Datalek Amersfoort: Tijd om de ernst van NIS2 te begrijpen

Het recente datalek bij de gemeente Amersfoort, waarbij persoonsgegevens van duizenden inwoners zijn gelekt via een externe leverancier, legt een fundamenteel probleem bloot in hoe overheden omgaan met cybersecurity. Hoewel de hack niet direct bij de gemeente plaatsvond, ontslaat dat de gemeentelijke bestuurders niet van hun verantwoordelijkheid. Dit incident komt op een cruciaal moment: de Europese NIS2-richtlijn is al van kracht, en we zitten nu in de overgangsperiode waarin organisaties zich veroorloven om dit soort incidenten weg te wuiven.

Wat ging er mis?

Bij een hack op het afsprakensysteem van een softwareleverancier zijn persoonsgegevens van inwoners gestolen. Het gaat om gevoelige data zoals namen, adressen, geboortedata en zelfs burgerservicenummers (BSN). Hoewel de gemeente Amersfoort stelt dat de kans op misbruik klein is, weten we dat deze informatie goud waard is voor criminelen. Dit soort datalekken zijn een dwingende reminder: privacy en beveiliging van burgers moeten topprioriteit zijn, ongeacht wie de data technisch beheert.

De NIS2-regelgeving: geen excuses meer

De Network and Information Security Directive 2 (NIS2) is sinds oktober 2024 officieel van kracht. Het stelt strengere eisen aan organisaties die essentiële of belangrijke diensten leveren, waaronder gemeenten. Hoewel de volledige naleving pas vanaf oktober 2025 wordt gehandhaafd, betekent dit niet dat bestuurders nu nog kunnen wegkijken. NIS2 vereist dat ook toeleveranciers binnen de keten aan strikte beveiligingsstandaarden voldoen, en bestuurders kunnen persoonlijk aansprakelijk worden gesteld als zij onvoldoende toezicht houden.

In het geval van Amersfoort betekent dit dat het bestuur verantwoordelijk blijft, zelfs als de hack extern heeft plaatsgevonden. Het is hun taak om contractueel te waarborgen dat leveranciers voldoen aan de hoogste beveiligingseisen. Als deze afspraken ontbreken, of als audits en monitoring tekortschieten, kan de gemeente daar straks stevig op worden afgerekend.

Leveranciers als risicofactor

Veel gemeenten leunen op externe leveranciers voor software en digitale processen zoals afsprakensystemen. Hoewel dit efficiënter kan zijn, brengt het ook risico's met zich mee. Gemeentebesturen zijn niet altijd voldoende uitgerust om de cybersecuritymaatregelen van leveranciers kritisch te beoordelen. Dit moet veranderen. Onder NIS2 kunnen bestuurders niet langer vertrouwen op goede intenties van leveranciers; ze moeten bewijzen dat er voldoende controle en toezicht is.

Het datalek in Amersfoort toont hoe kwetsbaar deze afhankelijkheid kan zijn. Zonder strenge contractuele eisen, periodieke beveiligingsaudits en duidelijke afspraken over incidentbeheer, blijft de deur openstaan voor vergelijkbare hacks.

Actie is nodig, nu

In plaats van te wachten tot NIS2 volledig wordt gehandhaafd, moeten gemeenten nú actie ondernemen. Dat begint met het inventariseren van kwetsbaarheden in hun digitale keten. Stel kritische vragen aan leveranciers: Hoe beveiligen zij data? Hoe reageren zij op een hack? Wat doen zij om NIS2-compliant te zijn? Zorg daarnaast voor interne bewustwording, zodat ook medewerkers en bestuurders begrijpen wat er op het spel staat.

Inwoners moeten erop kunnen vertrouwen dat hun persoonsgegevens veilig zijn, ongeacht waar ze worden opgeslagen. Dat vraagt om leiderschap en daadkracht, juist nu. Het is tijd dat gemeenten cybersecurity niet langer als een bijzaak zien, maar juist als een kerntaak.

Geen incident

Het datalek in Amersfoort is geen incident; het is een waarschuwing. Met de NIS2 regelgeving in werking moeten gemeenten en hun leveranciers zorgen dat ze volledig voorbereid zijn op de nieuwe eisen. Bestuurders die de beveiliging van persoonsgegevens niet serieus nemen, kunnen straks niet alleen de privacy van inwoners, maar ook hun eigen positie in gevaar brengen. De overgangsperiode biedt een kans om te handelen. Grijp die kans. Want de tijd van excuses is voorbij.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op via info@tt3p.nl of 088 38 38 38 3.

Op de hoogte blijven van alle updates rondom cybersecurity? Volg dan onze LinkedIn-pagina