Plasterk: Onveiligheid overheidswebsites valt mee

Overheidswebsites zijn niet automatisch onveilig wanneer er een https-verbinding ontbreekt. Alleen wanneer websiteonderdelen waar gevoelige persoonlijke of financiële gegevens op staan niet zijn versleuteld, is dat onwenselijk, meent minister Ronald Plasterk van Binnenlandse Zaken en Koninkrijksrelaties.

Gebrekkige versleuteling

De minister reageert daarmee op een berekening van de privacy-organisatie Open State Foundation, die onlangs stelde dat 62 procent van de overheidswebsites geen of gebrekkige versleuteling van informatie gebruikt. Volgens Plasterk verdient dit beeld enige nuance. De minister vindt dat het belang van het beveiligen van de verbinding van een overheidswebsite afhangt van de vraag of een website  (persoons-)gevoelige informatie uitwisselt. Overheidswebsites moeten in ieder geval voldoen aan de TLS-standaard op plekken waar ‘gevoelige gegevens worden ingevoerd’.

Zelf verantwoordelijk
‘Daarom zijn organisaties zelf verantwoordelijk voor het beveiligen van hun websites’,  zegt de minister.  ‘Het kabinet onderschrijft het belang van versleuteling. Om de implementatie van versleutelde verbindingen te versnellen, heeft het Nationaal Beraad Digitale Overheid in februari van dit jaar overheidsbreed het streefbeeld afgesproken om uiterlijk eind 2017 versleutelde verbindingen overal op overheidswebsites te hebben toegepast, waar persoonsgegevens of andere gevoelige gegevens aan de orde zijn.’

Aparte risicoafweging
Wel tekent de minister erbij aan dat het bij niet beveiligde websites die geen gebruik maken van versleuteling mogelijk is dat derden de informatie in kunnen zien die opgevraagd wordt en deze eventueel kunnen veranderen of voorzien van malware. ‘Het toepassen van HTTPS en van een bijbehorend certificaat helpt om de authenticiteit van een overheidswebsite te kunnen controleren en kan daardoor phishing voorkomen. Voor iedere website en dienst zal een aparte risicoafweging gemaakt moeten worden door de verantwoordelijke overheidsorganisaties. Daarbij is van belang te vermelden dat alle privacygevoelige overheidswebsites eind 2017 beveiligd moeten worden volgens de HTTPS richtlijnen zoals afgesproken in het Nationaal Beraad.’

Dubbele boodschap
De Open State Foundation vindt dat de minister hiermee een dubbele boodschap afgeeft. ‘Enerzijds zegt de minister dat HTTPS van belang is op plekken met gevoelige informatie, anderzijds onderschrijft hij het belang van versleuteling voor alle overheidswebsites om vervolgens de verantwoordelijkheid te laten bij de organisaties zelf. Dat schept verwarring.'