Ja de basis is er echt wel. De organisatie doet goed haar best voldoende in controle te zijn. Het zou misschien niet allemaal op papier, maar de wil en de wens is er ook. En wat ik overal terughoor en nou niet eens terug hoor. Troostee is de mens kant. De mensen die. Net dat tandje extra lopen. De mensen die zorgen dat het gewoon goed op orde is die het goede willen doen. En, dat vind ik een hele fijne. Dat is ook inderdaad het begin gesprek toen ik werd gevraagd voor deze eigenlijk externe onafhankelijke rol, wil jij dat doen? Ik zeg. Ik heb druk zat en ik zie hier wel bepaalde zaken in Zeist gebeuren. Ik denk ja, hier wil ik wel onderdeel van zijn. Ik zie hier wel mooie mooie dingen gebeuren. Ik zie het goede hier gebeuren. Het rapportcijfer op dit moment is in het afgerond. Een 5,5 en ik gun jullie echt dat? Dat gaat de komende jaren naar een 7,5 en 8. En wat ik zie, want dit is dan vind 2024 ik zie al wel met de initiatieven die er genomen worden met de activiteiten die ontplooid worden. Ook hier zie ik die stijgende lijn. En, het zit hem ook heel veel in. Hetgene wat we doen goed laten zien. Die basis is er echt wel en hierop deed op op op cijfer niveau kan ik het allemaal duiden. En ik geloof ook best wel. Aansluiten wat Robert zei niet of maar wanneer als er een incident is als er een crisis is met de mensen die er zijn. Het zou natuurlijk altijd moeten blijken hoe wat voor een crisis is, hoe dat gaat zijn. De wil is er om dat soort problemen op te lossen, net als het tandje extra te lopen en dat vind ik goed om te zien. En tegelijkertijd mag het beter. Moet het beter. En, dat is ook waar, wat er gebeurt er is. Vanuit managementdirectie veel meer ingezet op dat bovenste stuk en dan hebben we het over de GRSC, de governance die is waarvoor verantwoordelijk en hoe we de besluiten genomen in de organisatie. Risicobeheersing namelijk als we naar buiten kijken, wat kan er allemaal fout gaan? En, wie is er dan van? En de Compliance and compliance is niks anders dan we hebben wetten regels kunnen wij ook laten zien dat wij voldoen aan die wet en regels. En al die technische maatregelen die eronder zitten. In basis zijn ze gewoon aanwezig en die worden ook afgetoetst bij zon en n CIA, de eenduidig normatiek single information audit. Ik heb een hekel aan afkorting. Ik wil ze uit tot uitspreken. Dus dat stelsel van die controles ook daar de de basis, is gewoon goed aanwezig. En we gaan verder. Dus mijn advies is inderdaad, we zijn met de juiste zaken bezig. En, er wordt gewerkt ook dat die bedrijfscontinuïteit, die business continuity management, dat programma GRC. Die krijgt de juiste lading. Die gaat de juiste invulling geven en daarmee dus die betere beheersing van de organisatie als geheel. Met de details. Nou, dan mag ik iets vertellen over, mag ik iets vertellen over de dagelijkse praktijk? En ja. Kunnen het heel breed houden waar we allemaal aan het doen zijn. We hebben een selectie gekozen. Als je mij vraagt van wat zijn we allemaal aan het doen, dan zou ik toch denken al snel aan het woord zijn we weerbaarheid. We werken aan onze ja gezondheid. Om ons te beschermen tegen allemaal nare dingen die kunnen gebeuren. Maar ook als er iets gebeurt, dan zijn we. En dan moeten we in staat zijn om snel weer. Terug te komen naar een situatie die wel veilig is, dus. Ja, zij hebben weerbaarheid en dat kun je onderscheiden naar verschillende onderdelen, dus allereerst techniek in de organisatie naar markt. Die vertelde net al dat we bezig zijn met het verbeteren van onze monitoring en control. Er zijn allemaal slimme systemen die in de gaten houden of er wel of niet gehackt wordt en. Ja dat daar direct op kan worden ingegrepen. Wat maakt net ook vertelde, was ons samenwerken met de VNG. We hebben samen. Nu werken we aan een cyberweerbaarheid pakket aan diensten. En dat gaat per 1 november. Is, dat is dat is dat gereed. Verder kijken we naar digitale veiligheid in volle breedte integraal. Je ziet steeds vaker dat ook in principe domein in in in. Bruggen in stoplichten dat dat eigenlijk overal ja, ICT digitale systemen zitten en ook verbonden zijn aan netwerken. En dat vinden zeker de Russen interessant. Dus ook ook daar zijn we bezig met het in kaart brengen van van waar we. Mogelijk risico's lopen. We zijn ook de kritieke processen in kaart aan het brengen en. Met continuïteitsplannen wat Mark net ook ook noemde. Een ander belangrijk punt is de mens kant, de mens is toch? 80%, blijkt uit onderzoek. Ja, de reden dat er veiligheids incidenten plaatsvinden, dus we zijn ook bezig om het gesprek te gaan met ja, eigenlijk alle alle stakeholders die relevant zijn voor cyberveiligheid en we zijn bezig met een programma voor bewustwording en we hebben al voor onze medewerkers bij de onboarding bijvoorbeeld al. Het één en ander een e learning. Maar juist omdat dit? Eigenlijk bij elke organisatie wel één van de zwakkere punten is, willen we hier sterker op in gaan zetten. Nou verder volgen we de adviezen op van nou de diverse onafhankelijke controleurs, zoals de FG en en de sisal. Er gaat een project governance risico's en compliance gaat. Er gaat er lopen. Wat is dat nou? Het is een hele mond vol met wormen. Eigenlijk komt het erop neer dat je het kunt vergelijken met je verdediging inrichten volgens 3 lijnen volgens 3 verdedigingslinies. Het is het 3 Lines of Defence model wordt ook veel toegepast in de finance wereld om risico's te kunnen managen. En ja, je kunt het verbeelden als de eerste lijn de dat dat dat zijn de managers, de medewerkers dat zijn. Degene die dagelijks. De risicos eigenlijk als eerste ervaren en daar ook tegen moeten optreden. Een goede eerste lijn inrichten is is heel belangrijk en daar helpt dan de tweede lijn bij en de tweede lijn. Dat zijn de adviseurs die ze helpen om, zeg maar die dijk te versterken en dat zijn wij bijvoorbeeld, maar dat kunnen we dus niet alleen iedereen heeft daar zijn verantwoordelijkheid en zijn rol in. Dus. Dat is de tweede lijn en de derde lijn. Daar kiezen we ook bewust voor om de rol van de Functionaris gegevensbescherming. Maar ook de siso om die een onafhankelijke te laten zijn, zodat die als derde lijn kan toetsen of op de eerste lijn en het tweede lijn eigenlijk wel goed bezig zijn. En dan heb je dus 3 lijnen, 3 verdedigingslinie 3 Lijnes of Defense waar de gemeenteraad eigenlijk ja zal zijn rol heeft daarboven om ja een controlerende taak goed te kunnen uitvoeren. En ja, uiteindelijk willen we gewoon geen natte voeten hebben hier. Dus ik hoop dat dat een beetje inzicht geeft in hoe we in de organisatie de de, de interne Controls, de rollen verantwoordelijkheden en de eigenschap. Eigenaarschap. Ja, het komende jaar steviger gaan vastleggen. Nou en dan het laatste. We zijn ook volop bezig met het voorbereiden en invulling geven van de cyberbeveiligingswet en was ik toch even benieuwd? Wie heeft daar al eerder van gehoord? Binnen. Is is is het is het nieuw. Want er komt wetgeving aan. En ja, als het kabinet niet was gevallen, dan hadden we over een paar maanden misschien al wel een nieuwe wet. En ja, wat wat wat houdt die wet dan in die wet heeft rechten en plichten. Er zijn rechten zoals hulp bij ondersteuning bij bij incidenten die hebben we nog steeds, ook al is de wet niet ingegaan. Maar er is ook een zorgplicht. We moeten onze spullen goed voor mekaar hebben. Het is een meldplicht. We zijn verplicht als er ergens een lekje is om daar gewoon open over te zijn, zodat het daar ook adequaat op kunnen optreden. Er is een registratieplicht. Alle incidenten moeten we registreren. Lijkt misschien een beetje op wat we doen met datalekken, maar het wordt nu ook echt in de wet verankerd. Kijk je naar gegevensbescherming dat dat zit al in de wet is de AVG. Daar worden we ook op toegezien door de Autoriteit persoonsgegevensgegevens. En ook voor de zij beveiligingswet komt er een toezicht organisatie, dus het virus toezicht. En ja, die kan handhaven. Die kan kijken of we het goed doen. Die kan ook boetes uitdelen. En ja, dat heeft ook gevolgen voor bestuur en organisatie. Wilden we niet helemaal op ingaan, maar ik wilde wel ook meegeven dat dat dat de wetgeving aan zit te komen. Wat de verantwoordelijkheid voor het bestuur, het gemeentebestuur. Namelijk college, maar ook de rol van de Raad is daarin van belang. Ja eigenlijk veel strakker in de wet gaat, gaat regelen en en organiseren. Dat was eigenlijk in het kort waar we ongeveer mee bezig zijn. Zijn er misschien nog vragen voor mij of voor de andere sprekers? Aan wie aan net Annet Ploeg als eerste en daarna GroenLinks. Mevrouw Ploeg, ja, dank u wel Voorzitter. Bij de control in het jaarverslag, hè? Wat wat u vertelde? Daar gaf u aan dat het in de basis oké was. Maar zoals bij risicomanagement stond een 4,5. Kunt u dat vertellen wat de aanbevelingen daarvoor zijn? Ja zeker weten, dat begint met destijds. Laten we terug in 24. Heel praktisch. Daar lag een prachtig stuk risicomanagementbeleid met een proces. Hoe gaan wij risicomanagement doen? Letterlijk dat beleid gaan implementeren, die processen gaan voeren en daarmee dus organisatie breed en centraal risico blik krijgen op een aantal gebieden en zeker bij controle leeft al wel een manier van risicoanalyse. Ook in het kader van de jaarrekening worden risico's geanalyseerd, ook bij digitale veiligheidsrisico's alleen. Het staat in verschillende stadia van volwassenheid en het is verspreid over de organisatie en dat moet meer bij elkaar gebracht worden met stuk eigenaarschap. Wie is nou van het risico en wat gaan we eraan doen? Laten we denken aan risicomanagement vinden we het risico OK of is dat risico te groot? Moeten we dat risico gaan verzekeren? Moeten we met een leverancier op gaan trekken. Moeten we maatregelen gaan nemen? Indien mogelijk vaak niet moeten we ermee stoppen of. Zeggen we nou dit risico? Ja, eigenlijk, eigenlijk zijn we wel gewoon comfortabel mee en wij gaan bewust dit risico aan en dan ga je dus van een stukje onbewustheid. Ga je naar veel meer bewust risico voeren en daarmee weten we dus, hé dit Dit is waar we mee te dealen kunnen hebben en daar zijn we content mee. Geeft dat voldoendeantwoord, ja, dank u wel alsjeblieft. En bij de datalek bijvoorbeeld van het laboratorium zag je dat er heel veel gegevens van in van burgers op straat lagen. In hoeverre doen we als een check of het minimale vragen van inwoners aan informatie? Het valt me wel eens op als je al heel snel een invulveld in moet vullen hè, ben je één of het ander je e mail is sowieso logisch, want anders kun je je communiceren, maar men vraagt toch eigenlijk standaard je telefoonnummer, want anders komt je invult veld niet eens verder terwijl ik nooit teruggebeld wordt door een ambtenaar of zo. Dus in hoeverre checken we of alleen maar het minimum opslaan? Dat doen we beperkt als ik kijk nu naar hoe we dat doen, dan zien we dat we vooral vanuit de dienstverlening denk en kijk, hoe kunnen we zo goed mogelijk die inwoner helpen op dat moment en nog onvoldoende eigenlijk die risico's soms aan de achterkant in beeld hebben van hé, maar is dat echt wel allemaal nodig? Misschien is het voor de dienstverlening we goed, maar moeten we het dan nog steeds weer, omdat het wel risico's met zich meebrengt, of moet er misschien net iets minder dienstverlenings voor bieden, omdat het risico met ze meebrengt? Dat is precies het spanningsveld waar waar we in zitten en dat doen we nog te beperkt op dit moment. Dankjewel, meneer van Nieuwstadt. Dank je wel. Ik zag die cijfers en als oud docent word ik dan toch een beetje nerveus. Ik ga ervan uit dat die 5,5 uitgedeeld is op een schaal van één tot 10 en niet op één tot 6 dat. Dat is juist OK, dan wordt het nog nerveuzer. Dan is de vraag hoe, hoe scoren we daar mee als je kijkt naar het land is er een benchmark. Is er een gemiddelde, zijn wij een bovengemiddelde of een ondergemiddelde of gewoon een slechte gemeente? Hoe scoren wij ten opzichte van de rest? En dus hoe scoren wij in de interessesfeer van de Russen? Ik begin even met het laatste deel van de vraag dat suggereert inderdaad dat de Russen. Heel specifiek. Dan zouden we gaan kijken? Als de de het ons normale alfabet al zouden kunnen lezen. Geen idee waarschijnlijk wel. Dat kunnen ze wel. Van alle gemeentes die er zijn, dan zouden ze. Onderaan beginnen dat ze Zeist waarschijnlijk als één van de eerste tegenkomen. Ik heb geen idee waarom de Russen dan specifiek voor Zeist zouden kiezen in plaats van een Amsterdam of een Rotterdam of. Gemeente geen idee. Dus ik ik daar begint het al van en of ze dan bij een gemeente gaan kijken of gewoon gelijk bij een complete rijksoverheid om misschien nog interessanter bij een drinkwaterbedrijf of een energiebedrijf? Nee, wacht even. Hier gaat nu een andere vraag beantwoorden, maar dat dat dat was de laatste vraag die 5,5 daar wou ik zeker op terugkomen. Is tegelijkertijd ook, maar dat is weer de gedachte terug aan mijn schoolcarrière. Nou is afgerond 1 6 is net aan een hele krap voldoende. Hakken over de sloot. Ja, nou heb ik altijd tegen mijn studenten gezegd, zou jij naar een huisarts gaan die al zijn vakken met een 5,5 gehaald heeft? Hetantwoord is nee, wat ik eigenlijk bedoel te zeggen is, je geeft ons een rapportcijfer dat rapportcijfer voelt slecht en dat rapportcijfer is ook openbaar. Ja. Dus als ik een Rus was en ik kan Nederlands lezen en de boefjes kunnen dat, dan kijkt hij naar de zwakste schakel in de keten. Waar kan ik het makkelijkst? Mijn data tevoorschijn peuteren zijn ze uit op data of op geld. Op data want dat levert geld op. Maar hoe? Hoe moet ik dan dat dat cijfer zien en wat moeten wij doen? Jij zegt je gunt ons een 7,5, dat vind ik nog steeds niet zo best, maar helemaal prima. Wat moet er dan gebeuren om bij die 7,5 te komen? Want daar gaan wij als Raad waarschijnlijk ook over. Dat kan zo plat zijn als geld. Maar dan hoor ik het ook graag. Uiteindelijk. Zal dat ongetwijfeld geld zijn, maar dat zit hem dan later meer in het feit dat we in organisatie meer controles gaan implementeren. Meer zaken gaan toetsen, een rapportage intern opleveren. Heel simpel dit zijn. We hebben vijfhonderdtal applicaties. Wie hebben er toegang tot welke applicatie en is dat terecht? Dat worden dus overzichten waar een manager of een leidinggevende naar moet kijken. Vind ik het inderdaad terecht dat al deze mensen toegang zouden moeten hebben tot deze applicatie? We hebben hier bestanden staan, we mogen die bestanden daar staan. Of moet iemand dat gaan opruimen en we gaan zaken archiveren? Hoe gaan we dat archiveren? Dus het is. Eigenlijk precies hetzelfde wat we nu aan het doen zijn alleen dan net even die extra stap. Voor de borging van de kwaliteit voor de borging van privacy, voor de borging van informatieveiligheid. Nou zijn wij een rijke gemeente, hè? Dat is ook geen geheim, maar op een gegeven moment is de portemonnee leeg. Dus dan moet je inzetten op wat het meest efficiënt is en ik hoor één van jullie zeggen, de mens is meestal de zwakste schakel. Is er dan ook een prioritering in hoe jullie daar naartoe gaan om bij die 7,5 te komen? Nou, dat dat is niet mijn uitspraak en ik zal ik ben zelf probeer ik altijd laatste zijn die die uitspraak kon maken. Ik zou het liefst willen dat de mens de laatste schakel is in een sterke keten, dus als processen falen. Als de techniek faalt. Hopelijk is er dan nog de mens. Die. Iets kan voorkomen die je nog kan interveniëren voordat het echt fout gaat en dat dat raakt voor mij ook weer aan het aan uw vraag van die medewerker die op het verkeerde linkje klikt voor je medewerker. Dat mag niet. Nee, dat kan gebeuren ik met al mijn kennis ook over cyber en digitale veiligheid. Kan ook in het juiste bericht op juiste tijd met de juiste boodschap. Ook op klikken. De vraag is alleen, hoe gaan we dat technisch zo doen dat als we dat linkje geklikt wordt dat het niet gaat leiden tot een kleine dan wel grote verstoring? En dat zijn dan weer die technische maatregelen. Dat is de verdere verankering van kwaliteit in processen. Dat is een extra 4 ogencontrole. Ik kan wel een betaling klaarzetten, maar er zijn nog twee extra die hem goed moeten keuren in de financiële wereld en in de in de financiële afdelingen is dat heel normaal, maar voor een bepaalde. Wijziging of een hoog kritische handeling van een van een beheerder of van een medewerker in het ambtelijk proces? Ja, worden altijd wel heel moeilijk geschat en heel moeilijk geacht. Dus ook die. Die die mindset, die die kwaliteit stap dat dus inderdaad sommige dingen net wat langer duren omdat we even stil moeten staan of net op een andere manier moeten doen die nou ja, als je plat zou zeggen, iets omslachtiger is maar wel veiliger. Dat moet inderdaad die mindset moet gewoon worden en hoeveel dat gaat kosten? Hoeveel extra minuten? Kwartieren of uren dat gaat kosten. Dat zal in de loop van de tijd moeten blijken. En dan hoeveel we daar weer van kunnen automatiseren. Maar dat is een, dat is dat is. Digitalisering, informatieveiligheid, privacy. Het zijn geen dingen die ooit klaar zijn. Het is altijd iets waar we mee bezig zou moeten blijven. Onze binnenwereld verandert ons IT landschap, ons processenlandschap verandert. De buitenwereld, verandert de dreigingen, de de leveranciers, de kwetsbaarheden. En daarin moeten we kijken, hé, hoe kunnen we dit goed en kwalitatief en veilig genoeg maken? Vandaar dat ik jullie ook geen team gun, want dan zouden we echt veel te veel hebben gedaan. Naar welke gemeente gaan wij samen kijken om daar het goede voorbeeld op te halen? Komt de wethouder zo op terug, maar die wilde nog een aanvulling geven. Maar ik heb een vraag, Roel jij vroeg toch ook? Hoe scoren wij met die 5,5 in het totaal van die 346 gemeentes? Gaat de wethouder antwoord op geven, OK? Wethouder eerst of mevrouw Perenboom eerst. Over hetzelfde of over een ander onderwerp? Ja pak je het op Walter? Ja graag, wethouder van de nee, misschien Robert kan slide 12 nog even op het scherm. Dat is het rapportcijfer, maar dan dan uitgewerkt, misschien wel goed om. In ieder geval te benoemen dat, zeg maar het oordeel wat u meneer van Nieuwstadt geeft aan dat rapportcijfer dat ik dat wil onderschrijven, zodat ik daar net zozeer van van schrik van de 5,5 is, gewoon niet. Zit ie er niet in. Ik bedoel gewoon het lijstje met rapportcijfers. Die bedoel ik ja, dankjewel. Dus dus, dus dat is zo tegelijkertijd als je erop inzoomt krijg je dit hè? Dus dat paarse blokje rechts onderin nou mevrouw Ploeg gaf al aan risicomanagement, hoe zit dat? Dat zit overigens best wel goed als het gaat om ons reguliere risicomanagement doen we twee keer per jaar. Althans doen we vaker, maar laten we het twee keer per jaar aan de Raad zien, maar dat gaat met name over de vraag, waar zie je financiële risico's? En die zitten ook in belangrijke mate bij IV. Maar Marco van Laan over wat voor risico's het hier gaat nou, de methodiek is vergelijkbaar. Je probeert te kijken waar zouden risico's kunnen ontstaan en alleen al al die voorbeelden uit het begin van Marx en presentatie maken duidelijk, hè? Er zijn ook heel veel gemeenten bijvoorbeeld getroffen door incidenten de afgelopen jaren. Nou, iedere keer dat de gemeente tegen zoiets aanloopt, een gemeente proberen wij te kijken van in welke mate zouden wij daardoor geraakt kunnen worden. Daar speelt de IBD informatiebeveiligingsdienst een belangrijke rol in die noemde jij ook al is onderdeel van de VNG. Die waarschuwt ons zo proactief mogelijk voor kwetsbaarheden. De IBD heeft ook een goed beeld over hoe gemeenten ervoor staan, kan dus ook inschatten hoe Zeist er voor staat ten opzichte van andere gemeentes. Ik zit in de adviesraad van de IBD, dus ik zie al die informatie wat de IBD over het ook doet, is gemeenten met elkaar in contact brengen? Wij zijn gekoppeld aan de gemeente veren in Zeeland. Geen idee waarom, maar daar wisselen we mee uit hoe zij het doen, hoe wij het doen en wat we van van elkaar kunnen leren. En dat heeft het een en ander opgeleverd en zo doen gemeentes dat door heel Nederland. Dan zou ik wel durven zeggen dat we het als Zeist, ondanks dat het maar een 5,5 is. Met de ambitie natuurlijk om daarin omhoog te groeien en dat kan ook echt dat wij het zonder meer goed doen. Dat wil niet zeggen dat het allemaal goed is, maar om dat iets te objectiveren. Markt om de ook wel het rekenkameronderzoek van twee jaar geleden. Die hebben het extern laten onderzoeken. Daar gebeurde onder andere dat er mystery guests zeg maar toegang proberen te krijgen tot bijvoorbeeld onze serverruimtes. En nou, die komen een heel end of die kwamen beter gezegd een heel eind en in de tussentijd zie je dan dat we hebben gewerkt aan het beter beveiligen van de fysieke toegang en van dit gebouw als bezoeker kun je niet zomaar nu. Zover komen als dat je twee jaar geleden welkom komen. Hetzelfde virtueel dat heet pentesting dus Penetration Testing. Dan wordt een hacker een goede hacker. Zeg maar gevraagd om zo diep mogelijk in het netwerk te komen of de Rekenkamer ook gedaan zijn jullie het toen over geïnformeerd? Ze zaten in het hoofdkwartier, herinner ik me en ja, dan valt eigenlijk op dat wij die beveiliging in zij is best wel goed op orde hebben, dus daar zit het niet in, dus heel concreet als je het lijstje langsloopt. Risicomanagement marktantwoord op gegeven, maar dan krijg je vervolgens bewustwording en gedrag super moeilijk wordt ontzettend veel aandacht aan besteed, want dat is. Kwetsbare factor dat mensen toch eventjes op een phishing mail. Mailtje klikken zoals ze dat natuurlijk niet zouden moeten doen, maar dan is er al op geklikt en in de hectiek van het moment of de de de echtheid ook, waarmee soms berichten lijken te zijn, kan het gebeuren en en we zien dat het afneemt en we proberen voortdurend daar aandacht voor te vragen. Maar daar zit bewustwording en gedrag, met name ook maar ook ja, op het moment dat je iemand ziet rondlopen in het gebouw en je vertrouwt het niet. Maakt daar gewoon melding van. Ga niet altijd uit van vertrouwen, vertrouwen ze kernwaarden van de gemeente zij dus dat is een beetje intuitief, maar toch moet je dat doen. En allemaal heel lastig. Het is denk ik, de de lastigste, maar nogmaals, we werken er wel aan. En dan nog twee andere fysieke beveiliging noemde ik al. Er zijn dankzij het rapport van de Rekenkamer echt stappen in gezet en dat werkt nu beter en die bedrijfscontinuïteit heeft de andere markt Mark nuten eerder vanavond toegelicht dat we daarvan eigen surfruimtes hier en in Nieuwegein gespiegeld toe zijn gegaan naar 1 1 1 data extern datacenter in in Amsterdam of eigen Center twee ook weer gespiegeld. Dus als er eentje uitvalt, draait alles nog steeds. Dat maakt dat onze bedrijfscontinuïteit in ieder geval op dat niveau niveau van de service, zeg maar veel beter geborgd is. We zien dat ook steeds meer saus applicaties afnemen die draaien dan ook niet meer lokaal. Die draaiende cloud heeft ook wel andere risico's, maar dat doet ver even niet terzake, maar de de beschikbaarheid van die applicaties en die moet gewoon voor heel veel applicaties heel erg hoog zijn. Want als het het niet doet, hebben we ook echt wel een probleem. Hebben onze inwoners of onze ondernemers een probleem of medewerkers kunnen niet meer werken? Het is allemaal super afhankelijk van elkaar geworden, dus het moet het doen. En dat maakt dat we ook daar heel nadrukkelijk naar kijken en dat kan ook. Daar kunnen we echt wel groeien. Dus met Mark ook een gesprek over gehad. Nou bedoel ik op deze markt van van, hoe kunnen we heel concreet stappen zetten? Ik denk dat dat de vraag was meneer van Nieuwstadt om dit naar die 7,5 toe te tillen, nou, die 10 gaan we niet komen en die 7,5 volgend jaar ook niet, maar ruim meer dan de 5,5 is in ieder geval ons ambitieniveau. En dan als laatste betekent dat geld. Nou ja, zeker, maar niet in in de zin dat dit een verkapte budgetaanvraag is, dat doen we eigenlijk continu. We hebben ook niet de ja, nee, maar dat is zo. Zij kijkt nog maar eens alle meldingen terug in bestuursrapportages en en wat iets meer zij dan zie je eigenlijk heel veel. Meldingen zitten in de IV hoek en meer specifiek ook wel in de cyberveiligheid hoeken. En dat komt doordat die risico's toenemen. Die hebben we best wel aardig in beeld. Ja, dat kost gewoon geld om het te dichten, maar dat doen we proactief, dus het is niet zo dat we nu nog weer allerlei dingen hebben gezien die extra middelen vragen, dat is het niet. Maar wel ja ook ook bewustwording bij de Raad, één van de redenen waarom we het ook prettig vindt om deze avond dit soort avonden regelmatig te organiseren. Ja dat wel duidelijk is dat heel veel binnen de gemeente digitaliseert dat daarmee ook risico's op het gebied van cyberveiligheid toenemen. Ja en dat je dan dus ook de middelen nodig hebt om op het niveau te blijven. Ik noem in het begin al bij de opening dat wij supergevoelige informatie over onze inwoners hebben, dus ik vond dat we heel terechte vraag. Proberen wij wel, hè? Dat is sowieso heel verstandig om zo min mogelijk. Privacygevoelige informatie überhaupt te vragen en als je ze vraagt om ze dan vooral niet te bewaren, tenzij dat echt nodig is. Maar dat neemt allemaal niet weg, dat wij gewoon ook wettelijke plicht hebben om heel veel persoonlijke data van inwoners van ondernemers vast te leggen. En ja, die informatie moeten wij gewoon op een hele goede manier beveiligen. En dat kan heel makkelijk misgaan getuigen. Vele situaties waar andere gemeenten mee van doen hebben gehad. Dat is een beetje een langantwoord, maar ik vind het een zeer relevante vraag en de zorg delen we zeker. Maar ik zou het negatieve beeld. Daarmee wil hopen een beetje te nuanceren. Zeg ik als ex docent overigens ook collega, ja, we komen uit dat wereldje hele korte vervolgvraag. Er komt dus een cyberbeveiligingswet aan. Die stelt ook eisen aan aan wat gemeentes moeten doen en waarschijnlijk ook aan hoe we moeten scoren. Betekent dat dan ook dat wij van de rijksoverheid extra middelen krijgen om dat voor mekaar te krijgen, of moet het allemaal zelf ophoesten? Nee, daar krijgen we zeker middelen voor, maar die gaan via het gemeentefonds, dus dat is nog weer net iets anders. Zeg maar dan waar ik net op probeer. Oh op, maar dat je ook ziet dat allerlei zeg maar primaire processen inhoudelijke domeinen of het nou Boris weer openbare ruimte of of de vergunningverlening en trouwens ook het sociaal domein alles digitaliseert. Dat zien jullie als raadsleden ook zeker het sociaal domein doen we heel veel met data om daar grip te krijgen op ontwikkelingen. Ja, dat dat dat dat betekent dat je in in de budgetten echt wel een verschuiving ziet ontstaan, maar het klopt dat we via de VNG sorry via het rijk via het Gemeentefonds daar gelukkig voor. Gecompenseerd worden en zeker als er sprake is van nieuwe wetgeving die overigens ook steeds vaker uit Europa komt. Dat geldt voor deze wet en zeker ook die het Nis twee in Europa en die moet dan verplicht vertaald worden naar nationale wetgeving. En dat is allemaal maar goed ook, want nogmaals we zitten op gevoelige data, dus die moeten we ook gewoon heel goed beschermen en beveiligen. Mark. Daarop aanvullend die wet. Even los van alle complexiteit en alle details die erin zitten. Het gaat er eigenlijk over eigenlijk, zegt het, zegt Europa tegen alle lidstaten en daarmee de geïmplementeerde wet krijg je bedrijfsvoering op orde weet welke processen je uitvoert. Weet welke leveranciers je hebt en wat die leverancier voor jou doet of die leverancier te vertrouwen is dat je leverancier controleert dat je daar goede afspraken over maakt. Zorg dat je inderdaad de verantwoordelijkheden juist alloceert. Het vraagt niks, het zou niks bijzonders moeten vragen, maar. Net als in de waan van de dag is allemaal korte termijn en bij commerciële bedrijven zou ik zeggen, we leven van kwartaal van kwartaal, overleg van kwartaalcijfers naar kwartaalcijfer. Heel voldoen winst voor de aandeelhouder gemaakt en dat aan de ene kant versus aan de andere kant die lange termijn waardecreatie, hoe bouwen we nou gewoon een kwalitatief bedrijf, wat bij wijze van spreken over 100 jaar nog steeds staat. Wat robuust is tegen een stootje kan nou, die wet wil dus dat voor een deel gaan realiseren. Bouw, een robuust bedrijf. En, dat is hier voor een heel deel al gedaan. Één keer terug mag komen op het cijfer. Ik las net ook weer de samenvattingen die ik had gegeven. Het is niet dat de gemeente het slecht doet, alleen we hebben nog af en toe moeite om te laten zien dat we het goed doen dat we een rapportage goed onderbouwd kunnen maken met kijk eens en hierdoor doen wij het goed. Dus wiskunde gezien. We hebben netjes hetantwoord en hetantwoord klopt, maar hoe we tot hetantwoord gekomen zijn met een berekening dat ontbreekt af en toe. Dank u. Chillen. Dank u wel Voorzitter. Ik hoor net dat digitalisering neemt alleen maar toe. Daarmee nemen ook de dreigingen toe. Ik neem aan dat dat betekent dat we ook meer goed gekwalificeerd personeel in dienst moeten nemen om dit allemaal goed in te richten om die cyberwetgeving in te vullen, hebben we dat, is daar een plan voor. Hetantwoord is absoluut, ja, we hebben goede mensen en we hebben er een plan voor om dat te houden. En ja, het is ook een uitdaging, want continu beweegt het zich door en de arbeidsmarkt is rastig en daarmee is het wel zoeken van. Hoe houden we dat niveau vast? Maar we hebben hier een aantal toppers zitten en we doen het supergoed. Nou, dat is fijn om te weten. Bedankt. Nog meer vragen opmerkt mevrouw Perenboom. Ja, ik heb een vraag over die cybersecurity wet. Wij hebben als Raad daar ook een verantwoordelijkheid in. Sorry. Dat weet ik niet. Het gaat erom dat wij als Raad een volksvertegenwoordigers en kader stellen en de controlerende rol hebben. En ik heb begrepen dat de colleges verplicht worden om een training te volgen. Op op straffe van 10 miljoen, dacht ik, als ze dat niet doen. En, ik heb ook begrepen, we hebben 1 keer 1 training gehad in het stadhuis van Utrecht en daar werd ook een voorbeeld gegeven van een gemeente die helemaal de mist in ging en waar wij ook de Raad een raadslid de mist in was gegaan en die dreigde dus ook een boete te krijgen. Dus mijn vraag is. Zijn wij voldoende geëquipeerd als Raad om om die rollen die wij hebben, in dit geval bij de cybersecurity wet uit te voeren? Als ik kijk naar het aantal mensen wat hier zit? Heb ik soms het idee dat het gewoon niet echt een sexy onderwerp is. De ook de de. Nee, maar ook de de rapportage van de CEO en de FG daarvan zijn tijdens de ingekomen stukken ook geen vragen over gesteld. Dat viel mij ook al op en dus eigenlijk is daar ook best wel wat werk te doen, denk ik. Dus ook precies de reden dat we het vandaag over dit onderwerp wilden hebben. Toen we dit inplanden toen ja was nog in de planning om dit jaar dat dat hij dit jaar zou ingaan. Sowieso bij het intreden van de weg is er nog twee jaar de tijd, dus er is er is nog wel 1, 1 1 periode, maar de vraag beantwoorden van is de Raad daartoe geëquipeerd of zijn we er klaar voor? Ja, ik kan ik niet beantwoorden. Maar ik vind het wel een hele prettige vraag, want ik denk dat het. Ja wel wel een onderwerp is wat de komende jaren. Door door zal blijven gaan. Ja, wat mij wat ik misschien mee kan geven is soms worden er met scenarioschrijvers worden de meest lugubere. Problemen gecreëerd. Je zou dus kunnen kijken van probeer 1 keer 1 soort stresstest te doen ofzo. Dat werd volgens mij net ook al voorgesteld, waarbij ook de Raad betrokken wordt. En hè? Dus behalve dus wat de Rekenkamer deed met die phishing mails. Toch ook nog wel iets meer kunnen doen, denk ik. Maar ook op het terrein van kennisniveau. Het kennisniveau, maar ook bewustwording, met name bewustwording. De taak die wij hebben als Raad in dit in, hè, het is niet iets wat wij een afdeling. Ondergebracht wordt en dan is het geregeld. We hebben daar als Raad gewoon een belangrijke taak in en niet alleen financieel. Dankjewel. Ja, ik kan het alleen maar in me heen zijn. Annette. Ja daaraan sluitend eigenlijk. Ergens hebben we de controlerende taak ook hierover. Maar als we dan het jaarverslag zien met die uitkomsten. Hebben we dan alles omvattend voor Raad en informatie om te zeggen van dit betreft informatie cyberveiligheid is die die score, kunnen we daarmee zeggen van. Daar kunnen we de informatie uithalen, zodat wij ons controleren taak kunnen doen. Nou, als ik daarantwoord op mag geven. Ja de score lijkt misschien nu een eigen leven te leiden. Maar zoals ik ook heb aangegeven, we doen het voldoende volgens verschillende criteria. Nou, zoals Walter ook net betoogd heeft. Ook vergeleken met andere gemeentes, dus niet een cijfer wat je kunt leggen naast andere gemeentes. Doen we het ook niet slecht, maar we hebben zeker nog heel veel te doen. Dat heb ik geprobeerd uit te leggen dat we ook bezig zijn met die aanbevelingen, dus het project waarin we die governance gaan regelen omdat daar denk ik nog nog nog een hoop te winnen valt. En ook als we dat goed regelen, dan kunnen we hele snelle stappen maken. Maar zijn dat ook jou woorden? Maar dan moeten we nog wel mee aan de slag. Dus, ik weet niet of ik danantwoord geef op de vraag. Van ja, het is misschien toch een een cijfer en en hoe ver staan we er dan vanaf? Maar ik denk dat het in die zin dat dat dat zij goed bezig is, maar nog een heleboel. Werk te verrichten heeft en en en ook in het gesprek en de rol die de Raad heeft de komende tijd. Dus daar ben ik alleen maar blij mee met de vraag of de opmerking die net gemaakt is. OK is, is dat eenantwoord op de vraag. Nou helemaal denk ik. Als we zien de uitkomsten als we zien hetgeen wat onder onderzocht is waar het jaarverslag van ligt, heb ik dan alle informatie die ik nodig heb als raadslid om te kunnen controleren? Is dat een een vraag voor de wethouder, want. Ja, het antwoord daarop is, is nee. En gelukkig bieden we ook meer hè? Dus gewoon via de reguliere PSC cyclus rapporteren we een aantal keren per jaar over dit soort zaken over risico's bijvoorbeeld, maar ook over. Waar we staan op een aantal vlakken, dan hebben we dus twee onafhankelijke rapportages. Een van de FG, Serge Katoes. Die heeft ook eerder zeg maar bij een vergelijkbare avond gerapporteerd over zijn. Rapportcijfer want zo rapporteert hij ook en dat gaat met name over waar we staan op het gebied van privacy. Nou, dan hebben we mark die dit rapport minimaal één keer per jaar laat zien op het gebied van informatieveiligheid. Maar wat ook heel belangrijk is en heel erg genormeerd dat zijn die n CIA rapportages die mark ook al noemde. En op het moment dat je als gemeente DigiD wil wil gebruiken ook de RSD. Gebruikt onder onze verantwoordelijkheid bepaalde applicaties, dan moeten we daar allerlei toetsen voor doorstaan. Dan gaat het bijvoorbeeld over de vraag, wie toegang heeft tot bepaalde informatie, persoonsgevoelige informatie op het moment dat we daar doorheen komen, is dat relevante informatie voor de Raad. We informeren we de Raad ook over, maar heel mee eens. Mevrouw Piereboom, er is weinig interactie over, dus het zou mooi zijn als je net als over de cijfers. Want dan rapporteren we ook over. Ik bedoel onze financiële cijfers ook over dit soort onderwerpen ja, vaker de interactie zouden hebben. Ik zou jullie vooral willen uitnodigen als raadsleden om zo kritisch mogelijk te zijn richting het college op dit gebied. Nou ja, ook die wetgeving moet je in dat licht zien. Er worden meer dingen van het college gevraagd, die 10 miljoen is over het scheen boete die op het niveau van het college ligt. Dat is € 25.000, dus overigens wel persoonlijk, dus best wel een incentive om datgene te doen wat je moet gaan doen. Maar goed wat je moet doen is een cursus volgen. Ja, dat zou echt wel gebeuren, maar

Op dit moment is het afgerond. Een 5,5 en ik gun jullie echt dat dat de komende jaren naar een 7,5 en 8 gaat. En wat ik zie, want dit is dan vind 2024.

Met de initiatieven die er genomen worden, met de activiteiten die ontplooid worden, zie ik ook hier die stijgende lijn. En het zit hem ook heel veel in hetgene wat we doen goed laten zien. Die basis is er echt wel en hierop, op cijferniveau, kan ik het allemaal duiden. En ik geloof ook best wel, aansluitend wat Robert zei: niet of, maar wanneer.

Er een crisis is

Die er zijn. Het zou natuurlijk altijd moeten blijken wat voor een crisis het is, hoe dat gaat zijn. De wil is er om dat soort problemen op te lossen, net als het tandje extra te lopen en dat vind ik goed om te zien. En tegelijkertijd mag het beter. Moet het beter. En dat is ook waar wat er gebeurt. Er is vanuit managementdirectie veel meer ingezet op dat bovenste stuk en dan hebben we het over de GRC, de governance die is waarvoor verantwoordelijk en hoe we de besluiten genomen in de organisatie. Risicobeheersing namelijk als we naar buiten kijken, wat kan er allemaal fout gaan? En wie is er dan van? En de compliance en compliance is niks anders dan we hebben wetten regels kunnen wij ook laten zien dat wij voldoen aan die wet en regels. En al die technische maatregelen die eronder zitten. In basis zijn ze gewoon aanwezig en die worden ook afgetoetst bij zo'n NEN-ISO, de eenduidige normatiek single information audit. Ik heb een hekel aan afkortingen. Ik wil ze uitspreken. Dus dat stelsel van die controles ook daar de basis, is gewoon goed aanwezig. En we gaan verder. Dus mijn advies is inderdaad, we zijn met de juiste zaken bezig. En er wordt gewerkt ook dat die bedrijfscontinuïteit, die business continuity management, dat programma GRC. Die krijgt de juiste lading. Die gaat de juiste invulling geven en daarmee dus die betere beheersing van de organisatie als geheel. Met de details. Nou, dan mag ik iets vertellen over, mag ik iets vertellen over de dagelijkse

En ja, we kunnen het heel breed houden waar we allemaal mee bezig zijn. We hebben een selectie gekozen. Als je mij vraagt wat we allemaal aan het doen zijn, dan zou ik toch snel denken aan het woord weerbaarheid. We werken aan onze gezondheid om ons te beschermen tegen allerlei nare dingen die kunnen gebeuren. Maar ook als er iets gebeurt, dan zijn we in staat om snel weer terug te komen naar een situatie die wel veilig is. Dus ja, zij hebben weerbaarheid en dat kun je onderscheiden naar verschillende onderdelen.

Techniek in de organisatie naar markt. Die vertelde net al dat we bezig zijn met het verbeteren van onze monitoring en control. Er zijn allemaal slimme systemen die in de gaten houden of er wel of niet gehackt wordt en ja, dat daar direct op kan worden ingegrepen. Wat Aat Grinwis net ook vertelde, was ons samenwerken met de VNG. We hebben samen. Nu werken we aan een cyberweerbaarheidspakket aan diensten.

Dat gaat per 1 november.

Is dat gereed? Verder kijken we naar digitale veiligheid in volle breedte, integraal. Je ziet steeds vaker dat ook in principe domeinen, in bruggen, in stoplichten, dat eigenlijk overal ICT digitale systemen zitten en ook verbonden zijn aan netwerken. En dat vinden zeker de Russen interessant. Dus ook daar zijn we bezig met het in kaart brengen van waar we mogelijk risico's lopen. We zijn ook de kritieke processen in kaart aan het brengen en met continuïteitsplannen, wat Mark net ook noemde. Een ander belangrijk punt is de menskant. De mens is toch 80%, blijkt uit onderzoek, de reden dat er veiligheidsincidenten plaatsvinden. Dus we zijn ook bezig om het gesprek te gaan met eigenlijk alle stakeholders die relevant zijn voor cyberveiligheid en we zijn bezig met een programma voor bewustwording. We hebben al voor onze medewerkers bij de onboarding bijvoorbeeld al het een en ander een e-learning.

Maar juist omdat dit eigenlijk bij elke organisatie wel een van de zwakkere punten is, willen we hier sterker op in gaan zetten. Nou, verder volgen we de adviezen op van de diverse onafhankelijke controleurs, zoals...

En de sessie. Er gaat een project governance, risico's en compliance.

Wat is dat nou? Het is een hele mond vol met woorden. Eigenlijk komt het erop neer dat je het kunt vergelijken met je verdediging inrichten volgens drie lijnen, volgens drie verdedigingslinies. Het is het Three Lines of Defence-model dat ook veel wordt toegepast in de financiële wereld om risico's te kunnen managen. En ja, je kunt het verbeelden als de eerste lijn. Dat zijn de managers, de medewerkers. Dat zijn degenen die dagelijks de risico's eigenlijk als eerste ervaren en daar ook tegen moeten optreden. Een goede eerste lijn inrichten is heel belangrijk en daar helpt dan de tweede lijn bij. De tweede lijn, dat zijn de adviseurs die ze helpen om, zeg maar, die dijk te versterken en dat zijn wij bijvoorbeeld. Maar dat kunnen we dus niet alleen. Iedereen heeft daar zijn verantwoordelijkheid en zijn rol in. Dus dat is de tweede lijn. En de derde lijn, daar kiezen we ook bewust voor om de rol van de functionaris gegevensbescherming, maar ook de CISO, om die onafhankelijk te laten zijn, zodat die als derde lijn kan toetsen of de eerste lijn en de tweede lijn eigenlijk wel goed bezig zijn. En dan heb je dus drie lijnen, drie verdedigingslinies, Three Lines of Defence, waar de gemeenteraad eigenlijk zijn rol heeft daarboven om een controlerende taak goed te kunnen uitvoeren. En ja, uiteindelijk willen we gewoon geen natte voeten hebben hier. Dus ik hoop dat dat een beetje inzicht geeft in hoe we in de organisatie de interne controls, de rollen, verantwoordelijkheden en het eigenaarschap het komende jaar steviger...

Nou en dan het laatste. We zijn ook volop bezig met het voorbereiden en invulling geven van de cyberbeveiligingswet en was ik toch even benieuwd: wie heeft daar al eerder van gehoord? Binnen. Is het nieuw? Want er komt wetgeving aan. En ja, als het kabinet niet was gevallen, dan hadden we over een paar maanden misschien al wel een nieuwe wet. En ja, wat houdt die wet dan in? Die wet heeft rechten en plichten. Er zijn rechten zoals hulp bij ondersteuning bij incidenten, die hebben we nog steeds, ook al is de wet niet ingegaan. Maar er is ook een zorgplicht. We moeten onze spullen goed voor elkaar hebben. Er is een meldplicht. We zijn verplicht als er ergens een lekje is om daar gewoon open over te zijn, zodat we daar ook adequaat op kunnen optreden. Er is een registratieplicht. Alle incidenten moeten we registreren. Lijkt misschien een beetje op wat we doen met datalekken, maar het wordt nu ook echt in de wet verankerd. Kijk je naar gegevensbescherming, dat zit al in de wet, dat is de AVG. Daar worden we ook op toegezien door de Autoriteit Persoonsgegevens. En ook voor de cyberbeveiligingswet komt er een toezichtorganisatie, dus het virus toezicht. En ja, die kan handhaven. Die kan kijken of we het goed doen. Die kan ook boetes uitdelen. En ja, dat heeft ook gevolgen voor bestuur en organisatie. Wilde er niet helemaal op ingaan, maar ik wilde wel ook meegeven dat de wetgeving eraan zit te komen. Wat de verantwoordelijkheid voor het bestuur, het gemeentebestuur, namelijk college, maar ook de rol van de Raad is daarin van belang. Ja, eigenlijk veel strakker in de wet gaat regelen en organiseren. Dat was eigenlijk in het kort waar we ongeveer mee bezig zijn. Zijn er misschien nog vragen voor mij of voor de andere sprekers? Aan wie? Annet Ploeg-Bos als eerste en daarna GroenLinks.

Mevrouw Ploeg, ja, dank u wel, voorzitter. Bij de controle in het jaarverslag, hè? Wat u vertelde, daar gaf u aan dat het in de basis oké was. Maar zoals bij risicomanagement stond een 4,5. Kunt u vertellen wat de aanbevelingen daarvoor zijn?

Ja, zeker weten, dat begint met destijds. Laten we terug in 24. Heel praktisch. Daar lag een prachtig stuk risicomanagementbeleid met een proces. Hoe gaan wij risicomanagement doen? Letterlijk dat beleid gaan implementeren, die processen gaan voeren en daarmee dus organisatiebreed en centraal risicoblik krijgen op een aantal gebieden en zeker bij controle leeft al wel een manier van risicoanalyse. Ook in het kader van de jaarrekening worden risico's geanalyseerd, ook bij digitale veiligheidsrisico's. Alleen, het staat in verschillende stadia van volwassenheid en het is verspreid over de organisatie en dat moet meer bij elkaar gebracht worden met stuk eigenaarschap. Wie is nou van het risico en wat gaan we eraan doen? Laten we denken aan risicomanagement vinden we het risico oké of is dat risico te groot? Moeten we dat risico gaan verzekeren? Moeten we met een leverancier op gaan trekken? Moeten we maatregelen gaan nemen? Indien mogelijk vaak niet, moeten we ermee stoppen of zeggen we nou dit risico? Ja, eigenlijk, eigenlijk zijn we wel gewoon comfortabel mee en wij gaan bewust dit risico aan en dan ga je dus van een stukje onbewustheid. Ga je naar veel meer bewust risico voeren en daarmee weten we dus, hé dit is waar we mee te dealen kunnen hebben en daar zijn we content mee. Geeft dat voldoende antwoord, ja, dank u wel alsjeblieft. En bij de datalek bijvoorbeeld van het laboratorium zag je dat er heel veel gegevens van burgers op straat lagen. In hoeverre doen we als een check of het minimale vragen van inwoners aan informatie? Het valt me wel eens op als je al heel snel een invulveld in moet vullen hè, ben je één of het ander je e-mail is sowieso logisch, want anders kun je communiceren, maar men vraagt toch eigenlijk standaard je telefoonnummer, want anders komt je invulveld niet eens verder terwijl ik nooit teruggebeld word door een ambtenaar of zo. Dus in hoeverre checken we of alleen maar het minimum opslaan? Dat doen we beperkt. Als ik kijk nu naar hoe we dat doen, dan zien we dat we vooral vanuit de dienstverlening denken en kijken, hoe kunnen we zo goed mogelijk die inwoner helpen op dat moment en nog onvoldoende eigenlijk die risico's soms aan de achterkant in beeld hebben van hé, maar is dat echt wel allemaal nodig? Misschien is het voor de dienstverlening wel goed, maar moeten we het dan nog steeds weer, omdat het wel risico's met zich meebrengt, of moet er misschien net iets minder dienstverlening voor bieden, omdat het risico met zich meebrengt? Dat is precies het spanningsveld waar we in zitten en dat doen we nog te beperkt op dit moment. Dankjewel, meneer van Nieuwstadt. Dank je wel. Ik zag die cijfers en als oud-docent word ik dan toch een beetje nerveus. Ik ga ervan uit dat die 5,5 uitgedeeld is op een schaal van één tot 10 en niet op één tot 6 dat. Dat is juist oké, dan word ik nog nerveuzer. Dan is de vraag hoe, hoe scoren we daar mee? Als je kijkt naar het land is er een benchmark. Is er een gemiddelde, zijn wij een bovengemiddelde of een ondergemiddelde of gewoon een slechte gemeente? Hoe scoren wij ten opzichte van de rest? En dus hoe scoren wij in de interessesfeer van de Russen? Ik begin even met het laatste deel van de vraag dat suggereert inderdaad dat de Russen. Heel specifiek. Dan zouden we gaan kijken? Als ze ons normale alfabet al zouden kunnen lezen. Geen idee waarschijnlijk wel. Dat kunnen ze wel. Van alle gemeentes die er zijn, dan zouden ze. Onderaan beginnen dat ze Zeist waarschijnlijk als één van de eerste tegenkomen. Ik heb geen idee waarom de Russen dan specifiek voor Zeist zouden kiezen in plaats van een Amsterdam of een Rotterdam of. Gemeente geen idee. Dus ik daar begint het al van en of ze dan bij een gemeente gaan kijken of gewoon gelijk bij een complete rijksoverheid om misschien nog interessanter bij een drinkwaterbedrijf of een energiebedrijf? Nee, wacht even. Hier gaat nu een andere vraag beantwoorden, maar dat dat dat was de laatste vraag die 5,5 daar wou ik zeker op terugkomen. Is tegelijkertijd ook, maar dat is weer de gedachte terug aan mijn schoolcarrière. Nou is afgerond een 6 is net aan een hele krappe voldoende. Hakken over de sloot. Ja, nou heb ik altijd tegen mijn studenten gezegd, zou jij naar een huisarts gaan die al zijn vakken met een 5,5 gehaald heeft? Het antwoord is nee, wat ik eigenlijk bedoel te zeggen is, je geeft ons een rapportcijfer dat rapportcijfer voelt slecht en dat rapportcijfer is ook openbaar. Ja. Dus als ik een Rus was en ik kan Nederlands lezen en de boefjes kunnen dat, dan kijkt hij naar de zwakste schakel in de keten. Waar kan ik het makkelijkst? Mijn data tevoorschijn peuteren zijn ze uit op data of op geld. Op data want dat levert geld op. Maar hoe? Hoe moet ik dan dat dat cijfer zien en wat moeten wij doen? Jij zegt je gunt ons een 7,5, dat vind ik nog steeds niet zo best, maar helemaal prima. Wat moet er dan gebeuren om bij die 7,5 te komen? Want daar gaan wij als Raad waarschijnlijk ook over. Dat kan zo plat zijn als geld. Maar dan hoor ik het ook graag. Uiteindelijk. Zal dat ongetwijfeld geld zijn, maar dat zit hem dan later meer in het feit dat we in organisatie meer controles gaan implementeren. Meer zaken gaan toetsen, een rapportage intern opleveren. Heel simpel dit zijn. We hebben vijfhonderdtal applicaties. Wie hebben er toegang tot welke applicatie en is dat terecht? Dat worden dus overzichten waar een manager of een leidinggevende naar moet kijken. Vind ik het inderdaad terecht dat al deze mensen toegang zouden moeten hebben tot deze applicatie? We hebben hier bestanden staan, we mogen die bestanden daar staan. Of moet iemand dat gaan opruimen en we gaan zaken archiveren? Hoe gaan we dat archiveren? Dus het is. Eigenlijk precies hetzelfde wat we nu aan het doen zijn alleen dan net even die extra stap. Voor de borging van de kwaliteit voor de borging van privacy, voor de borging van informatieveiligheid. Nou zijn wij een rijke gemeente, hè? Dat is ook geen geheim, maar op een gegeven moment is de portemonnee leeg. Dus dan moet je inzetten op wat het meest efficiënt is en ik hoor één van jullie zeggen, de mens is meestal de zwakste schakel. Is er dan ook een prioritering in hoe jullie daar naartoe gaan om bij die 7,5 te komen? Nou, dat dat is niet mijn uitspraak en ik zal ik ben zelf probeer ik altijd laatste zijn die die uitspraak kon maken. Ik zou het liefst willen dat de mens de laatste schakel is in een sterke keten, dus als processen falen. Als de techniek

Die iets kan voorkomen die je nog kan interveniëren voordat het echt fout gaat. En dat raakt voor mij ook weer aan uw vraag van die medewerker die op het verkeerde linkje klikt. Voor je medewerker, dat mag niet. Nee, dat kan gebeuren. Ik, met al mijn kennis ook over cyber en digitale veiligheid, kan ook in het juiste bericht op juiste tijd.

Ook op klikken. De vraag is alleen, hoe gaan we dat technisch zo doen dat als we dat linkje geklikt wordt dat het niet gaat leiden tot een kleine dan wel grote verstoring? En dat zijn dan weer

Dat is de verdere verankering van kwaliteit in processen. Dat is een extra vier-ogencontrole. Ik kan wel een betaling klaarzetten, maar er zijn nog twee extra die hem goed moeten keuren. In de financiële wereld en in de financiële afdelingen is dat heel normaal, maar voor een bepaalde wijziging of een hoog kritische handeling van een beheerder of van een medewerker in het ambtelijk proces, ja, worden altijd wel heel moeilijk geschat en heel moeilijk geacht. Dus ook die mindset, die kwaliteitsstap dat dus inderdaad sommige dingen net wat langer duren omdat we even stil moeten staan of net op een andere manier moeten doen die, nou ja, als je plat zou zeggen, iets omslachtiger is maar wel veiliger. Dat moet inderdaad die mindset moet gewoon worden en hoeveel dat gaat kosten? Hoeveel extra minuten?

Dat gaat kosten. Dat zal in de loop van de...

En dan hoeveel we daar weer van kunnen automatiseren. Maar dat is een, dat is dat is. Digitalisering, informatieveiligheid, privacy. Het zijn geen dingen die ooit klaar zijn. Het is altijd iets waar we mee bezig zouden moeten blijven. Onze binnenwereld verandert, ons IT-landschap, ons processenlandschap verandert. De buitenwereld verandert, de dreigingen, de leveranciers, de kwetsbaarheden. En daarin moeten we kijken, hé, hoe kunnen we dit goed en kwalitatief en veilig genoeg maken? Vandaar dat ik jullie ook geen team gun, want dan zouden we echt veel te veel hebben gedaan. Naar welke gemeente gaan wij samen kijken om daar het goede voorbeeld op te halen? Komt de wethouder zo op terug, maar die wilde nog een aanvulling geven. Maar ik heb een vraag, Roel, jij vroeg toch ook? Hoe scoren wij met die 5,5 in het totaal van die 346 gemeentes? Gaat de wethouder antwoord op geven, oké? Wethouder eerst of mevrouw?

Over hetzelfde of over een ander onderwerp? Ja, pak je het op, Walter? Ja, graag, wethouder van de nee, misschien Robert kan slide 12 nog even op het scherm. Dat is het rapportcijfer, maar dan dan uitgewerkt. Misschien wel goed om in ieder geval te benoemen dat, zeg maar, het oordeel wat

Aan dat rapportcijfer dat ik dat wil onderschrijven.

Van schrik van de 5,5 is, gewoon niet. Zit ie er niet in. Ik bedoel gewoon het lijstje met rapportcijfers. Die bedoel ik ja, dankjewel. Dus, dus, dus dat is zo tegelijkertijd. Als je erop inzoomt krijg je dit hè? Dus dat paarse blokje rechtsonderin. Nou, mevrouw Ploeg gaf al aan risicomanagement, hoe zit dat? Dat zit overigens best wel goed. Als het gaat om ons reguliere risicomanagement doen we twee keer per jaar. Althans, doen we vaker, maar laten we het twee keer per jaar aan de Raad zien. Maar dat gaat met name over de vraag, waar zie je financiële risico's? En die zitten ook.

Maar Marco Huijben over wat voor risico's het hier gaat. Nou, de methodiek is vergelijkbaar. Je probeert te kijken waar risico's zouden kunnen ontstaan. En alleen al die voorbeelden uit het begin van Marco's presentatie maken duidelijk, hè? Er zijn ook heel veel gemeenten bijvoorbeeld getroffen door incidenten de afgelopen jaren. Nou, iedere...

Tegen zoiets aanloopt, een gemeente

Wij te kijken van in welke mate zouden wij daardoor geraakt kunnen worden.

De IBD, Informatiebeveiligingsdienst, speelt een belangrijke rol en die noemde jij ook al als onderdeel.

Die waarschuwt ons zo proactief mogelijk voor kwetsbaarheden. De IBD heeft ook een goed beeld over hoe gemeenten ervoor staan, kan dus ook inschatten hoe Zeist ervoor staat ten opzichte van andere gemeentes. Ik zit in de adviesraad van de IBD, dus ik zie al die informatie. Wat de IBD ook doet, is gemeenten met elkaar in contact brengen. Wij zijn gekoppeld aan de gemeente Veere in Zeeland. Geen idee waarom, maar daar wisselen we mee uit hoe zij het doen, hoe wij het doen en wat we van elkaar kunnen leren. En dat heeft het een en ander opgeleverd en zo doen gemeentes dat door heel Nederland. Dan zou ik wel durven zeggen dat we het als Zeist, ondanks dat het maar een 5,5 is, met de ambitie natuurlijk om daarin omhoog te groeien en dat kan ook echt, dat wij het zonder meer goed doen. Dat wil niet zeggen dat het allemaal goed is, maar om dat iets te objectiveren, maak ik ook wel het rekenkameronderzoek van twee jaar geleden. Die hebben het extern laten onderzoeken. Daar gebeurde onder andere dat er mystery guests, zeg maar, toegang proberen te krijgen tot bijvoorbeeld onze serverruimtes. En nou, die komen een heel eind of die kwamen beter gezegd een heel eind en in de tussentijd zie je dan dat we hebben gewerkt aan het beter beveiligen van de fysieke toegang en van dit gebouw. Als bezoeker kun je niet zomaar nu zover komen als dat je twee jaar geleden wel kon komen. Hetzelfde virtueel, dat heet pentesting, dus penetration testing. Dan wordt een hacker, een goede hacker, zeg maar, gevraagd om zo diep mogelijk in het netwerk te komen. Of de Rekenkamer ook gedaan, zijn jullie het toen over geïnformeerd? Ze zaten in het hoofdkwartier, herinner ik me, en ja, dan valt eigenlijk op dat wij die beveiliging in Zeist best wel goed op orde hebben, dus daar zit het niet in. Dus heel concreet, als je het lijstje langsloopt, risicomanagement, marktantwoord op gegeven, maar dan krijg je vervolgens bewustwording en gedrag. Super moeilijk, wordt ontzettend veel aandacht aan besteed, want dat is een kwetsbare factor dat mensen toch eventjes op een phishingmail klikken, zoals ze dat natuurlijk niet zouden moeten doen, maar dan is er al op geklikt en in de hectiek van het moment of de echtheid ook, waarmee soms berichten lijken te zijn, kan het gebeuren. En we zien dat het afneemt en we proberen voortdurend daar aandacht voor te vragen. Maar daar zit bewustwording en gedrag, met name ook, maar ook ja, op het moment dat je iemand ziet rondlopen in het gebouw en je vertrouwt het niet, maak daar gewoon melding van. Ga niet altijd uit van vertrouwen, vertrouwen is een kernwaarde van de gemeente Zeist, dus dat is een beetje intuïtief, maar toch moet je dat doen. En allemaal heel lastig. Het is denk ik de lastigste, maar nogmaals, we werken er wel aan. En dan nog twee andere, fysieke beveiliging noemde ik al. Er zijn dankzij het rapport van de Rekenkamer echt stappen in gezet en dat werkt nu beter en die bedrijfscontinuïteit heeft de andere markt, Mark nu ten eerder vanavond toegelicht, dat we daarvan eigen serverruimtes hier en in Nieuwegein gespiegeld toe zijn gegaan naar één datacenter in Amsterdam of eigen center twee, ook weer gespiegeld. Dus als er eentje uitvalt, draait alles nog steeds. Dat maakt dat onze bedrijfscontinuïteit in ieder geval op dat niveau, niveau van de service, zeg maar, veel beter geborgd is. We zien dat ook steeds meer SaaS-applicaties afnemen, die draaien dan ook niet meer lokaal. Die draaien in de cloud, heeft ook wel andere risico's, maar dat doet er even niet ter zake. Maar de beschikbaarheid van die applicaties en die moet gewoon voor heel veel applicaties heel erg hoog zijn. Want als het het niet doet, hebben we ook echt wel een probleem. Hebben onze inwoners of onze ondernemers een probleem of medewerkers kunnen niet meer werken? Het is allemaal super afhankelijk van elkaar geworden, dus het moet het doen. En dat maakt dat we ook daar heel nadrukkelijk naar kijken en dat kan ook. Daar kunnen we echt wel groeien. Dus met Mark ook een gesprek over gehad. Nou bedoel ik op deze markt van hoe kunnen we heel concreet stappen zetten? Ik denk dat dat de vraag was, meneer van Nieuwstadt, om dit naar die 7,5 toe te tillen. Nou, die 10 gaan we niet komen en die 7,5 volgend jaar ook niet, maar ruim meer dan de 5,5 is in ieder geval ons ambitieniveau. En dan als laatste betekent dat geld. Nou ja, zeker, maar niet in de zin dat dit een verkapte budgetaanvraag is, dat doen we eigenlijk continu. We hebben ook niet de ja, nee, maar dat is zo. Kijk nog maar eens alle meldingen terug in bestuursrapportages en wat iets meer zij, dan zie je eigenlijk heel veel meldingen zitten in de IV-hoek en meer specifiek ook wel in de cyberveiligheidshoek. En dat komt doordat die risico's toenemen. Die hebben we best wel aardig in beeld. Ja, dat kost gewoon geld om het te dichten, maar dat doen we proactief. Dus het is niet zo dat we nu nog weer allerlei dingen hebben gezien die extra middelen vragen, dat is het niet. Maar wel ja, ook bewustwording bij de Raad, één van de redenen waarom we het ook prettig vinden om deze avond, dit soort avonden regelmatig te organiseren. Ja, dat wel duidelijk is dat heel veel binnen de gemeente digitaliseert, dat daarmee ook risico's op het gebied van cyberveiligheid toenemen. Ja, en dat je dan dus ook de middelen nodig hebt om op het niveau te blijven. Ik noem in het begin al bij de opening dat wij supergevoelige informatie over onze inwoners hebben, dus ik vond dat we heel terechte vraag. Proberen wij wel, hè? Dat is sowieso heel verstandig om zo min mogelijk privacygevoelige informatie überhaupt te vragen en als je ze vraagt om ze dan vooral niet te bewaren, tenzij dat echt nodig is. Maar dat neemt allemaal niet weg dat wij gewoon ook wettelijke plicht hebben om heel veel persoonlijke data van inwoners van ondernemers vast te leggen. En ja, die informatie moeten wij gewoon op een hele goede manier beveiligen. En dat kan heel makkelijk misgaan, getuigen vele situaties waar andere gemeenten mee van doen hebben gehad. Dat is een beetje een lang antwoord, maar ik vind het een zeer relevante vraag en de zorg delen we zeker. Maar ik zou het negatieve beeld.

Virtueel dat heet pentesting, dus Penetration Testing. Dan wordt een hacker, een goede hacker, zeg maar gevraagd om zo diep mogelijk in het netwerk te komen. Of de Rekenkamer ook gedaan, zijn jullie het toen over geïnformeerd? Ze zaten in het hoofdkwartier, herinner ik me, en ja, dan valt eigenlijk op dat wij die beveiliging in zich best wel goed op orde hebben, dus daar zit het niet in. Dus heel concreet, als je het lijstje langsloopt: risicomanagement, marktantwoord op gegeven, maar dan krijg je vervolgens bewustwording en gedrag. Super moeilijk, wordt ontzettend veel aandacht aan besteed, want dat is een kwetsbare factor. Dat mensen toch eventjes op een phishingmail klikken, zoals ze dat natuurlijk niet zouden moeten doen, maar dan is er al op geklikt. En in de hectiek van het moment of de echtheid ook, waarmee soms berichten lijken te zijn, kan het gebeuren. En we zien dat het afneemt en we proberen voortdurend daar aandacht voor te vragen. Maar daar zit bewustwording en gedrag, met name ook, maar ook ja, op het moment dat je iemand ziet rondlopen in het gebouw en je vertrouwt...

Maakt daar gewoon melding van. Ga niet altijd uit van vertrouwen, vertrouwen is een kernwaarde van de gemeente. Dat is een beetje intuïtief, maar toch moet je dat doen. En allemaal heel lastig. Het is denk ik de lastigste, maar nogmaals, we werken er wel aan. En dan nog twee andere: fysieke beveiliging noemde ik al. Er zijn dankzij het rapport van de Rekenkamer echt stappen in gezet en dat werkt nu beter. En die bedrijfscontinuïteit heeft de andere, Mark Nuten, eerder vanavond toegelicht dat we daarvan eigen surfruimtes hier en in Nieuwegein gespiegeld toe zijn gegaan naar één data extern.

In in Amsterdam of eigen Center

Dus als er eentje uitvalt, draait alles nog steeds. Dat maakt dat onze bedrijfscontinuïteit in ieder geval op dat niveau van de service, zeg maar, veel beter geborgd is. We zien dat ook steeds meer SaaS-applicaties afnemen. Die draaien dan ook niet meer lokaal. Die draaiende cloud heeft ook wel andere risico's, maar dat doet er even niet toe.

Van die applicaties en die moet gewoon voor heel veel applicaties heel erg hoog zijn. Want

We ook echt wel een probleem.

Onze ondernemers hebben een probleem of medewerkers kunnen niet meer werken? Het is allemaal super afhankelijk van elkaar geworden, dus het moet het doen. En dat maakt dat we ook daar heel nadrukkelijk naar kijken en dat kan ook. Daar kunnen we echt wel groeien. Dus met Mark ook een gesprek over gehad. Nou bedoel ik op deze markt van Van, hoe kunnen we heel concreet stappen zetten? Ik denk dat dat de vraag was meneer van Nieuwstadt om dit naar die 7,5 toe te tillen, nou, die

Die 7,5 volgend jaar ook niet, maar ruim meer dan de 5,5 is in ieder geval ons ambitieniveau. En dan als laatste betekent dat geld. Nou ja, zeker, maar niet in de zin dat dit een verkapte budgetaanvraag is, dat doen we eigenlijk continu. We hebben ook niet de ja, nee, maar dat is zo. Zij kijkt nog maar eens alle meldingen terug in bestuursrapportages en wat iets meer zij dan zie je eigenlijk heel veel. Meldingen zitten in de IV-hoek en meer specifiek ook wel in de cyberveiligheidshoeken. En dat komt doordat die risico's toenemen. Die hebben we best wel aardig in beeld. Ja, dat kost gewoon geld om het te dichten, maar dat doen we proactief, dus het is niet zo dat we nu nog weer allerlei dingen hebben gezien die extra middelen vragen, dat is het niet. Maar wel ja ook bewustwording bij de Raad, één van de redenen waarom we het ook prettig vinden om deze avond dit soort avonden regelmatig te organiseren. Ja, dat wel duidelijk is dat heel veel binnen de gemeente digitaliseert dat daarmee ook risico's op het gebied van cyberveiligheid toenemen. Ja, en dat je dan dus ook de middelen nodig hebt om op het niveau te blijven. Ik noem in het begin al bij de opening dat wij supergevoelige informatie over onze inwoners hebben, dus ik vond dat we heel terechte vraag. Proberen wij wel, hè? Dat is sowieso heel verstandig om zo min mogelijk privacygevoelige informatie überhaupt te vragen en als je ze vraagt om ze dan vooral niet te bewaren, tenzij dat echt nodig is. Maar dat neemt allemaal niet weg, dat wij gewoon ook wettelijke plicht hebben om heel veel persoonlijke data van...

Ja, die informatie moeten wij gewoon op een hele goede manier beveiligen. En dat kan heel makkelijk misgaan, getuige vele situaties waar andere gemeenten mee van doen hebben gehad. Dat is een beetje een lang antwoord, maar ik vind het een zeer relevante vraag en de zorg delen we zeker. Maar ik zou het...

Daarmee wil ik hopen een beetje te nuanceren. Zeg ik als ex-docent overigens ook collega, ja, we komen uit dat wereldje. Hele korte vervolgvraag: er komt dus een cyberbeveiligingswet aan. Die stelt ook eisen aan wat gemeentes moeten doen en waarschijnlijk ook aan hoe we moeten scoren. Betekent dat dan ook dat wij van de rijksoverheid extra middelen krijgen om dat voor elkaar te krijgen, of moeten we het allemaal zelf ophoesten? Nee, daar krijgen we zeker middelen voor, maar die gaan via het gemeentefonds, dus dat is nog weer net iets anders, zeg maar, dan waar ik net op probeerde. Maar dat je ook ziet dat allerlei, zeg maar, primaire processen, inhoudelijke domeinen, of het nou Boris weer openbare ruimte of de vergunningverlening, en trouwens ook het sociaal domein, alles digitaliseert. Dat zien jullie als raadsleden ook. Zeker het sociaal domein doen we heel veel met data om daar grip te krijgen op ontwikkelingen. Ja, dat betekent dat je in de budgetten echt wel een verschuiving ziet ontstaan, maar het klopt dat we via de VNG, sorry, via het rijk, via het gemeentefonds daar gelukkig voor gecompenseerd worden. En zeker als er sprake is van nieuwe wetgeving die overigens ook steeds vaker uit Europa komt. Dat geldt voor deze wet en zeker ook die het NIS 2 in Europa en die moet dan verplicht vertaald worden naar nationale wetgeving. En dat is allemaal maar goed ook, want nogmaals, we zitten op gevoelige data, dus die moeten we ook gewoon heel goed beschermen en beveiligen. Mark. Daarop aanvullend, die wet, even los van alle complexiteit en alle details die erin zitten. Het gaat er eigenlijk over, eigenlijk zegt Europa tegen alle lidstaten en daarmee de geïmplementeerde wet: krijg je bedrijfsvoering op orde, weet welke processen je uitvoert, weet welke leveranciers je hebt en wat die leverancier voor jou doet, of die leverancier te vertrouwen is, dat je leverancier controleert, dat je daar goede afspraken over maakt. Zorg dat je inderdaad de verantwoordelijkheden juist alloceert. Het vraagt niks, het zou niks bijzonders moeten vragen, maar net als in de waan van de dag is het allemaal korte termijn en bij commerciële bedrijven zou ik zeggen, we leven van kwartaal naar kwartaal, overleg van kwartaalcijfers naar kwartaalcijfers. Heel voldoen winst voor de aandeelhouder gemaakt en dat aan.

Aan de andere kant, die lange termijn waardecreatie. Hoe bouwen we nou gewoon een kwalitatief bedrijf dat bij wijze van spreken over 100 jaar nog steeds staat? Wat robuust is en tegen een stootje kan. Nou, die wet wil dus dat voor een deel gaan realiseren: bouw een robuust bedrijf. En dat is hier voor een heel deel al gedaan. Eén keer terug mag komen op het.

Ik las net ook weer de samenvattingen die ik had gegeven. Het is niet dat de gemeente het slecht doet, alleen we hebben nog af en toe moeite om te laten zien dat we het goed doen, dat we een rapportage goed onderbouwd kunnen maken met "kijk eens, hierdoor doen wij het goed." Dus wiskundig gezien, we hebben netjes het antwoord en het antwoord klopt, maar hoe we tot het antwoord gekomen zijn met een berekening, dat ontbreekt af en toe. Dank u. Dank u wel, voorzitter. Ik hoor net dat digitalisering alleen maar toeneemt. Daarmee nemen ook de dreigingen toe. Ik neem aan dat dat betekent dat we ook meer goed gekwalificeerd personeel in dienst moeten nemen om dit allemaal goed in te richten, om die cyberwetgeving in te vullen. Hebben we dat, is daar een plan voor? Het antwoord is absoluut ja. We hebben goede mensen en we hebben er een plan voor om dat te houden. En ja, het is ook een uitdaging, want continu beweegt het zich door en de arbeidsmarkt is lastig en daarmee is het wel zoeken van: hoe houden we dat niveau vast? Maar we hebben hier een aantal toppers zitten en we doen het supergoed. Nou, dat is fijn om te weten. Bedankt. Nog meer vragen of opmerkingen, mevrouw Pereboom? Ja, ik heb een vraag over die cybersecuritywet. Wij hebben als raad daar ook een verantwoordelijkheid in. Sorry, dat weet ik niet. Het gaat erom dat wij als raad volksvertegenwoordigers zijn en kaders stellen en de controlerende rol hebben. En ik heb begrepen dat de colleges verplicht worden om een training te volgen, op straffe van 10 miljoen, dacht ik, als ze dat niet doen. En ik heb ook begrepen, we hebben één keer één training gehad in het stadhuis van Utrecht en daar werd ook een voorbeeld gegeven van een gemeente.

Ging en waar wij ook de raad een raadslid de mist in was gegaan en die dreigde dus ook een boete te krijgen. Dus

Is zijn wij voldoende geëquipeerd als raad om die rollen die wij hebben, in dit geval bij de cybersecuritywet, uit te voeren? Als ik kijk naar het aantal mensen wat hier zit, heb ik soms het idee dat het gewoon niet echt een sexy onderwerp is. Nee, maar ook de rapportage van de CEO en de FG, daarvan zijn tijdens de ingekomen stukken ook geen vragen over gesteld. Dat viel mij ook al op en dus eigenlijk is daar ook best wel wat werk te doen, denk ik. Dus ook precies de reden dat we het vandaag over dit onderwerp wilden hebben. Toen we dit inplanden, toen ja, was nog in de planning om dit jaar dat hij dit jaar zou ingaan. Sowieso bij het intreden van de wet is er nog twee jaar de tijd, dus er is nog wel één periode. Maar de vraag beantwoorden van is de raad daartoe geëquipeerd of zijn we er klaar voor? Ja, ik kan ik niet beantwoorden. Maar ik vind het wel een hele prettige vraag, want ik denk dat het wel een onderwerp is wat de komende jaren door zal blijven gaan. Ja, wat ik misschien mee kan geven is soms worden er met scenarioschrijvers de meest lugubere problemen gecreëerd. Je zou dus kunnen kijken van probeer één keer een soort stresstest te doen of zo. Dat werd volgens mij net ook al voorgesteld, waarbij ook de raad betrokken wordt. En hè? Dus behalve wat de Rekenkamer deed met die phishingmails, toch ook nog wel iets meer kunnen doen, denk ik. Maar ook op het terrein van kennisniveau. Het kennisniveau, maar ook bewustwording, met name bewustwording. De taak die wij hebben als raad in dit, hè, het is niet iets wat wij een afdeling ondergebracht wordt en dan is het geregeld. We hebben daar als raad gewoon een belangrijke taak in en niet alleen financieel. Dankjewel. Ja, ik kan het alleen maar in me heen zijn. Annette. Ja, daaraan sluitend eigenlijk. Ergens hebben we de controlerende taak ook hierover. Maar als we dan het jaarverslag zien met die uitkomsten, hebben we dan alles omvattend voor raad en informatie om te zeggen van dit betreft informatie cyberveiligheid, is die score, kunnen we daarmee zeggen van daar kunnen we de informatie uithalen, zodat wij ons controlerende taak kunnen doen. Nou, als ik daar antwoord op mag geven. Ja, de score lijkt misschien nu een eigen leven te leiden. Maar zoals ik ook heb.

We doen het voldoende volgens verschillende criteria, zoals Walter ook net betoogd heeft. Ook vergeleken met andere gemeentes, dus niet een cijfer wat je kunt leggen naast andere gemeentes, doen we het ook niet slecht. Maar we hebben zeker nog heel veel te doen. Dat heb ik geprobeerd uit te leggen dat we ook bezig zijn met die aanbevelingen, dus het project waarin...

Regelen Omdat daar denk ik

Een hoop te winnen valt. En ook als we dat goed regelen, dan kunnen we hele snelle stappen maken. Maar zijn dat ook jouw woorden? Maar dan moeten we nog wel mee aan de slag. Dus, ik weet niet of ik dan antwoord geef op de vraag. Van ja, het is misschien toch een cijfer en hoe ver staan we er dan vanaf? Maar ik denk dat het in die zin dat zij goed bezig is, maar nog een heleboel werk te verrichten heeft en ook in het gesprek en de rol die de Raad heeft de komende tijd. Dus daar ben ik alleen maar blij mee met de vraag of de opmerking die net gemaakt is. Oké, is dat een antwoord op de vraag? Nou helemaal denk ik. Als we zien de uitkomsten, als we zien hetgeen wat onderzocht is waar het jaarverslag van ligt, heb ik dan alle informatie die ik nodig heb als raadslid om te kunnen controleren? Is dat een vraag voor de wethouder, want ja, het antwoord daarop is nee. En gelukkig bieden we ook meer hè? Dus gewoon via de reguliere PSC-cyclus rapporteren we een aantal keren per jaar over dit soort zaken over risico's bijvoorbeeld, maar ook over waar we staan op een aantal vlakken, dan hebben we dus twee onafhankelijke rapportages. Een van de FG, Serge Katoes. Die heeft

Bij een vergelijkbare avond gerapporteerd over zijn rapportcijfer, want zo rapporteert hij ook, en dat gaat met name over waar we staan op het gebied van privacy. Nou, dan hebben we Mark die dit rapport minimaal één keer per jaar laat zien op het gebied van informatieveiligheid. Maar wat ook heel belangrijk is en heel erg genormeerd, dat zijn die NCSC-rapportages die Mark ook al noemde. En op het moment dat je als gemeente DigiD wil gebruiken, ook de RSD, gebruikt onder onze verantwoordelijkheid bepaalde applicaties, dan moeten we daar allerlei toetsen voor doorstaan. Dan gaat het bijvoorbeeld over de vraag wie toegang heeft tot bepaalde informatie, persoonsgevoelige informatie. Op het moment dat we daar doorheen komen, is dat relevante informatie voor de Raad. We informeren de Raad daar ook over, maar heel mee eens, mevrouw Pereboom. Er is weinig interactie over, dus het zou mooi zijn als je net als over de cijfers, want dan rapporteren we ook over, ik bedoel onze financiële cijfers, ook over dit soort onderwerpen ja, vaker de interactie zouden hebben. Ik zou jullie vooral willen uitnodigen als raadsleden om zo kritisch mogelijk te zijn richting het college op dit gebied. Nou ja, ook die wetgeving moet je in dat licht zien. Er worden meer dingen van het college gevraagd, die 10 miljoen is over het scherm.

Die op het niveau van het college ligt. Dat is € 25.000, dus overigens wel persoonlijk, dus best wel een incentive.