‘Door de computerinbraak bij een klein bedrijfje in Beverwijk dreigt er een black out voor de hele overheid en een deel van het bedrijfsleven’, aldus NRC Handelsblad van zaterdag 10 september. Een groot deel van het overheidsapparaat zou tot stilstand komen. Van de 75 duizend certificaten die DigiNotar had uitgegeven, waren er ongeveer 3.500 in gebruik bij gemeenten.

Medewerkers van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) werkten vanuit het crisisteam van het ministerie van BZK met man en macht om de 418 gemeenten te ondersteunen bij het vervangen van de certificaten.

Op 14 september hadden minstens elf gemeenten nog geen abonnement afgesloten om certificaten te bestellen. Ze hebben zelfs geen contact met een leverancier. Minstens vijftig gemeenten zitten nog steeds in het aanvraagproces. Dat neemt niet weg dat het gros van de gemeenten alert reageerde op de crisis. Maar door de complexiteit en ook het gebrek aan kennis waren veel reacties niet adequaat.

Sommige gemeenten meldden dat het e-loket niet werkt of dat het niet veilig is. Alle ambities van de digitale overheid ten spijt, veel gemeenten vallen noodgedwongen terug op papier. Wel lijkt de gevreesde digitale black out van de baan. Maar daarmee is de kou niet uit de lucht.

De DigiNotar-crisis toont aan dat gemeenten hun informatievoorziening en ICT, en de beveiliging ervan, nog onvoldoende kunnen overzien en beheersen. Dat komt hoofdzakelijk doordat de gemeentelijke informatievoorziening onnodig complex en divers is. 418 gemeenten hebben nu ieder een eigen ICT-infrastructuur, terwijl zij in feite dezelfde dingen doen. Ook het aantal applicaties is niet meer te overzien. Zo werkt Amsterdam met duizenden ICT-applicaties, andere gemeenten gemiddeld met meer dan tweehonderd. Ook de beheerkosten rijzen de pan uit. DigiNotar bracht deze complexiteit scherp in beeld.

De crisis toont nu bovendien aan dat gemeenten bij ‘cyberaanvallen’ risico’s lopen. Uniformering en standaardisatie is broodnodig. Eén basisinfrastruur maakt het mogelijk om de digitale veiligheid van burgers beter te waarborgen. Er zijn minder toegangen, die beter beveiligd kunnen worden. Er kan sneller en gecoördineerd gereageerd worden, en er is meer specialistische kennis voorhanden.

De urgentie om hierin gezamenlijk op te trekken is groot. Daarom pleiten de VNG en KING voor het uitwerken van de gedachte van ‘de basisgemeente’. Doel is dat alle gemeenten een identieke basisinfrastructuur hebben (‘basisgemeente zijn’), en zijn georganiseerd in shared service centers. Zo’n basisinfrastructuur maakt het ook veel gemakkelijker om ICT-infrastructuur in te richten bij wetswijzigingen.

Dat scheelt bovendien behoorlijk in de kosten. Zo is in het gemeentefonds een bedrag van 132 miljoen euro gereserveerd, om de negentien bouwstenen van het NUP (Nationaal Uitvoeringsprogramma Dienstverlening en e-overheid) bij gemeenten te implementeren. Wanneer gemeenten werken met dezelfde standaarden en dat gezamenlijk doen, kan dat veel sneller en kostenefficiënter worden gerealiseerd.

De behoefte om samen te werken op het gebied van ICT is groot, maar de gereserveerdheid ook. Gemeenten vrezen verlies van autonomie. Maar een identieke basisinfrastructuur betekent nadrukkelijk niet dat er lokaal geen verschillen meer mogelijk zijn. Het betekent ook niet dat gemeenten geen zeggenschap meer hebben over hun eigen gegevens.

Hoe dan ook, het is van nationaal belang om de meer dan vierhonderd gemeentelijke architectuurvarianten geleidelijk te reduceren. DigiNotar toont aan dat er urgentie is, dat de ontwikkelingen te langzaam gaan. De fase van praten is voorbij, het is tijd voor voortvarende actie.

Ralph Pans, directievoorzitter Vereniging van Nederlandse Gemeenten (VNG) en Tof Thissen, directeur Kwaliteitsinstituut Nederlandse Gemeenten (KING)