De PvdA stelt Kamervragen over de beveiliging van gemeentewebsites. Aanleiding voor de vragen aan minister Plasterk (Binnenlandse Zaken) en minster Van der Steur (Veiligheid en Justitie) is een inbraak op de website van de gemeente Ede waarbij hackers maanden toegang hadden gehad tot de gegevens van zo'n 3700 mensen. Daarbij zijn waarschijnlijk bankrekeningnummers, adressen, telefoonnummers en burgerservice-nummers buitgemaakt.
De PvdA-leden Oosenbrug en Kerstens willen van de ministers weten hoeveel gemeenten er het afgelopen jaar slachtoffer zijn geworden van een hack binnen hun digitale infrastructuur. Ook zijn ze benieuwd naar het oordeel van de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) over het lek.
In de brief met Kamervragen vragen de leden zich ook af of de beveiliging van gemeentensites niet centraal moet worden geregeld. Er zijn op dit moment standaarden waaraan de beveiliging moet voldoen, maar iedere gemeente is zelf verantwoordelijk voor zijn beveiliging.
De Kamerleden vragen de ministers: ‘Bent u van mening dat de beveiliging van gemeentelijke websites niet alleen mag afhangen van de inspanningen van de desbetreffende gemeente, maar dat dit ook een zaak is die het niveau van gemeenten overstijgt? Zo ja, waarom en welke rol speelt u of gaat u spelen om gemeenten te helpen bij het beveiligen van hun digitale infrastructuur? Zo nee, waarom niet?’
Generieke voorziening
Ook vragen de leden zich af of de communicatie met gemeenten niet via een generieke voorziening moet verlopen, zoals bij andere instanties het geval is.
De Kamerleden vragen de ministers: ‘Bent u van mening dat, indien de digitale communicatie tussen burgers en gemeenten via een generieke voorziening zou gaan verlopen, dit naast een verbetering van het gebruiksgemak, ook beter te beveiligen zou zijn dan in het geval iedere gemeente zijn eigen portal behoudt? Zo ja, waarom en wat doet u om die generieke voorziening tot stand te brengen? Zo nee, waarom niet?’
De ministers hebben drie weken de tijd om de vragen te beantwoorden.
Een groot deel van de gemeenten hebben hun website elders ondergebracht cq. maakt gebruik van diensten van derde partijen. Over het algemeen ligt in zo’n uitbestedingsovereenkomst wel cast dat aan veiligheidscriteria voldaan moet worden, maar aangezien veel van deze criteria door de overheid slecht opgesteld zijn, en dat er maar zeer weinig gemeenten regelmatig een audit laten doen, of een vulnerability-check laten uitvoeren, is deze ene casus een druppel op de gloeiende plaat. Bij de gemeenten zelf is de kennis niet aanwezig om te checken op veiligheid, bij de regelgeving ligt controle niet vast, en bij de derde partijen gaan kosten boven beveiliging. Ik vraag me af wie je aansprakelijk kan stellen als gegevens bij de gemeente buitgemaakt gebruikt worden on jouw identiteit te misbruiken.
Het zal zo’n kleine 20 jaar geleden zijn dat iemand van de provincie Ontario, Canada, een presentatie gaf over hoe ze daar de website hadden ingericht en gebruikten in de interactie met hun burgers. Geweldig! Ik vroeg hoe groot de provincie Ontario eigenlijk was: 12 miljoen inwoners. En riep toen: “Dan kan de Gemeente Nederland dus ook!” Maar omdat zoveel van die nederlandse gemeentutjes zo op hun autonome strepen blijven staan, ook op terreinen waar autonomie totaal geen relevantie heeft, kunnen dit soort problemen in deze vorm blijven bestaan. Zóóó jammer …
Misschien een mooie gelegenheid voor de politiek om clubs als VNG eens te passeren en gemeentes te verplichten uit te gaan van een landelijke (en veilige!) basis-site waar ze dan hun eigen logo en kleurtje in mogen zetten? Een beroepsvereniging als Cascadis (de landelijke vereniging van webprofessionals bij de overheid) pleit daar al tevergeefs jaren voor…