2020 was voor gemeenten ook op het terrein van informatiebeveiliging en gegevensbescherming een veelbewogen jaar. Risico’s rond de informatievoorziening werden op verschillende manieren zichtbaar. Waar men in het begin van het jaar niet meer kon thuiswerken door problemen met Citrix, was men krap een maand later nagenoeg volledig aangewezen op thuiswerkfaciliteiten door maatregelen rond het nieuwe coronavirus. De IBD ondersteunde gemeenten ook in 2020 bij de structurele verhoging van digitale weerbaarheid en bescherming van persoonsgegevens. Hiermee hebben gemeenten een collectieve voorziening die steunt op drie pijlers: incidentcoördinatie, advies en kennisdeling. In dit jaaroverzicht treft u de belangrijkste resultaten en ontwikkelingen.
Het jaar in cijfers
De IBD ontving het afgelopen jaar 3.845 vragen en meldingen rondom informatiebeveiliging en 715 privacyvragen. De IBD registreerde 175 incidenten met een hulp-, coördinatie- of ondersteuningsvraag van gemeenten en ontving hierover 750 inkomende telefoongesprekken. Eén maal werd het gemeentelijk responsnetwerk ingeroepen. Bij het incident in Hof van Twente in december, verleenden de IBD en experts van andere gemeenten ter plaatse assistentie. Behulpzame onderzoekers meldden 19 kwetsbaarheden onder de voorwaarden van responsible disclosure en kregen een plekje in onze hall of fame of een T-shirt als dank. De IBD verleende bij deze incidenten hulp variërend van bijvoorbeeld vertegenwoordiging in landelijk crisisoverleg bij de problemen rond Citrix tot advies over herstelwerkzaamheden en aanvullende maatregelen na een geslaagde phishingaanval. De IBD-CERT verstuurde 1.878 kwetsbaarheidsmeldingen. De IBD organiseerde in 2020 meer dan 40 online bijeenkomsten zoals werkgroepen, intervisiebijeenkomsten, webinars en bespreekuren waarbij de nadruk lag op onderlinge gesprekken tussen de deelnemers. De website informatiebeveiligingsdienst.nl werd 134.103 maal bezocht en daar verschenen 72 nieuwe en bijgewerkte kennisproducten die samen met het totale aanbod maar liefst 94.115 keer werden gedownload. De meest gedownloade producten waren de BIO, de baselinetoets, de handreiking dataclassificatie en de standaard verwerkersovereenkomst. De IBD voert het beheer over het VNG privacyforum met meer dan 4.700 gemeentelijke deelnemers. Via de online DPIA-tool werden 70 nieuwe privacy-impactanalyses gemaakt op verschillende gemeentelijke processen en applicaties.
Opvallende ontwikkelingen
Landelijke of soms wereldwijde ontwikkelingen vinden hun weerslag bij gemeenten. Bij in het oog springende ontwikkelingen zoals de grootschalige hack bij Solarwinds, de vervanging van PKI-overheid certificaten, de coronacrisis of de ongeldigverklaring van het Privacy Shield verdrag tussen de EU en de VS deelt de IBD advies en een analyse over de betekenis voor de informatievoorziening van de lokale overheid in Nederland. Dit voorkomt dat alle gemeenten voor zich contact moeten leggen met (inter)nationale organisaties en veel inzet van schaarse interne capaciteit. De schakelfunctie van de IBD maakt het vervolgens mogelijk dat gemeenten hun oplossingsrichting kunnen delen met anderen.
In 2020 werden 35 zeer ernstige kwetsbaarheden bekend, dat wil zeggen met een hoge kans op en hoge waarschijnlijkheid van misbruik, zoals in Microsoft Exchange, Netwerkcomponenten van F5 en Cisco, en producten van Oracle. De IBD ontving na afkondiging van de coronamaatregelen direct veel vragen over online samenwerkingstools en videovergaderapplicaties. De IBD adviseerde tevens over coronagerelateerde wetgeving zoals TOZO en het thema bedrijfscontinuïteit kreeg als gevolg van diezelfde coronamaatregelen hernieuwde aandacht.
Dreigingsbeeld
De IBD publiceerde september het Dreigingsbeeld Informatiebeveiliging Nederlandse gemeenten 2021/2022. Deze editie van het beeld is mede opgesteld op basis van gesprekken met gemeentesecretarissen en gaat specifiek in op de risico’s voor de ambtelijke organisatie, het bestuur, de politiek, de inwoners en de ondernemers.
Samenwerking met vakverenigingen
De IBD zoekt doorlopend afstemming en samenwerking met de verschillende beroeps- en vakverenigingen in het gemeentelijk domein. De banden met o.a. de IMG/Viag, de vereniging van gemeentesecretarissen, het Nederlands genootschap van burgemeesters, de vereniging van directeuren publieksdiensten en de Nederlandse vereniging voor burgerzaken maken het mogelijk om onze producten en diensten af te stemmen op de specifieke behoeften van de diverse gemeentelijke doelgroep(en). Naast de gemeentelijke doelgroep zoekt de VNG/IBD ook doorlopend afstemming met de Autoriteit Persoonsgegevens als toezichthouder en het Ministerie van BZK als stelselverantwoordelijke voor de digitale overheid.
Verhogen digitale weerbaarheid
Ook in 2020 waren de meest voorkomende incidenten het gevolg van exploitatie van kwetsbaarheden, phishing en configuratiefouten. Om deze incidenten te voorkomen zijn basismaatregelen en -processen van groot belang. In het programma verhogen digitale weerbaarheid (VDW) werkte de IBD aan gerichte ondersteuning om de basis verder op orde te krijgen. Bijzondere aandacht ging dit jaar uit naar het geautomatiseerd in kaart brengen van hard- en software door middel van de pilot netwerkinventarisatie.
Kennisproducten en advies
De IBD publiceerde dit jaar handreikingen, factsheets en instrumenten met het doel gemeenten te helpen bij het verhogen van de digitale weerbaarheid en / of het waarborgen van de bescherming van persoonsgegevens. De factsheets van module 1 van het programma VDW en de handreikingen over 2-factorauthenticatie en wachtwoordkluizen werden veel gedownload. Ook werkte de IBD mee aan kennisproducten van andere VNG expertisecentra zoals de handreiking ‘weten of vergeten?’ over archivering, publicaties over privacy in het sociaal domein en een handreiking over veilige digitale beraadslaging en betrouwbaar beeldbellen. De IBD startte in 2020 met de ontwikkeling van een online Integrale Risico en Privacy Analyse (IRPA) Tool. Het is de bedoeling dat in deze IRPA Tool de informatiebeveiligings- en privacy analyses samenkomen en tot eenduidige set van maatregelen toegespitst op de gemeente. De resultaten kunnen dan weer ingevoerd worden in het eigen Information Security Management System (ISMS). Resultaten kunnen bovendien gedeeld en hergebruikt worden tussen gemeenten. Bij de adviezen staat het belang en de behoefte van gemeenten centraal en zoekt de VNG/IBD waar mogelijk afstemming met betrokken partijen zoals de Autoriteit Persoonsgegevens, de verschillende ministeries, mede-overheden en ZBO’s. De IBD nam ook in 2020 weer deel aan diverse projecten en programma’s van gemeenten, zoals de ICS/SCADA IOT Klankbordgroep over procesautomatisering, de werkgroep BIO, GEMMA, Common Ground, GGI-Veilig, elektronische handtekeningen, nID, eIDAS, ENSIA, Nieuw Digitaal Hulpmiddel (Kiesraad), Omgevingswet, ISD-regie. Ook hielp de IBD bij het het uitvoeren van risicoanalyses en DPIA’s voor projecten van de VNG.
Privacy
De coronacrisis zorgde voor een hoop leed in de samenleving. Ook bracht deze crisis nieuwe privacyvraagstukken met zich mee. De grootste uitdaging voor FG’s van gemeenten was om beter in positie te komen: meer naar de toezichthoudende rol in plaats van de uitvoerende rol. De FG moet ervoor zorgen dat de adviesrol niet conflicteert met toezichthoudende taken waardoor de slager het eigen vlees zou keuren. De IBD startte een serie intervisiesessies voor FG’s waarin de professionele doorontwikkeling van de rol bij gemeenten centraal staat. De standaardverwerkersovereenkomst is op voorspraak van het college van dienstverleningszaken per 2020 een verplichte standaard en biedt duidelijkheid voor gemeenten en hun verwerkende leveranciers. Inmiddels committeerden 59 belangrijke gemeentelijke leveranciers zich al aan de overeenkomst en de gemeentelijke voorwaarden voor de ordentelijke omgang met persoonsgegevens. De overeenkomst blijft actueel door de beheerstructuur onder toezicht van de beheergroep standaard VWO. De IBD startte met vier nieuwe privacywerkgroepen: verwerker/verwerkingsverantwoordelijke, Participatiewet en bewaartermijnen, samenwerking tussen gezamenlijke verantwoordelijken (art. 26 AVG), en FG-monitoringstool met volwassenheidsniveaus.
Ontwikkelingen in beleid en bestuur
Het VNG bestuur stelde begin 2020 de agenda digitale veiligheid (ADV) 2020 – 2024 vast met hierin de ambities op het terrein van informatiebeveiliging, en openbare orde en strafrecht in de context van de informatiesamenleving. De agenda is naar een plan van aanpak vertaald waarin gemeenten de diverse actielijnen uit de agenda uitvoeren. De VNG ontwikkelde een drietal interactieve crisissimulatie-oefeningen om een cybercrisis te beleven en te leren beheersen. Ook werkten gemeenten mee aan de Virtuele Overheidsbrede Cyberoefening.
Vooruitblik naar 2021 en verder
Begin 2021 stemmen gemeenten over de nieuwe resolutie informatieveiligheid met daarin afspraken over bijvoorbeeld meldingen aan de IBD, intergemeentelijke bijstand bij incidenten (het eerder genoemde gemeentelijk responsnetwerk) en het uitzoeken van de rol van het lokaal bestuur bij de coördinatie van digitale crises. Voor informatiebeveiliging zijn de prioriteiten van gemeenten vervat in het programma verhogen digitale weerbaarheid en voor privacy werken gemeenten volgens de gemeentelijke borgingscriteria van de AVG. De IBD is klaar voor het ontvangen, verreiken en verspreiden van dreigingsinformatie die volgt uit de SIEM/SOC dienstverlening in het kader van GGI Veilig. Voor privacy gaat de IBD aan de slag met door gemeenten bepaalde prioriteiten en een integrale agenda voor privacyonderwerpen. De IBD is in 2021 het centrale meldpunt voor informatiebeveiliging in verband met de Tweede Kamerverkiezingen. Hierover is nauwe afstemming met de Kiesraad en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De IBD werkt in 2021 nauw samen met het Nationaal Cyber Security Centrum en collega CERT’s in de uitbouw van het landelijk dekkend stelsel voor een digitaal veilig Nederland.
Download hier de pdf versie van het IBD Jaaroverzicht 2020