Bijna driekwart van de websites van gemeenten voldoet niet aan verplichte beveiligingsstandaarden, blijkt uit cijfers van het Digital Insights Platform. Gemeenten zijn gezamenlijk verantwoordelijk voor ruim tienduizend websites.
De primaire websites van de 342 Nederlandse gemeenten zijn meestal goed onder controle, maar dat geldt niet voor het groeiende portfolio aan secundaire websites, meldt Binnenlands Bestuur. Gemeenten maken bijvoorbeeld websites voor evenementen zoals de start van de Tour de France of voor de publicatie van de begroting. Oude websites worden niet offline gehaald of onderhouden.
Slechts 28 procent van de 10.000 gemeentelijke websites voldoet aan de verplichte beveiligingsstandaarden voor overheden. De standaarden zijn ontwikkeld door Forum Standaardisatie. Ze gaan onder meer over veilig e-mailen via een beveiligde mailserver en een beveiligde verbinding via Https gebruiken. Op die manier worden phishing en spoofing tegengegaan.
"De staat van deze duizenden gemeentelijke websites varieert van ‘pover’ tot ‘best oké'", zeggen Simon Besters en Michiel Duijsings, de eigenaren en oprichters van het Digital Insights Platform. Een van de oorzaken van het probleem is dat gemeenten niet altijd goed in kaart hebben voor welke websites zij verantwoordelijk zijn, stellen ze. Ambtenaren zijn de laatste jaren namelijk steeds vaker zelf websites gaan maken, waardoor niet altijd duidelijk is welke domeinnamen door een gemeente beheerd worden. Bovendien is er vaak niemand die het overzicht bewaart.
Ook speelt mee dat er steeds meer gemeentelijke samenwerkingen zijn, bijvoorbeeld tussen belastingorganisaties en diensten binnen het sociaal domein. Vaak worden daar ook websites voor gemaakt, maar na verloop van tijd is niet duidelijk wie eindverantwoordelijk is voor het naleven van de beveiligingsstandaarden. Gemeenten hebben daarnaast te maken met een personeelstekort: er zijn niet voldoende webprofessionals in Nederland, zeker niet bij gemeenten.
Forum Standaardisatie concludeerde in juni 2023 dat de overheid in het huidige tempo pas in 2030 aan alle afspraken voldoet. Destijds voldeed slechts vier op de tien domeinen van de Rijksoverheid, gemeenten, waterschappen, provincies en verwante instellingen aan alle veiligheidseisen.