Duizenden gemeentelijke websites worden onbeheerd achtergelaten
Een groot deel van de tienduizend websites die gemeenten in de afgelopen jaren ontwikkeld hebben verkeren in slechte staat, meldt Binnenlands Bestuur. Volgens de nieuwste gegevens cijfers van het Digital Insights Platform (DIP) voldoet bijna driekwart ervan niet aan verplichte beveiligingsstandaarden. Het gaat vaak om ‘vergeten’ websites voor begrotingen, evenementen en samenwerkingsverbanden.
Bij veelgebruikte gemeentelijke websites waar persoonlijke gegevens worden gedeeld, is de beveiliging vaak nog wel op orde: gebruikers loggen in met het goed beveiligde DigiD om toegang te krijgen. “Het beeld verandert voor bijvoorbeeld websites die zijn gemaakt voor een bewonersavond met betrekking tot een nieuwbouwproject, gemaakt door leveranciers die niet gewend zijn om volgens de standaarden van de overheid te werken,” vertellen Simon Besters en Michiel Duijsings, eigenaren en oprichters van het Digital Insights Platform. Ze zijn specialisten die al jaren werken aan het verbeteren van digitale dienstverlening en online communicatie bij de overheid. Tegen betaling kunnen gemeenten individueel van de inzichten wijzer worden over de staat van hun verzameling websites.
Beveilingingsstandaarden
In totaal voldoen van de 10.000 gemeentelijke websites, samen goed voor zo’n 3,5 miljoen webpagina’s, voor slechts 28 procent aan de voor overheden verplichte beveiligingsstandaarden. Deze gaan onder meer over veilig e-mailen via een beveiligde mailserver en een goed beveiligde verbinding gebruiken via HTTPS. Wie de standaarden die zijn ontwikkeld door Forum voor Standaardisatie toepast, gaat daarmee onder meer aanvalstechnieken zoals phishing en spoofing tegen.
Eigenaarschap
Het probleem van veel gemeenten is volgens Duijsings en Besters dat gemeenten niet goed in kaart hebben voor welke websites zij verantwoordelijk zijn. In sommige gevallen weten ze niet welke websites ze eigenlijk beheren. “Bij ieder gesprek met gemeenten hierover zit ik weer met een ander aan tafel. Dat tekent ook dat gemeenten niet goed weten wie nu verantwoordelijk is voor hun websites: de privacy officer, de IT’er of de communicatiemedewerker? In mijn ogen is het een gezamenlijke opgave. Er is een probleem rondom het eigenaarschap.”
Geen centraal beheer
Ook is er meestal niemand die het overzicht bewaart. “De websites van de gemeenten zijn een ongecontroleerde wereld en het effect daarvan is dat er nog steeds allerlei websites bijkomen. Zo gebruiken gemeenten bijna allemaal software van dezelfde SaaS-leverancier voor begrotingssoftware, waarmee automatisch een website wordt aangemaakt voor iedere jaarlijkse begroting. En dan gaat het hard.”
Regelgeving wordt niet nageleefd
In hoeverre hebben gemeenten een probleem? Volgens Duijsings en Besters zal ook de NIS2 die dit najaar van kracht wordt geen doorslaggevend effect hebben, aangezien gemeenten zich nu ook al niet aan de wet houden qua naleving van beveiligingsstandaarden. “De regelgeving voor het naleven van standaarden voor onder meer beveiliging, maar ook digitale toegankelijkheid, bestaat al vele jaren. Daarin worden slechts kleine stapjes gezet. Ook moeten overheidswebsites volgens de Archiefwet regelmatig worden gearchiveerd, maar dat gebeurt bij zo’n 80 procent van de websites niet.”
Lees het hele artikel bij onze collega’s van Binnenlands Bestuur
Lees ook: