Het is begin augustus. Zomervakantie. Hoogseizoen. Voor de meeste mensen een periode om te genieten van hun vrije tijd op een camping of een hotel of gewoon thuis in de achtertuin. Helaas was er dit jaar een handvol systeembeheerders van enkele Nederlandse gemeentes, provincies en universiteiten die de camping moest inwisselen voor het datacenter.
Langzamerhand kwamen zij tot de conclusie dat de problemen die bij de helpdesk binnendruppelden samen de bron waren van een enorme virusbesmetting die een paar dagen later de nieuwsbulletins zou beheersen.
Dorifel
De netwerken van de gemeentes (en enkele bedrijven) blijken besmet te zijn geraakt door het Dorifel-virus, een variant van het Sasfis-virus. Een hardnekkig virus dat zich verspreidt via oonder andere het web, e-mail en Office-documenten. De gemeentes schakelen hulp in van gespecialiseerde bureaus om ervoor te zorgen dat de schade niet erger wordt en om het virus te laten verwijderen van hun netwerken.
Ten tijde van de besmetting zijn bedrijfskritische systemen, om bijvoorbeeld paspoorten uit te geven, uit de lucht. Wat niet duidelijk is, is wat er met de digitale gegevens van de burgers is gebeurd. Van enkele honderden particulieren is bekend dat hun bankgegevens zijn gestolen. De masterserver van het Dorifel-virus hostte bijvoorbeeld phishingwebsites voor de vier grootste Nederlandse banken: ING, Rabobank, ABN Amro en SNS Bank. Wie zegt ons dat er niet op grote schaal vertrouwelijke gegevens zijn gestolen bij de lokale overheden? Gegevens die wij veilig achtten. Gegevens die de gemeente nodig heeft voor allerlei aanslagen, subsidies, documentatie. Gegevens die wij hebben moeten afstaan! Kunnen overheden ons geruststellen en bewijzen dat onze gegevens veilig waren en zijn?
Digitaal zaken doen
En daar zit 'm nu precies het probleem. Eerder schreef ik al over het feit dat banken klanten dwingen gebruik te maken van internetbankieren, met alle risico's van dien. De overheid pakt het op dit punt niet anders aan. Burgers worden steeds vaker gedwongen om digitaal zaken te doen met de gemeente of andere overheidsinstanties. Natuurlijk, dat is niet alleen eenvoudiger en goedkoper, het biedt ook nog eens veel meer mogelijkheden. De andere kant van de medaille heeft zich echter begin augustus geopenbaard: de netwerken van de (lokale) overheid zijn niet goed beveiligd. Gegevens van burgers, mijn gegevens, jouw gegevens, zijn blijkbaar eenvoudig toegankelijk voor (kwaadwillende) derden. Dat kan en mag niet zo zijn.
Ik pleit voor een minimale standaard met veiligheidsmaatregelen waaraan overheden, die beschikken over digitale gegevens van burgers, moeten voldoen. Standaarden die centraal gereguleerd, gecontroleerd en gehandhaaft worden vanuit Den Haag. Dergelijke regelgeving bestaat (nog) niet in Nederland. In landen als het Verenigd Koninkrijk en Frankrijk bestaan zulke regels al veel langer. Ik ben bang dat alleen door middel van dwang vanuit Den Haag en het gevaar voor (financiële) straffen, lokale overheden serieus werk zullen maken van hun beveiliging. Dit betekent overigens niet dat er verder geen veiligheidsmaatregelen getroffen moeten worden, maar er wordt dan in elk geval een goed begin gemaakt met het nemen van 'passende maatregelen'. Het woord passend is in deze een belangrijk woord omdat de huidige wetgeving voorschrijft dat (lokale) overheden 'passende maatregelen' moeten treffen voor het beveiligen van hun gegevens en netwerken. Maar wat is dan passend? Als dat niet concreet gemaakt wordt, kan iedereen daar een eigen invulling aan geven. Maak het concreet door bijvoorbeeld te eisen dat alle gegevens die informatie over burgers bevatten versleuteld moeten zijn en verplicht overheden dat ze hun burgers inlichten wanneer er een inbraak is geweest in hun systemen zodat wij dan zelf ook passende maatregelen kunnen nemen.
Privacy
Dorifel heeft gemeentelijk Nederland weer even op scherp gezet en pijnlijk duidelijk gemaakt dat de beveiliging niet op orde is. Beveiliging is altijd een combinatie van techniek en mensen. De techniek om veilig te werken is beschikbaar. Nu zullen de mensen die beslissen over de veiligheid van onze gegevens daadkrachtig moeten handelen. Want wie A zegt, moet ook B zeggen. Het kalf is verdronken en dus is het tijd om de put te dempen.
Een toegankelijke e-overheid is prachtig, maar wij willen niet gedwongen worden onze gegevens af te staan aan een organisatie waarvan wij vermoeden dat zij kostenbesparing en politieke spelletjes belangrijker vinden dan het waarborgen van ons recht op privacy. Ik sta open voor een dialoog met overheden en de industrie om samen tot een werkbare oplossing te komen voor deze onwenselijke situatie.