De sociale schaduwzijde van digitale veiligheid

Google en Apple zijn al langere tijd gestopt met de ondersteuning van Android 10/11 en iOS 15. Deze besturingssystemen ontvangen daarom geen beveiligingsupdates meer. Vanuit cyberveiligheid is dat een logische stap. Verouderde software vormt immers een risico voor gebruikers en voor de digitale infrastructuur als geheel. Maar wat technisch begrijpelijk is, heeft maatschappelijke gevolgen.

Banken als ABN AMRO en ING hebben inmiddels aangekondigd hun apps vanaf maart niet langer te ondersteunen op deze systemen. Andere digitale diensten zullen volgen. Daarmee dreigt een situatie te ontstaan waarin een grote groep mensen van de ene op de andere dag geen toegang meer heeft tot hun bankrekening, DigiD of andere essentiële voorzieningen. De vraag is niet of digitale veiligheid noodzakelijk is, daar is geen twijfel over. De vraag is hoe we voorkomen dat veiligheidsbeleid onbedoeld leidt tot digitale uitsluiting en daarmee tot nieuwe uitvoeringsproblemen voor gemeenten.

De smartphone als publieke infrastructuur

De smartphone is allang geen luxeproduct meer. Voor veel inwoners is het een primair en soms enige toegangspunt tot publieke dienstverlening. Bankzaken, zorgportalen, overheidsberichten, OV-betalingen en communicatie met instanties verlopen grotendeels via apps. Wie geen werkende smartphone heeft, kan in de praktijk niet volwaardig deelnemen aan een samenleving die op rap tempo digitaliseert. Daarmee is de smartphone feitelijk onderdeel geworden van onze publieke infrastructuur.

Toch behandelen we de uitfasering van besturingssystemen nog altijd als een individuele consumentenkwestie. ‘Dan koop je toch een nieuw toestel?’ Dat uitgangspunt miskent de realiteit van een aanzienlijke groep burgers.

Twee groepen, twee opgaven

De komende maanden zullen twee groepen zichtbaar worden. De eerste groep heeft een toestel dat technisch nog kan worden geüpdatet, maar deze groep weet niet hoe dat moet of durft het niet. Angst om iets ‘kapot te maken’, beperkte digitale vaardigheden of taalbarrières spelen hierbij een rol. Voor deze groep is ondersteuning bij het updaten van apparaten vaak voldoende.

De tweede groep heeft een toestel dat simpelweg niet meer te updaten is. Voor hen rest slechts één optie: een nieuw toestel aanschaffen. En daar ontstaat de spanning. Voor huishoudens die leven rond het bestaansminimum is een smartphone van 150 tot 800 euro geen vanzelfsprekende uitgave. Tegelijkertijd zijn zij vaak juist afhankelijk van digitale dienstverlening voor toeslagen, zorgtoegang en schuldhulp. Wat vanuit veiligheid logisch is, kan in de praktijk betekenen dat mensen hun bankzaken niet meer kunnen regelen, geen toegang meer hebben tot DigiD of niet kunnen inloggen op gemeentelijke systemen.

Een stille verschuiving naar het lokale niveau

De beslissing om besturingssystemen uit te faseren wordt genomen door internationale techbedrijven. Banken passen hun beveiligingsbeleid daarop aan. Maar de gevolgen landen lokaal. Gemeenten zullen te maken krijgen met inwoners die vastlopen. Wijkteams, bibliotheken, balies en schuldhulpverleners zullen de eerste signalen oppakken. Niet omdat gemeenten het beleid bepalen, maar omdat zij het vangnet vormen wanneer systemen haperen. Daarmee dreigt digitale veiligheid een nieuw uitvoeringsvraagstuk te worden in het sociaal domein. Dit is geen incident. De cyclus van technologische vernieuwing versnelt. Hardware wordt sneller afgeschreven. Software-eisen worden zwaarder. Zonder structurele aanpak zal deze problematiek zich herhalen, telkens met nieuwe groepen die achterblijven.

De kosten van niets doen

Wanneer inwoners plotseling geen toegang meer hebben tot digitale diensten, ontstaan er risico’s zoals:

• Gemiste betalingen en oplopende schulden
• Geen toegang tot zorgportalen om zorg te regelen
• Meer vraagstukken en fysieke druk bij (gemeente)loketten
• Toename van informele afhankelijkheid van familie of buren
• Verminderd vertrouwen in de digitale overheid

De maatschappelijke kosten van uitsluiting zijn hoger dan de kosten van preventie. Digitale veiligheid mag niet onbedoeld leiden tot uitsluiting van de digitale samenleving.

Digitale veiligheid is ook sociaal beleid

Cybersecurity en sociale inclusie worden vaak als gescheiden domeinen behandeld. Het ene valt onder IT en informatieveiligheid, het andere onder het sociaal domein. In werkelijkheid raken ze elkaar steeds vaker. Wanneer digitale veiligheidseisen ertoe leiden dat mensen hun toegang verliezen, wordt veiligheid een sociale beleidskwestie. Dat vraagt om integrale benadering. Gemeenten hoeven het probleem niet alleen op te lossen, maar zij kunnen wel op tijd anticiperen.

Wat is er nodig?

Allereerst: tijdige communicatie. Veel inwoners weten niet dat hun toestel binnenkort niet meer wordt ondersteund. Gerichte voorlichting via gemeentelijke kanalen, wijkteams en lokale partners kan paniek en escalatie voorkomen.

Ten tweede: versterking van ondersteuningsstructuren. Bibliotheken, maatschappelijke organisaties en vrijwilligersnetwerken spelen een belangrijke rol bij het begeleiden van updates en toestelwisselingen. Extra middelen of tijdelijke inzet kunnen voorkomen dat mensen langdurig buiten spel staan.

Ten derde: structurele toegang tot betaalbare hardware. Voor de groep die geen nieuw toestel kan aanschaffen, is een incidentele oplossing onvoldoende. Denk aan landelijke of regionale afspraken over refurbished smartphones, publiek-private samenwerking of fondsenconstructies. Net zoals laptops inmiddels via herinzettrajecten een tweede leven krijgen, kan dit ook gelden voor smartphones.

Ten vierde: het gesprek aangaan met dienstverleners. Gemeenten, al dan niet via de VNG, kunnen het gesprek voeren met banken en andere aanbieders over gefaseerde uitfasering, webalternatieven of lichtere versies van apps. Veiligheid hoeft niet automatisch te betekenen dat oudere systemen van de ene op de andere dag worden afgesloten.

Van incident naar structurele aanpak

De kern van het vraagstuk is niet technologisch, maar bestuurlijk. Zolang digitale dienstverlening de norm is, moet toegang tot die dienstverlening ook als publieke randvoorwaarde worden beschouwd. Dat betekent niet dat gemeenten verantwoordelijk zijn voor elke software-update. Wel betekent het dat digitale veiligheid en digitale inclusie niet los van elkaar kunnen worden gezien. Wie inzet op een digitale overheid, moet ook nadenken over de toegankelijkheid van de middelen waarmee inwoners die overheid bereiken.

Gezamenlijke verantwoordelijkheid

Digitale veiligheid is noodzakelijk. Niemand pleit voor het openhouden van onveilige systemen. Maar veiligheid die leidt tot uitsluiting ondermijnt het vertrouwen in digitalisering. Een inclusieve digitale samenleving vraagt om gezamenlijke verantwoordelijkheid van overheid, bedrijven en maatschappelijke organisaties.

Voor gemeenten betekent dit: agendeer het onderwerp tijdig, verbind het aan bestaanszekerheid en digitale inclusie en werk samen met partners om te voorkomen dat inwoners tussen veiligheid en toegang moeten kiezen. De uitfasering van Android 11 en iOS 15 is een technisch feit. De maatschappelijke gevolgen ervan zijn dat niet. Die zijn het resultaat van keuzes en daarmee beïnvloedbaar.

De vraag is niet of digitale veiligheid belangrijk is. De vraag is hoe we die veiligheid vormgeven zonder nieuwe ongelijkheid te creëren. Dat vraagt bestuurlijke aandacht. En die aandacht is nu nodig, niet pas wanneer de eerste inwoners zich aan de balie melden omdat hun bankapp het niet meer doet.

Merit van Breukelen is directeur van Stichting Allemaal Digitaal, een organisatie die zich inzet om de digitale kloof te dichten door hardware een tweede leven te geven bij mensen in een financieel kwetsbare positie.