In de online communicatie met inwoners van Lelystad over de uitbreidingsplannen van het vliegveld heeft het ministerie van Infrastructuur & Milieu (I&M) geen veilige https-verbinding gebruikt. De persoonlijke gegevens van inwoners van Lelystad, die zich inschreven voor een voorlichtingsbijeenkomst, gingen onbeveiligd over de 'lijn'. I&M heeft dit inmiddels laten rechtzetten.
Een woordvoerder van het ministerie van I&M laat weten dat ‘al onze websites voorzien moeten zijn van een https-verbinding. Dit zit standaard in onze opdrachten richting leveranciers.’ Hij erkent dat dit niet is gebeurd rond de informatiebijeenkomst in Lelystad. ‘We hebben direct de opdracht gegeven om dit alsnog te verzorgen.’
Een zegsvrouw van organisatiebureau Face Two, dat de bijeenkomsten in Lelystad meehelpt te organiseren, bevestigt dat I&M geen richtlijn meegaf voor het ontwerp van het registratieformulier. ‘Ik denk dat het ministerie dit is vergeten door de haast die er moest worden gemaakt met het organiseren van de informatiebijeenkomsten. Het registratieformulier is gemaakt met behulp van de formulierengenerator Formdesk. Het was eigenlijk min of meer een kwestie van een vakje aanvinken voor het instellen va een https-verbinding, dus dat hebben we inmiddels gedaan op verzoek van I&M.’
Wet GDI
Minister Ronald Plasterk van Binnenlandse Zaken & Koninkrijksrelaties meldde begin dit jaar dat hij overheidssites wettelijk wil verplichten om een beveiligde internetverbinding via de https-standaard, te gebruiken. Uit onderzoek van privacy-organisatie Open State Foundation bleek eerder dat veel websites de https-standaard, die het verkeer tussen de gebruiker en de website versleutelt, nog niet gebruiken. Deze verplichting is opgenomen in de Wet Generieke Digitale Infrastructuur (GDI) die dit najaar van kracht zou moeten gaan.
Dan geldt de https-verplichting niet alleen voor online formulieren – waartoe minister Plasterk zich in eerste instantie wilde beperken – maar voor alle overheidssites (op advies van het Forum Standaardisatie). Of dat in de praktijk gemeengoed wordt, is dus nog afwachten, maar directeur Arjan El Fassed van de Open State Foundation is voorzichtig optimistisch. ‘Nadat wij eind vorig jaar aan de bel trokken over dat zo’n zestig procent van de overheidswebsites onveilig was, is de situatie wel verbeterd. Ik schat nu in dat ruim zestig procent van de websites wel veilige verbindingen gebruikt.’
De digitale transparantie-organisatie’richtte zijn pijlen recent tevens op zorgaanbieders, waar uit onderzoek bleek dat slechts een minderheid een veilige website heeft. ‘De grote organisaties hebben het doorgaans beter voor elkaar dan de kleinere, zoals de apotheker om de hoek. Maar ook in dit veld valt nog een slag te winnen.’