Piratenpartij Noord-Holland

voor een vrije informatiesamenleving

Waterschap AGV

Mirjam (De Groenen) en Matthijs (Piratenpartij) stappen in het huwelijksbootje

door

Mirjam van Rijn en Matthijs Pontier zijn 14 maart in het huwelijksbootje gestapt. Hiermee symboliseren zij de hernieuwde samenwerking van De Groenen en de Piratenpartij voor de Provinciale Staten en Waterschapsverkiezingen.

Matthijs Pontier: “Wie na het verkiezingsdebat van Pauw op NPO 1 gedesillusioneerd de tv uitzette, of tenminste het geluid; heeft misschien de verzuchting van De Groenen kunnen horen. ‘Liever Piraat’, zei ze.” 

Mirjam van Rijn: ‘Ik heb na het debat op tv, Matthijs gevraagd of hij, na onze mooie acht jaar vol avonturen in waterschap Amstel, Gooi en Vecht, met mij verder zou willen.’

Tot mijn grote vreugde zei Matthijs direct volmondig ‘Ja’!

Om er echt een mooie dag van te maken, stelde hij voor, dan ook direct samen in een huwelijksbootje te stappen.

Matthijs Pontier: ‘Ik was nog even bang dat ze, workaholic die ze is, zeker met het huidige klimaat, liever dinsdag op de Pont wilde afspreken, om haar actie ‘motor af voor schone lucht’ te herhalen. Gelukkig kon ze die afspraak verzetten en kunnen we ons morgen met name op het water focussen.’ 

De Groenen en Piratenpartij werken samen in:

    – De provincie Noord-Holland als Piratenpartij, Lijst 16 https://noord-holland.piratenpartij.nl/

    – Hoogheemraadschap Hollands Noorder Kwartier als De Groenen Piraten, Lijst 10 https://degroenen-piraten.nl/

    – Waterschap Amstel Gooi en Vecht als De Groenen, Lijst 6 https://degroenen.nl/agv.html

    – Waterschap Stichtse Rijnlanden als De Groenen, Lijst 11 https://degroenen.nl/hdsr.html

Algemene Politieke Beschouwingen Waterschap Amstel Gooi en Vecht 2022

door

Zoals jullie weten, is onze fractie het resultaat van een samenwerking tussen De Groenen en de Piratenpartij. Wij staan gezamenlijk voor een groen waterschap, dat biodiversiteit bevordert, het belang van digitale beveiliging begrijpt, duurzaamheid voorop stelt, en bewoners centraal stelt in alles wat we doen.

De digitale transformatie blijft onze aandacht vragen. Er moet nog het nodige gebeuren en daarom staat Waternet nog steeds onder toezicht staat van het ILT. Het blijft van groot belang dat signalen vanaf de werkvloer hierbij serieus worden genomen en een open bedrijfscultuur ontstaat.

Door de oorlog in Oekraïne en de bijbehorende ‘cyberoorlog’ is de digitale dreiging toegenomen. Dit maakt de discussie over naar welk beschermingsniveau we gaan extra urgent.

Het is begrijpelijk dat het verbeterplan vertraging oploopt. Maar de eerdere inschattingen van inverdieneffecten waren ook onder normale omstandigheden veel te optimistisch. Dit vraagt om extra aandacht voor een effectieve sourcing strategie, om onafhankelijker te worden van techreuzen en kosten te kunnen besparen.

In de gemeente Delft is een initiatiefvoorstel over ‘Digitale Soevereiniteit’ aangenomen. Dit voorstel komt met concrete voorstellen om de digitale dienstverlening van de gemeente te verbeteren op basis van deze 5 principes:

1. Vrijheid door opensourcesoftware en contractafspraken

2. Gebruik van open standaarden

3. Inzetten op hergebruik

4. Open tenzij

5. Duurzame samenwerking.

Dit is gebeurd op initiatief van de Piratenpartij die daarin samenwerkte met studentenpartij STIP, en met mede-indieners Onafhankelijk Delft, GroenLinks en D66. Ook Collegepartijen PvdA en VVD hebben erg positief op dit voorstel gereageerd en ermee ingestemd. De kanttekeningen van het College, gingen er vooral over wat Delft als enkele gemeente kan doen. Die kanttekeningen zijn terecht, en onderstrepen het belang dat verschillende overheden hierin samen optrekken. Het zou goed zijn als ons waterschap via de Unie van Waterschappen contact zoekt met andere lokale overheden om onze digitale soevereiniteit veilig te stellen.

Als het CETA-verdrag door de Eerste Kamer komt, komen publieke diensten in het algemeen en onze lokale democratie in het waterschap extra onder druk te staan. 

De discussie over de governance wordt dan extra urgent. We moeten onze rol als opdrachtgever terugpakken en zorgen dat Waternet ons daar ook toe in staat stelt te besturen. We moeten ook veel meer mogelijkheden creëren voor participatie dan nu het geval is, bijvoorbeeld via digitale ideeënplatforms en burgerpanels. In de ideale wereld komen alle initiatieven van burgers en participeren wij in hun ideeën.

De energietransitie vormt een grote uitdaging. Wij zijn daarom teleurgesteld dat aquathermie bij Strandeiland niet doorgaat en zullen ons blijven inzetten voor zoveel mogelijk projecten om te pionieren met TEO en TEA. Zeker omdat andere manieren om de energietransitie vorm te geven ook tegen limieten oplopen (bijvoorbeeld windmolens in de buurt van woningen, wat ten koste gaat van draagvlak, of in natuurgebieden, ten koste van biodiversiteit).

Als waterschap kunnen we een positief verschil maken op het gebied van biodiversiteit. We juichen samenwerking op dit gebied erg toe; met overheden, bedrijven en stichtingen, tot kennisuitwisseling met grassroots-organisaties en bewoners.

Waterkwaliteit voldoet nog te vaak niet aan de normen. Dat kan en moet beter. Dit vraagt niet alleen om een ambitieus KRW-implementatieplan, en om aanvullende maatregelen voor de kleine wateren.

We vinden het natuurlijk fijn voor de boeren dat hun belastingtarieven dalen, maar de principes van ‘de profijt hebben en de vervuiler betalen’ worden nog onvoldoende toegepast. Dat de grootste belastingbetaler in de verontreinigingsheffing het productieproces heeft aangepast, waardoor er sprake is van veel minder vervuilende lozing op van het oppervlaktewater, bewijst dat het loont om grote vervuilers financieel te prikkelen om te verduurzamen.

Voor ons is het onacceptabel dat bewoners, en met name de eenpersoonshuishoudens, zoveel meer belasting moeten betalen, terwijl vervuilende industrie de grootste kostenveroorzaker is en het meeste profijt heeft van onze activiteiten. Wij zullen ons blijven inzetten voor een progressief belastingstelsel, waarin vervuilende industrie meer gaat betalen, en bewoners minder. 

We kijken ernaar uit om komend jaar, samen met het AB, DB en bewoners, Waterschap Amstel Gooi en Vecht mooier, beter en eerlijker te maken.

Algemene Politieke Beschouwingen Waterschap Amstel Gooi en Vecht 2020

door

Zoals jullie weten, is onze fractie het resultaat van een samenwerking tussen De Groenen en de Piratenpartij. Wij staan gezamenlijk voor een groen waterschap, dat biodiversiteit bevordert, het belang van digitale beveiliging begrijpt, duurzaamheid centraal stelt en bewoners betrekt in alles wat we doen.

Door de coronamaatregelen, moesten we digitaal vergaderen. We willen de organisatie complimenten geven voor alle inzet die ze hebben getoond om te zorgen dat we als Waterschap ons werk kunnen blijven doen. Natuurlijk zien we nog wel verbeterpuntjes – zo zouden we in plaats van MS Teams bijvoorbeeld beter kunnen kiezen voor Jitsi Meet, een goed open source alternatief. We zijn blij dat na onze suggestie het reglement van orde zo is aangepast  dat we ons niet vastleggen op het gebruik van Microsoft producten, en dat het mogelijk blijft om meerdere woordvoerders per fractie te hebben.

We zouden zoveel mogelijk moeten ontwikkeling op basis van open source en open standaarden, zodat op termijn veel tijd en geld bespaard kan worden. Het zou een goede gewoonte te zijn om bij het gebruik van elk softwarepakket eens te kijken of er een goed open source pakket beschikbaar is. De website alternative.to laat voor elk pakket een lijst open source alternatieven zien. Daarnaast zou ook voor het gebruik van (fysieke) materialen gewerkt kunnen worden met open standaarden, zodat je nooit afhankelijk wordt van een enkele aanbieder. 

We willen ook onze collega’s in het Algemeen Bestuur complimenten geven voor de prettige samenwerking. Ook in een periode waarin er maar weinig echt face to face contact is, blijft het contact prettig en constructief.

We zijn ook blij dat ons amendement dat zorgt dat het DB moties niet zomaar naast zich neer kan leggen al voor behandeling is overgenomen.

We zijn blij dat de motie om ons aan te sluiten bij de Statiegeldalliantie vervolg krijgt, en we ons nu ook hebben aangesloten bij ‘Yes we can!

In een vrije democratie zou de overheid vooral uit moeten gaan van verantwoordelijkheid en vertrouwen, en bewoners vooral in staat moeten stellen om zichzelf en anderen goed te kunnen beschermen.  We zijn daarom blij dat het Waterschap de richtlijnen van het RIVM over ventilatie serieus neemt. Organisaties zoals het TVVL en het REHVA raden echte rook nog diverse aanvullende maatregelen aan. Een CO2-meter in elke ruimte waar mensen werken, is bijvoorbeeld een simpele en goedkope oplossing om te controleren of de ruimte goed genoeg geventileerd is, om verspreiding van virussen te voorkomen. Bovendien, verzekerd zijn van voldoende frisse lucht is ook na de corona crisis geen overbodige luxe. We zouden daarom graag vanuit het voorzorgsprincipe zien dat deze extra maatregelen ook overgenomen worden.

We snapten dan weer niets van het verbod ‘vanwege corona’ om in het weekend over de grachten te varen. Op een bootje ben je immers in de buitenlucht, en hou je automatisch al afstand van andere bootjes. We waren dus ook blij dat dit ook snel weer werd opgeheven.

Wij pleiten voor veranderingen in het belastingstelsel, zodat vervuilende bedrijven en bedrijven die profijt hebben van onze taken meer belasting gaan betalen, en bewoners dus minder. We zijn blij dat er in het spoor waar we het afgelopen jaar mee bezig geweest zijn, stapjes gezet worden om ‘de vervuiler betaalt’ iets beter toe te passen, maar er is nog veel verbetering mogelijk op dit vlak. We zouden de komende jaren graag zien dat in het andere spoor meer serieuze stappen gezet kunnen worden om te zorgen dat bewoners minder gaan betalen en vervuilende bedrijven meer.

Ondanks dat er onder dit ‘groene’ bestuur meer discussie voor nodig was dan wij hadden verwacht, zijn wij blij dat uiteindelijk toch gekozen is voor slibverwerking via HVC, omdat dit duidelijk de meest duurzame optie is, ook al bleek dat niet zo duidelijk uit de eerste stukken die we over dit onderwerp ontvingen. Bij HVC zijn energie- en grondstoffenterugwinning centrale uitgangspunten. Dit is belangrijk voor onze bijdrage aan de kringloopeconomie.. 

We vinden dat deelnemingen van het Waterschap in een bedrijf (bijvoorbeeld bij het winnen van biogas uit rioolslib, of aquathermie) niet gebruikt mogen worden om private winsten mogelijk te maken terwijl de risico’s publiek worden afgedekt met belastinggeld. Het AB moet altijd zeggenschap houden en deelnemingen moeten regelmatig heroverwogen worden. Zeker wat betreft deze zeggenschap, is er nog wel wat verbetering nodig in het deelnemingenbeleid.

Extinction Rebellion wil een burgerberaad over de klimaatcrisis. In Frankrijk heeft de vergelijkbare Citizens’ Convention on Climate al tot mooie voorstellen. Als bewoners in een burgerberaad zelf meedenken over maatregelen om klimaatverandering tegen te gaan, blijken ze veel verder te willen gaan dan politici zouden inschatten. Bovendien leidt deze methode tot maatregelen waarbij de kosten van de klimaatcrisis eerlijker verdeeld worden.

Bij de RES hebben wij als betrokken bewoners nu enkel wat inspraakmomentjes voorbij zien komen om te bepalen waar we windmolens willen plaatsen. Dit is natuurlijk beter dan niets, maar vergeleken met het burgerberaad in Frankrijk is er nog veel verbetering mogelijk.

Wij hebben eerlijk gezegd nou niet het idee dat dit kwam door de inzet van het Waterschap, maar wij zijn blij dat er uiteindelijk toch een is oplossing is gevonden voor de oude ADM-bewoners die nu op de slibvelden wonen, nadat we aandacht hebben gevraagd voor hun situatie.

Wij hadden eerder al gepleit om logistiek voor bijvoorbeeld bouw naar het water te verplaatsen vanwege duurzaamheid en om drukke straten te ontlasten. Ondanks dat het DB zich hier niet voor wilde inzetten, blijkt dit inmiddels ook succesvol te gebeuren, met ondersteuning van waternet. Door achterstallig onderhoud bij bruggen en instortende kades is dit extra relevant geworden.

We zijn blij dat een overgrote meerderheid het AB aangeeft een voorbeeldrol te willen spelen en ook wil investeren om eigen assets klimaatbestendig maken als dat zich financieel niet volledig terugbetaalt! 

Het zijn blij dat mede door onze inzet bij Strandeiland huizen niet met fossiel gas, maar met aquathermie verwarmd zullen worden. We zouden graag meer van dit soort projecten zien. In de Van der Pekbuurt wilden bewoners graag van het gas af door gebruik te maken van aquathermie, maar toch is hier gekozen voor een warmtenet van Vattenfall. Dit is een minder duurzaam alternatief. Bij het WG-terrein blijkt bij een soortgelijk project wel degelijk gebruik gemaakt te kunnen worden van aquathermie. Zouden we als waterschap geen actievere rol aan kunnen nemen, om in de Van der Pekbuurt en andere projecten waarbij stadsverwarming wordt vernieuwd meer gebruik te maken van aquathermie?

We zijn blij dat er positief is gereageerd op onze plannen om de bedrijfsvoering te verduurzamen en voedselverspilling tegen te gaan. Welke stappen worden er daadwerkelijk genomen om dit te verbeteren?

In het bestuursakkoord staan nog een aantal mooie plannen, waaronder een gedeelte van de input die we zelf hadden geleverd. Wel is het zo, dat veel van deze plannen staan of vallen bij de uitvoering. Worden de groene en duurzame ambities ook echt waargemaakt? Zijn de bedachte maatregelen ook echt de beste manier om zoveel mogelijk duurzaamheidswinst te behalen, en biodiversiteit te beschermen? 

Zo zijn we bijvoorbeeld bijzonder benieuwd naar het ‘visie document en uitvoeringsagenda digitalisering’. Deze had dit kwartaal tot stand moeten komen, maar we begrijpen dat gezien de omstandigheden nu niet is gelukt. Alleen zien we nu zelfs in de begrotingsopzet voor 2021 nergens meer terug. Hetzelfde geldt voor de hackathon. De handreiking werkwijze participatie hadden we in de eerste helft van dit jaar verwacht, maar hier zien we nu niets van terug. Ook niet op de agenda voor komend jaar.

Welke stappen ondernemen we om tot deze visie en uitvoeringsagenda digitalisering te komen? Welke vormen van participatie worden mogelijk gemaakt? Welke zeggenschap durven we als AB los te laten en welke kaders stellen we voor participatie? We voldoen nog niet aan de AVG, maar willen dit wel gaan doen. Welke stappen worden er precies ondernomen om hieraan te voldoen? Wanneer kunnen we meer verwachten over deze onderwerpen?

Bij dit soort processen die in dit Waterschap nog niet eerder uitgebreid aan de orde zijn gekomen in het politieke proces, is het van groot belang dat kennis en kunde uit het AB en de samenleving worden meegenomen. Ondanks dat wij verbetering zien op dit gebied, is er nog steeds veel verbetering mogelijk. Op hulp die ons wordt aangeboden door de stichting Open Source & Overheid wordt bijvoorbeeld al jarenlang eigenlijk nauwelijks gereageerd. Waarom? Is het waterschap bang voor een blik van buitenaf?

Ook een Afspraak over het implementeren van de Tada principes is niet doorgegaan door de coronamaatregelen. Hopelijk kan deze komend jaar toch nog plaatsvinden.

We voldoen op teveel plaatsen niet aan de KRW-normen over waterkwaliteit. Op sommige plaatsen gaat de kwaliteit achteruit. Bij citizen science project ‘vang de watermonsters’ bleek zelfs dat 80% van de wateren een matige tot slechte kwaliteit heeft. Dit moet echt beter

Een open en transparante overheid is een basisvoorwaarde voor een goede democratie. Alleen wanneer mensen het functioneren van hun overheid ter discussie kunnen stellen en ze de overheid kunnen controleren is een goede volksvertegenwoordiging mogelijk.

De Piratenpartij wil dat alle digitaal opgeslagen informatie van het Waterschap (en andere overheden) voor iedereen zichtbaar is middels een systeem dat persoonlijke informatie anonimiseert en waar nodig pseudonimiseert (geen namen, wel functietitels). Voor volksvertegenwoordigers zijn de originele documenten opvraagbaar. Dit stond ook min of meer zo in het concept-bestuursakkoord, maar is er later weer uit verwijderd. Daardoor rijst de vraag hoe transparant het DB nu echt wil zijn. Willen we echte transparantie als basis voor de democratie in ons waterschap, of wil het DB vooral transparantie veinzen voor de bühne?

De afgelopen jaren hebben wij regelmatig aandacht gevraagd voor het belang van digitale beveiliging. Telkens werden we gerustgesteld. Alles zou prima in orde zijn en we konden rustig gaan slapen. Onlangs hebben we uit de media moeten vernemen dat er toch diverse kritieke kwetsbaarheden spelen binnen de organisatie, die jarenlang door managers genegeerd zijn, ondanks jarenlange pogingen van security officers. Medewerkers spreken over een bedrijfscultuur waarin security stelselmatig genegeerd wordt vanwege ‘gebruiksgemak’ en een angstcultuur, waarbij represailles volgen als tegen bepaalde managers ingegaan wordt. Deze kwetsbaarheden en deze interne discussie zijn keer op keer voor ons verzwegen, ook toen we hier gericht naar vroegen.

Zelfs na deze berichtgeving op Follow the Money bleef het management doorgaan op oude voet. De bevindingen werden gebagatelliseerd, waarbij werd verwezen naar rapporten die een ander beeld zouden geven. Deze rapporten zullen we voor een deel pas op 3 december in kunnen zien, maar het Rekenkamercommissie rapport bevestigt juist dat er nog een flinke inhaalslag gemaakt moest worden bij de ontwikkeling van cybersecurity beleid, en dat er zelfs geen enkele controle is op het cybersecurity beleid. Bij Waternet lijkt het op papier beter geregeld te zijn dan in de praktijk. Als men zich in de praktijk niet aan het opgestelde beleid houdt, is dat beleid natuurlijk niet meer dan een dode letter.

Erger nog, is dat zelfs na deze onthullingen nog een vernietigend veiligheidsrapport voor ons als AB werd verzwegen. De pentest van 13-15 januari, waarbij ethisch hackers 13-15 januari onze digitale beveiliging hebben getest, constateerde 11 grote kwetsbaarheden; 5 kritiek; 5 hoog; 1 gemiddeld. En als hun onderzoek wat uitgebreider was geweest, hadden ze naar eigen verwachting nog veel meer kwetsbaarheden gevonden. Ook het ILT werd niet ingelicht over dit vernietigende Hoffman rapport.

Jarenlang hebben security officers deze problemen aan de orde gesteld. Jarenlang zijn deze problemen stelselmatig genegeerd en gebagatelliseerd. Het kwam zelfs voor dat, na een verbetering van de digitale beveiliging, managers hun positie hebben misbruikt, om te zorgen dat security officers onder druk beveiligingsmaatregelen terug draaiden. Dat de structuur in de organisatie toeliet dat deze situatie zo kon ontstaan is een groot probleem.

Het Rekenkamercommissie rapport stelt dat, omdat er nog geen noemenswaardige incidenten zijn voorgekomen of grote risico’s zich hebben gemanifesteerd, cybersecurity nog niet is vermeld in bestuursrapportages. Nu zijn er naar onze bescheiden mening wel degelijk noemenswaardige incidenten geweest, maar los daarvan moet dit in de toekomst echt anders.

Als AB, het hoogste orgaan van Waterschap AGV, zijn we (mede-)eindverantwoordelijk voor de digitale beveiliging van Waternet. Daarom zouden we niet enkel bij incidenten, maar minimaal jaarlijks structureel geïnformeerd moeten worden over de staat van de digitale beveiliging van Waternet, via regelmatige bestuursrapportages, die niet enkel rapporteren over de kwaliteit van het security beleid, maar ook over de kwaliteit van de implementatie daarvan, inclusief regelmatige dreigingsanalyses en pentests.

Zeker gezien deze ontwikkelingen, vinden we het een slechte keuze om digitale beveiliging van onze assets buiten de beslisbevoegdheid van het AB te stellen. Wij zullen mede daarom zo een amendement indienen om A-investeringen te maken van de vervanging van procesautomatisering, fysieke beveiliging assets, brugbediening op afstand en fysieke beveiliging. Op basis van de informatie die we nu hebben kunnen we er niet mee instemmen dat het DB dit regelt met een carte blanche, grotendeels buiten ons zicht.

Als Algemeen Bestuur van Waterschap Amstel gooi en Vecht verantwoordelijk zijn voor digitale beveiliging van onze assets in het Waterschap We op dit moment onvoldoende zicht hebben op deze digitale beveiliging Het belangrijk is dat we als Algemeen Bestuur in positie worden gesteld om onze verantwoordelijkheden op het gebied van digitale veiligheid na te komen.

Voor veel zaken zullen we nog af moeten wachten tot 3 december of hier adequaat op wordt gereageerd. We zijn in ieder geval blij dat het DB heeft toegezegd een jaarlijkse bijscholing te organiseren voor het AB over digitale ontwikkelingen, die relevant zijn om privacy en security in Waternet te beschermen, zodat het AB over genoeg informatie beschikt om haar verantwoordelijkheid op dit gebied beter kan invullen.

Op veel vlakken zijn we tevreden over hoe zaken verlopen, maar zoals jullie net gehoord hebben, is er zeker ook nog veel ruimte voor verbetering mogelijk.

Fouten maken is menselijk. Hoe je met gemaakte fouten omgaat, laat zien wat voor organisatie je bent. De komende tijd is bepalend om te laten zien wat voor organisatie we zijn. Uit de reacties tot nu toe blijkt dat er vanuit het AB een grote wens is om transparanter te werken. Wij vertrouwen er dus op dat het DB meegaat in deze wens en zal laten zien uit te blinken in het  oplossen van problemen op een open en transparante manier. En de bedrijfscultuur zo te verbeteren, dat problemen worden aangepakt, en niet jarenlang in interne discussies blijven hangen. Zodat problemen opgelost worden voordat medewerkers zich genoodzaakt voelen naar de media te stappen, zodat er eindelijk eens wat gebeurt.

Komend jaar staan er veel belangrijke onderwerpen op de agenda, zoals het actieprogramma remmen bodemdaling, de stimuleringsbijdrage klimaatadaptatie, energietransitie en kringloopeconomie, het boezemplan, de plastic soep, het biodiversiteitsherstelplan en innovatie. Wij hopen dat de uitvoeringsagenda digitalisering, de hackathon en de handreiking participatie ook op de agenda staan. Want juist bij de genoemde onderwerpen is het ontzettend belangrijk dat bewoners in een vroeg stadium worden betrokken bij het vormen van beleid.
Al met al zien we dus genoeg ruimte tot verbetering, en vertrouwen we erop dat het DB haar best zal doen om deze verbetering ook te realiseren. Dus we kijken ernaar uit om komend jaar, samen met het AB, DB en bewoners, Waterschap AGV een flink stuk beter te maken. 

UPDATES: Digitale veiligheid Waterschap AGV

door

UPDATE 2019-10-29: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is nu medegedeeld dat hier serieus op in zal worden gegaan, maar dat dit niet binnen de maximale termijn van 30 dagen zal gebeuren. De vragen zullen meegenomen worden in een extern onderzoek. Het Dagelijks Bestuur zal zich pas over de vragen buigen nadat een extern onderzoek is uitgevoerd. Op deze manier wordt belangrijke informatie over de beveiliging van vitale infrastructuur lang acchtergehouden voor het Algemeen Bestuur en bewoners. Wij zijn daarom van plan ons te beroepen op de Wet Openbaar Bestuur (WOB). Hieronder kun je onze inbreng nalezen:

Wij hebben een mail ontvangen dat het DB heeft besloten dat onze vragen over digitale beveilifing niet beantwoord gaan worden, totdat het externe onderzoek uitgevoerd en afgerond is. Dit verbaast en betreurt ons. Let wel, dit gaat niet alleen om technische vragen. We vragen ook simpelweg om conclusies en aanbevelingen uit rapporten. Die zouden toch gewoon opgestuurd kunnen worden? Zelfs de vragen over wie het onderzoek uitvoert en wanneer worden pas achteraf beantwoord? 

Dit was een uitgelezen kans om te laten zien hoe Waternet problemen oplost. Fouten maken is menselijk. Door hoe je met fouten omgaat laat je zien wat voor organisatie je bent.

Als AB moet we geïnformeerd worden om onze controlerende taak te kunnen vervullen. Ook bezorgde burgers hebben recht op dit soort informatie. Daarvoor bestaat de Wet Openbaar Bestuur Daarom doen we deze mededeling: Alle vragen om rapporten mogen gezien worden als WOB-verzoek, daarbij hoort termijn van vier weken na eerste vraag om documenten te verstrekken. Na deze periode kan worden overgegaan tot ingebrekestelling.”

UPDATE 15-10-2020: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is informeel medegedeeld dat we niet op gedetailleerde antwoorden hoefden te rekenen. In de eerstvolgende vergadering hebben we een pleidooi gehouden om dit juist wel te doen, omdat dit belangijk is voor een goede vertrouwensband tussen bestuur en bewoners. Hierop is alsnog toegezegd dat er serieus op de vragen in zal worden gegaan. Hieronder kun je onze inbreng nalezen:

“Wij hebben begrepen dat er wat onrust is ontstaan door de vragen die wij hebben gesteld over digitale veiligheid. Daarom geven wij graag wat achtergrond over waarom wij deze vragen hebben gesteld.

Als bevindingen van FTM zijn te weerleggen, is dit simpel aan te tonen door documentatie hierover te verstrekken. Wij roepen op dit aan te tonen, zodat bewoners gerustgesteld kunnen worden. Bewoners hebben het recht om te zien hoe onze organisatie dit urgente probleem aanpakt.

Na zo’n vernietigend artikel is het essentieel voor het vertrouwen om te laten zien dat je de kwestie serieus neemt en alles doet om dit zo snel mogelijk op te lossen en dit soort situaties in de toekomst te voorkomen. De summiere brief van Roelof Kruize en geluiden uit de organisatie geven hier geen enkel blijk van en wekken de suggestie dat men vooral bezig is elkaar uit de wind te houden, en veel aanbevelingen nog steeds niet opgelost zijn en kwetsbaarheden dus nog steeds bestaan.

Extra kwalijk is dat de brief een penetratietest die eerder dit jaar is uitgevoerd, waarmee ethische hackers ingehuurd worden om onze digitale beveiliging te testen, in de brief onvermeld is gelaten. Zeker aangezien Waternet juist heel slecht uit deze test kwam.

Het is belangrijk dat we zo snel mogelijk inzicht krijgen in tenminste de conclusies en aanbevelingen van deze en andere recente rapporten, en hoe de aanbevelingen al zijn en zullen worden opgevolgd.

Wel worden enkele problemen na publicatie van het artikel alsnog opgevolgd. Sommige van deze aanbevelingen werden al drie jaar geleden gedaan. Je kunt je afvragen waarom na deze publicatie deze aanbevelingen ineens wel belangrijk genoeg zijn..

Fouten die gemaakt worden door individuen, zijn meestal het gevolg van de structuur waarin de organisatie werkt. Wij hopen dat serieus wordt gekeken hoe de structuur van de organisatie kan worden verbeterd, zodat security niet langer een ondergeschoven kindje is, en dit soort problemen in de toekomst kunnen worden voorkomen.

Ons is verteld dat er onrust binnen de organisatie is ontstaan over onze rol bij het naar buiten komen van deze kwestie. Mij is aangeraden om hier nu expliciet te benoemen dat ik niet de bron ben geweest die FTM op dit spoor heeft gebracht. Wij hebben natuurlijk wel eerder dit onderwerp geagendeerd, maar dit was enkel binnen het waterschap zelf. Pas na publicatie van dit artikel contact gezocht met FTM voor aanvullende informatie.

Dat juist hier onrust over ontstaat, vinden wij exemplarisch voor hoe de organisatie dit probleem lijkt op te pikken, en bevestigt het beeld dat we vanuit de organisatie krijgen. Er is een klopjacht geopend op wie FTM getipt heeft, waardoor een angstcultuur is ontstaan.

Dit is precies de verkeerde reactie. De mensen die dit aan de kaak stellen verdienen juist een pluim, omdat ze er nu voor zorgen dat kritische aanbevelingen die soms jarenlang genegeerd worden nu uiteindelijk worden opgepikt, zodat de digitale beveiliging van Waternet en onze vitale infrastructuur, zoals drinkwatervoorziening, waterzuivering, gemalen, bruggen, sluizen en waterkeringen zo spoedig mogelijk op orde is.”

Nieuws uit Waterschap AGV: Beveiliging van bruggen, sluizen en website, WOB, klokkenluiders en cursus ‘Actief voor het Waterschap’

door

  • Matthijs Pontier heeft vorig jaar vragen gesteld over de beveiliging van bruggen en sluizen, wanneer deze op afstand bediend worden. Het heeft even geduurd, maar de antwoorden zijn inmiddels binnen en zijn redelijk geruststellend. Uit de antwoorden blijkt dat de bediening van AGV objecten op afstand plaatsvindt via een apart netwerk waarop alleen Waternet toegang heeft. Binnen de objectbesturing worden alleen ICS/SCADA besturingscomponenten toegepast en is er geen sprake van het Internet of Things. Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet. Alle objecten kennen de zogenaamde “lokale bediening”. Is een object bijvoorbeeld niet bereikbaar door een verstoring in het netwerk, dan kan het object nog steeds lokaal bediend worden. Dit betekent dat er een bedienaar ter plaatse moet gaan. Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Er ligt een plan voor het uitvoeren van diverse pentesten in april en mei. Het netwerk van de bedienpost in Weesp wordt meegenomen in dit plan.
  • 16 mei wordt de website van Waterschap Amstel Gooi en Vecht besproken. Matthijs Pontier zal hierbij aanwezig zijn namens de Piratenpartij en heeft het Dagelijks Bestuur alvast op het onderstaande geattendeerd:
“De website van de gemeente Amsterdam blijkt slechts aan 82% van de minimale veiligheidseisen te voldoen.
Wie zijn zaken regelt via sites van Amsterdam, loopt het gevaar dat zijn identiteit wordt geroofd of zijn gegevens op straat komen te liggen. Gegevens die onderweg zijn tussen je website en de bezoekers, zijn daardoor niet beschermd tegen afluisteren en manipulatie. Een tweede risico is identiteitsdiefstal, waarbij katvangers tussen de gebruiker en de site in gaan zitten en de website kapen

Zie ook dit artikel in het Parool, getiteld ‘Grote hackrisico’s websites gemeente Amsterdam

Ik heb getest hoe dit bij AGV zit en helaas scoort onze website nog slechter dan die van de gemeente Amsterdam. De website van AGV heeft alle problemen die de website van Amsterdam.nl ook heeft, en mist daarnaast o.a nog client-initiated renegotiation bij TLS. Eindscore: 76%

Hetzelfde geldt voor Waternet. Eindscore: 73%

Websites van gemeentes als Venray en Emmen laten zien dat dit beter kan. Zij halen wel een score van 100%. Dit gaat echt om minimale veiligheidsnormen. Ik hoop dat onze website hier ook z.s.m aan kan voldoen. Ik hoor graag op 16 mei (of liefst eerder) met welke termijn we dit in orde kunnen gaan krijgen”
  • Naar aanleiding van slechte behandeling van een klokkenluider in een ander Waterschap, heeft Matthijs Pontier gevraagd of er een klokkenluidersregeling bestaat en of er een regeling is rond het bespieden van internet en emailverkeer van medewerkers van Waternet en Waterschap Amstel, Gooi en Vecht. Uit het verstrekte internet en e-mail protocol blijkt dat internetverkeer 3 dagen wordt gelogd en metadata van emails 1 jaar wordt gelogd. Wanneer een leidinggevende aanleiding het internetverkeer van medewerkers wil bespieden, moet dit via het hoofd ICT en moet het DB van de ondernemingsraad worden ingelicht. Medewerkers hebben het recht om op te vragen welke gegevens over hen zijn opgeslagen, en krijgen bij een aanvraag binnen vier weken bericht. De Klokkenluidersregeling en het internet- en emailprotocol vinden achter de links.
  • Matthijs Pontier heeft verder opheldering vragen gesteld over de kosten voor het opvragen van stukken. Uit de stukken die in eerste instantie werden toegestuurd, leek sprake te zijn van kosten voor de behandeling van het aanvragen van bestuursstukken en archiefstukken. Dit zou in strijd zijn met de Wet Openbaar Bestuur. Naar aanleiding van zijn vragen werd opgehelderd dat dit niet geval is. Suggesties om dit te verhelderen zijn in behandeling.
  • ProDemos organiseert een cursus ‘Actief voor het Waterschap’. Deze cursus is vooral interessant voor mensen die interesse hebben om mee te doen aan de Waterschapsverkiezingen van maart 2019. Lijkt dit je leuk? Stuur dan een berichtje naar matthijs [at] piratenpartij [dot] nl

Waterschap Amstel, Gooi en Vecht beantwoordt vragen over beveiliging van bruggen en sluizen

door

Matthijs Pontier heeft vorig jaar vragen gesteld over de beveiliging van bruggen en sluizen, om er zeker van te zijn dat situaties in het plaatje rechts niet plaatsvinden. Het heeft even geduurd, maar de antwoorden zijn binnen en stemmen redelijk geruststellend. Uit de antwoorden blijkt dat de bediening van AGV-objecten op afstand plaatsvindt via een apart netwerk waarop alleen Waternet toegang heeft. Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet. Alle objecten kennen “lokale bediening” als backup. Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Hieronder lees je de antwoorden van het Waterschap.

Toelichting beantwoording:

De Centrale Object Bediening (COB) bedient op dit moment alleen de objecten in Amsterdam. De op afstand bediende bruggen van AGV worden nog bediend vanuit [locatie x] in Weesp. Bij de beantwoording van de vragen ligt de focus derhalve op de bediening van de AGV objecten op afstand deze locatie.

Eind 2018 begint het groot onderhoud voor de brug Nigtevecht, waarna deze op de COB aangesloten wordt. De twee andere bruggen van AGV volgen daarna.

Vraag 1

Ik heb vorig jaar in een commissievergadering nog vervolgvragen gesteld, die vooral betrekking hadden op de beveiliging van de centrale bediening van bruggen en sluizen. Deze vragen konden niet direct beantwoord worden, maar inmiddels is mij informeel verteld dat deze bediening plaatsvindt via een apart netwerk (en dus niet via het normale internet of het Internet of Things). Kun je deze informatie formeel bevestigen?

Antwoord:

De bediening van AGV objecten op afstand vindt plaats via een apart netwerk waarop alleen Waternet toegang heeft. Binnen de objectbesturing worden alleen ICS/SCADAbesturingscomponenten toegepast en is er geen sprake van het Internet of Things.

Vraag 2

Klopt het dat alle systemen die aangesloten zijn op dit netwerk NIET zijn aangesloten op het reguliere internet?

Antwoord:

Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet.

Vraag 3

Kun je informatie geven over de kwaliteit van de fysieke beveiliging van deze (objecten?)

Antwoord:

Alle objecten die in beheer zijn van Waternet zijn geclassificeerd, zo ook de objecten van AGV die bediend worden vanuit de bedienpost in Weesp. Er worden aanvullende maatregelen genomen indien de classificatie daar aanleiding toe geeft.

Vraag 4

Kun je informatie geven over de resilience (oftewel, mocht door kwaadwillenden of door een menselijke fouten per ongeluk een sluis open worden gezet, welke mogelijkheden zijn dan getroffen om deze sluis zo snel mogelijk weer dicht te zetten en zo eventuele schade te beperken).

Antwoord:

Objecten kennen de zogenaamde “lokale bediening”. Is een object bijvoorbeeld niet bereikbaar door een verstoring in het netwerk, dan kan het object nog steeds lokaal bediend worden. Dit betekent dat er een bedienaar ter plaatse moet gaan.

Vraag 5

Zijn er op dit systeem ook penetratietests uitgevoerd, en zo ja, door wie?

Antwoord:

Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Er ligt een plan voor het uitvoeren van pentesten op de COB, de procesautomatisering van Watersysteem en Afvalwater (CAW) en Drinkwater in april en mei. Het netwerk van de bedienpost in Weesp wordt meegenomen in dit plan.

Vraag 6

Je geeft aan dat gedetailleerde rapportages niet verstrekt kunnen worden en verwijst naar de attachment ‘AFRONDING UNIEPROGRAMMA INFORMATIEVEILIGHEID’. De informatie hierin is echter wel heel geaggregeerd. Voor onze controlerende rol als AB lijkt het me wel van belang dat we inzicht kunnen krijgen in waar verbetering nodig is. Bijvoorbeeld om te beslissen of we in willen stemmen met centrale bediening van een sluis, maar ook voor tal van andere zaken. Volgens mij moet verstrekking van meer gegevens met enige zorgvuldigheid ook best mogelijk zijn, zonder dat dit een risico vormt.

Antwoord:

Detailvragen kunnen beantwoord worden vanuit het Security team. De rapportages met betrekking tot informatiebeveiliging zijn ter inzage beschikbaar; rapportages met gevoelige informatie verspreidt het security team zo min mogelijk.