- Walter van Dijk - Wethouder
- Annet Ploeg-Bos - ChristenUnie-SGP
- Roel van Nieuwstadt - GroenLinks
- Chimène van Lunteren - SP
- Ans Pereboom - GroenLinks
Achtergrondinformatie
ICT-visie 2030 en cyberveiligheid. We hebben die vorig jaar vastgesteld, hè? De ICT-visie 2030. En daar staat onder andere in dat we de dienstverlening de komende jaren met behulp van ICT gaan verbeteren. Vanavond zijn er een behoorlijk aantal mensen aanwezig om u daarover te informeren. Ik stel voor dat die mensen zichzelf even kort voorstellen straks als ze aan bod komen, dat spaart tijd. En de presentatie die u straks gaat zien, die staat al in het in het er is. En de wethouder vanavond die verantwoordelijk is voor ICT is Walter van Dijk, en die zou ik graag even het woord geven.
Er zijn ook opnames, misschien dus dan moeten we toch even ook met audio doen. Ben ik zo te verstaan? Mooi. En de heer van Nieuwstadt heeft helemaal gelijk. Het gaat om de mensen die aanwezig zijn en dat dat zijn jullie en daar. Daar zijn we dankbaar voor en we realiseren ons dat de concurrentie vanavond inderdaad lastig is met een groot onderwerp als Driebergen-Zeist, maar nogmaals, jullie zijn er en wij zijn er ook, dus dan kunnen we er gewoon een mooie avond van maken en dat is nodig ook, want dit onderwerp staat zo een beetje dagelijks in de krant en met dit onderwerp bedoel ik met name het tweede onderwerp voor vanavond. Cyberveiligheid, cyberweerbaarheid. Een onderwerp wat nou ook vandaag weer volop aan de orde was omdat ons Nederlandse leger op dat gebied forse investeringen gaat doen, is allemaal niet voor niets heeft allemaal te maken met dreigingen die op ons afkomen. Nou, we hebben ook een aantal slides vanavond over hoe men landelijk dreigingen inschat en ik de vorige keer ook wel heb aangegeven. Als gemeente zit je in een bijzondere situatie is toch heel anders dan een bedrijf. Wij zijn verantwoordelijk voor heel veel gevoelige data. Van onze inwoners op het moment dat iemand vrijkomt vanuit detentie, dan weten wij waar iemand gaat wonen. Wij weten wie welke mate van schulden heeft en zo zijn er meer vormen van informatie waarvan je er toch niet aan moet denken dat die op straat terechtkomt. En nogmaals, wij zijn wel betrokken bij die informatie. We moeten dus borgen dat die informatie ook zo goed en veilig mogelijk blijft. Er is dus in alleen al om die reden willen we de raad ook graag meenemen in waar we staan. Ja, dat zullen we enerzijds doen door zelf aan te geven waar we staan met de uitvoering van. Zeg maar de ICT-visie en meer specifiek waar we staan met cyberveiligheid. Maar we proberen vanavond ook heel nadrukkelijk daar een onafhankelijk oordeel op te laten zien. Dat zal door Mark Tissink gebeuren. Onze externe CISO later in het jaar, dat zeg ik niet goed, zal begin volgend jaar zijn, denk ik, dan zal de externe FG zeggen katoes ook weer, zeg maar met een rapport onafhankelijk en ongetwijfeld kritisch. Naar de raad toekomen. Maar wat ook wel van belang is, is dat de raad zelf ook een speler is en we zullen vanavond dus een aantal dingen presenteren, maar zeker tweede deel van de avond is veel meer bedoeld om in interactie met jullie te kijken van wat voor dilemma's lopen nu tegenaan? En dat gaat ook over dilemma's die direct raken aan de rol van raadslid. Dus eerlijk gezegd verheug ik me daar vooral op voorzitter en wensen komt ons allen een informatieve en vooral ook interactieve avond toe. Dank jullie wel.
Dank u wel, wethouder. Wie trapt af? Ik ga er even tussen staan, dus meneer Tissink, hè? Oh, Minken, sorry.
Hebt, ik mag even aftrappen. Ik ben Ron Minken, ik ben reiniging van het team Informatievoorziening binnen de gemeente Zeist en op direct niveau ook eindverantwoordelijk voor de hele digitalisering binnen onze gemeente. En daar valt dit onderwerp ook onder en ik mag samen met een aantal. Iets dichterbij de IS. Ik mag samen met een aantal collega's jullie daar vandaag in meenemen. En Walter zei het daarnet al, precies een jaar en één dag geleden is de ICT-visie 2030 door jullie vastgesteld en dat is onderdeel van, is één van de fysieke documenten dat onderdeel is van hoe zetten we die digitale transformatie organisatie nou in met elkaar? En kern van die ICT-visie 2030 en daarom is het ook zo belangrijk dat we ook hier vandaag met elkaar staan, is dat we zien dat. Waar vroeger ICT iets faciliterends was die zorgde de laptops. Die zorgde dat de schermen werkten, zien we het steeds meer. De vermenging tussen de primaire processen en digitalisering en dat ook keuzes die hier steeds meer gemaakt worden, randvoorwaardelijk en samenhangen met alles wat op ICT-gebied gebeurt en daarmee ICT op bepalend gaat zijn en daarom zo belangrijk dat de Raad daar naar steeds meer eigenlijk vanaf weet en ook steeds meer iets van gaat vinden, omdat steeds meer bepaald welke keuzeruimte we ook met elkaar daarin hebben. Vandaag gaan we het hebben over die ICT-visie 2030. Mark Neute zal ze straks nog even voorstellen, maar die gaat jullie daar een stuk in meenemen. Mark Tissing, als die zo gaat voornamelijk zoomen we daarna voornamelijk in op de zijn beveiligheid met elkaar. En Robert. Wie zal jullie meenemen in wat we daar ook de komende jaar weer verder in gaan doen en daarna op een mooie, mooi gesprek met elkaar te voeren. Wat voor mijn aftrap, en dan geef ik Mark. Dankjewel. Dankjewel
Dag, goedenavond allemaal. Ik ben Mark Nuijten. Ik ben een van de strategisch adviseurs informatievoorziening, een van de penvoerders van de ICT-visie 2030 die nu ongeveer een jaar geleden is vastgesteld. En het leek ons aardig om even een korte recap te doen naar de ICT-visie. 2030, waar ging het ook alweer over? We hebben aan de hand van vijf thema's in samenhang gekeken naar wat er op ons afkomt en wat onze opdracht is om het goede te doen voor het goede leven in Zeist vanuit de ICT tot 2030 en vanaf vorig jaar. Ik zal de thema's even kort toelichten. Dit is eigenlijk een herhaling, maar toch goed om even te noemen. Een van de dingen is sourcing. Sourcing gaat eigenlijk over van hé, wat doen we nog zelf? Wat besteden we uit? We zien dat de IT steeds meer, nou, dat nemen we steeds meer als een dienst af. Wat betekent dat ook voor onze organisatie bijvoorbeeld? Betekent dat we meer regie moeten voeren op de uitvoering, in plaats van dat we de uitvoering zelf doen. Daar kunnen we ook zeggen van nou, oké, als we lokaal het verschil moeten maken, kiezen we er vaak voor om het zelf te blijven doen. Dus dan kan je denken aan iets heel praktisch als bijvoorbeeld de helpdesk ICT. De nabijheid die we gaan kiezen, even onze kernwaarden. Daar zullen we waarschijnlijk zelf wel even doen. Maar dingen die wat generieker zijn of die in de markt heel goed beschikbaar zijn, of die we eigenlijk zelf niet zo goed kunnen, zoals 24 uur bewaking, dan moet je je afvragen, wil je dat nog zelf doen? In de volgende sheet kom ik met een paar voorbeelden van wat de afgelopen jaren gedaan is of dat er een beweging is geweest. En dan zal het wat meer gaan leven, hoop ik. De kwaliteit van dienstverlening gaat ook heel erg over digitalisering, maar ook over het oog op de geletterdheid van de inwoners van Zeist. Niet iedereen kan meekomen met de digitalisering, dus uit digitaal tenzij wordt wel eens gezegd. Tegelijkertijd is het maatwerk waar nodig. Dat staat ook in de ICT-visie. Nou, ik ben ICT'er pur sang, dus ik zou zeggen, we digitaliseren alles. Tegelijkertijd weet ik ook, kijk, denk aan mijn eigen moeder bijvoorbeeld, daar is ook een nog steeds. We hebben nog steeds een loket nodig en de vraag is of het loket digitaal moet zijn. Ik denk dat alle diensten digitaal moeten aanbieden, maar daar waar het nodig is, passen we ons aan. En dan denk ik uiteindelijk dat de kwaliteit van dienstverlening dat we daar goed op gaan scoren, scoren sowieso redelijk goed, denk ik, maar ook daar zijn bewegingen in geweest. We hebben, kom ik zo bij voorbeelden, bijvoorbeeld de burgerzakenapplicaties. Nou, de meeste van jullie zijn inwoner van Zeist, daar gaan we nou begin volgend jaar komt daar wel een hele grote verbetering, verwacht ik. Collectieve tijd samenwerking, nou, wij zijn natuurlijk onderdeel als gemeente van de VNG. De VNG neemt heel veel initiatieven als het gaat om ICT-informatievoorziening. Onze collega-wethouder Walter van Dijk is daar ook heel actief in, maar ook de gemeentes om ons heen. In het bijzonder gemeente Nieuwegein, dat staat ook in de ICT-visie. Daar hebben wij afgelopen vijf jaar ons datacenter mee geëxploiteerd. En dat is eigenlijk een fijne partner. Nieuwegein is bijvoorbeeld even groot qua inwoners, dat is altijd fijn samenwerken. Maar we verwachten ook via VNG dat we, we doen als gemeentes 80% van onze dienstverlening is hetzelfde, dus dat, nou ja, dat is heel veel grond om dingen samen te doen, wel vanuit IT-perspectief, dus dat gaat over inkopen, maar ook samen ontwikkeling. Nou, we hebben, misschien jullie hebben gehoord van Common Ground, is een term die veel voorkomt. Ja, daar zullen we als Zeist, nou, daar zijn we, we kijken in ieder geval geïnteresseerd naar. En we zien een aantal gemeentes daar al hele grote stappen in maken. De ontwikkeling van de organisatie, nou, wat ik net al zei, we gaan steeds meer naar regieorganisatie. Dat betekent dat we meer kijken, hè, regie voeren op de uitvoering in plaats van dat we het zelf doen. En dat betekent ook wel iets voor de competenties die we in huis hebben waarin we, hè, eerder voerden we het zelf uit en nu hebben we competenties. Iemand die weet bijvoorbeeld servicemanagement. Nou, we hebben sinds een maand of drie een service level manager bij IV rondlopen, die rol kenden wij voorheen helemaal niet. Nou, dat zegt al iets over de ontwikkeling, hè. De organisatie moet zich ook ontwikkelen om dat te kunnen doen, want de regie voeren. Daar komt iets meer bij kijken dan het zelf doen. Want ja, je moet ook zorgen dat de kwaliteit hoog blijft, terwijl iemand anders het doet, kun je je alles bij voorstellen. Het laatste en daar komen we ook op het focuspunt van vanavond. Dat is eigenlijk een veiligheidscontinuïteit. Eigenlijk is dat natuurlijk een voorwaarde voor alles wat ik net genoemd heb. Zal ik zo nog even toelichten en nou, de sprekers na mij zullen daar wat meer op inzoomen. Een heel actueel onderwerp is het al een hele tijd, maar we staan wel. Ja, dat staat wel onder druk. Continuïteit, hè, de veiligheid hangen natuurlijk samen met elkaar. De continuïteit komt in het geding als de veiligheid niet op orde is, hè, een hack en de dingen die jullie ook in de krant lezen. Ik zal niet altijd gras voor de voeten wegmaaien van mijn volgende sprekers. Om even toe te lichten. Wat? Om het even wat beeldend te maken. Wat hebben we in het afgelopen jaar onder andere gedaan? Ik heb wat voorbeelden genoemd. Dit plaatje is overigens niet door onszelf. Dit is door een enterprise architect van gemeente Zwolle heeft daar ooit een initiatief voor genomen, maar het geeft heel erg aan. Ik hoop dat het een beetje leesbaar is. De lagen die, hè, in samenhang als het gaat om ICT of informatievoorziening waarin je onderin eigenlijk de techniek ziet. Daar zie je steeds meer dat we dat niet meer zelf doen, hè. Dat gaat heel erg over cloud. Dat gaat heel erg over SaaS en dat soort termen, dan heb je daar, hè, daarboven op al die techniek draaien dus een applicaties en daar slaan we informatie op. Tot zover is het allemaal nog ICT vaak voor mensen heel onzichtbaar, dan komen we op wat zichtbare deel. Dat gaat eigenlijk over de organisatie, hè, de processen die daar spelen dus de. De mensen bij achter de balies die hier bij de burgerzaken werken en die gebruiken dan vervolgens weer de informatie en applicaties die we draaien op techniek en uiteindelijk draagt het allemaal bij aan het goede leven in Zeist, daar is Zeist. Wat ik? Ik zal net nog even lezen, hè. Nederland is een van de meest gedigitaliseerde landen van Europa en Zeist dus zeker geen uitzondering. Ik denk dat nagenoeg een groot deel van onze dienstverlening is ook digitaal beschikbaar. Even met de kanttekening heb ik maatwerk waar nodig. En daar, daar blijven we ook op inzetten wat we hebben gedaan het afgelopen jaar. Nou is dit een beetje voor het beeld. Ik weet niet of het dat kan, denk ik niet weg. Of kan ik alleen mijn? Voor de tekst. Een van de grootste projecten van het afgelopen jaar is dat we ons datacenter wat voorheen op zolder stond, hier in het Lengkeek gebouw. Dat is gemigreerd, volledig per 1 maart operationeel in naar Amsterdam verhuisd. Amsterdam ja, we hebben daar gekozen via een aanbesteding. We wilden daar ook soevereiniteit is daar heel belangrijk, hè. We wilden dus controle hebben over waar staat de data, wie kan erbij, waar gaat het over? Het draait nu in een datacenter Amsterdam. Met ja met 24 keer 7 monitoring 24 keer 7 hele hoge continuïteit. Dat nou, je kunt je iets bij voorstellen wat voor een project dat geweest is dat. Daarvan is dus nu ook daar. Dat doen we dus ook niet meer zelf. De techniek wordt eigenlijk als een dienst afgenomen. En hier in het gemeentehuis hebben weinig last van gehad. Is feitelijk alleen nog maar wat zijn alleen nog maar werkplekken en netwerken aanwezig. Daar hoort ook monitoring bij. Ja, dat is onderdeel van de regievoering. Dus weten wat er speelt en hoe het loopt, dat doen wij deels zelf. We zijn ook bezig via de VNG overigens weer met monitoring respons. Dat is een gezamenlijk inkooptraject waarin we ja, ik wil niet teveel jargon gebruiken, maar het SIEM SOC dat gaat eigenlijk over dat je ook weer. Een dienst inkoopt die dus toezicht houdt op het dit geval datacenter dus, hè, gebeuren. De vreemde dingen zijn, er zijn er hacks of zijn er is er malware, zijn er andere dingen. Nou Nieuwegein noemde ik al, want daar deelden we datacenter mee. We zijn nu een soort, een echt schenking uit elkaar gegaan, maar we zijn wel hele sterke kennispartners van elkaar. Nieuwegein en Zeist lijken qua organisatie best wel veel op elkaar en ik zie dat dat nog steeds een nou heel waardevol is in in het samen. Nou ja, kennis delen, maar ook potentieel samen projecten doen inkooptrajecten, lopen of samen misschien wel deelname en deelnemen aan VNG. Aanbestedingen. Nou, wat hebben we daar meer op één niveau hoger hebben we daar gedaan. We hebben een aantal processen, een aantal kernapplicaties vervangen. Belangrijkste is denk ik dat we de burgerzakenapplicaties waar zowel de inwoners als de medewerkers en burgerzaken werken die is aanbesteed en we gaan. Begin volgend jaar eind dit jaar live met een compleet nieuwe omgeving. En daar zitten nou, dat is ook wel een hele stap voorwaarts in moderne software, waarbij ook de ambteloze processen. Volgens mij noemt PinkRoccade. Er zijn dus heel veel processen die digitaal volledig door de inwoners zelf gedaan kunnen worden, zonder inmenging van een van een ambtenaar. 24 keer 7. Dat kan juridisch voor een deel al, maar de software moet het ook ondersteunen. Nogmaals, daar is het altijd een kanttekening bij. We moeten daar natuurlijk altijd weer kijken van is dat voor iedereen beschikbaar, maar dat we het kunnen aanbieden is, denk ik een hele grote mooie stap. En de software die we nu hebben wat ik ervan gezien heb. Ik zat zelf in de commissie, daar werd ik zelf al heel enthousiast van. Ik heb zit even naar mijn tijd te kijken. Een belangrijke opgave voor Zeist, is architectuur. Architectuur is eigenlijk vooral het in kaart brengen. Hoe werken die systemen, hoe hangen ze samen, zodat bij nou bij onderbrekingen, maar ook bij grote wijzigingen we ook weten wat de impact is? Dan zou je denken, nou, dat doen jullie toch al lang? Nou, dat kan al een stuk beter. Daar, daar zijn we nu de afgelopen maanden mee bezig. De cyberweerbaarheid is een andere aanbesteding vanuit de VNG. Dat gaat daar zit, die zal. In december wordt daar waarschijnlijk een gunning voor. Bekend, daar zitten producten in, zoals awareness, campagnes, pentesten en allerlei zaken waarmee we ook kunnen kijken. Nou ja, we hebben denk ik goed op orde, maar laten we het ook maar testen. Proof of the pudding is in the eating. Dan meer op het niveau van de medewerkers, maar ook naar de inwoners hebben we de privacy en digitale weerbaarheid. Dat zijn dus de. Daar zijn we natuurlijk altijd mee bezig overigens, maar onze eigen digitale weerbaarheid, hè? Ook onze de ambtenaren, collega's nou zij herkennen wij phishing mails bijvoorbeeld, herkennen we. En wat doen we dan volgens mij? Wat doen we daarmee? Het andere is AI nou, dat is natuurlijk het buzzword van de afgelopen jaren. Daar zijn we als Zeist via gemeente Breda en de VNG zijn we bezig met een nou de experimenten medaille. We hebben eigenlijk aan de organisatie gevraagd. Wat denken jullie dat AI kan betekenen voor jouw werk? En er lopen nu op dit moment. Ik zit zelf in de AI-werkgroep drie. Ja experimenten eigenlijk wanneer we gaan vooral gaan kijken, hé, ik kan ja meerwaarde geven in bepaalde processen binnen de organisatie. Dus in die zin zoeken we voor het voor de oplossing een probleem. Dat is niet altijd de goede volgorde, maar we gaan AI niet iets niet wegzetten als iets te doen. Niet gevaarlijk, dat weten we niet. Het kan zijn dat de conclusie is dat we het er eigenlijk niet kunnen gebruiken of dat het niet toepasbaar is, maar dat daar komt waarschijnlijk nog een aparte sessie voor. Of moet ik? Nou heel mooi Mark om een verhaal. Het bruggetje naar veiligheid, want al deze dingen we zijn natuurlijk erg afhankelijk van informatievoorziening. ICT valt of staat toch wel met je de mate van veiligheid? Er is een hack op het datacenter het datalek in de informatie of een onderbreking van processen door iets. Ja, dan komt het goede leven en zij is toch in de knel dus cyberveiligheid verzamelen term voor alles wat te maken hebben met veiligheid is wel dat moet op orde zijn. Mooi bruggetje naar mijn volgende spreker. Mark. Die gaat jullie verder meenemen op dat onderwerp.
Ja, een hele goede avond. Mijn naam is Mark Tissink, expert op het gebied van informatiebeveiliging, risicobeheersing en sinds bijna een jaar als extern CISO. Vergelijkend aan de FG die jullie misschien kennen, verbonden aan deze gemeente, dus eigenlijk het stukje externe toezichthouden van hoe gaat het nou qua informatieveiligheid? Het mooie en vervelende van mijn vak is dat er altijd genoeg voorbeelden zijn. Deze slides heb ik een paar dagen geleden gemaakt, dus het is alweer wat verouderd nieuws. Maar natuurlijk kunnen we niet om die grote lek heen, die hack bij Clinical Diagnostics met al die BSN's, medische gegevens, persoonsgegevens waar een heel groot deel van de Nederlandse populatie in zit. En ook die partij had de certificaten, de certificeringen, de controles, de toetsing. En toch komt het gebeuren. De details moeten nog bekendgemaakt worden, maar dit is wel iets wat er is gebeurd met toch grote gevolgen. Misschien, dat zal moeten blijken hoe dat straks vergaat. Punt zelf al informatie ligt op straat. Een andere: Marechaussee accepteert door storing alleen nog contant geld voor noodpaspoort. We zijn zo afhankelijk van ketens van leveranciers, want de Marechaussee heeft natuurlijk niet zelf een complete betaalpinautomaat. Die nemen ze in bij een leverancier en die hebben ook weer een onderdeel van een leverancier en weer van hun leverancier en die hele keten van leveranciers, het bedrijf en de klant die daar naar voren komen. Ja, hoe gaan we daar als bedrijven in het midden, in dit geval misschien onze gemeente, hoe jullie gemeente moet ik zeggen, hoe gaan we daar grip op houden? En ook, en dat is natuurlijk een stuk verderop, maar het Ministerie van Defensie in Amerika, die heeft gewoon het ketenbeheer. Hoe ga ik om met de leveranciers als hun grootste risico betiteld? Even los van het feit, oké, dan kan je dus alleen met contant geld. Hoe zou dat werken als de pinautomaat hier in het gemeentehuis niet werkt? Wat voor maatregelen hebben ze allemaal bedacht? Of is dan dat de burger naar de pinautomaat moet om contant te betalen en nemen we eigenlijk nog contanten aan? Dus de hele ICT-wereld is prachtig zolang het werkt, maar als het niet werkt, hebben we er dan over nagedacht wat we kunnen gaan doen om te zorgen dat het wel weer gaat werken. En wat doen we in de tussentijd? En dan komt het NCSC, het Nationaal Cyber Security Center, ook een onderdeel van een VNG, dus gaat over de digitale veiligheid. En hij is niet van de VNG, dus komt vanuit de Nederlandse overheid. De informatiebeveiligingsdienst is onderdeel van de VNG, die geeft dus inderdaad adviezen, die geeft inzichten en blijkbaar was er een of andere PDF-editor om de chef je je bestand te kunnen bewerken. En daar zat dus die anti, die malware in. Ja, hebben we dat draaien, hoe gaan we daarmee om? Wat moeten we nu doen? Moeten we nu werk stopzetten? Al dat soort vragen zijn dan op dat moment dat zoiets naar boven komt, onderwerpen waar dus de organisatie mee belast wordt. En ik had zo nog 15 andere onderwerpen kunnen pakken. Softwarekwetsbaarheden die zijn alledag en elke keer vinden we weer nieuwe softwarekwetsbaarheden waar we dus ook weer wat mee moeten. Dus ik denk ook dat het een heel slim idee is dat zeker voor de onderdelen waar de gemeente zich echt niet zelf onderscheidend in is, dat wel bij een partij leggen die daarin gespecialiseerd is en daar zoals Mark ook zei regie op houden. Nog zo'n ander onderwerp. En die vind ik wel heel spannend, die veel meer uitzoomt. De big tech en dan hebben we het ook over datasoevereiniteit. Oftewel, waar staat mijn data? Wie kan bij mijn data? En dat vind ik ook heel tof dat deze gemeente ervoor niet voor heeft gekozen. Nou weet je, we zetten het lekker bij Microsoft hier in het datacenter in Frankfurt of in Londen of in Amsterdam. Wetende dat er nog steeds wet- en regelgeving is vanuit Amerika dat ze erbij kunnen. Ze als zijnde Amerikaanse overheid met de juiste vraag, met de juiste verzoeken is dat gewoon technisch mogelijk en daar worden nu ook weer rechtszaken tegen aangespannen. En dit maakt het allemaal niet veel makkelijker. En dan komt er weer een nieuwe kwetsbaarheid en weer een nieuwe kwetsbaarheid en zo kunnen we door blijven gaan. Even kijken. Ja, dit is welgeteld toch wel over drie dagen verspreid dit nieuws en elke dag komt er weer zo'n nieuwe lijst met allerlei zaken waar wat mis mee is. En ik vind het nog steeds bijzonder dat alles wat we vandaag de dag hebben gebouwd als mensheid in de digitale systemen, dat we toch over het algemeen goed werkt. Over het algemeen doet alles het en blijft alles werken. Totdat het niet meer werkt. En dan zien we dus in ene de hele maatschappij horten tot stilstand komen. Waarbij we gaan kijken, ja en nu. En hopelijk heeft de organisatie al eens over nagedacht. Oké, dit kan gebeuren. Oh, dan doen we dit. Dan doen we dat en we krijgen het weer aan de gang. En ondertussen kunnen we ook nog de diensten blijven leveren die wij moeten leveren. Dat is dus inderdaad het onderwerp van BCM, business continuity management, namelijk. Hoe kunnen we het bedrijf door laten gaan als de systemen stoppen? Nee, daar moeten we wel over nadenken. En gelukkig. We hebben dus net kwam even de NCSC langs, Nationaal Cyber Security Center. We hebben ook de NCTV, Nationaal Coördinator voor Terrorisme en Veiligheid. En die geven gewoon hele duidelijke uitdagingen. Want en dat horen we ook gelukkig vaak genoeg die toenemende en veranderende dreiging op de vitale infrastructuur. Als Zeist aangevallen zou worden, is natuurlijk vraag één is, is dat vanwege zo'n toenemende dreiging? Of is dat gewoon een malafide bende die. Ja toevallig toevallig dit bedrijf langs ging is een gerichte aanval. Met hoog geavanceerde technologie om in te breken koste wat kost willen wat willen willen we binnenkomen of is het? Ja, dit lag toevallig voor het oprapen. We pakken deze. Zal maken met oké, wat moeten we daaraan doen? Ik kom zo gelukkig met ook een antwoord, veel gaat al wel goed. Hetzelfde ook. Die van naar de wereldorde die we ook elke dag in het nieuws lezen ook hier. Ja, de datasoevereiniteit, waar staat mijn data van wie is? Mijn data? Is een heel belangrijk vraagstuk. Zijn wij nog steeds in het controle over alle gegevens die wij hebben weten dat wij als gemeente. Die die belangrijke basisregistraties met personen met gebouwen dat wij die moeten, die moeten wij beveiligen. Dat is, dat is de kern van wat wij hier te digitaal te bieden hebben. Even los van alle processen die we natuurlijk ook moeten leveren. En, het wordt alleen maar erger. Maar ik heb ik heb geleerd. Biedt ook nieuwe kansen. Ik hoop dat de burgerbalie hierop voorbereid is. Als er straks veel meer. Burgers langskomen omdat ze een nieuw paspoort of ID-kaart willen hebben. Dat is een data uitgelekt is en we inderdaad gaan werken met het vernieuwen van een een identiteitsbewijs. Goed, dit even het stukje van mij als expert beschouwend de wereld. Ik heb begin vorig. Begin dit jaar heb ik ook mijn beeld gedeeld. Ik heb gesprekken gehouden in de organisatie. Ik heb gezien wat er aanwezig is. Hoe zit in tijd?
Zal ik maar even een heel stukje hierover vertellen? Hoe gaat het nou binnen Zeist? Oh, sorry, ik ben Robert Lee, strategisch adviseur. Mijn bijdrage vanavond is om iets te vertellen over wat jullie eigenlijk allemaal aan het doen zijn binnen Zeist. Hoe gaat het met ons? Ik doe even een algemene introductie en dan komt Mark weer aan bod. Oh nee, dat is nog voor jou. En deze toch voor jou, Mark? Oh, is goed.
Dus dat dreigingsbeeld en daar worden ook inderdaad door verschillende bedrijven ook allerlei stukken over geschreven hier ook weer naar het cybersecuritybeeld. Grootschalige uitval. Het is ook belangrijk. Er is, het is zo dubbel enerzijds. Er is heel veel bangmakerij van stel, het gaat fout en wat gaan we dan doen? En het kan groot uitvallen en het kan catastrofaal zijn en we hebben criminele actoren en we zijn veel boeven en tegelijkertijd biedt die hele digitalisering ook ons zoveel mogelijkheden. Kijk wat we vandaag de dag allemaal kunnen doen, kijk wat we 3 jaar geleden tijdens de coronapandemie hoe we als maatschappij toen wat draaiende konden blijven met alle digitale technologie die we hebben. Kijk, het gemak van AI vandaag de dag. Twee analogieën: 's ochtends deed ik een lezing bij KPN. Ik heb gehoord. Ze hebben afgelopen jaar ruim 202 AI-specialisten in dienst genomen om daar dienstverlening op te bouwen. Aan de andere kant, ik zat met mijn dochtertje die is bijna 5. Ik had ooit een mooi beeldje uit India meegenomen. Ik had een foto van gemaakt, geüpload naar ChatGPT. Een vraag, wat zijn deze beeldjes? En vertel even wat erbij krijg ik netjes in zo'n stukje uitleg over wie die goden zijn, waar ze voor staan en hoe je ze kan gebruiken. Prachtig. Ik was naar vliegtickets aan het kijken en ik vraag denk mee als een specialist, waar moet ik aan denken voor de beste prijs? Je kan die dingen voor zoveel inzetten en dat is natuurlijk het probleem met de digitale technologie. Je kan ze voor goed en voor kwaad inzetten. En dan is dus ook tegelijk weer de vraag hoe digivaardig en daarmee uiteindelijk digiveilig zijn wij als maatschappij? En dan de vraag van mij daarachter zoeken ja, welke rol vervullen we daarin als gemeente? Of als werkgever. En die brede manier van die digitale dreigingen. Daar wat te doen en er zit zoveel concentratierisico op die grote bedrijven, een Google, een Microsoft, een Amazon. Die zo'n gigantische hap in die markt hebben. Kunnen we er omheen? Ja of nee? Het is lastig. Het is ontzettend lastig en hetzelfde geldt ook met netwerken. Hetzelfde geldt ook met smartphones. Je hebt twee merken of ja, je hebt Android of je hebt iPhone en Android heb je allerlei leveranciers of je hebt Apple welke pakken we welke doen we en hoe kunnen we daar ons voldoende veiliger mee maken? Hoe zorgen we er dus voor die goede cyberveiligheid? Want die veiligheid blijft en is essentieel. We moeten ervoor zorgen dat wij beschikbaar blijven. Dat is verbonden met de nationale veiligheid. Aldus het NCSC. En ook daar komt weer vervolgd dreigingsbeeld op, het wordt alleen maar complexer. We doen alleen maar meer moeilijke dingen. En laat ik wel wezen, informatiebeveiliging en zelfs privacy. Het is niet wezenlijk veranderd de afgelopen 50 jaar. De basiseisen en wensen wat we in informatiebeveiliging, cyber en privacy willen, is nog steeds hetzelfde. Alleen vandaag de dag moeten we dat op zo'n complex digitaal landschap proberen te plotten. Waarbij we heel veel verbindingen hebben, liggen internetverbindingen met applicaties die dan weer data naar andere applicaties zetten die weer koppelen aan dit en weer koppelen aan dat en dat complexe ecosysteem moeten we zorgen. Twenty Four Seven dat het beschikbaar blijft. En daar slagen we toch best wel heel erg goed in elke keer. En, dat wordt niet makkelijker. Is dit stukje dat jij wat over de agenda wil vertellen? OK. Dus de VNG heeft onlangs ook de digitale veiligheidsagenda 2028 gepubliceerd, met daarin een heel aantal concrete stappen, waarbij ja de digitale veiligheid gewoon de gedragsnorm de norm is in gemeentes. Of. Zoals Esther van de VNG dat zegt digitale veiligheid is onze nieuwe norm met deze ambitieuze agenda willen we niet alleen inspelen op de nieuwe technische ontwikkelingen zoals AI en ik durf er ook nog wel achter te zetten en cloud. Maar ook inzetten op de digitale weerbaarheid van de samenleving. De veilige gemeentelijke dienstverlening alleen door krachten te bundelen en kennis te delen, kunnen we robuuste digitale infrastructuur opbouwen die bestand is tegen de uitdagingen van morgen. Niet dat als er één keer zo'n stukje ransomware langskomt. Dat de hele organisatie plat ligt en dan kunnen we natuurlijk zeggen. Goede medewerker Foei burger dat niet op dat linkje mogen klikken. Maar het is ook het linkje en de mail en de vervolgstap en het landschap. Het is niet alleen dat ene linkje, er zijn nog veel meer plekken. Is er een fout gemaakt waardoor dit heeft kunnen ontstaan en. Ook hier, meneer de voorzitter gaf dat inderdaad aan einde aan de ICT. Versnippering vanuit het VNG Magazine van vandaag zelfs waar, waar zij ook inderdaad aangeven. Ja, leveranciersmanagement één inkoop, driehonderdtweeënveertig gemeentes onderhandelen apart. Natuurlijk. Gemeentes hebben hun lokale verschillen en hun. Lokale unieke kleur. Maar op techniek niveau voor basisniveau. Is het min of meer hetzelfde en zijn er slechts paar accentverschillen. De digitale veiligheid, zoals ik net ook benoemde. Gemeenschappelijke die alarmsysteem waar Mark het net over had. Informatiebeveiligingsdiensten die daar oplossingen voor biedt oefenen. We vinden het nog steeds heel normaal dat er een BHV ontruiming is dat we allemaal op een. Altijd niet goed uitkomen. Moment het pand uit moeten, maar als ze zeggen, nou, laten we even kijken hoe we de IT kunnen ontruimen of dat allemaal goed veilig gaat en alles weer veilig kunnen krijgen. Ja, maar dat komt niet uit. En zoals ik al noemde de cloud en digitale afhankelijkheid. De Europese alternatieven voor Amerikaanse techgiganten. Ook dat is een onderwerp. Niet zozeer hoor ik hem terug in de Nederlandse politiek, maar zeker wel op de Europese speelveld. Dus ik heb wel hoop voor de toekomst. Ik zie dat. Misschien wel vanwege de perikelen in Amerika er wel een soort van trend op gang aan het komen is dat we gaan zorgen voor die kwaliteit voor die beheersing. Met hoofdthema's. Waarbij de arbeidskrapte niet heel handig is. Ook ik sta hier als een externe te vertellen. En zo zit er onder meer inderdaad op externe externe plekken. En, dat is niet alleen deze organisatie, dit hoor ik terug in heel veel organisaties overal zijn uitdagingen krijgen we de goede mensen in huis kunnen goede mensen hebben. Wat het ook weer niet makkelijker maakt. Goed, de lokale situatie, hoe doen we het? In Zeist? Hebben we het op orde. Dit is jouw stukje, hè? Ik wou zeggen.
Ik was eventjes weg. Excuses. Inderdaad, Robert Lee. Ik ben strategisch adviseur informatieveiligheid en ik ja, mijn bijdrage is vanavond om iets te vertellen over hoe we het in Zeist doen. Wat doen we in Zeist? En ik denk dat jullie dat wel graag willen weten: hoe doen we dat nou? In Zeist doen we het goed, doen we het slecht, zijn we helemaal veilig of moeten we ons zorgen maken? En ik wilde eigenlijk de opmerking maken dat we het nooit 100% waterdicht kunnen maken. Ik weet nog, het is vandaag 9/11, dat ik 20 jaar geleden bij Schiphol werkte en het was net na 9/11. Beveiliging was vertwintigvoudigd, uitgaven aan beveiliging sky high en dan alsnog kwam er een journalist het vliegtuig binnen van het Koninklijk Huis. Schiphol is zo lek als een mandje en nou, daarna diezelfde avond stond onze directeur aan tafel bij een praatprogramma en toen begon het verhaal dat je de beveiliging nooit 100% veilig krijgt en is het dialoog ontstaan. Beveiliging is van ons allemaal en vanaf dat moment zijn we van piloot tot schoonmaker, van iedereen die eigenlijk op de luchthaven werkt, het besef van veiligheid toen nog in het kader van terrorismebestrijding heel serieus gaan nemen. Terug naar Zeist: hoe doen we het nou in Zeist? Doen we het nou goed of slecht? Nou, we kunnen het nooit helemaal goed doen. De vraag is niet of het gaat gebeuren, maar vooral wanneer. We kunnen ons vooral heel goed voorbereiden en beschermen en ook meten. We kunnen gaan kijken door onafhankelijke experts hoe we het nou eigenlijk doen. En dat is ook gebeurd. Twee jaar geleden is ook vanuit de Rekenkamer, willen jullie als Raad ook een rol in, hebben we gespeeld, een onafhankelijk onderzoek geweest. Uitkomst was voldoende, maar ga vaker met elkaar in gesprek en informeer elkaar over het onderwerp informatieveiligheid. Bij deze. Nou, verder worden we ook jaarlijks gehouden aan zogenaamd ENSIA-onderzoek. Daar krijgen jullie ook de resultaten van. ENSIA-onderzoek is een verplichting om te kijken of we voldoen aan de beveiligingsnormen. Kunnen we daarna nog, hè? Als we daaraan voldoen, mogen we weer gebruik maken van diensten zoals DigiD die we keihard nodig hebben. Nou, we hebben twee jaar geleden ook een verslag, een jaarverslag van onze functionaris gegevensbescherming gehad. Ook die heeft geconstateerd, is voldoende, maar er is ruimte voor verbetering en inmiddels zitten we in de stijgende lijn en zoals Mark net al aangaf, hebben we ook dit jaar een jaarverslag voor het eerst opgesteld voor de informatieveiligheid. Mark kwam als nieuw, onafhankelijk GISAL en heeft zijn bevindingen opgeschreven en ook met jullie gedeeld. In juni is die, geloof ik, langs geweest in de Raad en dan gaat hij nu kort iets over vertellen.
Ja. Mijn rapportage. Dat was inderdaad een spannende. En het is ook wederom weer heel dubbel, want hij gaat ook komend jaar weer komen. Van ja, hoe doen we het nou eigenlijk als? Hoe doet de gemeente Zeist het eigenlijk? Als ik dan kijk naar de organisatie, de gesprekken houd, zie wat er gebeurt, de belangrijkste resultaten deel. Ja, de basis is er echt wel. De organisatie doet goed haar best voldoende in controle te zijn. Het staat misschien niet allemaal op papier, maar de wil en de wens is er ook. En wat ik overal terughoor, nou niet eens terughoor, troost zie, is de menskant. De mensen die net dat tandje extra lopen. De mensen die zorgen dat het gewoon goed op orde is, die het goede willen doen. En dat vind ik een hele fijne. Dat is ook inderdaad het begin van het gesprek toen ik werd gevraagd voor deze eigenlijk externe onafhankelijke rol, wil jij dat doen? Ik zeg, ik heb trucs zat en ik zie hier wel bepaalde zaken in Zeist gebeuren dat ik denk, ja, hier wil ik wel onderdeel van zijn. Ik zie hier wel mooie dingen gebeuren. Ik zie het goede hier gebeuren. Het rapportcijfer op dit moment is afgerond een 5,5 en ik gun jullie echt dat dat de komende jaren naar een 7,5 à 8 gaat. En wat ik zie, want dit is dan voor 2024, ik zie al wel met de initiatieven die er genomen worden, met de activiteiten die ontplooid worden, ook hier zie ik die stijgende lijn. En het zit hem ook heel veel in hetgene wat we doen goed laten zien. Die basis is er echt wel en hierop op cijferniveau kan ik het allemaal duiden. En ik geloof ook best wel, aansluitend wat Robert zei, niet of maar wanneer als er een incident is, als er een crisis is met de mensen die er zijn. Het zou natuurlijk altijd moeten blijken wat voor crisis het is, hoe dat gaat zijn. De wil is er om dat soort problemen op te lossen, net als dat tandje extra te lopen en dat vind ik goed om te zien. En tegelijkertijd mag het beter. Moet het beter. En dat is ook wat er gebeurt dus. Vanuit managementdirectie veel meer ingezet op dat bovenste stuk en dan hebben we het over de GRC, de governance. Wie is waarvoor verantwoordelijk en hoe worden besluiten genomen in de organisatie? Risicobeheersing, namelijk als we naar buiten kijken, wat kan er allemaal fout gaan? En wie is er dan van? En de compliance, en compliance is niks anders dan we hebben wetten en regels, kunnen wij ook laten zien dat wij voldoen aan die wet en regels. En al die technische maatregelen die eronder zitten. In basis zijn ze gewoon aanwezig en die worden ook afgetoetst bij zo'n ENSIA, de Eenduidige Normatiek Single Information Audit. Ik heb een hekel aan afkortingen. Ik wil ze uitspreken. Dus dat stelsel van die controles, ook daar is de basis gewoon goed aanwezig. En we gaan verder. Dus mijn advies is inderdaad, zijn met de juiste zaken bezig. En er wordt gewerkt ook dat die bedrijfscontinuïteit, die business continuity management, dat programma GRC. Die krijgt de juiste lading. Die gaat de juiste invulling geven en daarmee dus die betere beheersing van de organisatie als geheel. Met de details.
Nou, dan mag ik iets vertellen over de dagelijkse praktijk. En ja, we kunnen het heel breed houden waar we allemaal mee bezig zijn. We hebben een selectie gekozen. Als je mij vraagt wat we allemaal aan het doen zijn, dan zou ik toch snel denken aan het woord weerbaarheid. We werken aan onze gezondheid om ons te beschermen tegen nare dingen die kunnen gebeuren. Maar ook als er iets gebeurt, dan moeten we in staat zijn om snel weer terug te komen naar een veilige situatie. Dus ja, weerbaarheid, en dat kun je onderscheiden naar verschillende onderdelen. Allereerst techniek in de organisatie. Mark vertelde net al dat we bezig zijn met het verbeteren van onze monitoring en control. Er zijn allemaal slimme systemen die in de gaten houden of er wel of niet gehackt wordt en dat daar direct op kan worden ingegrepen. Wat Mark net ook vertelde, was onze samenwerking met de VNG. We werken samen aan een cyberweerbaarheidspakket aan diensten en dat is per 1 november gereed. Verder kijken we naar digitale veiligheid in volle breedte integraal. Je ziet steeds vaker dat ook in principe domeinen, in bruggen, in stoplichten, dat eigenlijk overal ICT digitale systemen zitten en ook verbonden zijn aan netwerken. En dat vinden zeker de Russen interessant. Dus ook daar zijn we bezig met het in kaart brengen van waar we mogelijk risico's lopen. We zijn ook de kritieke processen in kaart aan het brengen en met continuïteitsplannen, wat Mark net ook noemde. Een ander belangrijk punt is de menskant. De mens is toch voor 80%, blijkt uit onderzoek, de reden dat er veiligheidsincidenten plaatsvinden. Dus we zijn ook bezig om het gesprek aan te gaan met alle stakeholders die relevant zijn voor cyberveiligheid en we zijn bezig met een programma voor bewustwording. We hebben al voor onze medewerkers bij de onboarding bijvoorbeeld al het een en ander een e-learning. Maar juist omdat dit eigenlijk bij elke organisatie wel een van de zwakkere punten is, willen we hier sterker op inzetten. Verder volgen we de adviezen op van de diverse onafhankelijke controleurs, zoals de FG en de CISO. Er gaat een project governance risico's en compliance lopen. Wat is dat? Nou, dat is een hele mond vol met woorden, maar eigenlijk komt het erop neer dat je het kunt vergelijken met je verdediging inrichten volgens drie lijnen, volgens drie verdedigingslinies. Het is het Three Lines of Defense model. Er wordt ook veel toegepast in de finance wereld om risico's te kunnen managen. Je kunt het verbeelden als de eerste lijn, dat zijn de managers, de medewerkers, dat zijn degenen die dagelijks de risico's als eerste ervaren en daar ook tegen moeten optreden. Een goede eerste lijn inrichten is heel belangrijk en daar helpt dan de tweede lijn bij. De tweede lijn, dat zijn de adviseurs die ze helpen om die dijk te versterken en dat zijn wij bijvoorbeeld, maar dat kunnen we dus niet alleen. Iedereen heeft daar zijn verantwoordelijkheid en zijn rol in. Dat is de tweede lijn en de derde lijn. Daar kiezen we ook bewust voor om de rol van de functionaris gegevensbescherming, maar ook de CISO, om die onafhankelijk te laten zijn zodat die als derde lijn kan toetsen of de eerste lijn en de tweede lijn eigenlijk wel goed bezig zijn. En dan heb je dus drie lijnen, drie verdedigingslinies, Three Lines of Defense, waar de gemeenteraad eigenlijk zijn rol heeft daarboven om hun controlerende taak goed te kunnen uitvoeren. En ja, uiteindelijk willen we gewoon geen natte voeten hebben hier. Dus ik hoop dat dat een beetje inzicht geeft in hoe we in de organisatie de interne controls, de rollen, verantwoordelijkheden en het eigenaarschap het komende jaar steviger gaan vastleggen. En dan het laatste. We zijn ook volop bezig met het voorbereiden en invulling geven van de cyberbeveiligingswet en was ik toch even benieuwd, wie heeft daar al eerder van gehoord? Is het nieuw? Want er komt wetgeving aan. En ja, als het kabinet niet was gevallen, dan hadden we over een paar maanden misschien al wel een nieuwe wet. En ja, wat houdt die wet dan in? Die wet heeft rechten en plichten. Er zijn rechten zoals hulp bij ondersteuning bij incidenten, die hebben we nog steeds, ook al is de wet niet ingegaan. Maar er is ook een zorgplicht. We moeten onze spullen goed voor elkaar hebben, er is een meldplicht. We zijn verplicht als er ergens een lekje is om daar gewoon open over te zijn, zodat we daar ook adequaat op kunnen optreden. Er is een registratieplicht. Alle incidenten moeten we registreren. Lijkt misschien een beetje op wat we doen met datalekken, maar het wordt nu ook echt in de wet verankerd. Kijk je naar gegevensbescherming, dat zit al in de wet, is de AVG. Daar worden we ook op toegezien door de Autoriteit Persoonsgegevens. En ook voor de cyberbeveiligingswet komt er een toezichtsorganisatie, dus het virus toezicht. En ja, die kan handhaven. Die kan kijken of we het goed doen. Die kan ook boetes uitdelen. En ja, dat heeft ook gevolgen voor bestuur en organisatie. Wilde we niet helemaal op ingaan, maar ik wilde wel ook meegeven dat de wetgeving eraan zit te komen. Wat de verantwoordelijkheid voor het bestuur, het gemeentebestuur, namelijk college, maar ook de rol van de raad is daarin van belang. Ja, eigenlijk veel strakker in de wet gaat regelen en organiseren. Dat is eigenlijk in het kort waar we ongeveer mee bezig zijn. Zijn er misschien nog vragen voor mij of voor de andere sprekers? Aan wie?
Aan het Annet Ploeg als eerste en daarna GroenLinks. Mevrouw Ploeg.
Ja, dank u wel, voorzitter. Bij de controle in het jaarverslag, hè? Wat u vertelde? Daar gaf u aan dat het in de basis oké was. Maar zoals bij risicomanagement stond een 4,5. Kunt u vertellen wat de aanbevelingen daarvoor zijn?
Ja, zeker weten, dat begint met destijds. Laten we terug in 24. Heel praktisch. Daar lag een prachtig stuk risicomanagementbeleid met een proces. Hoe gaan wij risicomanagement doen? Letterlijk dat beleid gaan implementeren, die processen gaan voeren en daarmee dus organisatiebreed en centraal risicoblik krijgen op een aantal gebieden en zeker bij controle leeft al wel een manier van risicoanalyse. Ook in het kader van de jaarrekening worden risico's geanalyseerd, ook bij digitale veiligheidsrisico's. Alleen, het staat in verschillende stadia van volwassenheid en het is verspreid over de organisatie en dat moet meer bij elkaar gebracht worden met stuk eigenaarschap. Wie is nou van het risico en wat gaan we eraan doen? Nou, als we denken aan risicomanagement, vinden we dat risico oké of is dat risico te groot? Moeten we dat risico gaan verzekeren? Moeten we met een leverancier op gaan trekken, moeten we maatregelen gaan nemen? Indien mogelijk vaak niet, moeten we ermee stoppen of zeggen van nou, dit risico, ja, eigenlijk, eigenlijk zijn we gewoon comfortabel mee en wij gaan bewust dit risico aan en dan ga je dus van een stukje onbewustheid. Ga je naar veel meer bewust risico voeren en daarmee weten we dus, hé, dit is waar we mee te dealen kunnen hebben en daar zijn we content mee. Geeft dat.
Voldoende antwoord, ja, dank u wel alsjeblieft. En bij de datalek bijvoorbeeld van het laboratorium zag je dat er heel veel gegevens van burgers op straat lagen. In hoeverre doen we als een check of het minimale vragen van inwoners aan informatie? Het valt me wel eens op als je al heel snel een invulveld in moet vullen, hè, ben je één of het ander. Je e-mail is sowieso logisch, want anders kun je niet communiceren, maar men vraagt toch eigenlijk standaard je telefoonnummer, want anders komt je invulveld niet eens verder terwijl ik nooit teruggebeld word door een ambtenaar of zo. Dus in hoeverre checken we of alleen maar het minimum opslaan?
Dat doen we beperkt. Als ik kijk naar hoe we dat nu doen, dan zien we dat we vooral vanuit de dienstverlening denken en kijken. Hoe kunnen we zo goed mogelijk die inwoner helpen op dat moment en nog onvoldoende eigenlijk die risico's soms aan de achterkant in beeld hebben van: hé, maar is dat echt wel allemaal nodig? Misschien is het voor de dienstverlening wel goed, maar moeten we het dan nog steeds doen omdat het wel risico's met zich meebrengt, of moeten we misschien net iets minder dienstverlening bieden omdat het risico met zich meebrengt? Dat is precies het spanningsveld waar we in zitten en dat doen we nog te beperkt op dit moment.
Dankjewel. Ik zag die cijfers en als oud-docent word ik dan toch een beetje nerveus. Ik ga ervan uit dat die 5,5 uitgedeeld is op een schaal van één tot 10 en niet op één tot 6.
Oké, dan word ik nog nerveuzer. Dan is de vraag hoe, hoe scoren we daarmee? Als je kijkt naar het land, is er een benchmark? Is er een gemiddelde? Zijn wij een bovengemiddelde, een ondergemiddelde of gewoon een slechte gemeente? Hoe scoren wij ten opzichte van de rest? En dus, hoe scoren wij in de interessesfeer van de Russen?
Ik begin even met het laatste deel van de vraag dat suggereert inderdaad dat de Russen heel specifiek dan zouden gaan kijken. Als ze ons normale alfabet al zouden kunnen lezen, geen idee, waarschijnlijk wel. Dat kunnen ze wel. Van alle gemeentes die er zijn, dan zouden ze onderaan beginnen, dat ze Zeist waarschijnlijk als een van de eerste tegenkomen. Ik heb geen idee waarom de Russen dan specifiek voor Zeist zouden kiezen in plaats van een Amsterdam of een Rotterdam. Gemeente, geen idee. Dus daar begint het al van en of zo bij een gemeente gaan kijken of gewoon gelijk bij een complete rijksoverheid, of misschien nog interessanter bij een drinkwaterbedrijf.
Even wachten. Hier ga ik nu een andere vraag beantwoorden, maar...
Dat was de laatste vraag die 5,5 daar wou ik zeker op terugkomen. Is tegelijkertijd ook, maar dat is weer de gedachte terug aan mijn schoolcarrière. Nou is afgerond 1 6 is net aan een hele krap voldoende. Hakken over de sloot.
Dan heb ik altijd tegen mijn studenten gezegd: zou jij naar een huisarts gaan die al zijn vakken met een 5,5 gehaald heeft? Het antwoord is nee. Wat ik eigenlijk bedoel te zeggen is: je geeft ons een rapportcijfer en het rapportcijfer voelt slecht en dat rapportcijfer is ook openbaar. Ja. Dus als ik een Rus was en ik kan Nederlands lezen en de boefjes kunnen dat, dan kijkt hij naar de zwakste schakel in de keten. Waar kan ik het makkelijkst mijn data tevoorschijn peuteren?
Op data, want dat levert geld op. Maar hoe? Hoe moet ik dan dat cijfer zien en wat moeten wij doen? Jij zegt je gunt ons een 7,5, dat vind ik nog steeds niet zo best, maar helemaal prima. Wat moet er dan gebeuren om bij die 7,5 te komen? Want daar gaan wij als raad waarschijnlijk ook over. Dat kan zo plat zijn als geld. Maar dan hoor ik het ook graag.
Uiteindelijk zal dat ongetwijfeld geld zijn, maar dat zit hem dan later meer in het feit dat we in de organisatie meer controles gaan implementeren. Meer zaken gaan toetsen, een rapportage intern opleveren. Heel simpel, dit zijn: we hebben vijfhonderdtal applicaties. Wie hebben er toegang tot welke applicatie en is dat terecht? Dat worden dus overzichten waar een manager of een leidinggevende naar moet kijken. Vind ik het inderdaad terecht dat al deze mensen toegang zouden moeten hebben tot deze applicatie? We hebben hier bestanden staan, mogen die bestanden daar staan of moet iemand dat gaan opruimen en we gaan zaken archiveren? Hoe gaan we dat archiveren? Dus het is eigenlijk precies hetzelfde wat we nu aan het doen zijn, alleen dan net even die extra stap. Voor de borging van de kwaliteit, voor de borging van privacy, voor de borging van informatieveiligheid.
Nou, zijn wij een rijke gemeente, hè? Dat is ook geen geheim, maar op een gegeven moment is de portemonnee leeg. Dus dan moet je inzetten op wat het meest efficiënt is en ik hoor één van jullie zeggen, de mens is meestal de zwakste schakel. Is er dan ook een prioritering in hoe jullie daar naartoe gaan om bij die 7,5 te komen?
Nou, dat is niet mijn uitspraak en ik probeer altijd de laatste te zijn die die uitspraak kan maken. Ik zou het liefst willen dat de mens de laatste schakel is in een sterke keten, dus als processen falen, als de techniek faalt, hopelijk is er dan nog de mens die iets kan voorkomen, die nog kan interveniëren voordat het echt fout gaat. Dat raakt voor mij ook weer aan die vraag van die medewerker die op het verkeerde linkje klikt. Goede medewerker, dat mag niet. Nee, dat kan gebeuren. Ik, met al mijn kennis over cyber en digitale veiligheid, kan ook in het juiste bericht op de juiste tijd met de juiste boodschap ook op klikken. De vraag is alleen, hoe gaan we dat technisch zo doen dat als dat linkje geklikt wordt, dat dat niet gaat leiden tot een kleine dan wel grote verstoring? En dat zijn dan weer die technische maatregelen. Dat is de verdere verankering van kwaliteit in processen. Dat is een extra vier-ogencontrole. Ik kan wel een betaling klaarzetten, maar er zijn nog twee extra die hem goed moeten keuren. In de financiële wereld en in de financiële afdelingen is dat heel normaal, maar voor een bepaalde wijziging of een hoog kritische handeling van een beheerder of van een medewerker in het ambtelijk proces? Ja, worden altijd wel heel moeilijk geschat en heel moeilijk geacht. Dus ook die mindset, die kwaliteitsstap dat dus inderdaad sommige dingen net wat langer duren omdat we even stil moeten staan of net op een andere manier moeten doen die, nou ja, als je plast zou zeggen, iets omslachtiger is maar wel veiliger. Dat moet inderdaad die mindset moet gewoon worden en hoeveel dat gaat kosten? Hoeveel extra minuten, kwartieren of uren dat gaat kosten? Dat zal in de loop van de tijd moeten blijken. En dan hoeveel we daar weer van kunnen automatiseren. Maar dat is digitalisering, informatieveiligheid, privacy. Het zijn geen dingen die ooit klaar zijn. Het is altijd iets waar we mee bezig moeten blijven. Onze binnenwereld verandert, ons IT-landschap, ons processenlandschap verandert. De buitenwereld verandert, de dreigingen, de leveranciers, de kwetsbaarheden. En daarin moeten we kijken, hé, hoe kunnen we dit goed en kwalitatief en veilig genoeg maken? Vandaar dat ik jullie ook geen team gun, want dan zouden we echt veel te veel hebben gedaan.
Naar welke gemeente gaan wij samen kijken om daar het goede voorbeeld op te halen?
Komt de wethouder zo op terug, maar die wilde nog een aanvulling geven. Maar ik heb een vraag, Roel, jij vroeg toch ook? Hoe scoren wij met die 5,5 in het totaal van die 346 gemeentes? Gaat de wethouder antwoord op geven, oké? Wethouder eerst of mevrouw Pereboom eerst. Over hetzelfde of over een ander onderwerp? Ja, pak je het op, Walter?
De nee, misschien Robert kan slide 12 nog even op het scherm. Dat is het rapportcijfer, maar dan dan uitgewerkt. Misschien wel goed om in ieder geval te benoemen dat, zeg maar, het oordeel wat u, meneer Van Nieuwstadt, geeft aan dat rapportcijfer dat ik dat wil onderschrijven, zodat ik daar net zozeer van schrik van de 5,5 is, gewoon niet. Zit hij er niet in. Ik bedoel gewoon het lijstje met rapportcijfers. Die bedoel ik ja, dankjewel. Dus, dus, dus dat is zo tegelijkertijd. Als je erop inzoomt krijg je dit hè? Dus dat paarse blokje rechtsonderin. Nou, mevrouw Ploeg gaf al aan risicomanagement, hoe zit dat? Dat zit overigens best wel goed. Als het gaat om ons reguliere risicomanagement doen we twee keer per jaar. Althans, doen we vaker, maar laten we het twee keer per jaar aan de Raad zien. Maar dat gaat met name over de vraag, waar zie je financiële risico's? En die zitten ook in belangrijke mate bij IV. Maar Marco van Laan over wat voor risico's het hier gaat. Nou, de methodiek is vergelijkbaar. Je probeert te kijken waar zouden risico's kunnen ontstaan en alleen al die voorbeelden uit het begin van Marks presentatie maken duidelijk, hè? Er zijn ook heel veel gemeenten bijvoorbeeld getroffen door incidenten de afgelopen jaren. Nou, iedere keer dat de gemeente tegen zoiets aanloopt, een gemeente proberen wij te kijken van in welke mate zouden wij daardoor geraakt kunnen worden. Daar speelt de IBD, Informatiebeveiligingsdienst, een belangrijke rol in. Die noemde jij ook al als onderdeel van de VNG. Die waarschuwt ons zo proactief mogelijk voor kwetsbaarheden. De IBD heeft ook een goed beeld over hoe gemeenten ervoor staan, kan dus ook inschatten hoe Zeist ervoor staat ten opzichte van andere gemeenten. Ik zit in de adviesraad van de IBD, dus ik zie al die informatie. Wat de IBD overigens ook doet, is gemeenten met elkaar in contact brengen. Wij zijn gekoppeld aan de gemeente Veere in Zeeland. Geen idee waarom, maar daar wisselen we mee uit hoe zij het doen, hoe wij het doen en wat we van elkaar kunnen leren. En dat heeft het een en ander opgeleverd en zo doen gemeentes dat door heel Nederland. Dan zou ik wel durven zeggen dat we het als Zeist, ondanks dat het maar een 5,5 is, met de ambitie natuurlijk om daarin omhoog te groeien. En dat kan ook echt dat wij het zonder meer goed doen. Dat wil niet zeggen dat het allemaal goed is, maar om dat iets te objectiveren. Mark noemde ook wel het rekenkameronderzoek van twee jaar geleden. Die hebben het extern laten onderzoeken. Daar gebeurde onder andere dat er mystery guests, zeg maar, toegang proberen te krijgen tot bijvoorbeeld onze serverruimtes. En nou, die komen een heel eind of die kwamen beter gezegd, een heel eind en in de tussentijd zie je dan dat we hebben gewerkt aan het beter beveiligen van de fysieke toegang. En van dit gebouw als bezoeker kun je niet zomaar nu zo ver komen als dat je twee jaar geleden wel kon komen. Hetzelfde virtueel dat heet pentesting, dus penetration testing. Dan wordt een hacker, een goede hacker, zeg maar, gevraagd om zo diep mogelijk in het netwerk te komen of de Rekenkamer ook gedaan zijn jullie er toen over geïnformeerd? Ze zaten in het hoofdkwartier herinner ik me en ja, dan valt eigenlijk op dat wij die beveiliging in Zeist best wel goed op orde hebben, dus daar zit het niet in, dus heel concreet. Als je het lijstje langsloopt. Risicomanagement, Mark antwoord op gegeven. En dan krijg je vervolgens bewustwording en gedrag. Super moeilijk wordt ontzettend veel aandacht aan besteed, want dat is de kwetsbare factor dat mensen toch eventjes op een phishing mailtje klikken zoals ze dat natuurlijk niet zouden moeten doen, maar dan is er al op geklikt en in de hectiek van het moment of de echtheid ook, waarmee soms berichten lijken te zijn, kan het gebeuren en we zien dat het afneemt en we proberen voortdurend daar aandacht voor te vragen. Maar daar zit bewustwording en gedrag, met name ook maar ook. Ja, op het moment dat je iemand ziet rondlopen in het gebouw en je vertrouwt het niet. Maak daar gewoon melding van ga niet altijd uit van vertrouwen, vertrouwen ze kernwaarden van de gemeente zij dus dat is een beetje intuïtief, maar toch moet je dat doen en allemaal heel lastig. Het is denk ik, de lastigste, maar nogmaals, we werken er wel aan en dan nog twee andere fysieke beveiliging noemde ik al. Er zijn dankzij het rapport van de Rekenkamer echt stappen in gezet en dat werkt nu beter en die bedrijfscontinuïteit heeft de andere Mark, Mark noemde eerder vanavond. Ligt dat we daarvan eigen serverruimtes hier en in Nieuwegein gespiegeld toe zijn gegaan naar één datacenter in Amsterdam of eigen Center twee ook weer gespiegeld. Dus als er eentje uitvalt, draait alles nog steeds. Dat maakt dat onze bedrijfscontinuïteit in ieder geval op dat niveau, het niveau van de service, zeg maar, veel beter geborgd is. We zien dat ook steeds meer SaaS-applicaties afnemen die draaien dan ook niet meer lokaal. Die draaien in de cloud heeft ook wel andere risico's, maar dat doet er even niet ter zake, maar de beschikbaarheid van die applicaties. En die moet gewoon voor heel veel applicaties heel erg hoog zijn, want als het het niet doet, hebben we ook echt wel een probleem. Hebben onze inwoners of onze ondernemers een probleem of medewerkers kunnen niet meer werken? Het is allemaal super afhankelijk van elkaar geworden, dus het moet het doen en dat maakt dat we ook daar heel nadrukkelijk naar kijken. En dat kan ook. Daar kunnen we echt wel groeien. Dus met Mark ook een gesprek over gehad. Nou bedoel ik op deze markt van, van, hoe kunnen we heel concreet stappen zetten? Ik denk dat dat de vraag was, meneer Van Nieuwstadt, om dit naar die 7,5 toe te tillen. Nou, die 10 gaan we niet komen en die 7 volgend jaar ook niet, maar ruim meer dan de 5,5 is in ieder geval ons ambitieniveau. En dan als laatste betekent dat geld nou ja, zeker maar niet in de zin dat dit een verkapte budgetaanvraag is, dat doen we eigenlijk continu. We hebben ook niet de ja, nee, maar dat is zo. Kijk nog maar eens alle meldingen terug in bestuursrapportages en wat iets meer zij dan zie je eigenlijk heel veel meldingen zitten in die IV-hoek en meer specifiek ook wel in de cyberveiligheid hoeken. En dat komt doordat die risico's toenemen. Die hebben we best wel aardig in beeld. Ja, dat kost gewoon geld om het te dichten, maar dat doen we proactief. Dus het is niet zo dat we nu nog weer allerlei dingen hebben gezien die extra middelen vragen. Dat is het niet, maar wel ja, ook bewustwording bij de Raad één van de redenen waarom we het ook prettig vindt om deze avond dit soort avonden regelmatig te organiseren. Ja dat wel duidelijk is dat heel veel binnen de gemeente digitaliseert dat daarmee ook risico's op het gebied van cyberveiligheid toenemen. Ja en dat je dan dus ook de middelen nodig hebt om op het niveau te blijven. Ik noem in het begin al bij de opening dat wij super gevoelige informatie over onze inwoners hebben, dus ik vond het een heel terechte vraag, proberen wij wel hè? Dat is sowieso heel verstandig om zo min mogelijk privacygevoelige informatie überhaupt te vragen. En als je ze vraagt om ze dan vooral niet te bewaren, tenzij dat echt nodig is. Maar dat neemt allemaal niet weg, dat wij gewoon ook wettelijke plicht hebben om heel veel persoonlijke data van inwoners, van ondernemers. Vast te leggen en ja die informatie moeten wij gewoon op een hele goede manier. Beveiligen en dat kan heel makkelijk misgaan getuigen. Vele situaties waar andere gemeenten mee van doen hebben gehad. Dat is een beetje een lang antwoord, maar ik vind het een zeer relevante vraag en de zorgen delen we zeker. Maar ik zou het negatieve beeld daarmee wel hopen. Een beetje te nuanceren. Zeg ik als ex-docent overigens.
We komen uit het wereldje. Hele korte vervolgvraag: er komt dus een cyberbeveiligingswet aan. Die stelt ook eisen aan wat gemeentes moeten doen en waarschijnlijk ook aan hoe we moeten scoren. Betekent dat dan ook dat wij van de rijksoverheid extra middelen krijgen om dat voor elkaar te krijgen, of moeten we het allemaal zelf ophoesten?
Nee, daar krijgen we zeker middelen voor, maar die gaan via het gemeentefonds, dus dat is nog weer net iets anders, zeg maar, dan waar ik net op probeerde. Oh, op mijn dat je ook ziet dat allerlei, zeg maar, primaire processen inhoudelijke domeinen of het nou Boris weer openbare ruimte of de vergunningverlening en trouwens ook het sociaal domein alles digitaliseert. Dat zien jullie als raadsleden ook zeker. Het sociaal domein doen we heel veel met data om daar grip te krijgen op ontwikkelingen. Ja, dat betekent dat je in de budgetten echt wel een verschuiving ziet ontstaan, maar het klopt dat we via de VNG, sorry, via het Rijk, via het Gemeentefonds daar gelukkig voor gecompenseerd worden en zeker als er sprake is van nieuwe wetgeving die overigens ook steeds vaker uit Europa komt. Dat geldt voor deze wet en zeker ook die het NIS 2 in Europa en die moet dan verplicht vertaald worden naar nationale wetgeving. En dat is allemaal maar goed ook, want nogmaals, we zitten op gevoelige data, dus die moeten we ook gewoon heel goed beschermen en beveiligen.
En daarop aanvullend die wet. Even los van alle complexiteit en alle details die erin zitten. Het gaat er eigenlijk over, zegt Europa tegen alle lidstaten: met de geïmplementeerde wet krijg je bedrijfsvoering op orde. Weet welke processen je uitvoert, weet welke leveranciers je hebt en wat die leverancier voor jou doet, of die leverancier te vertrouwen is, dat je leverancier controleert en dat je daar goede afspraken over maakt. Zorg dat je inderdaad de verantwoordelijkheden juist alloceert. Het vraagt niks, het zou niks bijzonders moeten vragen, maar net als in de waan van de dag is het allemaal korte termijn. Bij commerciële bedrijven zou ik zeggen, we leven van kwartaal naar kwartaal, overleg van kwartaalcijfer naar kwartaalcijfer, heel voldoen winst voor de aandeelhouder gemaakt en dat aan de ene kant versus aan de andere kant die lange termijn waardecreatie. Hoe bouwen we nou gewoon een kwalitatief bedrijf wat bij wijze van spreken over 100 jaar nog steeds staat? Wat robuust is tegen een stootje kan. Nou, die wet wil dus dat voor een deel gaan realiseren. Bouw een robuust bedrijf. En dat is hier voor een heel deel al gedaan. Terug mag komen op het cijfer. Ik las net ook weer de samenvatting die ik had gegeven. Het is niet dat de gemeente het slecht doet, alleen we hebben nog af en toe moeite om te laten zien dat we het goed doen, dat we een rapportage goed onderbouwd kunnen maken met: kijk eens, hierdoor doen wij het goed. Dus wiskundig gezien, we hebben netjes het antwoord en het antwoord klopt, maar hoe we tot het antwoord gekomen zijn met een berekening, dat ontbreekt af en toe. Dank u.
Dank u wel, voorzitter. Ik hoor net dat digitalisering alleen maar toeneemt. Daarmee nemen ook de dreigingen toe. Ik neem aan dat dat betekent dat we ook meer goed gekwalificeerd personeel in dienst moeten nemen om dit allemaal goed in te richten. Om die cyberwetgeving in te vullen, hebben we dat? Is daar een plan voor?
Het antwoord is absoluut ja. We hebben goede mensen en we hebben er een plan voor om dat te houden. En ja, het is ook een uitdaging, want continu beweegt het zich door en de arbeidsmarkt is lastig en daarmee is het wel zoeken naar hoe we dat niveau vasthouden. Maar we hebben hier een aantal toppers zitten en we doen het supergoed.
Ja, ik heb een vraag over die cybersecuritywet. Wij hebben als raad daar ook een verantwoordelijkheid in. Sorry, dat weet ik niet. Het gaat erom dat wij als raad als volksvertegenwoordigers kaders stellen en de controlerende rol hebben. En ik heb begrepen dat de colleges verplicht worden om een training te volgen, op straffe van 10 miljoen, dacht ik, als ze dat niet doen. En ik heb ook begrepen, we hebben één keer één training gehad in het stadhuis van Utrecht en daar werd ook een voorbeeld gegeven van een gemeente die helemaal de mist in ging en waar ook een raadslid de mist in was gegaan en die dreigde dus ook een boete te krijgen. Dus mijn vraag is: zijn wij voldoende geëquipeerd als raad om die rollen die wij hebben, in dit geval bij die cybersecuritywet, uit te voeren? Als ik kijk naar het aantal mensen wat hier zit, heb ik soms het idee dat het gewoon niet echt een sexy onderwerp is. Nee, maar ook de rapportage van de CEO en de FG, daarvan zijn tijdens de ingekomen stukken ook geen vragen over gesteld. Dat viel mij ook al op en dus eigenlijk is daar ook best wel wat werk te doen, denk ik.
Dus ook precies de reden dat we het vandaag over dit onderwerp wilden hebben. Toen we dit inplanden, toen ja, was nog in de planning om dit jaar dat dat hij dit jaar zou ingaan. Sowieso bij het intreden van de wet is er nog twee jaar de tijd, dus er is er is nog wel één, één periode. Maar de vraag beantwoorden van is de Raad daartoe geëquipeerd of zijn we er klaar voor? Ja, ik kan ik niet beantwoorden. Maar ik vind het wel een hele prettige vraag, want ik denk dat het ja wel wel een onderwerp is wat de komende jaren door door zal blijven gaan. Ja, wat
Wat ik misschien mee kan geven is dat er soms met scenarioschrijvers de meest lugubere problemen worden gecreëerd. Je zou dus kunnen kijken of je één keer een soort stresstest kunt doen of zo. Dat werd volgens mij net ook al voorgesteld, waarbij ook de raad betrokken wordt. En hè? Dus behalve wat de Rekenkamer deed met die phishingmails, zouden we toch ook nog wel iets meer kunnen doen, denk ik.
Het kennisniveau, maar ook bewustwording, met name bewustwording. De taak die wij hebben als raad in dit, hè, het is niet iets wat bij een afdeling ondergebracht wordt en dan is het geregeld. We hebben daar als raad gewoon een belangrijke taak in en niet alleen financieel.
Ja, daaraan sluitend eigenlijk. Ergens hebben we de controlerende taak ook hierover. Maar als we dan dat jaarverslag zien met die uitkomsten, hebben we dan alles omvattend voor raad en informatie om te zeggen van dit betreft informatie cyberveiligheid. Is die score, kunnen we daarmee zeggen van daar kunnen we informatie uithalen, zodat wij onze controlerende taak kunnen doen.
Nou, als ik dat antwoord op mag geven. Ja, de score lijkt misschien nu een eigen leven te leiden. Maar zoals ik ook heb aangegeven, we doen het voldoende volgens verschillende criteria. Nou, zoals Walter ook net betoogd heeft. Ook vergeleken met andere gemeentes, dus niet een cijfer wat je kunt leggen naast andere gemeentes. Doen we het ook niet slecht, maar we hebben zeker nog heel veel te doen. Dat heb ik geprobeerd uit te leggen dat we ook bezig zijn met die aanbevelingen, dus het project waarin we die governance gaan regelen omdat daar denk ik nog een hoop te winnen valt. En ook als we dat goed regelen, dan kunnen we hele snelle stappen maken. Maar zijn dat ook jouw woorden? Maar dan moeten we nog wel mee aan de slag. Dus, ik weet niet of ik dan antwoord geef op de vraag. Van ja, het is misschien toch een cijfer en in hoeverre staan we er dan vanaf? Maar ik denk dat het in die zin dat zij goed bezig is, maar nog een heleboel werk te verrichten heeft en ook in het gesprek en de rol die de Raad heeft de komende tijd. Dus daar ben ik alleen maar blij mee met de vraag of de opmerking die net gemaakt is. Oké, is dat een antwoord op de vraag.
Nou, niet helemaal, denk ik. Als we zien de uitkomsten, als we zien hetgeen wat onderzocht is, waar het jaarverslag van ligt, heb ik dan alle informatie die ik nodig heb als raadslid om te kunnen controleren?
Ja, het antwoord daarop is nee. En gelukkig bieden we ook meer, hè? Dus gewoon via de reguliere PSV-cyclus rapporteren we een aantal keren per jaar over dit soort zaken, over risico's bijvoorbeeld, maar ook over waar we staan op een aantal vlakken. Dan hebben we dus twee onafhankelijke rapportages. Een van de FG, Serge Katoes. Die heeft ook eerder, zeg maar, bij een vergelijkbare avond gerapporteerd over zijn rapportcijfer, want zo rapporteert hij ook, en dat gaat met name over waar we staan op het gebied van privacy. Nou, dan hebben we Mark die dit rapport minimaal één keer per jaar laat zien op het gebied van informatieveiligheid. Maar wat ook heel belangrijk is en heel erg genormeerd, dat zijn die NCSC-rapportages die Mark ook al noemde. En op het moment dat je als gemeente die DigiD wil gebruiken, ook de RSD gebruikt onder onze verantwoordelijkheid bepaalde applicaties, dan moeten we daar allerlei toetsen voor doorstaan. Dan gaat het bijvoorbeeld over de vraag wie toegang heeft tot bepaalde informatie, persoonsgevoelige informatie. Op het moment dat we daar doorheen komen, is dat relevante informatie voor de Raad. We informeren de Raad daar ook over, maar heel mee eens, mevrouw Pereboom. Er is weinig interactie over, dus het zou mooi zijn als je net als over de cijfers, want rapporteren we ook over, ik bedoel onze financiële cijfers, ook over dit soort onderwerpen, ja, vaker de interactie zouden hebben. Ik zou jullie vooral willen uitnodigen als raadsleden om zo kritisch mogelijk te zijn richting het college op dit gebied. Nou ja, ook die wetgeving moet je in dat licht zien. Er worden meer dingen van het college gevraagd. Die 10 miljoen is overigens geen boete die op het niveau van het college ligt. Dat is € 25.000, dus overigens wel persoonlijk, dus best wel een incentive om datgene te doen wat je moet gaan doen. Maar goed, wat je moet doen is een cursus volgen. Ja, dat zou echt wel gebeuren, maar de bewustwording ook bij colleges en dan niet alleen bij een portefeuillehouder, maar in de hele breedte van het college. Want als alles digitaliseert, ja, dan moet je ook als portefeuillehouder echt weten waar dit over gaat. Waar de risico's zitten, moet iedereen regelmatig met Ron, met Serge en met Mark om de tafel zitten en echt snappen waar het over gaat en zich daar verantwoordelijk voor voelen. En nou, daar zijn we nog lang niet, maar zo moet de Raad daar ook een rol in vullen. Daar hadden we ook een stelling over. Ik weet niet of we dat nog gaan redden, voorzitter, maar ik ben blij met dit soort vragen en dit soort opmerkingen.
Zijn wij ook blij met de informatie die we vanavond hebben gekregen, raadsleden? Ja. Afsluiten. Ja, we hebben nog een paar minuten. Geen stellingen, pakken we die mee? Deze hebben we denk ik ook al gehad. Ja. Ik hoorde de hoe dan graag? Dat mag.
Ik even de hoe dan vraag is voor een deel al wel langsgekomen, namelijk in de burenapp van een paar maanden geleden, waar inderdaad vanuit hoofden van controle door aan de raad een tegoed is gevraagd van ik meen rond de € 100.000 voor de implementatie van dat programma GSC. En dat is dus eigenlijk die aanzet om daar dus een kwartiermaker voor aan te stellen en dus te zorgen dat het onderwerp gaat leven en wat het eigenlijk doet, zou ik me ook net te denken. Dat betekent dus die cyberveiligheid niet alleen maar sectoraal bij afdeling IV neerleggen, maar breder binnen de organisatie te gaan zien dat digitalisering niet alleen maar een onderdeel is van de afdeling IV, dat zijn de mensen die het mogelijk maken, maar dat het een onderdeel van iedereen wordt. Dat dus ook hoofdburgerzaken of hoofd omgevingsdienst daarvan snapt, oh ja, hier ligt ook een rol van mij. Ik heb namelijk hier een applicatie die mijn processen moet automatiseren. Ik heb daar ook een belang bij dat het goed en veilig is en ik zie daar risico's in en ik heb aan wetten en regelgeving te voldoen en ik ga daarin helpen. De grote stap die gemaakt wordt, is dat control daar een rapporterende lijn in neemt dat zij dus met wat zal doen met de financiële rapportages en de rechtmatigheidsrapportages, dus dat ook gaan doen voor al die andere kwaliteitsonderwerpen. En dat vind ik een gigantische stap. Natuurlijk moeten we gaan zien hoe gaat dat hele programma lopen en hoe gaat straks die rapportage landen? Maar dat voornemen dat alle gezichten dezelfde kant op staan en dat er is gezegd, ja, controle gaat dit doen. Hoofdcontrole zegt hé, ja, hier zie ik inderdaad een rol voor mij en we gaan zorgen dat er gewoon een eenduidige rapportage vanuit de breedte mogen zien. Gaat over kwaliteit en beheersing. Voor mij zijn we al een heel deel. Het feit dat die basisconsensus er is, is wat mij betreft wel een heel deel van. We zijn al begonnen.
Is dat een afsluiter? Nou, nog even de laatste stelling. We hebben er nog één, oké.
Ja, misschien hoeft dit nog even toe te lichten. Wij gebruiken applicaties allemaal, denk ik, die we vooral ook gebruiken omdat ze erg gebruiksvriendelijk zijn. Teams is een voorbeeld, maar eigenlijk alles van Microsoft ook. Het gaat om kantoorapplicaties. Dat is buitengewoon bekend bij iedereen die werkt over het algemeen. We hebben daar licenties voor en tegelijkertijd, vooral het verhaal eerder vanavond van Mark Nuijten, ja, maakt ook wel duidelijk dat als het gaat om digitale afhankelijkheid daar wel een probleem ontstaat, want dat is gewoon een Amerikaanse partij die ingezet kan worden. Die big tech spelers kunnen ingezet worden voor doeleinden die te maken hebben met geopolitiek. Dat hebben we bij meneer Trump nu een aantal keren gezien, dus dat voelt niet helemaal lekker. Tegelijkertijd zie je dan dat een aantal gemeenten ook via moties vanuit de raad, Amsterdam bijvoorbeeld, Eindhoven, hebben opgeroepen: college, kijk eens of dat ook anders zou kunnen. En het kan anders. Er zijn ontwikkelingen. Bijvoorbeeld Nextcloud, wat je steeds vaker hoort, ziet die dezelfde functionaliteit bieden. Nou, dezelfde, maar functioneel vergelijkbare functionaliteit, laat ik het voorzichtig zeggen. Maar ja, het is wel anders dan Microsoft. Het kost wel net wat meer moeite om dat te gebruiken, maar het is wel een Europese partij. Je hebt meer garanties waar het gaat om waar data wordt opgeslagen, wat er met data kan gebeuren en wat iets meer zij. Dus dat zou een overweging kunnen zijn om daar toch een beetje voorloper te willen zijn als raad. Als je dit onderwerp belangrijk genoeg vindt, zou je kunnen zeggen: nou, dan accepteren we dat we iets minder gebruiksgemak hebben, maar we zijn met elkaar wel veiliger. Vind ik wel een ingewikkeld dilemma. Raken overigens ook aan de hele organisatie. Hoe ga je daarmee om? Hetzelfde speelt bij het AI, hè? Het is heel makkelijk om gebruik te maken, bijvoorbeeld van ChatGPT of van Copilot of een andere toepassing die de meeste mensen inmiddels wel eens geprobeerd hebben. Maar dat zijn niet per se de meest veilige oplossingen, want ook daar zie je weer dat het verschil maakt of je gebruik maakt van een oplossing die is gecreëerd door een partij met primair commerciële bedoelingen, meestal gevestigd in de VS, of dat je gebruik maakt van een toepassing die zich wat meer houdt aan normen en waarden, wet en regelgeving en bijvoorbeeld vanuit een Europese of misschien wel Nederlandse partij wordt aangeboden. Ja, dat soort vragen vind ik ingewikkeld. Zou ik wel benieuwd zijn hoe jullie daar tegenaan kijken. Moeten we hier een beetje datgene opzoeken wat al door een aantal raden in het land is uitgesproken: word minder digitaal afhankelijk van die big tech spelers. En moeten wij met voorstellen richting de raad komen? Kan ook over devices overigens gaan, dat we niet meer met iPads bijvoorbeeld gaan werken, maar met andere systemen die net wat minder risico's in zich dragen. Maar vooral even op applicaties inzoomend, ja, of zeggen jullie van: nou, laten we daarin niet direct voorop lopen. Eerst maar eens kijken wat andere gemeenten doen en meer een smart follower zijn. Wellicht?
Dit is een prachtige vraag, denk ik, om in een andere gelegenheid nog eens goed over na te denken of om daar met veren een keer mee om de tafel te gaan zitten. Ja, ik heb het idee dat we aan het eind van ons Latijn zijn, van ons digitale cybersecurity. Maar wat vinden jullie, de Raad? Want jullie bepalen.
Het, hè? Ja, natuurlijk. Mijn geliefde verwacht mij toch niet voor 10 uur thuis, dus ga je na een halfuur vol praten. Nu ga ik gewoon doorbabbel tot het 10 uur is. Nee hoor, nee. Ik hou wel van dit soort stellingen en de toelichting van de portefeuillehouder maakt het nog wat pittiger. Kijk, ik denk dat jullie verhaal daartoe zou moeten leiden dat wij als raadsleden nu aan het denken zijn. Nou, die veiligheid heeft een hogere prioriteit dan gebruiksgemak. Maar ik weet uit ervaring, omdat ik ook een beetje uit de IT-wereld kom, net zoals die wethouder, dat als je de veiligheid dicht probeert te timmeren en daarmee het gebruiksgemak omlaag haalt, mensen geitenpaadjes gaan ontdekken en dat die geitenpaadjes je systeem vaak heel erg kwetsbaar maken. En dan ga ik mij overgeven aan het advies dat er uit de experts komt. Waar ligt de balans tussen veiligheid en gebruiksgemak? Dat is een heel laf antwoord, want je moet natuurlijk kiezen voor het één of het ander. Maar dat zou mijn reactie zijn. Wat vinden jullie als experts daarvan?
Ga ik hem nog eventjes ingewikkelder maken, want we hebben het hier over gebruikers gemaakt, maar het gaat ook over dienstverlening. Accepteren we krappere dienstverlening richting inwoners vanwege de grotere veiligheid? Accepteren we hogere kosten binnen de organisatie vanwege hoge veiligheid? Want als we minder makkelijk kunnen werken, betekent dat linea recta meer kosten om het werk uit te voeren. En daarmee is het antwoord, ook vanuit de experts, niet één op één te geven. Het is een continu, ja, sorry erin, maar het is een zoektocht om het zo te zeggen. Ja, wij zoeken continu eigenlijk naar die balans, maar die is super ingewikkeld en dat doen we gelukkig niet alleen. Maar het is niet zo mogelijk om te zeggen, nou weet je, we stappen nu allemaal van Microsoft af om maar zo te zeggen, want als we dat doen, dan nou trek maar even 10 miljoen meer uit als raad de komende jaren om dat überhaupt mogelijk te maken. Dat is niet de goede balans, dus we zoeken daar het tempo in. We zoeken daar de balans in en juist aandacht in het gesprek daarin, dat helpt ons die goede balans te zoeken en dat moeten we doen wij onderin als experts om het maar zo te zeggen. Maar daar hebben we juist ook de raad en misschien zelfs ook wel de samenleving in nodig om met elkaar de juiste balans te vinden. Dus ik kan niet helemaal het antwoord geven, maar met elkaar kunnen we dat wel. Ja, het is wel super ingewikkeld.