Eindelijk: na bijna tien jaar wordt HTTPS-standaard voor overheden verplicht
Nog altijd zijn moderne internetstandaarden als HTTPS en HSTS geen verplichting voor overheidsorganisaties, maar slechts een aanbeveling. Nu de Wet Digitale overheid door de Eerste Kamer is aangenomen, moeten achterblijvende overheidsorganisaties dan eindelijk in beweging gaan komen.
De rijksoverheid meldt dat de twee standaarden waarmee communicatie met de gebruiker wordt versleuteld, grote kanshebbers zijn om als eerste verplicht te worden via artikel 3 van de nieuwe wet, omdat een concept van een Algemene Maatregel van Bestuur daarover al via internet is geconsulteerd.
Tot nu toe behoren de standaarden al sinds 2014 tot het ‘pas toe of leg uit-beleid’ van de overheid voor internetstandaarden die overheidsorganisaties moeten aanhouden bij het aanschaffen van IT-systemen en diensten. Bij een zwaarwegende reden mag er echter nog altijd van de standaarden worden afgeweken.
Overheden veel te langzaam
Diverse overheden maken al bijna tien jaar gebruik van die uitzondering. “Sommige belangrijke standaarden worden ondanks de huidige afspraken nog te weinig gebruikt”, schrijft de rijksoverheid. “Het ‘pas toe of leg uit’-beleid biedt dus enige ruimte aan publieke organisaties en overheidsorganisaties om in hun eigen tempo open standaarden te adopteren. Voor sommige standaarden gaat dat te langzaam.”
De rijksoverheid verwijst naar metingen van Forum Standaardisatie waaruit dit duidelijk wordt. Organisaties die zich niet aan de standaarden houden zijn wel verplicht om de zwaarwegende reden openbaar te maken in het jaarverslag.
Grondslag voor verplichting
Nu de Wet Digitale Overheid is aangenomen, is er eindelijk een grondslag voor het verplichten van open standaarden. Daarmee zal het tempo waarin publieke organisaties voldoen aan standaarden vermoedelijk flink worden opgeschroefd.
Vanwege het trage tempo werden er eerder al ‘streefbeeldafspraken’ gemaakt voor het toepassen van standaarden, maar ook die haalden weinig uit. De wettelijke verplichting moet ervoor zorgen dat ook achterblijvende overheidsorganisaties eindelijk in beweging komen.
IPV6
Een jaar geleden concludeerde Forum Standaardisatie dat overheden misbruik maken van het ‘pas toe of leg uit’-beleid. Volgens de organisatie zijn er geen goede redenen meer om internetstandaarden niet toe te passen. De organisatie deed onder meer zijn beklag over de trage overstap naar IPv6, de zesde versie van het internetprotocol voor het gebruik van IP-adressen en de opvolger van versie 4 (IPv4).
"Overheden hebben twaalf jaar de tijd gehad om hun systemen gereed te maken voor de stap naar IPv6. Er zijn geen goede redenen meer om onder het 'toepassen' uit te komen door het 'uit te leggen'. Het 'pas toe of leg uit'-beleid en de latere implementatie-afspraak hebben niet bij iedereen voor voldoende urgentie gezorgd", aldus Forum Standaardisatie op de website van SIDN.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee