of 65378 LinkedIn

‘Overheid heeft weinig regie over gemeentelijke websites’

Bij minister Plasterk zijn geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde hebben. PvdA-Kamerlid Astrid Oosenbrug is echter weinig gerustgesteld door het antwoord.

Bij minister Plasterk zijn geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde hebben. Dat schrijft hij in zijn antwoord op Kamervragen over de kwetsbaarheid van gemeentelijke websites voor Drown-aanvalstechnieken. PvdA-Kamerlid Astrid Oosenbrug is echter weinig gerustgesteld door het antwoord.

Verouderde beveiliging webservers

Uit onderzoek van RTL Nieuws werd duidelijk dat 33 van 175 gemeentewebsites kwetsbaar zijn voor Drown, een manier om misbruik te maken van (web)servers die SSL 2.0 ondersteunen of die een verouderde beveiliging van webservers gebruiken. Daarnaast blijken zestien gemeentewebsites gegevens te versturen zonder beveiligde verbinding (HTTPS), waardoor kwaadwillenden zonder grote technische kennis informatie kunnen inzien.

‘100 procent veiligheid bestaat niet’
Plasterk vindt dat de overheid ‘gehouden is om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen’, maar stelt ook dat 100 procent veiligheid niet bestaat en dat er steeds nieuwe kwetsbaarheden worden ontdekt. Hij is van mening dat de manier waarop gemeenten in samenwerking met hun toeleveranciers de kwetsbaarheid hebben opgelost, niet tot de conclusie leidt dat gemeenten de beveiliging van persoonsgegevens niet op orde hebben. ‘Gemeenten nemen hun verantwoordelijkheid als het gaat om informatiebeveiliging en de bescherming van vertrouwelijke gegevens en hebben hiervoor een gemeenschappelijk normenkader in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Alle gemeenten implementeren momenteel de maatregelen en normen uit de BIG.’ Plasterk stelt dat kwetsbare gemeenten maatregelen hebben genomen nadat de Drown-kwetsbaarheid werd aangetoond. Hij adviseert om de servers van gemeentelijke websites op basis van het nieuwe protocol te configureren, maar ook om gelijktijdig de oudere versie uit te schakelen.  
 

‘Regie over gemeentelijke websites ontbreekt’
Kamerlid Oosenbrug, die de vragen na aanleiding van het onderzoek stelde, verbaast zich over de reactie van Plasterk. Ze bespeurt een gebrek aan regie over gemeentelijke websites en vindt dat de overheid zich steeds meer verschuilt achter niet bij te houden voortschrijdende techniek. 'Uiteraard bestaat 100% veiligheid niet, maar er zo dichtbij mogelijk in de buurt komen moet je uitgangspunt zijn en jezelf niet neerleggen bij het feit dat ‘100 procent veiligheid niet bestaat.’
 

Eén reguliere website
Informatiebeveiliging van gemeenten is volgens Plasterk uiteindelijk een lokale verantwoordelijkheid. Hij verwijst gemeenten in zijn brief door naar de handvatten voor het waarborgen van persoonsgegevens van de Baseline Informatiebeveiliging Nederlandse Gemeenten ( BIG). Oosenbrug maakt zich zorgen over het ‘naar elkaar wijzen’. ‘Niemand voelt zich echt verantwoordelijk voor de data. Ik heb ooit het voorstel gedaan voor één reguliere website voor gemeenten, zodat je kunt komen tot een website die voor iedereen toegankelijk is en die voldoet aan de webrichtlijnen en beveiligingseisen. Dit kan een website zijn die gemeenten wel de vrijheid geeft om de ‘voorkant’ naar eigen inzicht in te vullen. Het werd gezien als bemoeizucht van een Kamerlid dat uit wil maken hoe een gemeente taken uitvoert. Ik vind het oprecht jammer dat het toen zo gelopen is, het had een hoop ellende kunnen voorkomen.’

Verstuur dit artikel naar Google+

Reageer op dit artikel
Even geduld a.u.b.

Reactie op dit bericht

Door p op
Het is natuurlijk zo dat gemeenten zelf hier hun broek moeten ophouden, met de raad als ultieme verantwoordelijke.

Maar de minister heeft wel een systeemverantwoordelijkheid- er een algemeen belang. Daar heeft de beste man ook middelen voor, middelen die verder gaan dan een briefje
Door Jose (bestuurlijke-juridische zaken) op
Geachte mevrouw Oosenburg,

Ik deel uw mening in die zin dat het mjins inziens naast i) goedkoper kan, 1 goede beveiligde database inrichten waaruit alle gemeenten bepaalde informatie kan putten t.b.v. hun lokaal gerichte controle taken is altijd nog goedkoper dan dat iedere gemeente dit voor zichzelf moet bekostigen en ii) veel effectiever kan. Nu ligt in verband met voornoemde taken bij zeer veel gemeenten zeer gevoelige persoonlijke gegevens van een en dezelfde persoon/bedrijf omdat gemeenten niet de mogelijkheid hebben om in 1 database te kijken om te zien wat er al aan informatie is m.b.t. bij alle gemeente uit te voeren zelfde controletaken. Dat werkt ook nog eens sneller voor het verwerken van aanvragen.
Anno 2016 lopen gemeenten hier wel op achter.
Door Jonathan op
De beveiliging op computers heeft eigenlijk nog weinig zin de meeste vertrouwelijke en intieme persoons en medische gegevens in de zorg worden mondeling door de sociale wijk teams overgebracht in de wijken. Ze roddelen er wat af.Ze hebben totaal geen benul van wat ze hier mee persoonlijk bij burgers aanrichten.
Het lijdt zelfs tot zelfmoord.
Door P.J. Westerhof op
De gemeentelijke websites mogen dan de gemeentelijke verantwoordelijkheid zijn.
Voor zover het o.a. beveiliging van persoonsgegevens betreft is het via wet- en regelgeving echter wel degelijk een rijks-aangelegenheid.
Dat dit de afgelopen decennia weinig heeft uitgemaakt moge algemeen bekend zijn.

Hoeveel gemeenten draaien nog oude Windowsversies? Omdat de administratie afhankelijk is van aan elkaar genoopte macro's.
Een beetje gemeentelijke website moet natuurlijk wél een beetje gelikt ogen, met veel Twitterfeeds en apje. Dat kost enkele tonnen. Dan is er geen geld meer voor informatiebeveiliging.

Maar zoals de burgemeester van De Bilt met droge ogen en lachend durft te verkondigen staat zijn beeld voor zijn gemeente op dat essentiële gebied volledig op zwart.
Wellicht dat de Privacy Autoriteit deze burgemeester eens de maat moet nemen. Als blinkend voorbeeld van hoe het niet moet.

Overigens onderschrijft de gmeeente De Bilt de 'Aanpak Identiteitsfraude' van het Ministerie van BZK. Maar onderneemt daarop geen verdere actie, "dit valt niet onder de verantwoordelijkheid van de gemeente De Bilt".
Dat is dus een flinke lange neus naar minister Plasterk.
Door Astrid Oosenbrug (lid Tweede Kamer) op
beste "opmerker', de verantwoordelijkheid van een overheidswebsite die niet aan de webrichtlijnen, toegankelijkheid- en veiligheidseisen voldoet lijkt me een verantwoordelijkheid van ons allemaal.

Als Kamerlid ga ik overal over wat de burger raakt en wat binnen mijn portefeuille valt in het bijzonder. Een slecht functionerende website, die niet voor iedereen toegankelijk is en daarnaast niet goed beveiligd is valt wat mij betreft zeker onder de verantwoordelijkheid van de Kamer, en in het bijzonder onder de verantwoordelijkheid van een Kamerlid die haar taak als volksvertegenwoordiger serieus neemt.

Als er geen probleem zou zijn geweest met de Gemeentelijke websites, had je van mij ook niks gehoord hierover, er is wel degelijk een probleem en als je liever blijft kijken naar wie waar verantwoordelijk voor is en de rest zijn of haar mond maar moet houden, is mijn observatie inmiddels dat iedereen de andere kant opkijkt en de burger uiteindelijk de dupe is.

Eens met de opmerkingen van August Biels, ik hoor en zie dat steeds meer gemeenten gaan samenwerken op diverse terreinen, ook m.b.t. inkoop van hun ICT, fijn dat niet iedereen op de handen blijft zitten maar de handen ineen slaat!

Vriendelijke groet, Astrid Oosenbrug
Door Opmerker op
Hmmmmm, waarde Kamerlid, valt een gemeentelijke website onder de verantwoording van de Kamer, of de centrale overheid? Typisch een onderwerp (en mogelijk een bron van zorg) voor de lokale overheid. Kortom, vragen op het verkeerde platform. U moet uw gemeentelijke collegae volksvertegenwoordigers hierop aanspreken.
Door August Biels (gewezen ICT ambtenaar) op
Gemeentelijke ICT is en blijft een ongeorganiseerde puinhoop, en het rijk verdomt al tientallen jaren daar in te grijpen.

Er worden jaarlijks tientallen miljoenen euros verspild aan dubbeling, aan vendor-lock-in en aan onnodige blunders.

Er moet niet alleen één gemeentlijke website komen die licht aanpasbaar is, er moet eindelijk eens één gemeentlijk ICT beleid en ICT-pakket komen.