Minister van Binnenlandse Zaken en Koninkrijksrelaties, Ronald Plasterk nuanceert het beeld dat veel overheidswebsites onveilig zijn door en gebrek aan https-verbindingen. Hij wijst erop dat de noodzaak om informatie te versleutelen afhangt van de vraag of via een website privacygevoelige informatie wordt uitgewisseld. Eerder berekenden privacy-organisatie Open State Foundation (OSF) dat 62 procent van de overheidswebsites geen of gebrekkige versleuteling van informatie gebruikt.
Volgens Plasterk zijn in die raming ook sites meegenomen die algemene informatie bevatten en hoeven die landingspagina’s, hoewel het niet de voorkeur heeft, geen https te bevatten omdat de privacy van burgers niet in gevaar is.
Dat stelt hij in een kamerbrief naar aanleiding van vragen over de beveiliging van overheidswebsites. In die brief schrijft de minister: ‘Het is inderdaad zo dat nog niet alle overheidswebsites zo zijn ingesteld dat er geen beveiligingsrisico bestaat. Elke overheidsorganisatie is uiteindelijk zelf verantwoordelijk voor het beveiligen van de eigen overheidswebsites.’
De minister schrijft dat naast bestaande maatregelen als het versnellen van de adoptie van https, afspraken, metingen en een testtool aanvullende acties ondernomen worden. ‘De Informatie Beveiligings Dienst (IBD) van VNG/KING (Vereniging van Nederlandse Gemeenten red.) adviseert gemeenten om https te gebruiken en te configureren conform NCSC-advies (Nationaal Cyber Security Center). Ter ondersteuning hebben zij in samenwerking met Forum Standaardisatie een factsheet ontwikkeld voor het toepassen van https op gemeentelijk niveau en zijn er diverse workshops georganiseerd in het land’, aldus Plasterk.
Belastingdienst
De minister gaat ook in op de situatie bij de Belastingdienst. Hij schrijft: ‘Websites van UWV (uwv.nl en bkwi.nl) worden genoemd op de lijst van het OSF (Open State Foundation), omdat zij geen gebruik maken van een https-verbinding. Het gedeelte van uwv.nl waarop algemene informatie wordt getoond (de landingspagina) gebruikt een http-verbinding. Voor deze pagina staat een softwarematige omzetting naar https in het tweede kwartaal van 2017 op de planning.’
Hij stelt dat pagina’s van uwv.nl waar sprake is van gegevensuitwisseling, (bijvoorbeeld het tonen van persoonsgegevens door UWV, insturen van gegevens door klanten) zich bevinden in de MijnUWV-omgeving.
UWV
Plasterk: ‘Deze pagina’s zijn wel voorzien van een https-verbinding. Om in de MijnUWV-omgeving te komen moet bovendien worden ingelogd met DigiD. Op de website bkwi.nl wordt enkel informatie getoond die betrekking heeft op de gegevensleveringen die Bureau Ketelautomatisering Werk en Inkomen (BKWI) faciliteert. Er wordt geen informatie getoond die betrekking heeft op personen.’
De minister stelt dat vooruitlopend op de vernieuwing van bkwi.nl in het eerste kwartaal van 2017, de site eind 2016 voorzien is van een https-verbinding. ‘Werk.nl maakt wel gebruik van een https-verbinding. In de huidige situatie worden gevoelige persoonsgegevens adequaat beschermd’, aldus de minister.
