Hoofdkantoor Waternet

Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

50 artikelen
Interview · 23 maart · clock 13 MIN

Opgestapte toezichthouder: ‘Nieuwe inlichtingenwet kan tot Noord-Koreaanse taferelen leiden’
6 maart · clock 9 MIN

Zo leerde een Rotterdams fraudealgoritme kwetsbare groepen te verdenken
1 maart 2023 · clock 12 MIN

Een schoenendoos vol cash: wie is de Nederlandse hoofdverdachte in een internationale cybercrime-zaak?
10 februari 2023 · clock 11 MIN

Honderden miljoenen wachtwoorden gestolen, softwarebedrijf wil er weinig over kwijt
Podcast · 29 januari 2023

Hoogleraar Bart Schermer: ‘Met de huidige aanpak van cybercrime lossen we de problemen uit 2017 op’
21 januari 2023 · clock 14 MIN

Amper toezicht op inzet van massa-surveillance tools door inlichtingendiensten
11 januari 2023 · clock 14 MIN

Zorgen over surveillancestaat weerhouden regering niet van invoering digitale bewijspas
10 december 2022 · clock 14 MIN

De politie belazerde computercriminelen – begrijpelijk, maar mag dat wel?
Interview · 27 november 2022 · clock 12 MIN

‘Tijd om het gevecht met de tech-reuzen aan te gaan,’ zegt econoom Tommaso Valletti
26 november 2022 · clock 15 MIN

PvdA-prominent verzwijgt belang in armoede-app bij promopraatjes
Bekijk artikelen

Hoofdkantoor Waternet © Peter Hilz / Hollandse Hoogte

·clock 15 MIN

Leiding Waternet probeert verantwoordelijkheid voor digitaal wanbeleid te lozen

Sebastiaan Brommersma
16 Bijdragen

In september onthulde FTM dat de digitale omgeving van Waternet zo lek is als een mandje. In een officiële reactie beloofde de directeur een onafhankelijk onderzoek. Dat is er nog steeds niet. Het rapport dat er wel kwam, wordt geheim gehouden en is ingeruild voor een tweede rapport, dat wel openbaar is. FTM heeft beide rapporten in handen en constateert enkele cruciale verschillen.

Op 3 december 2020 vergaderden het waterschap Amstel, Gooi en Vecht en de directie van Waternet in het Postillion Hotel in Amsterdam. Dik twee maanden eerder had de algemeen directeur van Waternet, Roelof Kruize, aan het waterschap en de minister beloofd opdracht te geven voor een onafhankelijk onderzoek naar de digitale veiligheid van zijn organisatie. Nu zal achter gesloten deuren het rapport van consultancykantoor Accenture worden besproken.  

Maar in plaats van een vertegenwoordiger van Accenture krijgt IT-adviseur Wiard Gorter de vloer. Hij blijkt ook te zijn aangesteld om de beveiliging te onderzoeken en is het grootste deel van de avond aan het woord. Gorter bevestigt dat de beveiliging van Waternet zwaar onder de maat is en dat er al jaren veel te weinig wordt gedaan om die te verbeteren. Het rapport dat Gorter inmiddels had opgesteld, wordt leidend en zijn advies hoe in te grijpen in de organisatie wordt overgenomen door het bestuur van Waternet. Het rapport van Accenture verdwijnt geruisloos achter slot en grendel.

Een vitaal bedrijf met een groot probleem 

Waternet verzorgt de drinkwaterkringloop in groot-Amsterdam en is verantwoordelijk voor het functioneren van de riolering, bruggen, sluizen en gemalen. Voor de 1,4 miljoen inwoners van het waterschap is het onder meer verantwoordelijk voor de afvoer en de schoonmaak van rioolwater; ook beheert Waternet het waterpeil. Als nutsbedrijf is Waternet onderdeel van de Nederlandse vitale infrastructuur. 

Structuur Waternet en waterschap

De stichting Waternet is in 2006 opgericht door de gemeente Amsterdam en het waterschap Amstel, Gooi en Vecht. Het bestuur bestaat uit de dijkgraaf van het waterschap, Gerhard van den Top, de wethouder Water van de gemeente Amsterdam, Egbert de Vries, plus voorzitter Martien den Blanken. De dagelijkse leiding van Waternet is sinds 2006 in handen van algemeen directeur Roelof Kruize en directeur Financiën en Control Kees van den Berge. 

Het waterschap bestaat uit een dagelijks bestuur, dat samen met de dijkgraaf verantwoordelijk is voor de dagelijkse gang van zaken, en een algemeen bestuur. Het algemeen bestuur bepaalt onder meer de hoogte van de waterschapsbelasting en controleert het dagelijks bestuur, dat het uit zijn midden kiest. 

Dijkgraaf Van den Top is als bestuursvoorzitter ‘ het gezicht van het waterschap ’. Hij is op 28 oktober herbenoemd als dijkgraaf. Minister Cora van Nieuwenhuizen (VVD) van Infrastructuur en Waterstaat heeft hem tevens tot voorzitter benoemd van het Expertise Netwerk Waterveiligheid , een orgaan dat overheidsinstanties informeert en adviseert.

Lees verder Inklappen

In september 2020 onthulde FTM , op basis van vertrouwelijke documenten en verklaringen van interne bronnen, dat de digitale beveiliging van Waternet aan alle kanten lekt. Ingewijden waarschuwden dat het een keer ‘finaal fout zou gaan’ en dat de gevolgen niet te overzien zouden zijn indien er niet werd ingegrepen.

Twee dagen later, op 21 september 2020, stuurde directeur Roelof Kruize een sussende brief naar het bestuur van Waternet, waarin hij onder meer schreef dat de bevindingen van FTM ‘grotendeels gebaseerd [zijn] op gedateerde en/of onjuiste informatie’. Kruize beloofde niettemin een onafhankelijk, extern onderzoek te laten uitvoeren. Minister Cora van Nieuwenhuizen (VVD) van Infrastructuur en Waterstaat zei blij te zijn met dat plan. Ze benadrukte dat een vitaal bedrijf als Waternet moet kunnen instaan ‘voor de privacy en cybersecurity’. 

Op 28 oktober 2020 stuurde Kruize een update naar het stichtingsbestuur, waarin hij meedeelde dat het beloofde onderzoek eerder die maand was uitgezet bij Accenture, en in volle gang was. Kruize deelde daarin ook de scope van de opdracht mee.

Een ministeriële tik op de vingers

Op 2 november 2020 publiceerde FTM een tweede artikel : Kruize had in zijn ‘susbrief’ de vernietigende uitslag verzwegen van een beveiligingsonderzoek, een zogenaamde penetratiest, die in januari 2020 was uitgevoerd door bureau Hoffmann. Nadien bleek dat de directie dit onderzoek ook had stilgehouden voor de Inspectie voor de Leefomgeving en Transport (ILT), de toezichthouder voor de sector. De ILT was een paar dagen eerder bij Waternet op de koffie geweest om over de veiligheidsproblemen te praten, maar ook het ILT werd niet ingelicht over de penetratietest. Dat verzuim leverde de directie een tik op de vingers op van de minister. De toezichthouder nam meteen het heft in eigen hand:

‘De ILT was voorafgaand aan de publicatie van FTM niet op de hoogte van de inhoud van de rapportage over deze test. De conclusies van de pentest en het feit dat Waternet de ILT niet eerder heeft geïnformeerd baren de ILT zorgen. Daarom zal de ILT de resultaten van het door Waternet ingestelde onderzoek – dat 2 tot 3 weken is vertraagd – niet afwachten en zelf een onderzoek instellen.’

De belofte wordt niet ingelost  

Desondanks bleven de directie van Waternet en het dagelijks bestuur van het waterschap het belang van hun eerder uitgezette onderzoek benadrukken. Vragen over de veiligheid van het waterbedrijf laten zij onbeantwoord, ook als die afkomstig zijn van het algemeen bestuur van het waterschap.

Ook Gorter is gevraagd de digitale beveiliging van het nutsbedrijf te onderzoeken. Hij blijkt daarmee al op 2 november 2020 te zijn gestart

De verwachtingen zijn dan ook hooggespannen op 3 december 2020, wanneer het onderzoeksrapport van Accenture wordt besproken. Maar in de besloten vergadering maakt die spanning al snel plaats voor verbazing. Want de aanwezigen wordt plots meegedeeld dat Accenture al jaren een vaste IT-consultant van Waternet is, en dus niet onafhankelijk is. Bovendien blijkt de scope van de opdracht die Accenture begin oktober ontving, ineens te beperkt te zijn geweest. Conclusie: Accenture was helemaal niet geschikt om het beloofde ‘onafhankelijke onderzoek’ uit te voeren.

Dan schuift de dijkgraaf IT-architect Wiard Gorter naar voren, die hij introduceert als ‘onafhankelijk IT-adviseur’. Ook Gorter is gevraagd onderzoek te doen naar de digitale beveiliging van het nutsbedrijf. Hij blijkt daarmee zelfs al op 2 november 2020 te zijn gestart, zo blijkt uit het rapport dat hij die avond in het Postillion presenteert.

Matthijs Pontier, bestuurslid van het waterschap, zegt desgevraagd: ‘Eind november werd ik voor mijn vragen nog verwezen naar het onderzoek van Accenture. Dat zij niet onafhankelijk zouden zijn, kwam voor mij als een complete verrassing. Ook van de opdracht aan Gorter wist ik niets.’

Het rapport van Accenture verdwijnt van tafel

Gorters rapport en adviezen worden vervolgens leidend voor de wijze waarop Waternet de beveiligingsproblematiek te lijf gaat. Zijn rapport staat inmiddels op de site van het waterschap. 

Het rapport van Accenture verdwijnt intussen achter slot en grendel. Voorafgaand aan de vergadering van 3 december wordt de geheimhouding in twee aparte besluiten vastgelegd, dit opdat gevoelige veiligheidsinformatie niet publiek wordt. Een week later wordt de geheimhouding door het algemeen bestuur van het waterschap bekrachtigd , en wordt gesuggereerd dat die geheimhouding mede op verzoek van Accenture zelf is.

Digitale veiligheid Waternet nog altijd ver beneden peil 

FTM beschikt over het rapport van Accenture en legde het naast dat van Gorter. De conclusies van beide onderzoeken stemmen in grote mate overeen. Maar er zijn ook  verschillen, en die blijken een grote invloed te hebben op de vraag naar de verantwoordelijkheid van de leiding van het waterbedrijf.   

Beide rapporten laten zien dat de digitale beveiliging van Waternet ver beneden peil is. Accenture toetst de systemen van Waternet aan de Baseline Informatiebeveiliging Overheid (BIO), waarin het basisniveau voor de beveiliging van informatie binnen publieke instellingen is vastgelegd. Op een schaal van 0 tot 5 scoort Waternet volgens het consultancybedrijf gemiddeld een bedroevende 1,54. Gorter voegt daaraan toe dat vitale dienstverleners als Waternet ‘minimaal’ een 3 zou moeten scoren, ‘met een 3 of hoger op de meest kritische veiligheidsaspecten’.

  • Pagina 8 uit raport van Accenture: scores
  • Scores voor kantoorautomatisering (KA). In de middelste kolom: uitspraken van FTM over Watermets systemen. In de rechterkolom: Accentures bevindingen.
Pagina 8 uit raport van Accenture: scores © Accenture

Gorter schrijft dat ‘Waternet [..] zijn cyber security en informatiebeveiliging op onderdelen onvoldoende op orde heeft’ en ‘dat de situatie op dit moment kritisch is’. Hij stelt dat er ‘onvoldoende integrale IT-visie en -regie vanuit het directieteam’ bestaat en dat het directie en personeel van Waternet aan ‘cybersecurity awareness’ ontbreekt. Problemen die volgens Gorter al jaren bekend zijn in de bestuurslagen van de organisatie.

Voorts constateert hij een ‘discrepantie’ tussen de 28 miljoen euro publiek geld die Waternet de afgelopen twee jaar heeft uitgegeven aan digitalisering ‘en het gerealiseerde niveau van informatiebeveiliging en cybersecurity’.

Gorter kraakt dus harde noten. Maar anders dan Accenture rept hij niet over de procesautomatisering van Waternet, waar de vitale taken van het bedrijf worden geregeld – denk aan de levering van drinkwater, de afvalwaterzuivering en de centrale bediening van bruggen en sluizen. Accenture bevestigt dat de digitale bescherming ook daar ver onder de maat is. Zo schrijft Accenture dat voor geen van deze onderdelen ‘een proces is ingericht voor het proactief monitoren van logbestanden’, dat ‘formele procedures voor de respons op informatiebeveiligingsincidenten ontbreken’ en er geen gedetailleerde bedrijfscontinuïteitsplannen zijn aangetroffen. Aangezien Gorter hierover zwijgt, blijft deze serieuze problemen feitelijk voor de buitenwereld verborgen.

Pagina 37 uit raport van Accenture: Centrale Objectbediening (objecten op afstand bedienen)
Pagina 37 uit raport van Accenture: Centrale Objectbediening (objecten op afstand bedienen) © Accenture

FTM besprak beide rapporten met security-expert Floris Meester. Hij onderschrijft dat Accenture niet volledig onafhankelijk is, terwijl dat wel had gemoeten. ‘Daar staat tegenover dat ze grote problemen identificeren, die eerder ook al in interne stukken werden genoemd, en goede aanbevelingen doen. Het is echt geen slecht rapport. Dat Waternet dit rapport liever geheim houdt, snap ik wel: er staan echt vervelende dingen in.’

Amsterdam onder water?

Gorter noemt in zijn rapport wel dat Accenture uit het procesautomatiseringsonderzoek heeft opgemaakt dat ‘waar het technisch mogelijk is om toegang te verkrijgen tot assets, er hiervoor een hoog kennis- en capaciteitsniveau benodigd is’. Accenture onderzocht deze kwestie naar aanleiding van een running gag onder medewerkers van Waternet: zou een hacker controle over de sluizen krijgen, dan kon hij of zij heel Amsterdam onder water zetten.

Waternet, het waterschap en de gemeente schrijven in december dat nader onderzoek op dit punt nodig is, maar wekken vooral de suggestie dat de boel volgens Accenture ‘dus’ veilig zou zijn. Zo schrijft de wethouder op 8 december aan de gemeenteraad: ‘Een belangrijke conclusie van Accenture ten aanzien van de primaire processen van Waternet is dat, waar het technisch mogelijk is om onrechtmatig toegang te krijgen tot assets, hiervoor zeer specifieke kennis benodigd is van het betreffende systeemlandschap. Aanvullend onderzoek wordt op korte termijn uitgevoerd om dit in meer detail te valideren.’

Meester vindt dit onbegrijpelijk: ‘Accenture schrijft in feite dat je toegang kunt krijgen tot die assets.’ De blasé benadering van Waternet en gemeente legt volgens hem een groter probleem bloot: ‘Als dit de maatstaf is, ga je niet uit van security by design, maar van security by obscurity. Dat wil zeggen dat je erop gokt dat er niemand voorbij komt die over de juiste skills beschikt. We hebben het hier over een vitale dienstverlener. Dan kun je niet zo te werk gaan.’  

Lees verder Inklappen

Rapport Gorter stuurt weg van verantwoordelijkheid

De opdracht van Accenture spitste zich toe op de naleving van de Baseline Informatiebeveiliging Overheid. Dit normenkader bepaalt dat de algemeen directeur van een instelling eindverantwoordelijk is voor ‘de integrale beveiliging en de inrichting en werking van de beveiligingsorganisatie’. Daarbij voorziet de BIO in een verantwoordingsregime, waarin per onderdeel (control) is aangegeven wie voor de implementatie en naleving daarvan verantwoordelijk is. De tekortkomingen die Accenture constateert ,kunnen zo rechtstreeks aan een verantwoordelijke persoon worden gekoppeld. In het leeuwendeel van de gevallen is dat algemeen directeur Roelof Kruize

Uit de brief van minister van Nieuwenhuizen van 4 november 2020 blijkt dat de  constateringen van Accenture ook het bestuur van het waterschap en de gemeente aangerekend kunnen worden: ‘Vanwege de governance structuur van Waternet is er voor cybersecurity juridisch gezien sprake van een situatie waarin de publiekrechtelijke (eind)verantwoordelijkheid voor de taken die Waternet uitvoert voor waterschap AGV en de gemeente Amsterdam berust bij deze partijen [..].’ 

Het is het rapport van Gorter in een notendop. Doordat het zo’n chaos was, kon het bestuur niet zien dat het een chaos was

Gorters rapport stuurt echter weg van die verantwoordelijkheden. Want hoewel hij harde noten kraakt over het al jarenlang falende veiligheidsbeleid, legt Gorter de verantwoordelijkheid daarvoor bij de organisatie, niet bij de leiding. Illustratief is zijn verklaring waarom er, terwijl de vele veiligheidsproblemen volgens hem al jaren bekend zijn in de bestuurlijke lagen van Waternet en het waterschap, desondanks niets aan is gedaan. Dat ligt volgens Gorter aan de onoverzichtelijke structuur van Waternet. Hierdoor was het ‘lastig’ om te zien dat er een gigantisch beveiligingsprobleem was, waardoor men daar ook niet op kon sturen: ‘cybersecurity [bleef] onderbelicht’. 

Het is het rapport van Gorter in een notendop. Doordat het zo’n chaos was, kon het bestuur niet zien dat het een chaos was. Het was de schuld van de auto dat hij over de kop sloeg, niet van de bestuurder.

Geschenk uit de hemel

Gorter besluit zijn rapport met het advies dat ‘direct ingrijpen in de organisatie noodzakelijk is’. Hij richt zich daarbij vooral op veranderingen in de structuur en cultuur van Waternet. Zo moet er wat hem betreft een ‘interventieteam’ worden opgetuigd, een IT- en een operationeel directeur worden aangesteld, een ‘extra’ senior CISO bijkomen en de drie IT-beheerteams moeten worden samengevoegd tot één. Verder is er volgens Gorter een ‘k‘rachtige interventie nodig’ om de ‘gebrekkige executiekracht, silovorming en gebrek aan synergie in de organisatie aan te pakken’. Een taak die volgens Gorter ‘typisch’ iets is voor de algemeen directeur.

De algemeen directeur, de directie, het stichtingsbestuur en de publiekrechtelijke (eind)verantwoordelijken: ze ontspringen in Gorters analyse allemaal de dans. Dat het management waarschuwingen van privacy en security officers stelselmatig heeft genegeerd, securitymaatregelen over het hoofd van de CISO terugdraaide en een vernietigende test verzweeg, maakt geen verschil. Net zo min als de gevaren voor de veiligheid en privacy van de bijna anderhalf miljoen mensen die in het beheersgebied van Waternet wonen.

Downloaden van persoonsgegevens kan niet worden uitgesloten

Uit FTM’s eerste artikel over Waternet bleek al dat de slechte beveiliging tot meerdere datalekken van klantgegevens heeft geleid. Vanwege de gevoelige aard van die gegevens, kan dit verstrekkende gevolgen hebben voor de meer dan een miljoen klanten. De combinatie van BSN, naam, adres en geboortedatum zet de deur open voor identiteitsfraude en trekt criminelen aan. Dit bleek ook uit de recente diefstal van gegevens bij de GGD.

Hoe groot het probleem bij Waternet is, is nog altijd niet duidelijk. Wel is evident dat het probleem bestaat en dat de leiding geen idee heeft over de omvang. Dit wordt pijnlijk duidelijk in het alarmerende antwoord dat gemeenteraadslid Yilmaz (Denk) kreeg van B&W van Amsterdam:

‘Het college [van B&W, red.] kan op dit moment niet uitsluiten dat vertrouwelijke data, waaronder persoonsgegevens, naar persoonlijke computers zijn gedownload. Er worden geen logs bijgehouden van de downloadhistorie, dus er is geen overzicht van downloads. Ook zijn er niet voor alle systemen log-bestanden beschikbaar waaruit dit herleid zou kunnen worden.’

Dit antwoord is extra problematisch, aangezien medewerkers van Waternet structureel te veel bevoegdheden hebben en toegang hebben tot informatie die buiten hun eigenlijke bevoegdheid ligt. Die situatie duurt volgens Accenture nog altijd voort. Accenture noemt het lokale beheer van toegangsrechten bij Waternet een ‘bedrijfsrisico’.

Lees verder Inklappen

Het stichtingsbestuur en de gemeente Amsterdam weten niet niet hoe snel zij het advies van Gorter moeten overnemen. Al op 3 december 2020 meldt het bestuur van Waternet de minister dat ‘het algemene beeld [is] dat de cyber security bij Waternet onvoldoende geborgd is en dat de organisatie [..] onvoldoende voortgang maakt’. Daarom ziet het zich ‘genoodzaakt om in te grijpen in de organisatie’, maar dan wel langs de lijnen van het advies van Gorter. De structuur gaat op de schop en er komen poppetjes bij. De verantwoordelijken krijgen een herkansing en gaan het alsnog samen oplossen. De minister informeert de kamer een dag later overeenkomstig. Problem solved, nobody got hurt.

‘De belichaming van vriendschap’

Dat Gorter de eindverantwoordelijken spaart, is niet heel verrassend. Gorter schrijft dat hij zijn onderzoek in nauwe samenwerking met alle betrokkenen heeft verricht – oftewel, met zijn opdrachtgevers. ‘Niet handig om nauw samen te werken met de mensen die je moet beoordelen,’ zegt Meester: ‘Helemaal niet als de directeur al onder vuur ligt.’ 

Bovendien is het de vraag hoe onafhankelijk Gorter is. Hij blijkt al jarenlang goed bevriend te zijn met dijkgraaf Gerhard van den Top – de man die hem naar voren schoof als de ‘onafhankelijke adviseur’ die bestuur en directie moest helpen de boel vlot te trekken. In een boek dat hij in 2003 publiceerde, beschrijft de dijkgraaf Gorter als de ‘belichaming van vriendschap’, en bedankt hij hem voor  zijn hulp en steun. Van den Top is als dijkgraaf bestuurslid van de stichting Waternet en daarmee de facto de opdrachtgever van Gorter.

Meester: ‘Dit kan echt niet.’ Hij vervolgt: ‘Je krijgt van dit alles het gevoel dat de leiding dingen onder de pet wil houden. Eerder werd er een pentest achtergehouden, een bestuurslid van het waterschap werd verzocht weg te kijken en nu wordt een kritisch rapport geheim gehouden en vervangen door een soort zoethouder.’ 

Het leidt tot de droevige constatering dat vier maanden na FTM’s eerste publicatie de digitale beveiliging van Waternet nog altijd ver onder de maat is en er – na twee met publiek geld gefinancierde onderzoeken – nog altijd geen onafhankelijk onderzoek is.

Het wachten is nu op het rapport van de ILT over Waternet. Dat wordt in maart verwacht.

Vraagen aan Waternet, met antwoorden

Vragen van Follow the Money:

  • Na onze eerste publicatie kondigde algemeen directeur Kruize op 21 september aan een extern, onafhankelijk onderzoek te laten uitvoeren naar de digitale veiligheid. In oktober werd bekend dat Accenture het onderzoek zou uitvoeren en werd de scope vastgesteld. In december werd vervolgens bekend gemaakt dat Accenture niet onafhankelijk was en de scope van het onderzoek te beperkt. Hoe heeft dit kunnen gebeuren? Wanneer zijn deze tekortkomingen ontdekt? 
  • Het rapport van Accenture is met publiek geld betaald, maar wordt geheim gehouden. Waarom?
  • Op 2 november heeft het stichtingsbestuur ook Wiard Gorter aangesteld om onderzoek te doen naar de digitale veiligheid van Waternet. Waarom is hiertoe besloten en wanneer? 
  • Het gebrek aan onafhankelijkheid is een van de gebreken aan het rapport van Accenture. Waarom is er voor gekozen om Gorter aan te stellen, een goede vriend van de dijkgraaf? 
  • Uit het Accenture-rapport volgt dat Waternet meerdere verplichte BIO-eisen niet naleeft. De correcte naleving van een groot deel van deze normen valt volgens de BIO onder de verantwoordelijkheid van de algemeen directeur. De eindverantwoordelijkheid van de correcte naleving van de BIO eveneens. De algemeen directeur wordt nu niet verantwoordelijk gehouden. Graag uw reactie.

Antwoorden van Waternet:

Na de publicatie van Follow the Money in september is Accenture ingehuurd om onderzoek te doen naar de beweringen in de publicatie. De beweringen betroffen de digitale veiligheid van Waternet en raakten ook de digitaliseringsopgave in het algemeen.

Tijdens het onderzoek heeft het bestuur en de organisatie niet stilgezeten. In onderling overleg is gekeken welke expertise Waternet kon gebruiken om het vraagstuk breder dan alleen de digitale veiligheid het hoofd te bieden. Net als met vele andere onderzoeks- en adviesbureaus heeft Waternet ook eerder met Accenture samengewerkt. Nog niet eerder voor wat betreft het onderwerp digitale veiligheid, wel voor wat betreft de inrichting van de organisatie. Daarom lag het voor de hand Accenture om advies te vragen voor wat betreft digitale veiligheid maar niet op organisatieinrichting met betrekking tot digitalisering.

Dhr. Gorter beschikt over de expertise die nodig was om aanvullend op het Accenture rapport te komen met een advies mbt het totaal van de digitaliseringsopgave.

Dhr. van den Top kent dhr. Gorter sinds de jaren ‘90 als een ervaren deskundige in het IT domein, die zowel hands-on met een technische blik naar dit onderwerp kan kijken, als ook vanuit een management / bestuurlijk perspectief. Hij heeft uitgebreide ervaring in software ontwikkeling, IT beveiliging en het draaien van IT programma's binnen bedrijven.  Dhr. Gorter is de afgelopen 4 jaar directeur bij YaWorks, een specialist op het gebied van netwerk infrastructuur, cloud- en datacenters, en is ook via YaWorks ingehuurd. Bij de keuze voor Dhr. Gorter als adviseur in dit traject heeft Dhr. van den Top DB van het waterschap en ook in het Stichtingsbestuur gemeld dat hij dhr. Gorter al vele jaren kende, en ook in andere trajecten met hem had samengewerkt. Dhr. Gorter kreeg de opdracht van het Stichtingsbestuur om in korte tijd een onafhankelijke duiding te geven van de bevindingen uit het Accenture rapport, en het door Accenture gedane onderzoek waar nodig van aanvullende onderzoek te voorzien.

De bevindingen in het (openbare) rapport van Dhr. Gorter zijn op 3 december in een besloten bijeenkomst van het Algemeen Bestuur van het waterschap gedeeld, en leidden tot de bestuurlijke maatregelen van 3 december jl. Naast het besluit een CIO toe te voegen aan de directie van Waternet werd toen ook geconcludeerd dat het nodig was te komen tot “een grondige evaluatie van de in het verleden gekozen aansturings- en verantwoordingsrelaties richting gemeente Amsterdam en waterschap”. Met dit traject is inmiddels een aanvang gemaakt, evenals met de aanstelling van een CIO.

Alle aanbevelingen, van Accenture en van dhr. Gorter, vormen nu het fundament waarop de digitale veiligheid specifiek en de digitaliseringsopgave in het bijzonder ter hand worden genomen. Een belangrijk onderdeel van die opgave is op korte termijn de digitale veiligheid verder te versterken zoals dat de opgave is voor alle overheidsorganisaties in Nederland.

[De dijkgraaf verwees voor zijn antwoorden naar Waternet.]

Lees verder Inklappen

Gerelateerde artikelen

Sebastiaan Brommersma
Sebastiaan Brommersma
Voormalig IE-advocaat. Schrijft nu over digitale technologie — van big tech en big data, tot AI en cybercrime.
Gevolgd door 942 leden

16 Bijdragen

Oudste eerst
Nieuwste eerst

Marc Fahrner 7

En jawel, het old boys netwerk draait weer op volle toeren. Ik ben er lang niet altijd voorstander van om primair te zoeken naar dé zondebok of hét barbertje dat direct moet hangen. Maar bij een verantwoordelijke functie in de vitale sector, met ongetwijfeld royale beloning mag je verwachten dat de juiste prioriteiten worden gesteld, uitgevoerd én gecontroleerd. Daar mag je best op worden afgerekend.

In de basis lijkt Kruize mij namelijk heel capabel. Maar als je op zijn LinkedIn-profiel kijkt naar z'n vele (vast niet allemaal als vrijwilliger uitgevoerde) nevenfuncties, dan vraag ik me af hoe hij z'n werk voor Waternet met de juiste focus weet in te vullen.

Grossieren in commissariaten is vast leuk voor een nóg hoger inkomen. Meer, meer, meer. Maar nu het spaak loopt, alle verantwoordelijkheid (laten) afschuiven op je medewerkers is vrij ruggengraatloos. Dat Gorter zich hiervoor leent, zegt toch ook wat over diens "onafhankelijke ethiek".

Jan Ooms 10

Achterkamertjes, handjeklap, old boys network, verantwoordelijkheidsontduiking/-ontwijking, baantjescarrousel, chronisch gebrek aan ethiek, zomaar wat termen die me spontaan te binnen schieten tijdens het lezen van dit artikel.
Onvoorstelbaar op hoeveel plekken in bestuurlijk Nederland er gefaald wordt en blijkbaar ook gefaald mág worden gezien het uitblijven van ingrijpen door de overheid.
Ach, wat klets ik ook; de overheid is zélf samengesteld uit mensen met dezelfde ‘moraal’!

Pieter van Hoof 2

Beste Sebastiaan,

Zojuist jouw artikel over de manipulatie IT onderzoek Waternet gelezen. Dank voor de vasthoudendheid waarmee je dit dossier bent blijven volgen; dit soort artikelen is de reden dat ik lid van FTM ben en zal blijven steunen. Keep it up.

Co Stuifbergen 5

kennis of ervaring
In de VS is al een waterbedrijf gehackt:
https://joop.bnnvara.nl/nieuws/hacker-breekt-in-bij-waterzuivering-en-vergiftigt-drinkwater

(ik weet niet of het water echt vergiftigd is, misschien is gewoon de reiniging niet goed uitgevoerd)

Eveline Bernard 6

Co Stuifbergen
Hier wat meer info over die hack poging in Florida: https://tweakers.net/nieuws/177838/hacker-poogde-floridase-waterzuivering-te-vergiftigen-door-zuurgraad-te-wijzigen.html?mode=nested&niv=2&order=asc&orderBy=time&page=1#r_15618650

marcel 7

Eveline Bernard
Zeer informatief!

Erwin Schmidt 1

Co Stuifbergen
Daar sluit ik me graag bij aan.

Jeroen Pronk

Co Stuifbergen
Anno nu is ICT cruciaal op alle niveaus van waterzuivering en afvalwaterzuivering. In de VS is wel eerder een geval geweest waar ICT (waarschijnlijk) geen rol speelde, maar wel het type waterzuivering (chloride) en de onhandige bovenstroomse plaatsing van een afvalwaterzuivering - https://en.wikipedia.org/wiki/1993_Milwaukee_Cryptosporidiosis_outbreak -> illustreert wel wat de negatieve potentie is van verstoringen in waterzuivering en winning (liever niet in die volgorde :-).

BTW: solide artikel en ben blij dat ik vandaag lid ben geworden!

Ric Real 1

Indrukwekkend wat FTM steeds weer boven weet te krijgen.

Wim Luursema

vraag
De dienstverlening van Waternet is niet uniek. Ook elders in NL gaan bruggen open en dicht. Zijn deze systemen en applicaties uniek voor Waternet gebouwd of zijn het systemen/applicaties die ook door andere waterschappen worden gebruikt?

Sebastiaan Brommersma 2

Wim Luursema
Best Wim, dat klopt. De diensten die Waternet verleend worden elders ook door anderen verricht. Wat Waternet (naar eigen zeggen) wel uniek maakt, is dat het zo'n uitgebreid palet aan diensten uitvoert. Ze beheren de hele waterkringloop, innen belastingen en bedienen dus bijvoorbeeld infra. Dat maakt het zo link. Nav de verhalen heb ik inmiddels begrepen dat het bij verschillende andere aanbieders helaas niet veel beter geregeld is.

Wim Luursema

Sebastiaan Brommersma
Er is wel een CERT opgericht voor de waterschappen. Die zou bekend moeten zijn met security incidenten binnen de sector

Jerzy Czaja-Szwajcer

Goede artikel dat stelt bloot wat niet zoals bedoeld werkt. Niet alleen is waternet onbeschermd tegen hackers maar ook bestuur wil verantwoordelijkheid ontkomen. Oplossing lijkt ook raar te zijn... meer varkens bij bak moeten i.p.v. specialisten dat zouden z.s.m. alle lekken dichten :(

Peter Tetteroo 2

Dank FTM en Sebastiaan Brommersma, wederom een zeer goed onderzoeks artikel in navolging van het eerste artikel over deze IT blamage .. Wij krijgen duidelijk waar voor ons FTM lidmaatschap. Deze bevindingen en de IT perikelen bij de GGD laat duidelijk zien dat wij als land achterop lopen om de prive gegevens van de burgers te beschermen. Dit ondanks de NL wetgeving betreffende persoonsgegevens bescherming die vanuit Brussel (EU-General Data Protection Regulation) is aangestuurd. Er moet eigenlijk massaal een klacht ingediend worden bij de Authoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/ ) zodat er druk op blijft staan bij de bestuurders / verantwoordelijken die een riant belasting geld salaris ontvangen. Stel voor dat eventueele boetes voor overtreding van de wet bescherming persoonsgegevens afgetrokken wordt van het salaris van de verantwoordelijken en het bestuur, ik vermoed dat er dan snel oplossingen komen on de persoonsgegevens te beschermen ..

Rinus ten Haaf 3

Peter Tetteroo
Kan er geen aangifte worden gedaan tegen deze bestuurders?
Zij lijken hun wettelijke taken te verzaken en eigen falen te verdoezelen. Het woord "geheimhouding" begint in deze als een rode lap op een stier te werken bij mij....(zeker als dit over kritische rapporten gaat). Dit is bewust achterhouden van feiten om verantwoordelijkheid te ontlopen in mijn ogen.

Aagje T. 3

Heel goed artikel!! Vanwege dit soort gepubliceerde artikelen, die de luis in de pels zijn van zulk soort publieke organisaties, ben ik een langdurige lidmaatschap op FTM aangegaan.

Dit lidmaatschap is mijn bijdrage aan het boven tafel krijgen van professioneel georganiseerde misstanden en veel meer dan dit kan ik niet doen. Ga vooral zo door!!