Uit onderzoek van de Inspectie Leefomgeving en Transport (ILT) blijkt dat de drinkwaterorganisatie Stichting Waternet (Waternet) zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Waternet staat sinds vorige week onder verscherpt toezicht. Dit wordt veroorzaakt door tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht en de besturing van de organisatie. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Er zijn geen aanwijzingen dat de kwaliteit en levering van het drinkwater acuut in gevaar zijn. De ILT gaat de komende tijd toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing van Waternet.
Waternet is binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van een essentiële dienst (AED), die van groot belang is voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van deze AED’s worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven.
De Wbni regelt een zorgplicht - het treffen van beveiligingsmaatregelen zodat de kerntaak van de organisatie kan worden blijven uitgevoerd - en een meldplicht van incidenten. Ten aanzien van de uitvoering van beide heeft de ILT tekortkomingen geconstateerd. De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Daarnaast doet de ILT in haar rapport meerdere constateringen op onderdelen van de PA-norm (een door de drinkwatersector opgestelde norm voor de procesautomatisering om invulling te geven aan de zorgplicht) en op het gebied van cybersecurity in het algemeen bij Waternet.
Voor wat betreft de meldplicht is te verwachten dat daadwerkelijke incidenten die boven de drempelwaarde uitstijgen, volgens de juiste procedure worden gemeld. Waternet heeft echter nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden.
Daarnaast vormen ook de tekortkomingen in de besturing een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. De ILT constateert dat de besturing niet doeltreffend genoeg is, terwijl dit een belangrijke voorwaarde is voor het waarborgen van de drinkwatertaak en de cybersecurity.
Borging van drinkwaterprocessen vindt vooral op operationeel niveau (werkvloer) plaats. Op strategisch niveau (waaronder directie en stichtingsbestuur) is waarborging van de drinkwatertaak en de cybersecurity nog onvoldoende aanwezig. In het ontwerp van de bestuurlijke structuur ontbreekt integraal toezicht op de drinkwatertaak. Bovendien is er nog geen gestructureerd risicomanagement en vinden evaluatie en bijsturing nog niet genoeg plaats.
De ILT vindt dat Waternet ten tijde van het ILT-onderzoek onvoldoende grip heeft op haar cybersecurity. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Hoeveel groter de kans of impact voor het drinkwater is, laat zich niet eenvoudig kwantificeren. De beveiliging leunt niet op één maatregel. De maatregelen werken aanvullend op elkaar en verhogen als geheel de weerstand tegen cyberaanvallen of verkleinen als geheel de impact. Hoe groot het negatief effect van ontbrekende of niet optimaal werkende maatregelen is, is niet exact aan te geven.
De tekortkomingen in de besturing vormen een oorzaak van de risico’s op het gebied van cybersecurity en de (overige) voorwaarden voor waarborging van de drinkwatertaak. Dit toont het belang van verbetering van de besturing ten behoeve van waarborging van de drinkwatertaak.
Waternet heeft inmiddels al een aantal stappen gezet ter verbetering van de tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht. Tevens evalueert Waternet het besturingsmodel. De ILT vindt dit een positieve ontwikkeling, maar benadrukt het belang om zo snel mogelijk voldoende grip te hebben op het uitvoeren van verbeteringen, hier voldoende inzicht in te hebben en indien nodig tijdig bij te sturen. De ILT stelt Waternet de komende periode onder verscherpt toezicht en gaat toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing. Het verscherpt toezicht duurt tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen - in het bijzonder die van cybersecurity - in voldoende mate op orde heeft.
De ILT houdt bij Waternet toezicht op de drinkwatervoorziening en op het deel van de cybersecurity dat betrekking heeft op de drinkwaterveiligheid en leveringszekerheid. In de media kwam in september en november 2020 het signaal naar voren dat de cybersecurity bij Waternet niet op orde zou zijn en dat de besturing bij Waternet verbeteringen ten aanzien van cybersecurity zou belemmeren. Dit signaal, in combinatie met de uitkomst van een bestuurlijk gesprek met Waternet over dit signaal, was voor de ILT reden om te besluiten tot een eigen onderzoek. Het doel van dit onderzoek was vast te stellen in hoeverre er sprake was van risico’s voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. Het onderzoek is uitgevoerd in de periode van 24 november 2020 tot 5 februari 2021.
Nieuwe afspraken moeten ervoor zorgen dat Uitvoeringsinstituut werknemersverzekeringen (UWV) meer uitkeringsgerechtigden kan beoordelen en begeleiden en dat ook beter kan doen. Het UWV, de Nederlandse Vereniging voor Verzekeringsgeneeskunde (NVVG) en minister Koolmees van Sociale Zaken en Werkgelegenheid (SZW) hebben nieuwe afspraken gemaakt om de groeiende vraag naar sociaal-medische beoordelingen op te vangen. Daarnaast is de verwachting dat de maatregelen het werk als verzekeringsarts aantrekkelijker maken. Niettemin blijft ondanks de nieuwe maatregelen de vraag naar sociaal-medische dienstverlening hoger dan het aanbod. Daar zijn aanvullende maatregelen voor nodig, maar die zullen door het huidige demissionaire en het volgende kabinet samen met betrokkenen zoals ook de sociale partners goed gewogen moeten worden.
Op 25 mei 2018 werd namelijk de nieuwe privacywet van toepassing, de Algemene verordening gegevensbescherming (AVG). Voor de Autoriteit Persoonsgegevens (AP) stond het jaar dan ook in het teken hiervan. Enerzijds om organisaties te stimuleren de noodzakelijke voorbereidingen te treffen en de nieuwe wet na te leven. Anderzijds om als toezichthouder klaar te zijn voor nieuwe taken op het gebied van Europese samenwerking, voorlichting en behandeling van privacyklachten.
De coronacrisis grijpt direct in op het dagelijks werk van de politie, de veiligheid van agenten en hun inzetbaarheid. Minister Grapperhaus van Justitie en Veiligheid neemt daarom maatregelen om agenten meer te beschermen en hun inzetbaarheid zeker te stellen. Zo heeft de ministerraad vrijdag ingestemd met een wetsvoorstel, waardoor van hoestende en spugende verdachten gedwongen wangslijm kan worden afgenomen om te testen op corona. Hierdoor kan worden getest of agenten of andere hulpverleners risico lopen als mensen met opzet spugen of hoesten om te besmetten met het corona-virus (COVID-19).
Lees meer: Corona-maatregelen voor bescherming en inzetbaarheid agenten
Voor burgers is digitaal contact met de overheid niet altijd even gemakkelijk. De overheid bestaat feitelijk uit honderden organisaties die digitalisering niet allemaal op dezelfde manier aanpakken. Daardoor kan de burger het spoor bijster raken. Dat geldt des te meer voor mensen die door omstandigheden minder zelfredzaam zijn. Van hen kan niet altijd worden verwacht dat zij alle digitale kanalen van overheidsorganen in de gaten houden en de weg kunnen vinden in de digitale uitvoering van regels. Toegang tot de overheid is een beginsel van behoorlijk bestuur. De Afdeling advisering raadt daarom aan om dit beginsel ook bij een digitaliserende overheid voortdurend in het oog te houden. Burgers hebben recht op zinvol contact met de overheid, waarbij zij serieus worden genomen en hun eigen gegevens kunnen inzien en (waar nodig) corrigeren.