Overheidswebsites zonder een https-verbinding zijn niet automatisch onveilig, stelt minister Plasterk. Toch gaat hij de sites verplichten een https-verbinding te gebruiken.

Alle overheidswebsites verplicht beveiligd

Minister Plasterk van Binnenlandse Zaken wil toch een wettelijke plicht voor alle overheidssites om een beveiligde verbinding te gebruiken. Dat zei hij in de Tweede Kamer op Kamervragen. Eerder nog stelde de minister dat overheidswebsites zonder https-verbinding niet automatisch onveilig zijn. Eind 2017 moet er altijd een beveiligde verbinding zijn als een website persoonsgegevens of andere gevoelige data verwerkt. Bij veel overheidswebsites is dat echter niet het geval en kan alleen informatie worden opgezocht.

Wet digitale infrastructuur

Plasterk wil https voor alle overheidssites verplichten na invoering van de Wet generieke digitale infrastructuur. Deze wet ligt nog tot eind maart ter consultatie. Als de wet is aangenomen, kan het ministerie met een algemene maatregel van bestuur verplichte beveiligingsstandaarden aanwijzen. Dan komt er een verplichte https-standaard voor alle overheidswebsites. Verwacht wordt dat de wet na de zomer van dit jaar naar de Tweede Kamer kan worden gestuurd.

Iets bijgedraaid

De minister is met zijn toezegging iets bijgedraaid. Eerder deze maand stelde hij nog dat overheidswebsites niet automatisch onveilig zijn wanneer er een https-verbinding ontbreekt. Hij vond een niet-beveiligde site alleen onwenselijk als deze onderdelen bevatte waar gevoelige persoonlijke of financiële gegevens op staan. De minister reageerde daarmee op een analyse van digitaal dienstverlener Open State Foundation, die ruim 1.800 domeinen van de overheid onderzocht en stelde dat de meeste geen versleuteling van informatie gebruikt.

Van risicoafweging per site en dienst naar algemene beveiliging

De minister erkende dat kwaadwillende derden bij niet-beveiligde websites zonder versleuteling informatie in kunnen zien en deze eventueel kunnen veranderen of voorzien van malware. Plasterk meldde begin januari: “Het toepassen van https en van een bijbehorend certificaat helpt om de authenticiteit van een overheidswebsite te kunnen controleren en kan daardoor phishing voorkomen. Voor iedere website en dienst zal een aparte risicoafweging gemaakt moeten worden door de verantwoordelijke overheidsorganisaties. (…) alle privacygevoelige overheidswebsites moeten eind 2017 beveiligd worden volgens de https-richtlijnen (…).” Op dit standpunt is de minister dus teruggekomen door alle overheidswebsites te verplichten een beveiligde verbinding te gebruiken.

Gerelateerd: Websites overheid onveilig

Bronnen: Binnenlands Bestuur, Nu.nl

Delen: