Driekwart van gemeentewebsites voldoet niet aan verplichte beveiligingseisen

Bijna driekwart van de websites van gemeenten voldoet niet aan verplichte beveiligingsstandaarden, blijkt uit cijfers van het Digital Insights Platform. Gemeenten zijn gezamenlijk verantwoordelijk voor ruim tienduizend websites.

De primaire websites van de 342 Nederlandse gemeenten zijn meestal goed onder controle, maar dat geldt niet voor het groeiende portfolio aan secundaire websites, meldt Binnenlands Bestuur. Gemeenten maken bijvoorbeeld websites voor evenementen zoals de start van de Tour de France of voor de publicatie van de begroting. Oude websites worden niet offline gehaald of onderhouden.

Slechts 28 procent van de 10.000 gemeentelijke websites voldoet aan de verplichte beveiligingsstandaarden voor overheden. De standaarden zijn ontwikkeld door Forum Standaardisatie. Ze gaan onder meer over veilig e-mailen via een beveiligde mailserver en een beveiligde verbinding via Https gebruiken. Op die manier worden phishing en spoofing tegengegaan.

"De staat van deze duizenden gemeentelijke websites varieert van ‘pover’ tot ‘best oké'", zeggen Simon Besters en Michiel Duijsings, de eigenaren en oprichters van het Digital Insights Platform. Een van de oorzaken van het probleem is dat gemeenten niet altijd goed in kaart hebben voor welke websites zij verantwoordelijk zijn, stellen ze. Ambtenaren zijn de laatste jaren namelijk steeds vaker zelf websites gaan maken, waardoor niet altijd duidelijk is welke domeinnamen door een gemeente beheerd worden. Bovendien is er vaak niemand die het overzicht bewaart.

Ook speelt mee dat er steeds meer gemeentelijke samenwerkingen zijn, bijvoorbeeld tussen belastingorganisaties en diensten binnen het sociaal domein. Vaak worden daar ook websites voor gemaakt, maar na verloop van tijd is niet duidelijk wie eindverantwoordelijk is voor het naleven van de beveiligingsstandaarden. Gemeenten hebben daarnaast te maken met een personeelstekort: er zijn niet voldoende webprofessionals in Nederland, zeker niet bij gemeenten.

Forum Standaardisatie concludeerde in juni 2023 dat de overheid in het huidige tempo pas in 2030 aan alle afspraken voldoet. Destijds voldeed slechts vier op de tien domeinen van de Rijksoverheid, gemeenten, waterschappen, provincies en verwante instellingen aan alle veiligheidseisen.

IT-banen

Reacties (42)

ReTechNL 29 februari 2024 10:41

Op de website https://basisbeveiliging.nl is netjes in kaart gebracht wat de huidige status van alle gemeente en overheids sites zijn mbt deze en andere standaarden. Dit is onderdeel weer van https://internetcleanup.foundation/

[Reactie gewijzigd door ReTechNL op 22 juli 2024 17:55]

CyberTijn @ReTechNL • 29 februari 2024 11:23

Kleine kanttekening bij deze tool: Het zijn niet alleen maar websites die worden weergegeven.
De tool gaat er vanuit dat wanneer er een host record bestaat, en er op het IP-adres wordt geluisterd op poort 443 dat het een website betreft. Zo simpel is het niet helaas. Er zijn ook records voor bijvoorbeeld VPN of MDM endpoints die helemaal geen website zijn en ook niet aan alle security eisen van een traditionele website kunnen voldoen.

MrJoery @CyberTijn • 29 februari 2024 11:59

Toch kan dat wel prima, zie bijvoorbeeld de Provincie Zeeland of de Gemeente Lelystad. Beide hebben vpn-subdomeinen en beide zijn groen.

ReTechNL @MrJoery • 1 maart 2024 08:32

Ja, echter in het voorbeeld van DirectAccess wordt er gebruik gemaakt van port 443 (IP-HTTPS) en wordt er by-design gebruik gemaakt van "Null" ciphers. In dit geval wordt er dubbele encryptie toegepast waardoor er wordt aangeraden de HTTPS tunnel op een null cipher te laten.
https://directaccess.rich...her-suites-not-available/
PS: DirectAccess is oud maar wel een mooi voorbeeld.

[Reactie gewijzigd door ReTechNL op 22 juli 2024 17:55]

HvanL @ReTechNL • 29 februari 2024 10:50

Zij laten over het algemeen de subdomeinen van de het hoofd domein zien. Grootste gedeelte gemeentelijke sites zie je daar niet terug.

vickypollard @ReTechNL • 29 februari 2024 11:02

Deze site heeft hier recentelijk wat losgemaakt om eindelijk eens wat concrete beslissingen te nemen t.o.v. beveiliging, in plaats van aanmodderbeleid. Uiteraard zodat dit beter overkomt naar de buitenwereld

TheFoundation101 @ReTechNL • 29 februari 2024 10:53

Heel mooi initiatief dit! Heeft iemand enig idee of iets gelijkaardigs bestaat voor Vlaanderen?

BobV @ReTechNL • 29 februari 2024 14:15

Er zit potentie in deze dienst, maar momenteel is het om te huilen. Op een aantal punten laat het flink afweten, waaronder transparantie. Het is bijvoorbeeld niet duidelijk wat er als bron wordt gebruikt voor de domeinen (waardoor bijvoorbeeld domeinen missen, maar ook domeinen meegenomen worden die toevallig door een wildcard CNAME matchen). De interface zit vol met bugs, is compleet onoverzichtelijk, en de classificatie van een groot aantal checks is bijzonder dubieus.

Momenteel dus tegelijkertijd onbetrouwbaar en een onnodige paniekzaaier.

Joshua 29 februari 2024 10:44

Eigenlijk verbaasd het me dat elke gemeente zijn eigen site heeft laten maken. Je zou toch zeggen dat het gewoon voor alle gemeentes hetzelfde moet zijn op de afwijkende logo's etc. na.

Frame164 @Joshua • 29 februari 2024 10:50

Dat valt nog behoorlijk tegen. Iedere gemeente is anders. Gemeentes hebben ook veel vrijheden om zaken lokaal in te regelen. Voordat je uniforme websites kan invoeren zou je dus eerst veel wetten moeten wijzigen zodat gemeentes hun vrijheden kwijt raken en alleen maar mogen werken op de manier zoals de RIjksoverheid het voorschrijft. Ik denk dat veel mensen daar niet blij van worden, want juist zaken op gemeenteniveau hebben direct impact op burgers.

Als je het allemaal hetzelfde wilt maken worden gemeenten gereduceerd tot uitvoeringsorgaan van de Rijksoverheid. Ik denk niet dat we dat moeten willen.

[Reactie gewijzigd door Frame164 op 22 juli 2024 17:55]

Tintel

Websites en community's

@Frame164 • 29 februari 2024 11:04

eh? Zelfstandig iets kunnen doen impliceert toch niet dat je dan geen standaarden kan naleven?

Beetje apart om te stellen dat het alleen met 'minder vrijheden' kan. De hele ICT draait om/op standaarden. Dat iets niet verplicht is wil toch niet zeggen dat we dan maar allemaal maar wat aanmodderen?

En laten we wel zijn: gemeentes zijn een uitvoerend orgaan.

Tc99m @Tintel • 29 februari 2024 11:16

Een gemeente in Nederland is een autonome bestuurslaag. De gemeente heeft wel uitvoerende taken, maar heeft ook een eigen politiek mandaat en budget, en de landelijke overheid kan gemeentes dus niet zomaar voorschrijven hoe ze bepaalde taken moeten uitvoeren (alleen dat ze bepaalde taken moeten uitvoeren, en binnen welke kaders dat moet gebeuren).

Er zitten aan bovenstaande weer allerlei nuances, maar specifiek voor deze casus even kort door de bocht: richtlijnen/standaarden opstellen waaraan websites moeten voldoen is prima, maar gemeentes exact voorschrijven welke partij de websites moet bouwen (zonder dat de gemeente daar een eigen afweging in mag maken) niet.

Tintel

Websites en community's

@Tc99m • 29 februari 2024 11:43

maar gemeentes exact voorschrijven welke partij de websites moet bouwen (zonder dat de gemeente daar een eigen afweging in mag maken) niet.

Nee, maar dat is toch ook geen probleem?

Triblade_8472 @Tintel • 29 februari 2024 11:20

Klopt, maar de 'powers that be' binnen in gemeentes willen allemaal nét (of totaal) wat anders. En helaas werken gemeentes vaak totaal niet lekker samen op hoog niveau.

Ze kunnen via, bijvoorbeeld de Vereniging voor Nederlandse Gemeenten (VNG), best een framewerk maken voor alle publieke gemeente websites. Alleen niemand neemt dit initiatief en dan is nog de vraag of ze het willen én haalbaar is met de wensen. Iedereen moet zich dan immers verplichten tot meebetaling hieraan. En wat als een gemeente wil uittreden, die draaien dan voor de kosten op? Gemeente wil x op de website en gemeente2 wil y. Maar dat kost weer z wat de rest niet wil dragen of het is technisch überhaupt niet verenigbaar. Teveel haken en ogen.

Als burger ben ik het helemaal eens met het standaardiseren van dit soort zaken. Alleen wat @Frame164 zegt is gewoon zo, de gemeentes hebben de vrijheden en nemen deze ook.

Er zit dan natuurlijk ook wel een gedachte achter dat alle gemeentes deze vrijheden hebben. Het mag dan wel meer kosten, het risico wordt ook gedeeld en er zijn minder overleggen nodig wat weer héél veel kosten bespaard. Daarnaast hebben gemeentes een eigen invulling aan hun taken en moeten zij daar direct op kunnen inspelen en communiceren via websites. Als dit gedeeld zou zijn zou dit veel trager/stroperiger en duurder worden. Als het al kan.

zaphod_b @Triblade_8472 • 29 februari 2024 23:45

Dat soort initiatieven zijn er in het verleden meer dan genoeg geweest, niet alleen op het terrein van websites, maar ook voor backoffice systemen zoals voor zaakgericht werken. Helaas zijn veel gemeenten nogal eigenwijs en zijn de paar grote leveranciers oppermachtig. Daar komt bij dat, zeker bij de kleinere gemeenten, simpelweg de kennis ontbreekt.

Aldy @Tintel • 29 februari 2024 13:52

Ik geloof dat je het artikel niet helemaal (goed) hebt gelezen. Juist met de officiële gemeentesites gaat het goed, dus daar ligt ook het probleem niet. Het probleem doet zich juist voor bij sites die even in elkaar gezet worden, omdat er een evenement aankomt of een site die opgezet wordt, omdat er een samenwerking met een organisatie plaatsvindt. In het eerste geval is vaak de veiligheid niet op orde en nadat het evenement voorbij is blijft de site bestaan, maar wordt niet onderhouden en in het tweede geval weten ze niet onder wiens verantwoordelijkheid de site valt.
Naar mijn idee is het voor een gemeente een kwestie van eerst inventariseren welke sites er bestaan en dan de ongebruikte offline halen en kijken wat er niet goed gaat met de nog in gebruik zijnde sites.

Tintel

Websites en community's

@Aldy • 29 februari 2024 16:28

Ik reageerde op de opmerking dat de oplossing wel/niet zou zijn meer regels en wetten en derhalve zou leiden tot minder vrijheden voor gemeentes.

laurxp @Frame164 • 29 februari 2024 11:59

Het zou al héél veel schelen als er een standaard-template zou komen, zowel voor websites als voor infrastructuur. Idealiter wil je dit ontwikkelen vanuit de Rijksoverheid en gratis (open-source) beschikbaar stellen aan lokale overheden.

In het VK is iets soortgelijks gebeurt met gov.uk. Dit bied een zeer compleet framework dat aan alle eisen voldoet, waardoor het de overduidelijke keuze is voor een nieuwe overheids-website. Je kan natuurlijk alsnog zelf gaan knutselen als gemeente, maar je zal geheid vragen krijgen van de gemeenteraad waarom je onnodig tienduizenden euro's besteed aan het opnieuw uitvinden van het wiel.

The Zep Man

Websites en community's
Security
Overheid

@Frame164 • 29 februari 2024 11:05

Dat valt nog behoorlijk tegen. Iedere gemeente is anders.

Iedere gemeente is anders, maar 80% van de zaken die een burger bij een gemeente moet regelen zijn hetzelfde bij alle gemeentes. Je kan gerust een basiswebsite hebben die uniform is, en daarnaast de gemeentespecifieke zaken.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:55]

Tintel

Websites en community's

@The Zep Man • 29 februari 2024 11:45

Ja, dat is ook een typisch effect van "gemeentes staan op zichzelf". Maar alles wat ze doen moet echt wel voldoen aan landelijke regelgeving.

The Zep Man

Websites en community's
Security
Overheid

@Tintel • 29 februari 2024 14:03

Ja, dat is ook een typisch effect van "gemeentes staan op zichzelf".

En gemeentes zouden daarvoor ook samenwerking kunnen zoeken (wat hier en daar volgens mij al wordt gedaan). Maar zelfs dan nog ben ik van mening dat een hogere overheid betere samenwerking van alle gemeentes op uniforme zaken gerust mag afdwingen.

Maar alles wat ze doen moet echt wel voldoen aan landelijke regelgeving.

In Nederland moet iedereen van alles wat ze doen echt wel voldoen aan landelijke regelgeving.

Tc99m @Joshua • 29 februari 2024 11:11

Ik zal wel een beetje pessimistisch zijn geworden 'op mijn leeftijd' maar ik vrees dat dit dan weer zo'n grote aanbesteding wordt waar zo'n generiek eindproduct uit komt dat uiteindelijk voor geen enkele gemeente goed werkt. Overigens vermoed ik dat er een hoop bedrijven zijn die gespecialiseerd zijn in het maken van websites voor overheden, dus feitelijk zal zoiets als een "off-the-shelf" gemeentewebsite wel al bestaan.

[Reactie gewijzigd door Tc99m op 22 juli 2024 17:55]

zaphod_b @Tc99m • 29 februari 2024 23:46

Je aannames kloppen allemaal weet ik uit de praktijk

Marger Eindredacteur @Joshua • 1 maart 2024 14:09

Er zijn meerdere initiatieven waarbij gemeentes gebruik maken van dezelfde basis voor hun website, maar die hun individuele invulling geven. OpenGemeenten bijvoorbeeld heeft een basisconcept dat werkt met TYPO3 en als je de (primaire) websites van de deelnemende gemeentes vergelijkt, zie je functioneel (en qua HTML) veel overeenkomsten, maar wel overal de eigen huisstijl en specifieke content. Voor het gros van de gemeenten zou zo'n oplossing uitstekend werken.

Wat in het artikel aangekaart wordt, elders in de comments ook al benoemd, is de wildgroei aan secundaire websites waar in veel gevallen overzicht, beheer en verantwoordelijkheid ontbreekt. Binnen gemeentes is het vrij gangbaar dat het laten bouwen van een secundaire website niet centraal aangestuurd wordt, maar dat een ambtenaar met een wens en een budget een zelfgekozen externe partij aan het werk kan zetten en dan weer wat pagina's content de lucht in slingert. De gemiddelde P&O-er heeft bijvoorbeeld geen grondige expertise m.b.t. online, maar wil wel graag een werkenbij.nl-website.

Dan heb je heel veel mazzel als het net een leverancier betreft die verstand van zaken heeft en zich volledig houdt aan alle best practices op het gebied van veiligheid, toegankelijkheid, privacy etc. In de praktijk komt het neer op waarschijnlijk vele honderden websites die een keer neergezet zijn zónder die zaken op orde te hebben, niemand kijkt er verder naar om behalve af en toe een nieuw tekstje plaatsen. Onderhoud? Wasda? En zolang dat op bestuurlijk niveau niet serieus wordt genomen binnen zo'n gemeente blijft iedereen natuurlijk zijn gang gaan.

TL;DR: de doorsnee gemeente hecht nauwelijks belang aan kwaliteit van hun online producten.

Verwijderd 29 februari 2024 10:48

De WDO (Wet Digitale Overheid, ingegaan medio 2023) is veel "harder" dan de eisen gesteld door het Forum Standaardisatie, die door velen als "richtlijnen" worden beschouwd.

De meeste overheidswebsites vallen door de mand als je ze door https://internet.nl/ laat testen.

Soms werkt de botte-bijl-methode: werk.nl (van UWV) ondersteunde aanvankelijk geen https. Door mijn lawaaïge posting is dat gefixed (afgesloten met een goed gesprek).

Heloise 29 februari 2024 12:36

Dit doet me denken aan de situatie in het bedrijfsleven zo’n 20 jaar geleden. Iedere afdeling van een wat groter bedrijf z’n eigen site, liefs in een eigen domein. Ondertussen is dat toch wel overal verleden tijd en wordt er redelijk uniform gewerkt in deze soort bedrijven.

Echter, daarop gebaseerd verwacht ik dat het voor de gemeenten nog wel even (2030, 2035) gaat duren voordat ze zover zijn.

watercoolertje @Heloise • 29 februari 2024 13:31

Er zijn nu ook wel een aantal gemeente die al samenwerken op dat gebied, maar niet alle, mijn vriendin werkt voor een gemeente waarvan het onderliggende CMS door een stuk of 6 gemeenten gebruikt worden.

litebyte 29 februari 2024 10:43

Zal het velen hier verbazen, nee toch? Loststaande van de beveiliging heb je dan ook nog hoe er met data wordt omgesprongen.

XyritZz @litebyte • 29 februari 2024 11:03

Daar komt nog bij dat websites van overheid al enkele jaren verplicht aan toegankelijkheidseisen moeten voldoen. Ook daarmee is het gewoon triest gesteld, aan de ene kant omdat er geen geld voor vrijgemaakt wordt om websites te herzien of herbouwen en aan de andere kant omdat ook veel IT bedrijven prutswerk leveren. Dit resulteert in sites met een voldoende in de toegankelijkheidsverklaring, maar als je verder kijkt zie je dat de ontwikkelaar van de website z'n eigen werk heeft gekeurd en zelf een rapport heeft opgesteld. Dan scoort een website een A of B, terwijl ze eigenlijk diep rood op een E moeten staan.

cricque @XyritZz • 29 februari 2024 12:04

Dat is ook gewoon omdat de meeste "website" bouwers geen verstand hebben van die zaken. Wat klikken en slepen et voila. Ze gebruiken frameworks waar ze vaak niet veel voor moeten doen, wel hoog factureren uiteraard. Maar bij problemen of iets out of the box ... wel dan staan ze daar. En zo zijn er veel. Onlangs nog een artikel gelezen van een fotograaf die websites maakt ... Ja dus gewoon een template op wordpress ... En zichzelf dan nog expert noemen. Voor bedrijven is dat dan dikwijls een CMS, en dat werkt, maar moet ook constant geupdate worden etc, en leg dan maar eens uit dat er maandelijkse kosten aan verbonden zijn. Maar dan nog, iets buiten de lijntjes ... how nee dat kunnen we niet. Tevens hebben gemeenten ook de neiging om "vriendje van" te nemen of de goedkoopste, want ja er moet een aanbesteding gebeuren. Of diegene die wat onder tafel schuift. En dat is gewoon "de normaalste zaak van de wereld". Hier in België ken ik zo een paar gemeentes waar het huilen met de pet op is. En als je daar dan wat van zegt ... er is geen geld of het werkt nu toch, waarom zouden we dan geld moeten uitgeven.

En er zijn ook veel "consultants" en "experts' die alles kunnen tot ze er aan moeten beginnen. Gisteren nog zo eentje gehad die aan het klagen was over zijn tarief ... Ja maar als ik op een ander ga dan krijg ik meer. Tsja dan moet je ergens anders gaan en niet klagen. Het enige wat telde was zijn uurloon. Voor de rest iets technisch moeilijk kan hij niet op antwoorden en slaag hij niet in. Maar als je hem bezig hoort is het een expert op alle vlakken. Hij is met moeite net uit de pampers om het zo te zeggen. Er zijn ook andere uiteraard. Ken wel een paar goeie bedrijven, maar je betaald ook "top dollar". En velen willen een ferrari voor de prijs van een geitje. Als je kwaliteit wilt dan zal het wat kosten. Niet elk "goed" bedrijf rekent in de hoogste prijsklasse uiteraard. Maar dit is niet alleen binnen de IT wereld zo hoor.

[Reactie gewijzigd door cricque op 22 juli 2024 17:55]

n4m3l355 29 februari 2024 10:46

Je zou toch verwachten met zoveel gemeentes die ieder toch dezelfde content dienen te presenteren dat dit door een partij wordt opgepakt maar niets is minder waar. Iedere gemeente doet dit zelf, iedere gemeente maakt blijkbaar ook nog een tal van extra websites want, waarom niet en natuurlijk wilt men lekker samenwerken wat in plaats van minder overhead, enkel voor meer zorgt.

Waarom wordt dit niet landelijk opgepakt. Een framework waar iedere gemeente zijn eigen rommel mag plaatsen en niets meer. Dit kost toch gigantisch veel geld en uiteindelijk zoals we hier zien, is het ook nog eens een zooitje. En ondanks dat het een zooitje is, verbergt men zich zoals gewoonlijk achter "onduidelijkheid" of "te weinig mankracht". Stel je voor dat iedere AH branch een eigen website in elkaar gaat knoeien, wat een gekkigheid.

japie06 @n4m3l355 • 29 februari 2024 11:18

Elke gemeente heeft ook een eigen gemeenteraad en dus andere prioriteitens en andere keuzes.

Als je wilt dat er geen overhead is kan je net zo goed alle gemeentes opdoeken en alles door het rijk laten doen. Lekker centraal en efficiënt. Maar dan is er ook geen lokale inspraak meer. Alles wordt dan Den Haag bepaalt.

Rogers @n4m3l355 • 29 februari 2024 10:50

Soms heb ik het gevoel dat IT bedrijven in Nederland vooral draaien op onze overheid, de efficiëntie is ver te zoeken.

Frame164 @n4m3l355 • 29 februari 2024 10:51

Zie mijn reactie hierboven.

CAPSLOCK2000

Security
Overheid
Websites en community's

@n4m3l355 • 29 februari 2024 12:50

Je zou toch verwachten met zoveel gemeentes die ieder toch dezelfde content dienen te presenteren

Voor een deel, voor een deel ook niet, maar je hebt zeker een punt dat veel punten zijn die overal hetzelfde zijn en dus best met 1 website afgehandeld zouden kunnen worden. Maar om er dan nog een soepel geheel van te maken met de rest van de website kan lastiger worden, zeker als je niet wil afdwingen dat ieder gemeente exact hetzelfde CMS gebruikt. Met zoveel partijen komen ze daar nooit uit.
Alle gemeentes zijn anders, als dat niet zo was kunnen we ze beter afschaffen.

dat dit door een partij wordt opgepakt maar niets is minder waar.

Er zijn verschillende bedrijven die aanbieden om het te doen, maar daar zit wel een stevig prijskaaartje aan vast en forse beperkingen. IT is duur, goede IT heel duur. In mijn ervaring hebben mensen geen idee wat het kost om een echt goede website te bouwen en te onderhouden, echt een factor 100 of 1000 er naast.
Dat komt mede omdat er geen kwaliteitseisen zijn en dus de grootste troep en de meeste kale producten te koop worden aangeboden. De meeste mensen verwachten een zekere mate van basiskwaliteit. Je kan er op vertrouwen dat een brood uit de winkel niet bedorven is, mocht het wel zo zijn krijg je zeker je geld terug. In de IT werkt dat niet zo. Mensen zien advertenties voor de prijs van een snee droog brood en verwachten een hele maaltijd te krijgen.

Iedere gemeente doet dit zelf, iedere gemeente maakt blijkbaar ook nog een tal van extra websites want, waarom niet en natuurlijk wilt men lekker samenwerken wat in plaats van minder overhead, enkel voor meer zorgt.

Wat ik meemaak is dat mensen denken dat ze goed bezig zijn als ze dingen zelf regelen zonder hulp van IT. "Bij IT hebben ze het al zo druk dus we kopen een kant-en-klare website dan hoeven we IT niet lastig te vallen". Die mensen hoeven overigens niet eens voor de gemeente te werken. In praktijk is het vaak zo dat projecten worden uitbesteed aan een externe partner en die maakt vervolgens een website die na afloop van het project (of in ieder geval het budget) ergens in limbo blijft hangen. De partner gaat er niet voor zorgen zonder betaling, en de opdrachtgever (gemeente) heeft niet beseft dat zo'n site permanent onderhoud nodig heeft. Opruimen kost ook geld en tijd dus zelfs dat wordt niet gedaan.

Waarom wordt dit niet landelijk opgepakt.

Geld en flexibilteit. Hoe flexibeler een systeem hoe duurder en hoe moeilijker het is in gebruik. Dan krijg je automatisch een druk om het grote dure centrale systeem te ontwijken en quick & dirty & cheap ergens anders in te kopen.

De meeste problemen zitten niet in de primaire websites van de gemeentes maar in alle kleine sites die ze om een of andere reden ook nog hebben. Om een of andere reden is er nu al voor gekozen om die geen deel te maken van de centrale website van de gemeente. Ik denk niet dat die redenen veranderen als er een centrale website voor alle gemeentes zou komen.

Wat ook een grote rol speelt is dat je er meestal mee weg komt. Er gaat heel veel mis in de IT maar meestal hoor je er niks van. Als je het wel hoort wordt het meestal volledig geaccepteerd. Hoevaak hoor je nu dat iemand een andere IT-leverancier kiest omdat de vorige niet veilig was? Ik ken er 0.
Wel gevallen dat leveranciers achteraf worden aangeklaagd omdat er iets mis is gegaan (Hof van Twente).
Ook ken ik een hoop gevallen waarbij er overgestapt wordt naar een goedkopere leverancier.

Mensen weten onderbewust heel goed waar ze op worden beoordeeld en afgerekend. Als de website niet op tijd af is of geen mooie plaatjes heeft dan krijgt de bouwer kritiek. Onveilig? Daar wordt je gewoon niet op afgerekend. Mensen weten niet eens dat hun site gekraakt is of informatie lekt want de leverancier heeft het ze nooit vertelt (als die het zelf al weet).

Daarom zijn dit soort controles ook zo belangrijk. Het maakt informatie zichtbaar voor een groot publiek dat anders geen idee heeft. Het laat zien dat er veel sites zijn die niet aan de basiseisen voldoen. Het geeft een meetbaar gegeven waar je mensen/organisaties op kan afrekenen.

Uiteraard zijn basiseisen niet meer dan dat, de basis. Het nadeel van een project als dit is dat een hoop sites zullen denken dat ze klaar zijn als ze voldoen aan de basiseisen. Dat is natuurlijk niet het idee van een basis. Maar ja, je moet ergens beginnen.

segil 29 februari 2024 11:15

Op https://internet.nl/ kan je zien of een (gemeentelijke) websites en mailservers voldoet aan de juiste security standaarden. Zo ben ik blij te zien dat de gemeente waar ik voorheen gewerkt heb, 100% voldoet qua beveiliging op mailgebied.

Wie of wat is "Digital Insights Platform" en hoe waardevol is hun mening? Zo te lezen op hun website is het een kleine club, wat hebben die te zeggen? Is deze analyse gewoon een mening van een paar personen, of is dit een vaak geraadpleegde en bekende organisatie, wiens expertise door deskundigen positief gewaardeerd wordt? Dat mis ik een beetje. Ik kan nu niet inschatten of dit een gedegen, waardevolle analyse is, of een leuke marketing truc om bekendheid te verwerven. Er zijn helaas genoeg bedrijfjes die allerlei zogenaamde onderzoeken publiceren, enkel voor naamsbekendheid.

[Reactie gewijzigd door segil op 22 juli 2024 17:55]

Bor Coördinator Frontpage Admins / FP Powermod

Security

@segil • 29 februari 2024 12:29

Let wel dat Internet.nl op meer checked dan alleen security punten. Zo checked het ook of men voldoet aan "moderne internet standaarden" zoals het hebben van een IPv6 adres. Wil je de uitslag puur gebruiken als oordeel over de veiligheid dan moet je hier even op letten. Los daarvan zijn de controles niet erg uitputtend. Meer dan een soort digitale thermometer / peilstok vind ik het niet.

ocn @segil • 29 februari 2024 15:39

Dit is inderdaad gewoon ordinaire marketing voor hun product, en de nieuwssites trappen er weer in.

beerse 29 februari 2024 13:06

Voor van alles en nog wat is er voor gemeentes samenwerking en/of centrale regelingen en zo. Kan er voor websites van die gemeentes dan ook niet 1 of meer organisaties zijn die centrale diensten verlenen?

Veel gemeentes hebben gelijke diensten. Zaken zoals de burger administratie met paspoorten, rijbewijzen en trouwboekjes en dergelijke. Dat kan allemaal uit de zelfde hoge hoed komen. De paspoorten drukken ze immers ook niet allemaal zelf.

Daarnaast hebben ze ook allemaal een plantsoenendienst, gladheidsbestreiding, huisvuil-ophaal en dergelijke. Veel kleinere gemeentes doen daar al best veel aan samenwerking. Ook worden daar commerciële diensten voor gebruikt.

Helaas denken veel gemeentes dat de it-dienstverlening wel in eigen hand gehouden kan worden... Dat blijkt al zeker 30 jaar toch niet het geval. Laat de centrale overheid de voorwaarden scheppen zodat er een paar (samenwerk) organisaties ontstaan die de it-dienstverlening aan de gemeentes kan aanbieden. Laat die dan ook voor provincies en andere overheidsdiensten goede producten leveren voor een reële prijs en vooral voldoen aan de juiste regels en richtlijnen.

G.Shumway 29 februari 2024 17:05

Hoewel ik schrik van de kop van dit bericht, verbaast het me niet.
Zo had recentelijk te maken met het NIET "veilig e-mailen via een beveiligde mailserver".
Dat resulteerde - na een posting op GoT - in contact met de Functionaris Gegevensbescherming, direct gevolgd met een verbeterde werkwijze van het ambtenaren-team in kwestie (en in een klacht van mij bij de Autoriteit Persoonsgegevens).

DaSt1986

29 februari 2024 17:27

Mijn werkgever heeft een tool gemaakt om te kunnen controleren of een site voldoet aan de eisen van het NCSC en door middel van periodiek geautomatiseerde scans kunnen gemeenten heel snel zien of ze nog voldoen. Internet.nl kan zover ik weet alleen externe sites, maar de opties om het gemakkelijk in de gaten te houden zijn er dus wel degelijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: