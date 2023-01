Als het gaat om cybersecurity wordt de verantwoordelijkheid voor incidenten vaak bij slachtoffers gelegd, maar een systeembeheerder met het simpele wachtwoord welkom2020 is geen dader maar een slachtoffer. Dat stelt Bibi van den Berg, hoogleraar cybersecurity governance. Ze houdt zich bezig met onderzoek naar hoe overheden en organisaties sturing kunnen geven aan digitale veiligheid.

Volgens Van den Berg is het onmogelijk voor veel individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken. Ze pleit er dan ook voor om cybersecurity voor gemeenten gedeeltelijk op een hoger collectief niveau te organiseren. Nu verschilt de aanpak nog per gemeente, alsmede de hoeveelheid kennis en bewustwording die gemeenten in huis hebben, in budgetten en menskracht.

"Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid. Het is raar dat we bij digitale veiligheid de verantwoordelijkheid bij de burgemeester neerleggen", merkt Van den Berg op. Daardoor worden ook verantwoordelijkheden op de verkeerde plek gelegd en wordt er vaak naar slachtoffers gewezen, aldus de hoogleraar, die daarbij ook wijst naar de inbraak bij de gemeente Hof van Twente.

"Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen", stelt Van den Berg. Er zijn echter veranderingen op dit gebied gaande. Zo legt de Nederlandse Cybersecuritystrategie een grotere verantwoordelijkheid bij de partijen die systemen aanbieden.

Die systemen moeten op voorhand gaan voldoen aan wet- en regelgeving en technische standaarden. Ook in de aankomende Europese Cybersecurity Act wordt dat opgenomen. "Logisch eigenlijk, want voor bijvoorbeeld je koffiezetapparaat is het allang zo geregeld dat die moet voldoen aan veiligheidseisen en dat het niet aan jou is om te zorgen dat ie veilig is", laat de hoogleraar in een artikel van het Nederland Genootschap van Burgemeesters weten.