Digitale onaf­han­ke­lijkheid van Gemeente Alkmaar

Geachte leden van de raad,

Het lid van de raad de heer Pınar heeft ons op 26 maart 2025 de volgende raadsvragen gesteld over De digitale onafhankelijkheid van gemeente Alkmaar. In deze brief leest u onze reactie, overeenkomstig art. 42 Reglement van Orde voor vergaderingen van de raad.

Vraag 1a: 

Hoe beoordeelt het college de afhankelijkheid van Gemeente Alkmaar van niet-Europese clouddiensten, in het licht van de huidige geopolitieke ontwikkelingen? Heeft het college zicht op risico's hiervan en in hoeverre zijn deze in kaart gebracht?

Antwoord

De Gemeente Alkmaar maakt gebruik van Microsoft, een niet-Europese leverancier, voor onze infrastructuur. Tijdens de transitie naar de Cloud zijn er afspraken gemaakt om onze data veilig binnen Europa op te slaan, waaronder de EU Data Boundary. We zijn ons bewust van de geopolitieke ontwikkelingen en volgen deze nauwgezet, in samenwerking met de VNG. Wij bereiden ons voor op de toekomst, mede ingegeven door deze geopolitieke ontwikkelingen en zullen hier aandacht aan besteden in het Digitale Beleid.

Vraag 1b: 

Indien nee, is het college bereid zo’n risicoanalyse uit te voeren en de resultaten hiervan met de raad te delen?

Antwoord

Vooralsnog volgen wij de VNG hierin. Indien dit resulteert in een risicoanalyse, zullen wij u tijdig informeren en de bevindingen met u delen. Uiteraard blijven wij proactief de ontwikkelingen volgen.

Vraag 2: 

Heeft het college scenario’s uitgewerkt voor een situatie waarin de toegang tot diverse clouddiensten door geopolitieke ontwikkelingen wordt beperkt en/of significant duurder wordt? Indien nee, is het college bereid om dit alsnog in kaart te brengen en met de raad te delen?

Antwoord

Scenario's voor het verliezen van toegang tot clouddiensten worden op landelijk niveau uitgewerkt via de VNG en de verantwoordelijke ministeries. Wij volgen deze ontwikkelingen en onderzoeken de mogelijkheden om onze IT-strategie hierop aan te passen. De Gemeente Alkmaar beschikt over een Disaster Recovery Plan en een back-up- en retentiebeleid.

Vraag 3: 

PvdD fractie is van mening dat een digitale kwetsbaarheid van de gemeente ook voor de inwoners negatieve gevolgen kan hebben. Hoe beoordeelt het college de rol van digitale onafhankelijkheid bij de bescherming van privacy en (digitale) veiligheid van Alkmaarders die digitale diensten van onze gemeente gebruiken of met onze gemeente digitaal communiceren? Hoe werkt de gemeente hier op dit moment aan?

Antwoord

Het is een misvatting om te denken dat we de gegevens van de Alkmaarders op het gebied van privacy en digitale veiligheid het beste kunnen beschermen door digitaal onafhankelijk te zijn. Juist op deze gebieden kunnen we veel leren van digitale kwetsbaarheden die elders zijn blootgelegd, zodat dit ons niet overkomt. Denk aan de lessen die we als Gemeente Alkmaar hebben getrokken uit de hack bij het Hof van Twente. Daarbij worden privacygevoelige gegevens van onze inwoners opgeslagen in systemen die communiceren met landelijke basisregistraties. Dit zijn Nederlandse en/of Europese softwareleveranciers.

Vraag 4: 

Vanuit de antwoorden op onze technische vragen op 4 maart jl. begrijpen we dat een pilot heeft plaatsgevonden met AI-tool Microsoft CoPilot. Is het college op de hoogte van de risico’s rondom de privacy en veiligheid van dit programma? Is het college bereid om het gebruik van dit tool te heroverwegen? Indien nee, hoe onderbouwt het college een verantwoord gebruik van Co-pilot in bedrijfsvoering gezien de technische risico’s en geopolitieke ontwikkelingen?

Antwoord

Ja, wij zijn op de hoogte van de risico's die bijvoorbeeld vanuit de Data Protection Impact Assessment (DPIA) vanuit Team Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services Rijk (SLM) naar voren zijn gekomen. Deze risico’s zijn binnen de gemeente Alkmaar ingeperkt door medewerkers te trainen die met M365 Copilot werken, zodat zij de tool verantwoord kunnen gebruiken en alert zijn op onjuiste of onnauwkeurige output. Op dit moment overwegen we niet om te stoppen met het gebruik van Copilot, omdat dit de veiligste manier is om onze collega's met AI te laten werken.

Vraag 5a: 

Vanuit de antwoorden op onze technische vragen op 5 maart jl. begrijpen we dat binnen de gemeente naast Microsoft Teams ook WhatsApp Messenger gebruikt wordt. WhatsApp is een onderdeel van Meta, een van de Amerikaanse techplatforms. Is het college van plan om binnen de ambtelijke organisatie en binnen het college WhatsApp te vervangen door een privacy-vriendelijker en Europees alternatief? Indien nee, waarom? Indien ja, welke zijn deze?

Antwoord

WhatsApp is geen bedrijfsapplicatie die door de Gemeente Alkmaar actief wordt aangeboden. Binnen onze organisatie hebben wij afgesproken om via Teams te communiceren en raden wij het gebruik van WhatsApp voor zakelijke doeleinden af. Dit komt niet doordat Meta een Amerikaans bedrijf is, maar vanwege het gebrek aan inzicht in waar de data wordt opgeslagen. Bovendien hebben wij een goed alternatief. We begrijpen echter dat WhatsApp wordt gebruikt om goed te kunnen communiceren met doelgroepen, zoals inwoners. Hierbij worden nooit privacygevoelige gegevens verwerkt en dient er gewerkt te worden volgens een aantal spelregels. Deze spelregels zijn als bijlage aan dit document toegevoegd.

Vraag 5b: 

Een van de populairste alternatieven op WhatsApp Messenger is op dit moment Signal. Recentelijk zijn er wat analyses verschenen waarin bleek dat er een frictie kan ontstaan tussen Signal- gebruik en de Archiefwet. Wordt Signal op dit moment gebruikt binnen de ambtelijke organisatie of college, zo ja hoe wordt dan voldaan aan de archiefwet?

Antwoord

Signal is geen bedrijfsapplicatie die door de Gemeente Alkmaar actief wordt aangeboden. Primair geldt dat Teams het communicatietool is. Signal kan gebruikt worden door de organisatie en/of het college, daarbij is het wel belangrijk dat de gebruikers voldoen aan de spelregels om de archivering mogelijk te maken. Hiervoor gelden dezelfde spelregels zoals uitgeschreven bij vraag 5a. Het is dus de verantwoordelijkheid van de individuele gebruiker om aan de archiefwet te kunnen voldoen.

Vraag 6: 

Op welke manier werkt de Gemeente Alkmaar aan digitale soevereiniteit, bijvoorbeeld door het gebruik van eigen hosting, Europesecloud, open source pakketten of rijkscloud? Is het college bekend met Europese initiatieven zoals GAIA-X, Tchap of Olvid? En hoe beoordeelt het college de relevantie van deze initiatieven voor de gemeentelijke IT-strategie? Is het college bereid hier actief aansluiting bij te zoeken?

Antwoord

Op dit moment onderzoeken wij initiatieven op dit vlak en deze gaan wij in de komende periode beoordelen op hun relevantie. De eerste gesprekken hiervoor zijn inmiddels ingepland. Wij blijven digitale ontwikkelingen volgen, maar onze focus ligt vooral op continuïteit, bescherming van data en privacygevoelige gegevens.

Vraag 7: 

Is het college bereid om samen met andere gemeenten via de VNG of G40 te pleiten voor meer aandacht voor digitale strategische autonomie in gemeentelijke IT-strategieën? Indien nee, waarom? Indien ja, welke stappen heeft het college tot nu toe gezet?

Antwoord

Ja, het college staat open om hiervoor te pleiten. Op dit moment draagt Alkmaar al actief bij via de vakvereniging IMG (Vereniging voor Informatie Managers bij Gemeenten) aan de discussie over de geopolitieke situatie in het informatiewerkveld. We zijn eveneens actief betrokken bij een aantal VNG-overleggen hierover.

Vraag 8 

Is het college bereid om bij de keuze voor toekomstige IT-systemen en clouddiensten expliciet te kijken naar de duurzaamheid van de gebruikte datacenters (zoals energieverbruik en herkomst van de energie) en naar de kansen die er zijn om lokale of Europese aanbieders te betrekken, zodat de gemeente bijdraagt aan een duurzaam, veilig en regionaal digitaal-ecosysteem?

Antwoord

In de toekomst, wanneer deze keuze opnieuw aan de orde komt, zullen wij kaders omtrent duurzaamheid toevoegen in overeenstemming met ons gemeentelijk beleid op deze thema's.