Het blijft voor gemeenten die zijn afgesloten van DigiD onduidelijk wanneer ze weer over de dienst kunnen beschikken. Tientallen gemeentesites mogen al een week geen gebruikmaken van DigiD-diensten, maar een concrete streefdatum ontbreekt.
Overheidsdiensten Logius en Govcert ontzegden gemeentesites naar aanleiding van een beveiligingslek uit voorzorg de toegang tot DigiD-diensten. Gemeenten moeten eerst de beveiliging op orde krijgen voordat de gebruikers weer gebruik kunnen maken van DigiD. Daarvoor moeten ze voldoen aan een checklist van Govcert, die de dienst al eerder publiceerde. Er is echter geen uiterlijke streefdatum afgesproken.
De gemeenten hebben voor het gebruik van DigiD een overeenkomst met Logius, het overheidsorgaan dat onder meer de veiligheid van de dienst moet waarborgen. Zij moeten aan de hand van een zogeheten veiligheidsraamwerk aantonen dat hun website weer aan de eisen voldoet. Die controle kan per gemeente verschillen. Zo kan een ict-ambtenaar aangesteld worden om de afvinklijst af te werken, maar kan het formulier ook langs tal van afdelingen worden gestuurd. "Govcert en Logius analyseren uiteindelijk de afgewerkte lijst. Pas dan zal DigiD weer voor de getroffen gemeenten beschikbaar komen", zegt woordvoerder Michiel Groeneveld van Logius. Het is volgens hem nog niet bekend hoe de checklist moet worden nageleefd; de procedures daarvan volgen later dit jaar.
Onder meer Landgraaf voert momenteel een afvinkronde uit. Daarvoor worden een ict-medewerker en een webmaster op pad gestuurd. De gemeente kan nog geen schatting geven over wanneer de checklist is afgerond. "We zijn afhankelijk van SIMgroep, het bedrijf dat onze website beheert. SIMgroep moet een aantal controles van het systeem uitvoeren. Het is niet bekend wanneer het daarmee klaar is", aldus een woordvoerder.
De sites van circa vijftig gemeenten kampten onlangs met een beveiligingslek, waardoor ze op aandringen van de Vereniging van Nederlandse Gemeenten offline werden gehaald. Ook bleken tientallen sites een xss-lek te bevatten. Geen enkele overheidsinstelling kan echter gemeenten verplichten hun website op zwart te zetten in geval van nood; dat beslissen de gemeenten zelf. Alleen Logius mag een gemeentesite van DigiD afsluiten als blijkt dat de veiligheid in het geding is. Die situatie gaat wellicht veranderen door de mogelijke komst van de 'ict-brandweer'.