1. Versnipperd systeem en overlappende verantwoordelijkheden
De structuur van cyberveiligheid op Aruba is verdeeld over drie hoofdinstanties:
- VDA (Veiligheidsdienst Aruba) – verantwoordelijk voor nationale veiligheid en inlichtingen bij digitale dreigingen.
- NCTVI (Nationaal Coördinatiebureau voor Contraterrorisme, Veiligheid en Interpol) – belast met coördinatie en preventie binnen het nationale cyberdomein.
- KPA (Korps Politie Aruba) – verantwoordelijk voor de strafrechtelijke opsporing van digitale misdrijven zoals online fraude, hacking en afpersing.
Hoewel er samenwerking bestaat, ontbreken duidelijke protocollen en is er sprake van overlappende taken. Dit leidt tot verwarring over wie precies verantwoordelijk is bij cyberincidenten en tot gebrekkige communicatie met het publiek.
2. Politiecapaciteit: groeiend, maar beperkt
Het Korps Politie Aruba geeft aan dat:
- Momenteel negen gespecialiseerde rechercheurs actief zijn op het gebied van cybercriminaliteit;
- Er een intern Team Digitale Opsporing bestaat;
- Een koersdocument Cybercrime en een aparte Cybercrime Unit in oprichting zijn;
- Er samenwerking plaatsvindt met het Openbaar Ministerie en internationale partners.
Toch kampt het KPA met:
- Onderbezetting en beperkte technische middelen;
- Verouderde wetgeving, die onvoldoende is afgestemd op moderne vormen van cybercriminaliteit;
- Moeilijkheden bij grensoverschrijdende opsporing, omdat Aruba geen rechtsverdragen (MLATs) heeft met belangrijke herkomstlanden van cyberaanvallen, zoals China en Rusland.
3. Overheid: stilte en structurele gaten
Ondanks meerdere incidenten, waaronder de cyberaanval op Elmar, het nationale elektriciteitsbedrijf, is er geen openbaar onderzoek of rapport gepubliceerd.
Aruba heeft nog geen nationaal cybersecurityplan, en er bestaat geen centraal meldpunt waar burgers of bedrijven digitale misdrijven kunnen rapporteren.
Slachtoffers van online fraude worden vaak van loket naar loket gestuurd, tussen politie, NCTVI en private IT-diensten, zonder duidelijk aanspreekpunt. Dit veroorzaakt groeiend wantrouwen onder burgers.
4. Een institutioneel paradox
De Veiligheidsdienst Aruba (VDA) profileert zich publiekelijk als een volwassen en betrouwbare organisatie onder het motto “Fides facit fidem” – vertrouwen schept vertrouwen.
Tegelijkertijd blijkt uit interne en gerechtelijke bevindingen dat de dienst eerder tientallen veiligheidsonderzoeken uitvoerde zonder wettelijke grondslag, in strijd met haar eigen rechtsstatelijke mandaat.
Het illustreert een bredere zwakte: de instanties die toezicht moeten houden op wetmatigheid en veiligheid, worstelen zelf met naleving en governance.
5. Urgentie en volgende stappen
Volgens deskundigen, ook binnen het KPA zelf, heeft Aruba dringend behoefte aan:
- Een Nationaal Cyberveiligheidsplan met vast budget, duidelijke verantwoordelijkheden en een 24/7 responscapaciteit;
- Gemoderniseerde cyberwetgeving, afgestemd op Europese en Koninkrijksstandaarden;
- Een centraal cyber response center (CSIRT) waarin overheid, politie en private sector samenwerken;
- Publieke bewustwording en educatiecampagnes om online fraude en misinformatie te voorkomen.
Conclusie
Aruba is niet weerloos, maar wel ondervoorbereid.
Cyberveiligheid staat op papier hoog op de agenda, maar in de praktijk ontbreken structuur, financiering en coördinatie.
De digitale weerbaarheid van het eiland zal afhangen van het vermogen van de betrokken instanties om van parallelle inspanningen over te stappen naar een samenhangende nationale strategie, vóórdat de volgende grote cyberaanval de kwetsbaarheden opnieuw blootlegt.
