In het blad Binnenlands Bestuur van 1 maart 2024 werd de stormbal gehesen over de slechte staat waarin gemeentelijke websites zouden verkeren. Het gaat volgens Binnenlands Bestuur, dat zich baseert op cijfers van het Digital Insight Platform, over ruim tienduizend websites, waarvan bijna driekwart ervan niet aan verplichte beveiligingsstandaarden voldoet. Het gaat vaak om ‘vergeten’ websites voor begrotingen, evenementen en samenwerkingsverbanden. Reden voor raadslid Rob Duiven, portefeuillehouder voor onder meer gemeentelijke dienstverlening, om schriftelijke vragen te stellen hoe de situatie in Zoetermeer is. ‘Uit de antwoorden op mijn schriftelijke vragen maak ik op dat de gemeente de in het artikel beschreven problematiek herkend en daar ook sinds 2022 maatregelen voor treft’, aldus Rob Duiven: ‘Belangrijk is ook dat de gemeente aandacht heeft voor het beschermen van privacygevoelige informatie van de inwoners. Het zorgdragen dat de ICT (in eigen beheer én bij leveranciers) volledig up-to-date is, is één van de aandachtspunten en een continu proces. Met een totaalpakket aan maatregelen maakt de gemeente de kans op cyberaanvallen zo klein mogelijk’.
In Zoetermeer gaat het om 51 gemeentelijke websites voor e-dienstverlening zoals belastingen.zoetermeer.nl, inwonerportaal.zoetermeer.nl en zoetermeer.zbdbezoeken.nl (zelfbrengdepot) en anderzijds informerende websites zoals bevrijdingsfestivalzoetermeer.com, zoetermeertegeneenzaamheid.nl, zoetermeervoorelkaar.nl en Binnenstad-zoetermeer.nl. De gemeente kent daarnaast ook interne websites. Dit zijn websites gekoppeld aan SaaS-applicaties van leveranciers, die gebruikt worden in de bedrijfsvoering. De gemeentelijke data staan dan in een Zoetermeers subdomein zoals de applicatie waarmee de Planning & Control producten worden opgesteld, het zaaksysteem, het leerplatform en het Geoportaal. Deze websites zijn vaak ook met een login via het internet te benaderen.
De gemeente Zoetermeer treft een reeks van maatregelen op risico’s voor datalekken en inbreuken op privacygevoelige informatie van inwoners te voorkomen. Dit betreft onder meer extra aandacht voor de procedurele afspraken rondom aanschaf van webomgevingen, inclusief interne webapplicaties, diverse onderzoeken naar het voldoen aan de landelijke beveiligingsstandaarden van websites en extra aandacht voor informatiebeveiliging binnen het bredere ICT-contractmanagement.
Rob Duiven: ‘Op mijn vraag of de Zoetermeerse inwoners en andere gebruikers van websites waarvoor de gemeente Zoetermeer direct of indirect de verantwoordelijkheid draagt, garanties kunnen worden gegeven dat hun veiligheid en privacy, antwoordt het college dat 100% garantie niet bestaat in het vakgebied van informatiebeveiliging en privacy. Ik vind dat een eerlijk een realistisch antwoord’. De gemeente werkt namelijk wel continu risicogericht aan het beschikbaar houden van haar ICT en het beschermen van de (vertrouwelijke) data in haar ICT. De gemeente heeft onafhankelijk toezicht op de informatiebeveiliging georganiseerd (CISO rol) en er vinden vanuit de rijksoverheid jaarlijkse audits plaats op de beveiliging van e-dienstverlening met de meest gevoelige persoonsgegevens (ENSIA-audit op websites met een DigiD aansluiting).
