Nationaal Beraad wil sneller moderne e-mailbeveiliging

Het Nationaal Beraad Digitale Overheid heeft een adoptie-impuls afgesproken voor de implementatie van moderne beveiligingstandaarden bij e-mail. Het streven is dat overheden de standaarden die op de pas-toe-of-leg-uit-lijst staan eind 2017 gebruiken. Dat meldt minister Plasterk in zijn antwoord op Kamervragen van de PvdA.

Phising tegengaan

Het gaat om de standaarden voor e-mailbeveiliging die helpen om phishing tegengaan, domeinnaambeveiliging bevorderen en zorgen voor een beveiligde verbinding; TLS, DKIM,SPF en DNSSEC. Plasterk schrijft dat de standaarden DMARC en STARTTLS in combinatie met DANE kandidaat zijn om eveneens op de pas-toe-of-leg-uit-lijst terecht te komen. 'Voor deze standaarden is door het Nationaal Beraad een adoptie-impuls afgesproken, met het streefbeeld om de beveiligingsstandaarden die reeds op de pas-toe-of-leg-uit-lijst staan (TLS, DKIM+SPF en DNSSEC) – daar waar van toepassing – uiterlijk eind 2017 te hebben geïmplementeerd.'

Drie van de vijftig gemeenten voldoen

Uit onderzoek van Binnenlands Bestuur bleek onlangs dat gemeenten de internetstandaarden die gepromoot worden door Platform Internetstandaarden amper gebruiken. Volgens Michiel Leenaars van Internet Society Nederland is het om die reden erg slecht gesteld met de beveiliging van gemeentelijke e-mail. Uit het rapport Cybersecuritybeeld Nederland blijkt dat overheden veelvuldig doelwit zijn van phishing. Van de vijftig onderzochte gemeenten bleken alleen Den Haag, Woerden en Den Bosch de betreffende standaarden aan te houden.

'Veiligheid persoonsgegevens niet in het geding'

Plasterk stelt dat gemeenten werken aan de bestrijding van spam en phishing. Dat doen zij volgens hem in de eerste plaats door bewustwording te vergroten. In de tweede plaats noemt hij ‘additionele maatregelen zoals anti-spam en antivirusoplossingen voor e-mail’. Hij denkt niet dat de beveiliging van persoonsgegevens in het geding is door het niet aanhouden van de standaarden. Wel zegt hij dat ze een belangrijke functie hebben bij de herkenning van spam en phishing. ‘Gebruik van deze standaarden is één van de schakels in de bestrijding van phishing en de beveiliging van persoonsgegevens. Omdat behalve gebruik van deze standaarden ook andere maatregelen genomen worden, onderschrijf ik niet dat door het enkele feit dat deze standaarden niet worden gebruikt persoonsgegevens in verkeerde handen vallen.’

Standaarden alleen bij nieuwe aanschaf verplicht  

Plasterk weerspreekt in zijn antwoord ook dat de standaarden ten alle tijden verplicht zijn. Het is wel zo dat deze verplicht zijn bij de aanschaf, aankoop, ontwikkeling of aanbesteding van nieuwe diensten, tenzij er een zwaarwegende reden is om hiervan af te wijken.

 
'Gemeenten in staat om zorg te dragen over privacy' 

De minister acht daarnaast gemeenteraden en het gemeentebestuur ‘zeer wel in staat om zorg te dragen voor de naleving van privacyregels en voor een afdoende niveau van de gemeentelijke informatieveiligheid.’ Op de vraag of gemeenten onzorgvuldig omgaan met persoonsgegevens van inwoners is zijn antwoord ontkennend. 'Gemeenten hebben zich gecommitteerd aan de beveiliging van persoonsgegevens en hechten hieraan grote waarde. De implementatie van open standaarden heeft een plek in de activiteiten die gemeenten ontplooien om het gemeentelijk informatielandschap te beveiligen conform de uitgangspunten en kaders van hun gemeenschappelijk normenkader de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).’

Lees de volledige beantwoording van de Kamervragen hier