Artikel 43

Lees hier de antwoorden van de gemeente op onderstaande vragen.

Aan de griffier van de gemeenteraad Roermond
Postbus 900
6040 AX Roermond

Roermond, 11 april 2018

Betreft: Schriftelijke vragen ex. Art. 43 R.v.O. m.b.t. ‘beveiligingslek gemeentelijke inloggegevens’

Geacht College,

De afgelopen week waren er een flink aantal perspublicaties aangaande drie miljoen inloggegevens/wachtwoorden van Nederlandse internetgebruikers die zijn gelekt.

gotcha.pw is een zoekmachine waarop is na te gaan om welke emailadressen dit precies gaat. Bij het invoeren van de domeinnaam @roermond.nl komen er tot onze grote schrik 66 emailadressen tevoorschijn waarvan de emailadressen en/of de wachtwoorden dus bekend/openbaar zijn geworden https://gotcha.pw/search/@roermond.nl.
Ons is niet bekend of dit actuele wachtwoorden en emailadressen zijn, echter is het een zorgelijke zaak dat zulke gegevens op straat liggen. De wereld wordt steeds digitaler, dus de gemeente Roermond ook. Cybersecurity is tegenwoordig misschien wel net zo belangrijk als fysieke veiligheid gezien de gevoeligheid van informatie. De LVR fractie hecht veel waarde aan privacy en de bescherming van (gevoelige) informatie.
Een snelle blik in de lijst bracht ons tot de conclusie dat zelfs onze Raadsgriffier en minimaal één afdelingshoofd op de lijst staan, het zou dus mogelijk kunnen gaan om zeer gevoelige informatie van hoger ambtelijk niveau.
Dit alles brengt ons tot de volgende vragen:

1. a. Is het College van B&W zich ervan bewust dat deze 66 gemeentelijke emailadressen op de lijst van gotcha.pw staan?
   b. Zo ja, sinds wanneer?
   c. Zo nee, kan worden aangegeven hoe dit door de vingers van de Gemeente Roermond kan glippen?
2. a. Welke acties zijn er door het College van B&W ondernomen vanaf het moment van bekendwording van dit beveiligingsincident? Zijn de betrokken medewerkers geïnformeerd?
   b. Gaarne een tijdspad.
3. Zijn de betreffende inloggegevens inmiddels aangepast?
4. a. Is er bij het College van B&W bekend of er gehackte gemeentelijke inloggegevens zijn misbruikt om toegang te krijgen tot bijvoorbeeld mailboxen van de gemeente Roermond of anderszins?
   b. Gaarne ook exact aangeven hoe het College van B&W tot de beantwoording van deze vraag is gekomen (welke beveiligigingssystemen/signaleringssystemen zijn er geraadpleegd).
5. Is het College van B&W bereid om per direct een onderzoek in te stellen naar de gevolgen die deze lekkage teweeg heeft gebracht en naar de algehele cybersecurity van de Gemeente Roermond?
6. Welke stappen gaat het College van B&W nemen om een dergelijk lek in de toekomst te voorkomen?

Op 27 november 2017  heeft toenmalige Commissielid BM huidig Raadslid Celebi in de Commissievergadering BM bij agendapunt 11 betreffende de gemeenschappelijke regeling ICT-NML aan de portefeuillehouder Schreurs gevraagd:

“We hebben het over IT, dus ook data. Uiteraard is de LVR bezorgd over de bescherming van gevoelige data. In hoeverre heeft het bestuur van deze samenwerking zich voorbereid op GDPR (General Data Protection Regulation)? Dat is een wet die op 18 mei ingaat. Ik kan nergens terugvinden of de samenwerking hierop is voorbereid. Is onze eigen gemeente hier eigenlijk wel op voorbereid? …… De LVR wil daar duidelijkheid over dus graag daar een verklaring over, desnoods schriftelijk”.

Antwoord wethouder Schreurs:

“U heeft heel sterk aandacht gevraagd voor de privacy, met name ook gewezen naar wat er in mei vanuit Europa naar alle gemeenten toekomt. Als gemeente Roermond beschikken wij al per 1 januari van een privacy officer. Ik snap heel goed dat u hier een schriftelijke verklaring over wilt. Als je daar niet aan voldoet en je krijgt een boete van Europa en dat kan oplopen tot 860.000 euro, dat je dan wel even schrikt en dat je als raad aan de voorkant wel even een garantie wilt hebben. Ik wil u dat graag toezeggen en ik zal dat laten onderzoeken en voor zorgen dat u op de groene flap daar antwoord op krijgt. Ik kan daar nu wel proberen een antwoord op te geven maar ik wil dat het antwoord daarop helemaal correct en zuiver is, want het is geen makkelijke materie. Dit wordt toch met die data en de privacy van de burger en datalekken en alles wat er kan voorkomen (cybercriminaliteit), daar krijgen we allemaal last van en daar moeten wij allemaal heel zorgvuldig mee omgaan”.

Commissieadvies 27-11-17: Onder technische maatregelen vallen ook het maken en controleren van back-ups, het nemen van uitgebreide antivirus maatregelen en het goed ingericht hebben van de ICT-systemen om kwaadwillenden (zoals hackers) buiten de deur te houden.

7. Kan het College van B&W aangeven hoe dit lek heeft kunnen plaatsvinden terwijl er in de Commissievergadering van 27 november jl. en in het Commissieadvies nog geruststellende woorden werden uitgesproken door Wethouder Schreurs?
8. a. Is het College van B&W het met de LVR fractie eens dat uit bovenstaande valt te concluderen dat de gemeente Roermond nog niet klaar is voor 18 mei as. waarop de GDPR/AVG inwerking treedt?
   b. Zo ja, welke stappen gaat het College van B&W de komende maand ondernemen om wel aan deze wetten te voldoen en de boete die kan oplopen tot 860.000 euro te voorkomen?
   c. Zo nee, kan worden aangegeven tot welke conclusie het College van B&W dan wel komt naar aanleiding tot bovenstaande?

Commissieadvies 27-11-17: “In het kader van de ‘Meldplicht datalekken’ die sinds 1 januari 2016 van kracht is heeft de CISO (Chief Information Security Officer) van de ICT NML samen met de CISO’s van de gemeenten een ‘Procedure meldplicht datalekken’ opgesteld. Deze procedure is door het management van ICT NML vastgesteld. In deze procedure staat beschreven hoe ICT NML en de deelnemende gemeenten handelen als er in de centrale ICT-infrastructuur een beveiligingsincident optreedt. Een beveiligingsincident kan leiden tot een datalek.”

9. Graag willen wij deze “vastgestelde procedure” ontvangen.
10. Dus nogmaals: Kan het College van B&W aangegeven hoe er gehandeld is na het datalek dat deze week bekend is geworden?
11. Is het College van B&W bereid om de Raad voortaan direct (zo nodig vertrouwelijk) te informeren als er sprake is van een (poging tot) hack of ander dergelijk beveiligingsincident?

Wij zien de beantwoording met belangstelling tegemoet.

Hoogachtend,