Lees hier de antwoorden van de gemeente op onderstaande vragen.
Aan de griffier van de gemeenteraad Roermond
Postbus 900
6040 AX Roermond
Roermond, 11 april 2018
Betreft: Schriftelijke vragen ex. Art. 43 R.v.O. m.b.t. ‘beveiligingslek gemeentelijke inloggegevens’
Geacht College,
De afgelopen week waren er een flink aantal perspublicaties aangaande drie miljoen inloggegevens/wachtwoorden van Nederlandse internetgebruikers die zijn gelekt.
gotcha.pw is een zoekmachine waarop is na te gaan om welke emailadressen dit precies gaat. Bij het invoeren van de domeinnaam @roermond.nl komen er tot onze grote schrik 66 emailadressen tevoorschijn waarvan de emailadressen en/of de wachtwoorden dus bekend/openbaar zijn geworden https://gotcha.pw/search/@roermond.nl.
Ons is niet bekend of dit actuele wachtwoorden en emailadressen zijn, echter is het een zorgelijke zaak dat zulke gegevens op straat liggen. De wereld wordt steeds digitaler, dus de gemeente Roermond ook. Cybersecurity is tegenwoordig misschien wel net zo belangrijk als fysieke veiligheid gezien de gevoeligheid van informatie. De LVR fractie hecht veel waarde aan privacy en de bescherming van (gevoelige) informatie.
Een snelle blik in de lijst bracht ons tot de conclusie dat zelfs onze Raadsgriffier en minimaal één afdelingshoofd op de lijst staan, het zou dus mogelijk kunnen gaan om zeer gevoelige informatie van hoger ambtelijk niveau.
Dit alles brengt ons tot de volgende vragen:
Op 27 november 2017 heeft toenmalige Commissielid BM huidig Raadslid Celebi in de Commissievergadering BM bij agendapunt 11 betreffende de gemeenschappelijke regeling ICT-NML aan de portefeuillehouder Schreurs gevraagd:
“We hebben het over IT, dus ook data. Uiteraard is de LVR bezorgd over de bescherming van gevoelige data. In hoeverre heeft het bestuur van deze samenwerking zich voorbereid op GDPR (General Data Protection Regulation)? Dat is een wet die op 18 mei ingaat. Ik kan nergens terugvinden of de samenwerking hierop is voorbereid. Is onze eigen gemeente hier eigenlijk wel op voorbereid? …… De LVR wil daar duidelijkheid over dus graag daar een verklaring over, desnoods schriftelijk”.
Antwoord wethouder Schreurs:
“U heeft heel sterk aandacht gevraagd voor de privacy, met name ook gewezen naar wat er in mei vanuit Europa naar alle gemeenten toekomt. Als gemeente Roermond beschikken wij al per 1 januari van een privacy officer. Ik snap heel goed dat u hier een schriftelijke verklaring over wilt. Als je daar niet aan voldoet en je krijgt een boete van Europa en dat kan oplopen tot 860.000 euro, dat je dan wel even schrikt en dat je als raad aan de voorkant wel even een garantie wilt hebben. Ik wil u dat graag toezeggen en ik zal dat laten onderzoeken en voor zorgen dat u op de groene flap daar antwoord op krijgt. Ik kan daar nu wel proberen een antwoord op te geven maar ik wil dat het antwoord daarop helemaal correct en zuiver is, want het is geen makkelijke materie. Dit wordt toch met die data en de privacy van de burger en datalekken en alles wat er kan voorkomen (cybercriminaliteit), daar krijgen we allemaal last van en daar moeten wij allemaal heel zorgvuldig mee omgaan”.
Commissieadvies 27-11-17: Onder technische maatregelen vallen ook het maken en controleren van back-ups, het nemen van uitgebreide antivirus maatregelen en het goed ingericht hebben van de ICT-systemen om kwaadwillenden (zoals hackers) buiten de deur te houden.
Commissieadvies 27-11-17: “In het kader van de ‘Meldplicht datalekken’ die sinds 1 januari 2016 van kracht is heeft de CISO (Chief Information Security Officer) van de ICT NML samen met de CISO’s van de gemeenten een ‘Procedure meldplicht datalekken’ opgesteld. Deze procedure is door het management van ICT NML vastgesteld. In deze procedure staat beschreven hoe ICT NML en de deelnemende gemeenten handelen als er in de centrale ICT-infrastructuur een beveiligingsincident optreedt. Een beveiligingsincident kan leiden tot een datalek.”
Wij zien de beantwoording met belangstelling tegemoet.
Hoogachtend,