Gemeenten krijgen de tijd voor beveiligingscheck DigiD

De spoedige beveiligingscontrole van overheden die DigiD gebruiken, die minister DOnner in oktober beloofde, is niet haalbaar, meldt zijn opvolger minister Spies. Vooral de decentrale overheden krijgen de tijd voor een 'assessment'.

Later
Donner beloofde op 11 oktober 2011 naar aanleiding van de vele berichten over de gebrekkige beveiliging van overheidswebsites dat nog voor april 2012 alle overheidsorganisaties die DigiD gebruiken een ICT-beveiligingsassessment moeten hebben laten doen. Die deadline blijkt echter onhaalbaar, blijkt uit een brief die opvolger minister Spies van BZK aan de Kamer heeft gestuurd.

Normen 

Een zinvolle snelle check van de de veiligheid blijkt niet haalbaar. Spies heeft gekozen voor een gefaseerde aanpak waarbij eerst 'grootgebruikers' als Belastingdienst, DUO en UWV moeten aantonen op een veilige manier met DigiD om te springen. Dat moeten ze voor het eind van dit jaar hebben gedaan. Gemeenten, provincies en waterschappen krijgen een jaar langer de tijd, dus tot eind 2013. Het uitstel van de deadline heeft onder meer te maken met het vaststellen van de normen waaraan een assessment moet voldoen en een gestandaardiseerde aanpak bij gemeenten.

Expertise 

Spies meldt ook dat de benodigde expertise voor de beveiligingscontroles (waarvan ook hack-pogingen deel zullen uitmaken) momenteel onvoldoende beschikbaar is op de markt. VNG en KING gaan in ieder geval samen met marktpartijen kijken wat de meest efficiënte aanpak is bij de toepassing van de vastgestelde beveiligingsrichtlijnen. KING voert voor de zomer een impactanalyse uit om onder andere te zien hoe de uitvoeringskosten van de tests zijn te beperken.