Gemeenten moeten een aantal zaken slimmer gaan organiseren, en slimmer organiseren is samen organiseren. Onder meer als het gaat om afspraken met IT-leveranciers. Dat is een belangrijke les die we leren uit de nasleep van de hack bij de gemeente Hof van Twente.
We hebben als VNG een algemene ledenvergadering (ALV) achter de rug, waar gemeenten onder meer hebben ingestemd met de VNG Verenigingsstrategie 2030. De omkering waar ik in eerdere blogs over schreef, is daarin een essentieel element. Die houdt in dat gemeenten maatschappelijke opgaven signaleren, oplossingen daarvoor aandragen en daar samen met het rijk beleid op maken. Ik ben er blij mee en trots op dat gemeenten deze strategie breed hebben omarmd.
Onze leden hebben ook ingestemd met een intensivering van de samenwerking in de Gezamenlijke Gemeentelijke Uitvoering. Dat zegt veel over de richting die we als gemeenten inslaan: een waarin we nog meer samenwerken en een aantal zaken centraal oppakken. Zo worden gezamenlijke inkoop en aanbesteding uitgebreid en wordt de kennismakelaarsfunctie van de Informatiebeveiligingsdienst verder versterkt.
Het landschap waarin gemeenten en hun leveranciers opereren, wordt steeds complexer. Wat er gebeurde bij de gemeente Hof van Twente, laat dat helaas zien. In de nasleep van de hack, die de gemeente veel schade toebracht, wordt de vraag gesteld in hoeverre de kwetsbaarheden in de IT-systemen van de gemeente haar IT-dienstverlener te verwijten waren. In essentie gaat het hier over verwachtingen over en weer, over aansprakelijkheid en zorgplicht.
De gemeente Hof van Twente besloot onlangs in hoger beroep te gaan tegen de uitspraak van de rechtbank in de zaak tegen haar IT-leverancier. In het samenspel tussen gemeenten en leveranciers bestaat nog weinig tot geen jurisprudentie over bijvoorbeeld de GIBIT-voorwaarden, en de BIO (Baseline Informatiebeveiliging Overheid) in combinatie met de wettelijke zorgplicht van een leverancier. Het werkveld is daarom mogelijk gebaat bij een rechterlijke inkleuring van normen in dit relatief jonge rechtsgebied. In de uitvoeringspraktijk gaat het om het managen van wederzijdse verwachtingen. De continuïteit en vertrouwelijkheid van IT-diensten is dan ook chefsache bij zowel opdrachtgever als opdrachtnemer.
Wat er gebeurde bij Hof van Twente, kan elke gemeente overkomen. Daar moeten we als gemeenten individueel, en ook gezamenlijk, actie op ondernemen. In de relatie met leveranciers blijken afspraken vaak niet nauwkeurig genoeg. Gemeenten en leveranciers zullen de verwachtingen die zij van elkaar hebben, beter moeten managen. Dat vraagt ook iets van de VNG, want wij kunnen dit ondersteunen. Zoals we deden met de standaard verwerkersovereenkomst, nodig voor de naleving van de AVG. We krijgen daar veel positieve reacties op, zowel van gemeenten als van leveranciers. Het gebruiken van deze standaard scheelt hen veel kosten en gedoe. Dit soort instrumenten kunnen ook helpen bij het beter managen van de verwachtingen tussen gemeenten en leveranciers als het gaat om de verantwoordelijkheden rondom informatieveiligheid. Het is een richting die we als VNG met gemeenten onderzoeken.
Er is nog een reden waarom meer samenwerken voor gemeenten gewenst en zelfs noodzakelijk is. Onlangs boden we de nieuwe gemeentelijke Stand van de Uitvoering aan, aan de minister van Binnenlandse Zaken. Een belangrijke conclusie daarin is dat het personeelstekort ook voor gemeenten steeds nijpender wordt en dat gemeenten daarom zullen moeten gaan kiezen waar ze hun schaarse menskracht op inzetten. Dat geeft een impuls aan het werken aan en denken over meer gezamenlijke gemeentelijke uitvoering, zoals ook in de Verenigingsstrategie is opgenomen. We moeten het als gemeenten slimmer gaan organiseren en slimmer organiseren is samen organiseren. Ook op het vlak van de relatie tussen gemeenten en leveranciers, wat het voorbeeld van Hof van Twente helaas duidelijk maakt.