020 530 0160

Ondertussen in Den Haag – beveiliging overheidswebsites & ziekenhuiswebsites

Gepubliceerd op 23 januari 2017 categorieën 

In deze rubriek worden wekelijks TMC-gerelateerde Kamervragen en –antwoorden besproken. Deze week: antwoorden op vragen over de (slechte) beveiliging  van overheidswebsites.  Nieuwe vragen werden gesteld over de slechte beveiliging van ziekenhuiswebsites.

Beveiliging overheidssites

Afgelopen week gaf minister Plasterk antwoord op Kamervragen van de leden Oosenbrug en Kerstens (beiden PvdA), en antwoord op vragen van Kamerlid Amhaouch (CDA) over de veiligheid van Nederlandse overheidswebsites. De vragen werden gesteld naar aanleiding van een bericht op binnenlandsbestuur.nl en nos.nl waarin wordt gesteld dat veel overheidswebsites slecht beveiligd zijn. Uit onderzoek van de Open State Foundation (hierna: OSF)  blijkt dat 62 procent van de overheidswebsites met een beveiligingsrisico kampt.

Volgens de minister schetst de media een ongenuanceerd beeld van de situatie. Zo wordt versleuteling van websites wel degelijk van groot belang geacht. Belangrijk is hierbij of op deze website persoonsgevoelige gegevens worden uitgewisseld.  Alle overheidswebsites die gevoelige gegevens verwerken dienen volgens de NCSC ICT-Beveiligingsrichtlijnen te voldoen aan de TLS-standaard (standaard HTTPS). De door de minister aangehaalde metingen laten volgens hem  zien dat het over het algemeen niet slecht is gesteld met de beveiliging van overheidswebsites.

Maatregelen
Om de implementatie van versleutelde verbindingen te versnellen is overheidsbreed afgesproken om uiterlijk eind 2017 versleutelde verbindingen overal op overheidswebsites te hebben toegepast, waar persoonsgegevens of andere gevoelige gegevens aan de orde zijn. Er zal halfjaarlijks worden gemeten door Forum Standaardisatie om de voortgang van de adoptieafspraak te monitoren. Ook worden overheidswebsites die gebruik maken van DigiD getoetst aan de DigiD-norm. Deze norm verplicht onder andere de toepassing van HTTPS.

UWV
Websites van het UWV zouden volgens de lijst van OSF geen gebruik maken van https-verbindingen. Volgens de minister wordt algemene informatie op websites van het UWV inderdaad tot op heden nog niet getoond onder een https-verbinding. Een softwarematige omzetting naar HTTPS staat wel op de planning voor het eerste en tweede kwartaal van 2017. Websites van UWV  waar sprake is van gegevensuitwisseling zijn wel voorzien van een https-verbinding.

Conclusie
Op basis van het door de minister aangehaalde onderzoek kan hij niet concluderen dat de overheidswebsites over het algemeen niet voldoen. De genoemde maatregelen kunnen hieraan bijdragen.  Het blijft volgens de minister echter aan de eigenaar van de website om passende en organisatorische maatregelen te treffen.

Nieuwe vragen

Afgelopen week werden nieuwe vragen gesteld naar aanleiding van een bericht over de slechte beveiliging van ziekenhuiswebsites. Kamerlid Oosenbrug (PvdA) stelde vragen aan de minister van Veiligheid en Justitie en Volksgezondheid, Welzijn en Sport. Uit een onderzoek van Women in Cybersecurity blijkt dat 35 procent van de onderzochte websites  geen beveiligde internetverbinding heeft. De vraag is of er bekende gevallen zijn van datalekker waarbij deze slechte beveiliging de oorzaak zou kunnen zijn. Ziekenhuizen lijken zich te wapenen met het excuus van  verouderde websites en zeggen met de komst van de nieuwe website deze beveiligingsproblemen te zullen oplossen. De leden wachten op de mening van Van der Steur en Schippers over deze problematiek.  Hierover later meer in onze volgende blogs.

Met dank aan Mirli Devilee

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Nina Lodder

publicaties

Gerelateerde artikelen