Checklist Digitale Veiligheid voor raadsleden

In 2025 gaat de Cyberbeveiligingswet in. Hiermee wordt digitale veiligheid een wettelijke verplichting voor gemeenten. De gemeenteraad moet voor digitale veiligheid voldoende middelen beschikbaar stellen én controleren of het College rechtmatig en doelmatig handelt. PBLQ heeft veel rekenkameronderzoeken uitgevoerd naar digitale veiligheid van gemeenten. Hieruit kwam naar voren dat dit een vaak een moeilijk onderwerp is om als gemeenteraad op te sturen. Om u hierbij op weg te helpen, hebben wij een checklist voor u opgesteld. Deze kunt u gebruiken bij het beoordelen van stukken over digitale veiligheid en bij besluitvorming daarover. De checklist kan u helpen om de juiste vragen te stellen aan het College over digitale veiligheid.

1. Voldoet onze gemeente aan de verplichtingen van de Cyberbeveiligingswet?

De wettelijke norm voor digitale veiligheid van gemeenten ligt vast in de Cyberbeveiligingswet (Cbw) die naar verwachting in het najaar van 2025 in werking treedt. In deze wet zijn alle verplichtingen voor gemeenten omtrent digitale veiligheid opgenomen. Als de wet in werking treedt wordt onder meer de Baseline Informatiebeveiliging Overheid 2 (BIO2) verplicht gesteld. Alle gemeenten moeten aan deze norm voldoen.

2. Aan welke BIO-normen voldoen we niet en welk risico lopen we daarmee?

De mogelijkheid bestaat dat de gemeente (nog) niet voldoet aan de normen uit de BIO2. Als raadslid wilt u weten aan welk risico de gemeente loopt als uit de jaarlijkse audit blijkt dat niet aan de BIO normen voldaan wordt.

3. Zijn de risico’s acceptabel of worden er mitigerende maatregelen getroffen?

Hoe wordt hierover gerapporteerd?

100% Digitaal veilig bestaat niet; er is dus altijd een risico dat er iets misgaat. Het is aan de raad om te beoordelen of deze risico’s goed in beeld zijn en in hoeverre hier mitigerende maatregelen voor getroffen moeten worden.

4. Zijn er duidelijke afspraken met ketenpartners over digitale veiligheid?

Veel gemeenten (ook de grote) werken samen aan de versterking van hun digitale veiligheid, met andere gemeenten of externe partners. Het is belangrijk om hierover in ‘vredestijd’ goede en sluitende afspraken te maken. Als het misgaat (door bijvoorbeeld een hack) is anders de kans groot dat er naar elkaar gewezen wordt.

5. Hoe gaan we om met datalekken en andere incidenten?

De Functionaris Gegevensbescherming (FG) is verplicht om een jaarverslag te schrijven waarin melding wordt gemaakt van datalekken. Voor het vertrouwen in de gemeente is het van belang dat slachtoffers van een datalek op de hoogte gebracht worden, ook wanneer het is opgelost. Ook onder de Cyberbeveiligingswet komt een wettelijke meldplicht voor incidenten die impact hebben op de gemeentelijke dienstverlening. Dit kunnen datalekken zijn, maar ook andere incidenten.

6. Oefent het College regelmatig met een cyberverstoring of -crisis?

Wat waren de leerpunten hierbij en worden deze doorgevoerd?

In het fysiek domein is het heel normaal om een oefening of simulatie uit te voeren. Als het om digitale veiligheid gaat is dat veel minder vanzelfsprekend. Maar ook hier geldt ‘oefening baart kunst’. Het is hierbij wel belangrijk dat verbeterpunten worden vastgelegd en opgevolgd. Het is van belang om dit oefenen onderdeel te maken van de PDCA-cyclus en periodiek te doen.

7. Hoe bewust zijn medewerkers van de gemeente over digitale veiligheid?

Worden medewerkers opgeleid en wordt er kennis gedeeld?

De menselijke factor speelt een grote rol in digitale veiligheid. Ambtenaren werken met persoonsgegevens of andere gevoelige informatie die ze bijvoorbeeld per ongeluk naar een verkeerd adres kunnen sturen. Daarnaast blijkt uit zogenaamde phishing mails dat het ook voorkomt dat medewerkers op een verkeerde link klikken of andere risico’s kunnen veroorzaken. Het is belangrijk dat medewerkers bewust met informatie omgaan en de kennis over digitale veiligheid actueel en up-to-date houden. Het is ook relevant voor u als raadslid om te kijken in hoeverre deze bewustwordingsactiviteiten verplicht zijn voor medewerkers.