De meesten zullen hem kennen als voormalig minister van Financiën, maar Jeroen Dijsselbloem is sinds 2019 actief als voorzitter van de Onderzoeksraad voor Veiligheid. In het kader van het thema ‘Building bridges in a connected society’ spraken Petra Claessen, CEO van BTG en BTG Services en Eric Reij, voorzitter van BTG met Jeroen Dijsselbloem over de rol van de Onderzoeksraad voor Veiligheid met betrekking tot digitale veiligheid.
De onderzoeksraad bestaat nu zeventien jaar en beschikt over zo’n 85 FTE’s, waarvan de meesten onderzoekers zijn. De onderzoeksraad is onder de Nederlandse bevolking bekend als de club van Pieter van Vollenhove. “Dat klopt!” reageert Jeroen Dijsselbloem enthousiast. “Van Vollenhove heeft de onderzoeksraad opgericht, het is een unieke club. Alle landen in de wereld hebben onderzoekscommissies voor luchtvaartveiligheid of digitale veiligheid, voor rail of scheepvaart. In Nederland is dat dankzij Pieter van Vollenhove allemaal bij elkaar gevoegd.”
Hoe werkt de onderzoeksraad?
“Wij werken vanuit voorvallen”, begint Jeroen Dijsselbloem zijn verhaal. “Er is iets fout gegaan en dan pas komen wij in actie. Sommige mensen zeggen dan dat het kalf al verdronken is, maar wij zeggen juist: er zijn nog meer kalveren en die verdienen het ook om gered te worden. Onze onderzoekers zijn getraind om voorvallen te analyseren. Ze kijken naar wat de directe oorzaak is en wat de achterliggende oorzaak is. Ze kijken naar het ‘waarom’. Waarom was het zo? Waarom zit dit zo in elkaar? We richten ons op veiligheidswinst in de toekomst en daar hoort digitale veiligheid ook bij.”
Waarom werd digitale veiligheid tien jaar geleden een onderdeel van de onderzoeksraad?
“Het begon met het onderzoek naar het DigiNotarincident (red: het Nederlandse bedrijf DigiNotar werd in juli 2012 gehackt, wat leidde tot de uitgave van 500 valse SSL-certificaten waardoor legitieme websites konden worden nagemaakt en informatie kon worden gestolen), waar het OvV toen een rapport over heeft geschreven met aanbevelingen. Meer recent hebben we gekeken naar de digitale veiligheid in ziekenhuizen, waar we aan de hand van een reeks incidenten hebben laten zien dat digitale systemen niet alleen heel dominant zijn geworden, maar ook allemaal met elkaar verbonden zijn en tot welke kwetsbaarheden dit leidt in ziekenhuizen. Geleidelijk aan creëren we qua digitale veiligheid ook een expertise en nemen we een duidelijke positie in.”
Waar staan we in Nederland als het gaat om digitale veiligheid? En welke risico’s lopen we?
“Nederland loopt voorop en loopt daarmee ook de grootste risico’s. In de westerse wereld zijn we in veel sectoren vooruitstrevend als het gaat om digitalisering. Neem digitaal bankieren. De financiële sector is al in hoge mate digitaal en dit is ook richting de consument doorvertaald. Dit betekent ook dat je super kwetsbaar bent, zowel de consument als de instelling zijn kwetsbaar. Ik denk dat de risico’s van buiten niet anders zijn dan in andere ontwikkelde economieën, alleen wij zijn al zo gedigitaliseerd dat we ook voorop moeten lopen in digitale veiligheid. Als je vooroploopt in digitalisering, dan moet je ook vooroplopen in digitale veiligheid en daar mag nog wel wat gebeuren.”
Wat moet er volgens de Onderzoeksraad voor Veiligheid nog gebeuren?
“In ons rapport over Citrix hebben we vastgesteld dat we wel diensten hebben bij de overheid die de gevaren verkennen, maar dat die vooralsnog een beperkte opdracht hebben. Ze waarschuwen de kwetsbare en vitale sectoren, maar het bedrijfsleven in Nederland wordt nog geacht zichzelf te redden. Daar zit natuurlijk meteen een heel cruciaal punt, de overheid gaat er steeds meer vanuit dat mensen zichzelf moeten redden en we zien steeds meer dat dat niet gaat of heel moeizaam verloopt. Voor een MKB’er is het al heel wat om digitale systemen te kunnen managen. Maar een acute reactie bij een grote crisis of bij groot gevaar, vraagt nogal wat. Eén van de aanbevelingen in het Citrix-rapport is dat de verantwoordelijkheid van de overheid moet worden uitgebreid naar de hele samenleving en zich niet alleen beperkt tot de vitale sectoren.”
Wat zijn de risico’s die we lopen als we op deze manier doorgaan?
“Dat kan bijvoorbeeld gaan om nationale veiligheid, onze wapensystemen zijn ook digitaal. Het kan ook gaan om infrastructuur of ons watersysteem. Maar denk ook aan onze ziekenhuizen, als daar een crash ontstaat leidt dit tot uitval van tientallen digitale systemen in dat ziekenhuis. Een ziekenhuis moet dan dicht en houdt een patiëntenstop en moet alle operaties annuleren. Het gaat dan om mensenlevens die in gevaar komen. En zo kun je alsmaar doorgaan. We doen ook veel onderzoek naar voedselveiligheid, dat is op een heel hoog niveau in Nederland. Heel veel hightech dat volledig kan worden ontregeld. We zullen dus snel onze benen moeten bijtrekken.”
Je noemde al eerder het Citrix-onderzoek. Dit is het laatste onderzoek geweest op het gebied van digitale veiligheid. Welke aanbevelingen zijn daar nog meer uit voortgekomen?
“De overheid heeft daar positief op gereageerd, maar we kijken altijd na een half jaar en zo nodig later nog een keer of er ook daadwerkelijk iets is gebeurd. In dit geval zien we dat de bevoegdheden van de overheid geleidelijk worden uitgebreid. Men wordt actiever op dit thema, maar het blijft versnipperd. Er zijn nog steeds veel verschillende organisaties, ook binnen de overheid, die daar een rol in vervullen. Privacy en het mogen benaderen van partijen die een risico lopen blijft een probleem, dit moet allemaal nog geregeld worden. De trend is goed, er is alertheid en er zijn allerlei activiteiten. Maar de overheid heeft nog een grote terughoudendheid als het gaat om het nemen van verantwoordelijkheid.”
Staatssecretaris Alexandra van Huffelen is sinds kort verantwoordelijk voor ‘Koninkrijksrelaties en Digitalisering’, in hoeverre zou digitale veiligheid beter gewaarborgd kunnen worden op ministerieel niveau?
“Als oud-minister zou ik zeggen dat dit niet zou moeten mogen uitmaken”, zegt Jeroen Dijsselbloem. “Elke sector die bezig is met een maatschappelijk probleem wil altijd dat dit belegd is bij een minister en het liefst bij de minister-president. Dat werkt natuurlijk niet, je moet het werk gewoon verdelen. Belangrijker is of deze bewindspersoon ook écht door de hele rijksdienst bevoegd is om in te grijpen als dat nodig is. We maakten in ons Citrix-rapport de vergelijking met de Comptabiliteitswet, dat gaat over de financiële bedrijfsvoering bij het Rijk. De minister van Financiën is uiteindelijk verantwoordelijk voor de financiële bedrijfsvoering en hij geeft eigenlijk mandaat aan de andere ministers om op hun ministeries en bij hun uitvoerende diensten de financiën op orde te houden. Als ze dat niet doen, kan hij nog een aanwijzing geven en als ze het dan nóg niet doen, kan hij ingrijpen. Zo’n systeem moet je decentraal mandateren en soms moet de staatssecretaris, bijvoorbeeld bij een acuut veiligheidsrisico, de bevoegdheid hebben om te kunnen zeggen wat er nu moet gebeuren. Je moet binnen de overheid één bewindspersoon hebben die eindverantwoordelijkheid heeft voor Rijks-ICT.”
In hoeverre vindt u dat brancheorganisaties, zoals BTG, betrokken moeten worden bij een portefeuille als digitalisering?
“De overheid heeft per definitie niet alle kennis in huis. Sterker nog, ze loopt vaak qua kennis achter op wat er in de samenleving gebeurt. Je hebt dus brancheorganisaties nodig. Maar soms gaan we in Nederland polderend ten onder, omdat iedereen altijd wil meepraten. Uiteindelijk moet de overheid wel beslissen en zijn werk doen.”
De Onderzoeksraad voor Veiligheid heeft op het gebied van luchtvaart grote stappen gemaakt. Op het gebied van cybersecurity zijn er nog heel veel stappen te nemen. Wat zijn verbeteringen of aandachtspunten waar snel winst te behalen valt?
“Als we de parallel met luchtvaart doortrekken zie je dat het in de luchtvaart de gewoonte is om alle incidenten vast te leggen en met elkaar te delen. Als ze ernstig zijn, kunnen wij ze onderzoeken. Die cultuur van delen is de basis van het kunnen leren van die incidenten. Dat gebeurt op ICT-gebied nog heel weinig. De meeste organisaties zijn heel gesloten als er een incident plaatsvindt. Maar dat begint denk ik wel te veranderen. Mede omdat ook de media er meer aandacht aan besteden. Als een universiteit problemen heeft met zijn systemen dan belt er al heel snel een journalist op. Organisaties worden zo gedwongen om hier opener over te zijn. Je zou willen dat er een cultuur ontstaat waarin men dat wil delen. En het liefst ook met ons, want dan ontstaat er een beeld van wat er gebeurt en hoe het zich ontwikkelt. Je kunt dan ook zo nu en dan onderzoek doen, om te kijken wat we hier gezamenlijk van kunnen leren. Dit is een lerende cultuur en daar zijn we nog niet.”
Zouden we dan in Nederland meer moeten nadenken over een ketenredenering als je kijkt naar security?
“Ja zeker, je ziet dat op alle terreinen als je gaat kijken naar ernstige incidenten. Of het nou software is of data of infrastructuur, je ziet onmiddellijk hoe dingen met elkaar verbonden zijn. Zo kwetsbaar zijn we met elkaar. En het is natuurlijk heel gek dat in allerlei sectoren de normeringen qua veiligheid zijn vastgelegd, maar bij bijvoorbeeld software is dit niet geregeld. Wat zijn de veiligheidseisen die we stellen aan software? Hoeveel fouten mogen erin zitten? En als er fouten inzitten, wat is dan de verantwoordelijkheid van de originele ontwikkelaar? We beginnen nu pas met het vastleggen van dit soort vragen en standaarden. Er is beperkte wetgeving in voorbereiding en we hebben contact met de Europese Commissie in Brussel en wij adviseren om na te denken over hoe we veiligheid kunnen definiëren en borgen op het gebied van software. Dat is een hele stap.”
De software-industrie heeft hier geen belang bij en zal niet staan te trappelen om mee te werken.
“Nee, maar dan is er altijd een heel eenvoudige oplossing; de aansprakelijkheid van de industrie in de wet vastleggen. Ze krijgen dan een onmiddellijk belang, want ze zijn ineens aansprakelijk. Dan willen ze weten wat ze geacht worden te doen. Zodra je een producent verantwoordelijk maakt voor de gevolgen, dan gaat die producent zelf vragen om normen en standaarden, zodat ze weten waar ze aansprakelijk voor zijn. Als je wilt dat de software-industrie gaat nadenken over hoe zij de veiligheid van hun software kunnen verbeteren, dan moet je dus de aansprakelijkheid regelen.”
Jeroen Dijsselbloem
Jeroen Dijsselbloem rondde in 1991 zijn studie (agrarische) economie af aan de Landbouwuniversiteit Wageningen. Hij begon zijn loopbaan als beleidsmedewerker Landbouw & Milieu bij het Europees parlement en de Tweede Kamerfractie van de PvdA.
Vanaf eind 1996 was hij bij het ministerie van Landbouw, Natuur en Voedselkwaliteit (LNV) nauw betrokken bij de bestrijding van de varkenspest en de aanpak van een aantal voedselschandalen.
In 2000 werd hij beëdigd als lid van de Tweede Kamer voor de PvdA. In de Tweede Kamer was hij woordvoerder op uiteenlopende terreinen als belastingen, migratie en integratie, onderwijs en jeugdzorg.
In 2012 werd hij minister van Financiën in het kabinet Rutte-Asscher. Vanaf begin 2013 was Dijsselbloem tevens voorzitter van de Eurogroep, het overlegorgaan van de ministers van Financiën van de Eurolanden. Beide functies bekleedde hij vijf jaar.
Per 1 mei 2019 heeft hij mr. Tjibbe Joustra opgevolgd als voorzitter van de Onderzoeksraad voor Veiligheid. Hij is verder onder meer actief als:
- Voorzitter Raad van Toezicht Wageningen University & Research
- Voorzitter vereniging Natuurmonumenten
- Lid commissie Nationaal Groeifonds
- Voorzitter van de Adviescommissie Nationaal Groeifonds