'Rijk verantwoordelijkheid voor slechte gegevensbeveiliging'
PvdA-Kamerlid Astrid Oosenbrug blijft het zeggenj: de bescherming van gemeentelijke gegevens van burgers is niet alleen een zaak voor gemeenten, maar ook voor het Rijk. In Ede ging het eerder deze week mis. Hackers kregen daarbij toegang tot duizenden gegevens van inwoners van Ede.
PvdA-Kamerlid Astrid Oosenbrug blijft het zeggen: de bescherming van gemeentelijke gegevens van burgers is niet alleen een zaak voor gemeenten, maar ook voor het Rijk. In Ede ging het eerder deze week mis. Hackers kregen daarbij toegang tot duizenden gegevens van inwoners van Ede.
Meer gemeenten kennen problemen
'De hack in Ede is zeer zorgelijk en illustreert dat nog niet alle gemeenten de veiligheid van gemeentelijke websites op orde hebben', aldus Oosenbrug, die vlak na het voorval vragen stelde aan de minister over het voorval, tegenover Binnenlands Bestuur . 'Het betreft persoonsgegevens van personen die de website hebben bezocht en deze gegevens zouden niet te achterhalen mogen zijn. Dit roept natuurlijk meteen de vragen op welke gegevens nog meer gestolen kunnen worden en hoe in het algemeen gesteld is met de veiligheid van de gegevens van de inwoners van Ede.' Oosenbrug heeft al vaker aandacht gevraagd voor het probleem, 'Want niet alleen in Ede is de gemeentelijke website onvoldoende beveiligd. Dit probleem speelt in veel meer gemeenten.'
Lokale verantwoordelijkheid
Het Rijk stelt volgens Oosenbrug dat informatiebeveiliging van gemeenten een lokale verantwoordelijkheid is. Alle gemeenten implementeren momenteel de maatregelen en normen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De Autoriteit Persoonsgegevens grijpt in wanneer het beveiligingsniveau onder het minimumniveau van gegevensbescherming zakt. Volgens Oosenbrug is die werkwijze niet veilig genoeg. 'Hoewel alle gemeenten deze BIG implementeren en er toezicht is vanuit de Autoriteit Persoonsgegevens, gaat het dus nog steeds mis. Er kan gesteld worden dat de gegevensbescherming niet in alle gemeenten op orde is en deze maatregelen zijn dan ook onvoldoende.'
'Gemeenten kunnen het niet alleen'
Het Rijk zal volgens haar toch meer verantwoordelijkheid moeten gaan nemen. 'Voorbeelden zoals Ede geven aan dat gemeenten het niet alleen kunnen. Ik heb eerder al gevraagd om één kernwebsite voor alle gemeenten. Dit zou voor de veiligheid, kwaliteit en het beheer van de gemeentelijke websites voordelen kunnen opleveren. Hier wordt op dit moment naar gekeken. Daarnaast heb ik eerder al voorgesteld om naast de BIG, die nu onvoldoende waarborgen biedt, een privacy-BIG in te stellen om de privacy van burgers te waarborgen.'
Nieuwe verordening
Oosenbrug kijkt desondanks ook met vertrouwen naar de toekomst. 'De minister heeft aangegeven dat er met het in de EU aannemen van de algemene verordening gegevensbescherming die op 25 mei 2018 van toepassing wordt en de huidige Wet bescherming persoonsgegevens grotendeels zal vervangen, naast de BIG al andere waarborgen voor de bescherming van persoonsgegevens komen. Gemeenten moeten gaan voldoen aan diverse nieuwe plichten, zoals maatregelen van privacy by design, het uitvoeren van privacy impact assessments en het aanstellen van een functionaris voor de gegevensbescherming. Ik denk dat deze aanvullende maatregelen heel goed zijn, maar de bescherming van persoonsgegevens moet al veel eerder op orde zijn dan in mei 2018.'
Dat is al 30 jaar bekend.
Amersfoort is een ander recent voorbeeld.
"Het Rijk zal volgens haar toch meer verantwoordelijkheid moeten gaan nemen."
Ook dat is een al 30 jaar bestaand issue.
Maar mevrouw Oosenbrug zal vast wel van het legaliteitsbeginsel hebben gehoord.
Op welke wettelijke grondslag denkt zij haar ambities te baseren?
Let wel : dit is een reeds 30 jaar bestaand en bekend issue!
___________________
Zie ook :
* https://www.binnenlandsbestuur.nl/digitaal/nieuws …
* https://www.linkedin.com/pulse/datalek-gemeente- …