Piratenpartij Noord-Holland

voor een vrije informatiesamenleving

Matthijs Pontier

UPDATES: Digitale veiligheid Waterschap AGV

door

UPDATE 2019-10-29: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is nu medegedeeld dat hier serieus op in zal worden gegaan, maar dat dit niet binnen de maximale termijn van 30 dagen zal gebeuren. De vragen zullen meegenomen worden in een extern onderzoek. Het Dagelijks Bestuur zal zich pas over de vragen buigen nadat een extern onderzoek is uitgevoerd. Op deze manier wordt belangrijke informatie over de beveiliging van vitale infrastructuur lang acchtergehouden voor het Algemeen Bestuur en bewoners. Wij zijn daarom van plan ons te beroepen op de Wet Openbaar Bestuur (WOB). Hieronder kun je onze inbreng nalezen:

Wij hebben een mail ontvangen dat het DB heeft besloten dat onze vragen over digitale beveilifing niet beantwoord gaan worden, totdat het externe onderzoek uitgevoerd en afgerond is. Dit verbaast en betreurt ons. Let wel, dit gaat niet alleen om technische vragen. We vragen ook simpelweg om conclusies en aanbevelingen uit rapporten. Die zouden toch gewoon opgestuurd kunnen worden? Zelfs de vragen over wie het onderzoek uitvoert en wanneer worden pas achteraf beantwoord? 

Dit was een uitgelezen kans om te laten zien hoe Waternet problemen oplost. Fouten maken is menselijk. Door hoe je met fouten omgaat laat je zien wat voor organisatie je bent.

Als AB moet we geïnformeerd worden om onze controlerende taak te kunnen vervullen. Ook bezorgde burgers hebben recht op dit soort informatie. Daarvoor bestaat de Wet Openbaar Bestuur Daarom doen we deze mededeling: Alle vragen om rapporten mogen gezien worden als WOB-verzoek, daarbij hoort termijn van vier weken na eerste vraag om documenten te verstrekken. Na deze periode kan worden overgegaan tot ingebrekestelling.”

UPDATE 15-10-2020: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is informeel medegedeeld dat we niet op gedetailleerde antwoorden hoefden te rekenen. In de eerstvolgende vergadering hebben we een pleidooi gehouden om dit juist wel te doen, omdat dit belangijk is voor een goede vertrouwensband tussen bestuur en bewoners. Hierop is alsnog toegezegd dat er serieus op de vragen in zal worden gegaan. Hieronder kun je onze inbreng nalezen:

“Wij hebben begrepen dat er wat onrust is ontstaan door de vragen die wij hebben gesteld over digitale veiligheid. Daarom geven wij graag wat achtergrond over waarom wij deze vragen hebben gesteld.

Als bevindingen van FTM zijn te weerleggen, is dit simpel aan te tonen door documentatie hierover te verstrekken. Wij roepen op dit aan te tonen, zodat bewoners gerustgesteld kunnen worden. Bewoners hebben het recht om te zien hoe onze organisatie dit urgente probleem aanpakt.

Na zo’n vernietigend artikel is het essentieel voor het vertrouwen om te laten zien dat je de kwestie serieus neemt en alles doet om dit zo snel mogelijk op te lossen en dit soort situaties in de toekomst te voorkomen. De summiere brief van Roelof Kruize en geluiden uit de organisatie geven hier geen enkel blijk van en wekken de suggestie dat men vooral bezig is elkaar uit de wind te houden, en veel aanbevelingen nog steeds niet opgelost zijn en kwetsbaarheden dus nog steeds bestaan.

Extra kwalijk is dat de brief een penetratietest die eerder dit jaar is uitgevoerd, waarmee ethische hackers ingehuurd worden om onze digitale beveiliging te testen, in de brief onvermeld is gelaten. Zeker aangezien Waternet juist heel slecht uit deze test kwam.

Het is belangrijk dat we zo snel mogelijk inzicht krijgen in tenminste de conclusies en aanbevelingen van deze en andere recente rapporten, en hoe de aanbevelingen al zijn en zullen worden opgevolgd.

Wel worden enkele problemen na publicatie van het artikel alsnog opgevolgd. Sommige van deze aanbevelingen werden al drie jaar geleden gedaan. Je kunt je afvragen waarom na deze publicatie deze aanbevelingen ineens wel belangrijk genoeg zijn..

Fouten die gemaakt worden door individuen, zijn meestal het gevolg van de structuur waarin de organisatie werkt. Wij hopen dat serieus wordt gekeken hoe de structuur van de organisatie kan worden verbeterd, zodat security niet langer een ondergeschoven kindje is, en dit soort problemen in de toekomst kunnen worden voorkomen.

Ons is verteld dat er onrust binnen de organisatie is ontstaan over onze rol bij het naar buiten komen van deze kwestie. Mij is aangeraden om hier nu expliciet te benoemen dat ik niet de bron ben geweest die FTM op dit spoor heeft gebracht. Wij hebben natuurlijk wel eerder dit onderwerp geagendeerd, maar dit was enkel binnen het waterschap zelf. Pas na publicatie van dit artikel contact gezocht met FTM voor aanvullende informatie.

Dat juist hier onrust over ontstaat, vinden wij exemplarisch voor hoe de organisatie dit probleem lijkt op te pikken, en bevestigt het beeld dat we vanuit de organisatie krijgen. Er is een klopjacht geopend op wie FTM getipt heeft, waardoor een angstcultuur is ontstaan.

Dit is precies de verkeerde reactie. De mensen die dit aan de kaak stellen verdienen juist een pluim, omdat ze er nu voor zorgen dat kritische aanbevelingen die soms jarenlang genegeerd worden nu uiteindelijk worden opgepikt, zodat de digitale beveiliging van Waternet en onze vitale infrastructuur, zoals drinkwatervoorziening, waterzuivering, gemalen, bruggen, sluizen en waterkeringen zo spoedig mogelijk op orde is.”

Waarom we onze ‘slimme steden’ niet moeten laten inrichten door techbedrijven

door

Technologie biedt kansen voor mooie toepassingen, maar door het verdienmodel van bedrijven en de controledrang van overheden wordt technologie vaak gebruikt om ons te controleren en manipuleren. Betrek de burger daarom bij het ontwerp van de slimme stad.

Matthijs Pontier (Piratenpartij) in EenVandaag
Matthijs Pontier (Piratenpartij) in EenVandaag over smart cities op 14 november 2019. Het item is te vinden onder dit artikel.

Op steeds meer plekken worden stukjes ‘slimme stad’ ontworpen. Hier wordt met sensoren van alles gemeten om dingen makkelijker te maken of ons gedrag een bepaalde kant op te sturen. Twee voorbeelden hiervan zijn het ‘Stratumseind Living Lab’ in Eindhoven en de ‘Schwung’ app, waarmee je ‘slimme stoplichten’ laat weten dat je eraan komt. Op beide projecten is veel aan te merken.

Bij het Living Lab werd van alles gemeten. Camera’s en sensoren, maar ook social media monitoring, herkomst bezoekers en wifi-tracking werden gebruikt. De politie mocht hier gewoon mee gaan spelen, zonder beleid. Bezoekers werden zo proefdieren voor een politie die naar hartenlust op hen kon experimenteren. Op geen enkele manier werd de privacy geborgd of voorkomen dat gediscrimineerd zou gaan worden. Democratische controle ontbrak.

Ga uit van privacy by design
De ‘Schwung’-app viel vooral op omdat het zo overduidelijk is dat er een privacyvriendelijker en inclusiever alternatief bestaat, waarbij je geen app hoeft te installeren; laat staan daar gegevens aan af te staan. Bij ‘Schwung’ moet je een app installeren zodat het stoplicht weet dat je eraan komt en daarom al van tevoren op groen kan gaan. Deze methode sluit mensen uit die geen app willen installeren, omdat ze bijvoorbeeld niet willen dat hun locatiegegevens, bedoeld of onbedoeld, uiteindelijk bij een fastfoodrestaurant of zorgverzekeraar terechtkomen.

Zeven van deze ‘iVRI-stoplichten’ (“intelligente verkeersregelinstallaties”, red.) zouden een miljoen moeten gaan kosten. Voor dat geld kun je ook een aantal verkeerssensoren aanleggen, of thermische camera’s ophangen. Beide meten wel of en hoeveel personen ergens zijn, maar meten niet wie, wanneer, op welke locatie is. Een alternatief met privacy by design is prima beschikbaar en eigenlijk nog een stuk simpeler ook. Schwung is dus een schoolvoorbeeld van hoe het niet moet!

Risico op raciaal profileren
In steden worden natuurlijk al langer veel gegevens over ons vastgelegd. Van sommigen wordt bijgehouden hoeveel huisvuil ze produceren via een ‘huisvuilpas’. Ons reisgedrag wordt vastgelegd via de OV-chipkaart en camera’s met automatische nummerplaatherkenning (ANPR). Recent zijn daar ook de eerste camera’s met gezichtsherkenning aan toegevoegd. Deze worden onder andere al in het OV gebruikt om bepaalde mensen te weren. Ook sommige bodycams van de politie worden inmiddels uitgerust met gezichtsherkenning. In een strafrechtdatabase van ‘zware misdrijven’ staan inmiddels gezichten van 1,3 miljoen ‘verdachten van zware misdrijven.’ Aangezien er (gelukkig) bij lange na niet zoveel zware misdrijven worden gepleegd, blijkt duidelijk dat hier veel onschuldige mensen in staan, waaronder veel asielzoekers.

Anonieme data is niet zo anoniem
Veel fabrikanten beweren dat ze gegevens anonimiseren, maar de wetenschap bevestigt dat dit eigenlijk niet kan. Wanneer verschillende gegevens van een onbekend individu worden gekoppeld aan een andere gegevens, worden die vaak wel degelijk herleidbaar tot de persoon. En gegevens komen nogal eens op straat te liggen, dus uiteindelijk is het heel moeilijk te garanderen dat je gegevens niet voor hele andere doeleinden gebruikt worden, zelfs al geloof je volledig in de goede intenties van de fabrikant.

Sluipenderwijs wordt de democratie ondermijnd
Daarnaast blijkt er regelmatig sprake van ‘function creep’. Gegevens die eerst voor een bepaald doeleinde gebruikt worden, worden later vaak voor heel andere doeleinden gebruikt. Een recent voorbeeld hiervan zijn de milieucamera’s in Amsterdam. Eerst werden deze enkel gebruikt om vuile dieselauto’s uit milieuzones te weren, maar inmiddels is gebleken dat de politie al jaren meekijkt om verdachten op te sporen, zonder dat dit was bekendgemaakt.

Dat onze gegevens, bedoeld of onbedoeld, bij bedrijven en overheden terechtkomen die eigenlijk niets te maken hebben met de oorspronkelijke toepassing, is een groot probleem.
Zowel overheden als bedrijven gebruiken dit soort gegevens namelijk om ons gedrag te manipuleren. Bedrijven manipuleren ons koopgedrag. Zij maken misbruik van onze zwakheden om ons dingen aan te smeren.

Met je locatiegegevens kan een fastfoodketen bijvoorbeeld proberen je een hamburger aan te smeren, net als je van de sportschool komt en daar erg trek in hebt. Terwijl je waarschijnlijk juist geen vette hamburger wilt eten als je net naar de sportschool bent geweest, als je daar van tevoren goed over zou nadenken. Het is zelfs mogelijk dat, op basis van je social media-activiteit, herkend wordt wanneer je in een emotioneel zwak moment bent, omdat je bijvoorbeeld net een vervelend bericht hebt gelezen, en dat je juist dan verleid wordt tot het kopen van iets wat je eigenlijk niet wilt.

Dit probleem moet niet onderschat worden. Een kwart van de mensen is koopverslaafd. Met name door online impulsaankopen. Daarnaast is er veel aandacht geweest voor het manipuleren van ons stemgedrag door politieke partijen, bedrijven en opportunisten, door misbruik te maken van grotendeels onbewuste processen. Op deze manier wordt dus ook de democratie ondermijnd.

Geen handel in persoonlijke gegevens
Overheden en (semi-)overheidsinstellingen gebruiken dit soort gegevens vooral om ons te controleren en ‘ons gedrag in goede banen te leiden’. Dit is misschien vaak met de beste bedoelingen, maar hier spelen veel ethische kwesties. Wie bepaalt precies wat goed gedrag is, en waarom?

Wanneer ben je mensen aan het helpen met het bereiken van een doel dat ze zelf nastreven, en wanneer ben je als overheidsinstantie mensen aan het manipuleren tot doelen die je als overheid misschien voor ogen hebt, maar die helemaal geen doelen zijn van het individu zelf?

De apps van verzekeraars die je korting geven als je bijvoorbeeld veilig rijdt of gezond eet en genoeg sport schieten momenteel als paddenstoelen uit de grond. Hiervoor moet je allerlei gegevens delen, en dit betekent dus dat persoonlijke gegevens als handelswaar worden gezien. Terwijl het mensenrecht privacy niet verhandelbaar zou moeten zijn. Net als dat er bijvoorbeeld hele goede redenen zijn dat mensen hun nier niet voor geld mogen verkopen, vanwege het recht op lichamelijke integriteit. Daarnaast kun je je afvragen of mensen met bijvoorbeeld een impulsieve persoonlijkheid niet benadeeld worden door zulke apps, en of het sociale principe achter verzekeren niet verdwijnt, als iedereen uiteindelijk voor zijn eigen risico opdraait.

Maak profiling-algoritmes transparanter
Ook worden gegevens steeds vaker aan elkaar gekoppeld om allerlei risicoprofielen op mensen te plakken. Een recent voorbeeld hiervan is SyRI, waar allerlei mensen als fraudeur worden bestempeld. Vaak ten onrechte, en op een volledig ondoorzichtige manier, op basis van een enorme vergaarbak aan persoonlijke gegevens. Groepen die al zwakker stonden in de samenleving werden veel vaker gedupeerd. Volledig terecht dat hier onlangs een rechtszaak tegen werd gevoerd. Wij zijn erg benieuwd naar de uitspraak, begin 2020.

Bewijslast wordt steeds vaker omgekeerd. Een systeem beschuldigt mensen en vervolgens wordt de bewijslast bij hen gelegd om te bewijzen dat dat niet zo is. De recente toeslagenaffaire laat pijnlijk zijn hoe levens kapotgemaakt kunnen worden door dergelijke valse beschuldigingen. Mensen moesten tienduizenden euro’s onterecht terugbetalen. Soms zelfs een ton. Mensen werden meer dan tien jaar lang in ellende gestort. Sommigen verloren hun huis, of hun auto. Huwelijken liepen stuk. Al die tijd werd hen het gevoel aangepraat dat zij iets fout zouden hebben gedaan. En als zij na jarenlange strijd eindelijk inzage krijgen in hun dossier, krijgen zij dit grotendeels zwartgelakt terug. En ook bij deze affaire bleken mensen die al zwakker stonden in de samenleving, en ook mensen die een niet-Westerse afkomst hadden, relatief veel vaker te worden gedupeerd. Ook bedrijven gebruiken steeds vaker dit soort profiling-algoritmes om beslissingen over mensen te maken, bijvoorbeeld om te bepalen of je een bepaalde lening of verzekering mag hebben. Zowel overheden als bedrijven zullen een totaal andere houding moeten aannemen en transparanter moeten opereren om het vertrouwen bij burgers te herstellen.

Voer verbod in op gezichtsherkenning
Ten slotte kunnen veel andere rechten in het geding komen als gegevens door overheden voor andere doeleinden worden gebruikt. Opsporingsdiensten zullen bijvoorbeeld bijzonder geïnteresseerd zijn om locatiegegevens te gebruiken om een demonstratiedatabase aan te leggen, waarmee ze vervolgens kunnen bepalen of ze mensen extra in de gaten moeten houden, bijvoorbeeld omdat ze wel eens een actie zouden kunnen organiseren om Shell plat te leggen.

Wie durft nog te demonstreren als het algemeen bekend is dat je dan het risico loopt in zo’n database terecht te komen? Zeker als hiervoor ook camera’s met automatische gezichtsherkenning worden gebruikt, en als eis voor een demonstratie wordt meegegeven dat je herkenbaar meeloopt, ‘vanwege veiligheidsoverwegingen’? Dit zou een grote inperking van het demonstratierecht betekenen. Op deze manier kom je dan al snel in een totale controlesamenleving terecht, zoals we nu in China al gedeeltelijk zien gebeuren. Het zou dan ook goed zijn nu zo snel mogelijk een verbod op gezichtsherkenning voor handhaving in te voeren, zoals recent al in San Francisco is gebeurd.

Ontwerp volgens open source-principes
Vaak zijn er goede alternatieven beschikbaar, waarbij niet meer persoonlijke gegevens worden verzameld dan nodig. Zo kun je bijvoorbeeld denken aan nummervakparkeren in plaats van kentekenparkeren. Hierbij betaal je anoniem voor een nummervak, in plaats van dat vastgelegd moet worden welke auto, waar, wanneer parkeert. Bovendien maakt dit het parkeersysteem socialer, omdat je ook voor een ander kunt betalen. Bijvoorbeeld voor gasten die bij je op bezoek komen. Om privacy by design goed toe te passen is het noodzakelijk dat open source-principes worden toegepast, zodat iedereen kan controleren dat het systeem inderdaad zo werkt als wordt beweerd.

Bewoners de baas in de slimme stad
De ‘slimme stad’ is uiteindelijk een technologisch systeem dat bestaat rondom mensen. Om te zorgen dat deze technologie de belangen van deze mensen dient, is het belangrijk dat bewoners aan tafel zitten bij het ontwerp van de slimme stad. Ontwerp de stad samen met en in co-creatie met alle belanghebbenden. De gebruiker is uiteindelijk de beste ontwerper. Bovendien maakt dit mensen direct meer bewust van de technologie om hen heen en hoe gegevens gebruikt zouden kunnen worden om hen te beïnvloeden. Dit ‘data-bewustzijn’ is belangrijk om samen betere beslissingen te maken over hoe we met de gegevens om willen gaan die we uiteindelijk samen produceren.





#SaveYourInternet: Doe ook mee aan de protest selfie

door

1 miljoen mensen verdedigen zich tegen censuur en controle! https://umap.openstreetmap.fr/en/map/copyright-action-day-2018_238803#5/51.317/9.053

Stop upload filters (censuur machines) en de link tax

Wees er zondag 26 augustus 15.00 bij, voor de OBA, Oosterdokskade 143: https://piratenpartij.nl/op-zondag-26-augustus-gaan-mensen-overal-in-europa-de-straat-op-voor-saveyourinternet-doe-mee/

Nieuws uit Waterschap AGV: Beveiliging van bruggen, sluizen en website, WOB, klokkenluiders en cursus ‘Actief voor het Waterschap’

door

  • Matthijs Pontier heeft vorig jaar vragen gesteld over de beveiliging van bruggen en sluizen, wanneer deze op afstand bediend worden. Het heeft even geduurd, maar de antwoorden zijn inmiddels binnen en zijn redelijk geruststellend. Uit de antwoorden blijkt dat de bediening van AGV objecten op afstand plaatsvindt via een apart netwerk waarop alleen Waternet toegang heeft. Binnen de objectbesturing worden alleen ICS/SCADA besturingscomponenten toegepast en is er geen sprake van het Internet of Things. Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet. Alle objecten kennen de zogenaamde “lokale bediening”. Is een object bijvoorbeeld niet bereikbaar door een verstoring in het netwerk, dan kan het object nog steeds lokaal bediend worden. Dit betekent dat er een bedienaar ter plaatse moet gaan. Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Er ligt een plan voor het uitvoeren van diverse pentesten in april en mei. Het netwerk van de bedienpost in Weesp wordt meegenomen in dit plan.
  • 16 mei wordt de website van Waterschap Amstel Gooi en Vecht besproken. Matthijs Pontier zal hierbij aanwezig zijn namens de Piratenpartij en heeft het Dagelijks Bestuur alvast op het onderstaande geattendeerd:
“De website van de gemeente Amsterdam blijkt slechts aan 82% van de minimale veiligheidseisen te voldoen.
Wie zijn zaken regelt via sites van Amsterdam, loopt het gevaar dat zijn identiteit wordt geroofd of zijn gegevens op straat komen te liggen. Gegevens die onderweg zijn tussen je website en de bezoekers, zijn daardoor niet beschermd tegen afluisteren en manipulatie. Een tweede risico is identiteitsdiefstal, waarbij katvangers tussen de gebruiker en de site in gaan zitten en de website kapen

Zie ook dit artikel in het Parool, getiteld ‘Grote hackrisico’s websites gemeente Amsterdam

Ik heb getest hoe dit bij AGV zit en helaas scoort onze website nog slechter dan die van de gemeente Amsterdam. De website van AGV heeft alle problemen die de website van Amsterdam.nl ook heeft, en mist daarnaast o.a nog client-initiated renegotiation bij TLS. Eindscore: 76%

Hetzelfde geldt voor Waternet. Eindscore: 73%

Websites van gemeentes als Venray en Emmen laten zien dat dit beter kan. Zij halen wel een score van 100%. Dit gaat echt om minimale veiligheidsnormen. Ik hoop dat onze website hier ook z.s.m aan kan voldoen. Ik hoor graag op 16 mei (of liefst eerder) met welke termijn we dit in orde kunnen gaan krijgen”
  • Naar aanleiding van slechte behandeling van een klokkenluider in een ander Waterschap, heeft Matthijs Pontier gevraagd of er een klokkenluidersregeling bestaat en of er een regeling is rond het bespieden van internet en emailverkeer van medewerkers van Waternet en Waterschap Amstel, Gooi en Vecht. Uit het verstrekte internet en e-mail protocol blijkt dat internetverkeer 3 dagen wordt gelogd en metadata van emails 1 jaar wordt gelogd. Wanneer een leidinggevende aanleiding het internetverkeer van medewerkers wil bespieden, moet dit via het hoofd ICT en moet het DB van de ondernemingsraad worden ingelicht. Medewerkers hebben het recht om op te vragen welke gegevens over hen zijn opgeslagen, en krijgen bij een aanvraag binnen vier weken bericht. De Klokkenluidersregeling en het internet- en emailprotocol vinden achter de links.
  • Matthijs Pontier heeft verder opheldering vragen gesteld over de kosten voor het opvragen van stukken. Uit de stukken die in eerste instantie werden toegestuurd, leek sprake te zijn van kosten voor de behandeling van het aanvragen van bestuursstukken en archiefstukken. Dit zou in strijd zijn met de Wet Openbaar Bestuur. Naar aanleiding van zijn vragen werd opgehelderd dat dit niet geval is. Suggesties om dit te verhelderen zijn in behandeling.
  • ProDemos organiseert een cursus ‘Actief voor het Waterschap’. Deze cursus is vooral interessant voor mensen die interesse hebben om mee te doen aan de Waterschapsverkiezingen van maart 2019. Lijkt dit je leuk? Stuur dan een berichtje naar matthijs [at] piratenpartij [dot] nl

Waterschap Amstel, Gooi en Vecht beantwoordt vragen over beveiliging van bruggen en sluizen

door

Matthijs Pontier heeft vorig jaar vragen gesteld over de beveiliging van bruggen en sluizen, om er zeker van te zijn dat situaties in het plaatje rechts niet plaatsvinden. Het heeft even geduurd, maar de antwoorden zijn binnen en stemmen redelijk geruststellend. Uit de antwoorden blijkt dat de bediening van AGV-objecten op afstand plaatsvindt via een apart netwerk waarop alleen Waternet toegang heeft. Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet. Alle objecten kennen “lokale bediening” als backup. Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Hieronder lees je de antwoorden van het Waterschap.

Toelichting beantwoording:

De Centrale Object Bediening (COB) bedient op dit moment alleen de objecten in Amsterdam. De op afstand bediende bruggen van AGV worden nog bediend vanuit [locatie x] in Weesp. Bij de beantwoording van de vragen ligt de focus derhalve op de bediening van de AGV objecten op afstand deze locatie.

Eind 2018 begint het groot onderhoud voor de brug Nigtevecht, waarna deze op de COB aangesloten wordt. De twee andere bruggen van AGV volgen daarna.

Vraag 1

Ik heb vorig jaar in een commissievergadering nog vervolgvragen gesteld, die vooral betrekking hadden op de beveiliging van de centrale bediening van bruggen en sluizen. Deze vragen konden niet direct beantwoord worden, maar inmiddels is mij informeel verteld dat deze bediening plaatsvindt via een apart netwerk (en dus niet via het normale internet of het Internet of Things). Kun je deze informatie formeel bevestigen?

Antwoord:

De bediening van AGV objecten op afstand vindt plaats via een apart netwerk waarop alleen Waternet toegang heeft. Binnen de objectbesturing worden alleen ICS/SCADAbesturingscomponenten toegepast en is er geen sprake van het Internet of Things.

Vraag 2

Klopt het dat alle systemen die aangesloten zijn op dit netwerk NIET zijn aangesloten op het reguliere internet?

Antwoord:

Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet.

Vraag 3

Kun je informatie geven over de kwaliteit van de fysieke beveiliging van deze (objecten?)

Antwoord:

Alle objecten die in beheer zijn van Waternet zijn geclassificeerd, zo ook de objecten van AGV die bediend worden vanuit de bedienpost in Weesp. Er worden aanvullende maatregelen genomen indien de classificatie daar aanleiding toe geeft.

Vraag 4

Kun je informatie geven over de resilience (oftewel, mocht door kwaadwillenden of door een menselijke fouten per ongeluk een sluis open worden gezet, welke mogelijkheden zijn dan getroffen om deze sluis zo snel mogelijk weer dicht te zetten en zo eventuele schade te beperken).

Antwoord:

Objecten kennen de zogenaamde “lokale bediening”. Is een object bijvoorbeeld niet bereikbaar door een verstoring in het netwerk, dan kan het object nog steeds lokaal bediend worden. Dit betekent dat er een bedienaar ter plaatse moet gaan.

Vraag 5

Zijn er op dit systeem ook penetratietests uitgevoerd, en zo ja, door wie?

Antwoord:

Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Er ligt een plan voor het uitvoeren van pentesten op de COB, de procesautomatisering van Watersysteem en Afvalwater (CAW) en Drinkwater in april en mei. Het netwerk van de bedienpost in Weesp wordt meegenomen in dit plan.

Vraag 6

Je geeft aan dat gedetailleerde rapportages niet verstrekt kunnen worden en verwijst naar de attachment ‘AFRONDING UNIEPROGRAMMA INFORMATIEVEILIGHEID’. De informatie hierin is echter wel heel geaggregeerd. Voor onze controlerende rol als AB lijkt het me wel van belang dat we inzicht kunnen krijgen in waar verbetering nodig is. Bijvoorbeeld om te beslissen of we in willen stemmen met centrale bediening van een sluis, maar ook voor tal van andere zaken. Volgens mij moet verstrekking van meer gegevens met enige zorgvuldigheid ook best mogelijk zijn, zonder dat dit een risico vormt.

Antwoord:

Detailvragen kunnen beantwoord worden vanuit het Security team. De rapportages met betrekking tot informatiebeveiliging zijn ter inzage beschikbaar; rapportages met gevoelige informatie verspreidt het security team zo min mogelijk.

Matthijs Pontier pleit voor rechtvaardiger kwijtscheldingsbeleid Waterschapsbelastingen

door

Kandidaat-lijsttrekker Matthijs Pontier heeft in Waterschap Amstel Gooi en Vecht namens de fractie van Piratenpartij Amsterdam​ / De Groenen Amsterdam gepleit voor een rechtvaardiger kwijtscheldingsbeleid en betere informatievoorziening over de mogelijkheden om kwijtschelding van Waterschapsbelasting aan te vragen. Wij willen dat:

  • Iedereen wordt actief geïnformeerd over de mogelijkheid tot kwijtschelding van waterschapsbelasting. Veel mensen leven nu in armoede omdat ze niet goed weten waar ze recht op hebben, en dat moeten we voorkomen. Ook de maatschappelijke dienstverlening moet daarom actiever geïnformeerd worden over de mogelijkheid tot kwijtschelding.
  • Meer met gemeenten samenwerken in Vroeg Eropaf​, waarmee schulden vroeg worden herkend, zodat deze niet verergeren en zodat huisuitzettingen succesvol worden voorkomen. De afweging moet niet enkel gemaakt worden tussen de kosten in geld en tijd en de opbrengsten. Dat schulden niet verergeren en huisuitzettingen worden voorkomen is volgens ons een doel op zich, en ook veruit het zwaarstwegende doel in deze afweging. We zijn immers geen bedrijf, maar volksvertegenwoordigers. We dienen dus te handelen in het belang van de samenleving. En het is in het belang van de samenleving dat mensen hun huis niet worden uitgezet.
  • Kwijtschelding mogelijk maken voor zelfstandigen zonder personeel (ZZP’ers). Kwijtschelding zou afhankelijk moeten zijn van inkomen en vermogen, ongeacht hoe dit tot stand komt. Zeker in tijd met schijnzelfstandigheid, waar noodgedwongen zzp’ers moeilijk kunnen rondkomen, is dit belangrijk.

We zijn blij dat vrijwel alle fracties het hier volledig mee eens waren en kijken uit naar de stappen van het Dagelijks Bestuur om dit te bewerkstelligen.

Je kunt de inbreng van Matthijs Pontier namens de fractie van Piratenpartij Amsterdam​ / De Groenen Amsterdam​ in Waterschap Amstel, Gooi en Vecht​ hier hier terugkijken.