De gemeente Zoetermeer doet er alles aan om haar digitale systemen te beschermen, maar een waterdichte garantie is er nooit. Dat antwoordt wethouder Marijke van der Meer namens het college op de schriftelijke vragen van de fractie Zoetermeer Vooruit. De partij maakte zich zorgen na een grote hack bij de Gelderse gemeente Epe, waar cybercriminelen er vandoor gingen met burgerservicenummers en kopieën van identiteitsbewijzen.
De bezorgdheid in de Zoetermeerse raad was groot, omdat een dergelijk datalek grote gevolgen kan hebben door het risico op identiteitsfraude. In de officiële beantwoording stelt het stadsbestuur inwoners gerust. De zwakke plekken die in Epe tot de digitale inbraak leidden, worden in Zoetermeer volgens het college al langere tijd goed afgedekt. Er is dan ook geen aanleiding voor acute extra maatregelen.
Een constante wedloop
Toch schetst het college een realistisch beeld van de huidige digitale dreigingen. “We doen al het mogelijke om onze systemen te beschermen, maar gezien de wedloop met digitale criminelen kunnen we nooit helemaal uitsluiten dat er iets misgaat”, aldus Van der Meer. Daarom richt Zoetermeer zich niet alleen op digitale toegangsbeveiliging, maar wordt de IT-omgeving ook voortdurend gemonitord om mogelijke incidenten snel te signaleren en de gevolgen zoveel mogelijk te beperken.
Daarnaast worden de gemeentelijke systemen jaarlijks onderworpen aan onafhankelijke beveiligingsaudits en penetratietesten, waarbij professionele externe partijen proberen kwetsbaarheden op te sporen. De belangrijkste verbeterpunten die hieruit voortkomen, worden volgens de wethouder direct opgepakt om de digitale weerbaarheid verder te vergroten.
Paspoorten en ID-kaarten
Een belangrijk punt dat Zoetermeer Vooruit aankaartte, was de opslag van identiteitsdocumenten. Het college bevestigt dat de gemeente inderdaad kopieën van paspoorten, rijbewijzen en identiteitskaarten opslaat. Dit is in veel gevallen wettelijk verplicht, bijvoorbeeld bij de aanvraag van een paspoort of het verstrekken van een uitkering.
Volgens het college hoeven inwoners niet te vrezen dat deze documenten zomaar op straat komen te liggen. De opslag vindt plaats binnen streng beveiligde systemen en de toegang is beperkt tot medewerkers die de gegevens nodig hebben voor hun werkzaamheden. Bovendien hanteert de gemeente vaste bewaartermijnen. “Zodra de wettelijke termijn verloopt, worden de kopieën definitief vernietigd”, aldus het college.
Geen grote datalekken in de afgelopen jaren
Op de vraag of Zoetermeer de afgelopen tijd zelf te maken heeft gehad met cyberincidenten, is het antwoord geruststellend. Volgens het college hebben zich het afgelopen jaar geen cyberincidenten voorgedaan op de gemeentelijke systemen.
Incidenten worden volgens een vast protocol beoordeeld op impact. Bij cyberincidenten wordt altijd direct actie ondernomen om de oorzaak te achterhalen, de gevolgen vast te stellen en de schade zoveel mogelijk te beperken. Incidenten worden opgenomen in periodieke rapportages aan het bestuur. Ernstige incidenten worden bovendien gemeld bij externe instanties zoals het Nationaal Cyber Security Center (NCSC) en de Informatie Beveiligingsdienst (IBD).
Om te voorkomen dat criminelen via inwoners zelf digitaal toeslaan, blijft de gemeente inzetten op preventie. Zo worden regelmatig bewustwordingsbijeenkomsten georganiseerd om senioren, jongeren en ondernemers weerbaarder te maken tegen online criminaliteit, phishing en digitale oplichting.