‘Overheid heeft weinig regie over gemeentelijke websites’
Bij minister Plasterk zijn geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde hebben. PvdA-Kamerlid Astrid Oosenbrug is echter weinig gerustgesteld door het antwoord.
Bij minister Plasterk zijn geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde hebben. Dat schrijft hij in zijn antwoord op Kamervragen over de kwetsbaarheid van gemeentelijke websites voor Drown-aanvalstechnieken. PvdA-Kamerlid Astrid Oosenbrug is echter weinig gerustgesteld door het antwoord.
Verouderde beveiliging webservers
Uit onderzoek van RTL Nieuws werd duidelijk dat 33 van 175 gemeentewebsites kwetsbaar zijn voor Drown, een manier om misbruik te maken van (web)servers die SSL 2.0 ondersteunen of die een verouderde beveiliging van webservers gebruiken. Daarnaast blijken zestien gemeentewebsites gegevens te versturen zonder beveiligde verbinding (HTTPS), waardoor kwaadwillenden zonder grote technische kennis informatie kunnen inzien.
‘100 procent veiligheid bestaat niet’
Plasterk vindt dat de overheid ‘gehouden is om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen’, maar stelt ook dat 100 procent veiligheid niet bestaat en dat er steeds nieuwe kwetsbaarheden worden ontdekt. Hij is van mening dat de manier waarop gemeenten in samenwerking met hun toeleveranciers de kwetsbaarheid hebben opgelost, niet tot de conclusie leidt dat gemeenten de beveiliging van persoonsgegevens niet op orde hebben. ‘Gemeenten nemen hun verantwoordelijkheid als het gaat om informatiebeveiliging en de bescherming van vertrouwelijke gegevens en hebben hiervoor een gemeenschappelijk normenkader in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Alle gemeenten implementeren momenteel de maatregelen en normen uit de BIG.’ Plasterk stelt dat kwetsbare gemeenten maatregelen hebben genomen nadat de Drown-kwetsbaarheid werd aangetoond. Hij adviseert om de servers van gemeentelijke websites op basis van het nieuwe protocol te configureren, maar ook om gelijktijdig de oudere versie uit te schakelen.
‘Regie over gemeentelijke websites ontbreekt’
Kamerlid Oosenbrug, die de vragen na aanleiding van het onderzoek stelde, verbaast zich over de reactie van Plasterk. Ze bespeurt een gebrek aan regie over gemeentelijke websites en vindt dat de overheid zich steeds meer verschuilt achter niet bij te houden voortschrijdende techniek. 'Uiteraard bestaat 100% veiligheid niet, maar er zo dichtbij mogelijk in de buurt komen moet je uitgangspunt zijn en jezelf niet neerleggen bij het feit dat ‘100 procent veiligheid niet bestaat.’
Eén reguliere website
Informatiebeveiliging van gemeenten is volgens Plasterk uiteindelijk een lokale verantwoordelijkheid. Hij verwijst gemeenten in zijn brief door naar de handvatten voor het waarborgen van persoonsgegevens van de Baseline Informatiebeveiliging Nederlandse Gemeenten ( BIG). Oosenbrug maakt zich zorgen over het ‘naar elkaar wijzen’. ‘Niemand voelt zich echt verantwoordelijk voor de data. Ik heb ooit het voorstel gedaan voor één reguliere website voor gemeenten, zodat je kunt komen tot een website die voor iedereen toegankelijk is en die voldoet aan de webrichtlijnen en beveiligingseisen. Dit kan een website zijn die gemeenten wel de vrijheid geeft om de ‘voorkant’ naar eigen inzicht in te vullen. Het werd gezien als bemoeizucht van een Kamerlid dat uit wil maken hoe een gemeente taken uitvoert. Ik vind het oprecht jammer dat het toen zo gelopen is, het had een hoop ellende kunnen voorkomen.’
Er worden jaarlijks tientallen miljoenen euros verspild aan dubbeling, aan vendor-lock-in en aan onnodige blunders.
Er moet niet alleen één gemeentlijke website komen die licht aanpasbaar is, er moet eindelijk eens één gemeentlijk ICT beleid en ICT-pakket komen.