Podium functionaliteiten, waardoor misbruik door onbevoegden mogelijk is. Ook is de transparantie over het doel van smart city-systemen en het gebruik van de verzamelde data vaak onvoldoende. 4. Er wordt te weinig gebruikgemaakt van good practices en geaccepteerde kaders Smart city-systemen ontwikkelen zich verder waardoor mogelijkheden voor nieuwe functionaliteiten, gebruikers, of koppelingen met andere databronnen zich aandienen. Dit heeft echter invloed op de digitale veiligheid van de systemen. Het veilig maken en houden van smart city-systemen is gebaat bij het toepassen van good practices en breed geaccepteerde kaders voor de digitale veiligheid, maar dit gebeurt te weinig. Oplossingsrichtingen • Om de digitale veiligheid van smart city-systemen goed in te bedden in de organisatie is het nodig dat het hoger management van de gemeente het belang van de smart citysystemen en de digitale veiligheid ervan onderkent en het eigenaarschap van de systemen op zich neemt. Het hoger management kan er dan op sturen dat het middenmanagement zich actief bemoeit met de digitale veiligheid van de smart city-systemen en ervoor zorgt dat duidelijke afspraken worden gemaakt over wie hierover de regie voert. • Om de digitale veiligheid van smart city-systemen technisch goed in te vullen moet de digitale veiligheid al in de ontwerpfase worden meegenomen. Dit principe van ‘security by design’ houdt in dat bij het ontwerpen van het systeem de relevante risico’s worden geïdentificeerd en dat maatregelen om deze te beheersen mee worden ontworpen en ontwikkeld. Hierbij wordt niet alleen gekeken naar wat het systeem zou moeten kunnen, maar ook wat het systeem niet zou mogen kunnen. Zo ontstaat een smart city-systeem dat niet alleen de gevraagde functionaliteit biedt, maar ook veilig is. Ook bij pilots moet deze aanpak worden gevolgd, omdat deze anders niet representatief zijn. • Om de bescherming van privacy goed in te vullen is het van belang dat ook privacybeschermende maatregelen voor een smart city-systeem worden meegenomen in de ontwerpfase. Hierbij kan worden gedacht aan het beperken van de sensorNummer 46, april 2023 functies, het anoniem verwerken van gegevens, versleuteling van gegevens en het regelen van selectieve toegang tot de systemen en de gegevens. Dataminimalisatie, ofwel het verzamelen van niet meer (persoons)gegevens dan nodig zijn voor het behalen van de doelstellingen voor het smart citysysteem, speelt daarbij een cruciale rol. In aanvulling daarop moet het voor de burger inzichtelijk zijn waarvoor specifieke systemen dienen, welke data daarbij verzameld worden en hoe deze gebruikt worden. • Er wordt te weinig gebruikgemaakt van good practices en geaccepteerde kaders. Veel gemeenten zijn bezig met het ontwikkelen van smart city-systemen, maar toch lijken ze maar beperkt te profiteren van elkaars ervaringen op het gebied van de digitale veiligheid van deze systemen. Zelfs binnen een gemeente is dit nog niet altijd goed geregeld. Dit betekent dat veel gemeenten zelf het wiel aan het uitvinden zijn, of nog niet hebben ontdekt dat ze een wiel nodig hebben. Het delen van goede ervaringen kan gemeenten helpen om de digitale veiligheid van smart city-systemen beter en efficiënter in te vullen. [1] VNG (2020) Agenda Digitale Veiligheid 2020 – 2024. Een veilige (digitale) gemeente. Den Haag: Vereniging van Nederlandse gemeenten. [2] NCSC (2021). Cybersecuritybeeld Nederland CSBN 2021. NCTV/NCSC. [3] https://www.informatiebeveiligingsdienst.nl/nieuws/jaaroverzicht-2021/ [4] https://stadszaken-nl.cdn.ampproject.org/c/s/stadszaken.nl/artikel/ amp/4517/slimme- verlichting-bespaart-tot-wel-70-procent-energie-gemeenten-laten-kansen-liggen Emiel Kerpershoek, Pieter Burghouwt, Marcel Spruit (De Haagse Hogeschool) Willem Bantema, Anna Bartelds, Jurjen Jansen (NHL Stenden Hoge school) 55
56 Online Touch Home