Hack Haarlemmermeer!
Iedere dag lezen we het wel in het nieuws: een grote onderneming of publieke organisatie is gehackt waardoor veel privacygevoelige informatie op straat kan komen te liggen. Iets dat moeilijk te voorkomen is, maar waarop men zich wel goed kan voorbereiden. De fractie van HAP vindt het belangrijk dat waardevolle en privacygevoelige informatie zo goed als mogelijk is beveiligd tegen misbruik.
Een manier om de eigen informatiebeveiliging te verbeteren, is het toestaan van ethisch hacken. Ethische hackers vinden het leuk om beveiligingslekken in computersystemen te ontdekken en maken hier geen misbruik van. In plaats daarvan melden ze het lek aan de organisatie, zodat die het lek dan kan dichten. In meerdere gemeenten is de politiek aan de slag gegaan om ethisch hacken van gemeentelijke computersystemen mogelijk te maken. De fractie HAP denkt dat een dergelijke oproep aan ethische hackers waardevol kan zijn voor de gemeente, maar dat hier wel goede afspraken over gemaakt dienen te worden, in de vorm van een responsible disclosure. Hierdoor wordt de kwetsbaarheid eerst gemeld aan de gemeente, voordat dit aan de buitenwereld kenbaar maakt. Mijn fractie heeft daarom de volgende vragen aan het College.
1. Wat doet de gemeente Haarlemmermeer al om beveiligingsproblemen in computersystemen vast te stellen en op te lossen?
2. In hoeverre is er nagedacht over het inzetten van ethische hackers als onderdeel van het beleid informatiebeveiliging?
3. Wat vindt het College van het idee om beloningen uit te schrijven voor mensen die vrijwillig de gemeente helpen bij het dichten van lekken in de informatiebeveiliging? Dit kan een klein geldbedrag zijn of een jaarlijkse trofee.
In het verleden zijn ‘digitale klokkenluiders’ in de problemen gekomen doordat ze vervolgd cq aansprakelijk gesteld werden na het melden van beveiligingslekken in websites of andere computersystemen. De rijksoverheid heeft daarom een beleid voor ‘responsible disclosure’ gepubliceerd waarin wordt aangegeven dat de overheidsinstantie geen klachten zal indienen tegen de klokkenluider zolang de klokkenluider zich ook redelijk opstelt naar de overheidsinstantie.
De gemeente Haarlemmermeer zou – door het voorbereidende werk van de rijksoverheid – één van de eerste gemeente kunnen zijn die een goede regeling heeft voor digitale klokkenluiders. Daarom stelt HAP het College de volgende vragen:
4. Bent u bereid de regeling voor digitale klokkenluiders ook van toepassing te verklaren op www.haarlemmermeer.nl en andere computersystemen van de gemeente Haarlemmermeer? Zo nee, waarom niet?
5. Zo ja, op welke termijn kunt u dit aangeven op de website (bijvoorbeeld onder het kopje ‘Proclaimer en Privacy’), met een e-mailadres voor meldingen van beveiligingsproblemen, zodat mogelijke melders met een gerust hart eventuele beveiligingsproblemen kunnen melden bij de gemeente?
HAP vindt het niet wenselijk om een compleet nieuwe gemeentelijke regeling te ontwikkelen. We attenderen de gemeente daarom op het bestaan van een (onder naamsvermelding vrij) te gebruiken ‘digitale klokkenluiders’ regeling: http://responsibledisclosure.nl/