Overslaan en naar de inhoud gaan
Nieuws
27 december 2022 leestijd 3 minuten 0 reacties

Van Huffelen: 'onacceptabel' dat overheden niet aan securityregels voldoen

Het is onacceptabel dat niet alle overheden voldoen aan de verplicht gestelde e-mailstandaarden. Dat zegt staatssecretaris Alexandra van Huffelen van Digitalisering, mede namens de minister van Justitie en Veiligheid, in antwoord op Kamervragen. Dat niet overal aan deze en aan andere beveiligingsstandaarden voor overheidsdomeinen voldaan wordt, heeft meerdere oorzaken. Ook het tekort aan IT'ers bij de overheid speelt mogelijk een rol.
Eveline Meijer
Eveline MeijerRedacteurMeer van deze auteur
staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering)
© Rijksoverheid
Rijksoverheid

Forum Standaardisatie - een adviescommissie met deskundigen uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap - concludeerde afgelopen november dat slechts 53% van alle ruim 2.500 gecontroleerde domeinnamen aan alle verplichte websitestandaarden en 44% aan de verplichte e-mailstandaarden voldoet. De deadlines daarvoor liepen al in 2019 en 2021 af.

Experts en Tweede Kamerleden uitten tegenover AG Connect kritiek en Tweede Kamerlid Lisa van Ginneken (D66) stelde naar aanleiding daarvan Kamervragen aan de staatssecretaris en de minister van Justitie en Veiligheid. Van Huffelen benadrukt nu in antwoorden op die vragen - net als eerder tegenover AG Connect - dat de domeinen van de overheid aan alle standaarden moeten voldoen en dat deze correct geconfigureerd moeten zijn. 

Tekorten en afhankelijkheden

Dat dit toch nog niet het geval is, heeft meerdere oorzaken, aldus de staatssecretaris. Zo speelt het tekort aan IT'ers bij de Rijksoverheid "in zekere zin" een rol bij het probleem. "Ook het Rijk heeft namelijk te maken met een tekort aan IT’ers en dat draagt bij aan het tijdig handelen." Maar er is geen causaal verband tussen de twee vast te stellen, benadrukt Van Huffelen, omdat er ook andere zaken meespelen.

Allereerst kan de adoptie van sommige standaarden ingewikkeld zijn, wat ook te maken kan hebben met de manier waarop de ICT bij een organisatie is ingeregeld. "Zo is bijvoorbeeld de adoptie (en ‘strenge’ configuratie) van de anti-email-phishing standaard DMARC2 ingewikkelder, wanneer meerdere externe partijen namens die organisatie mail versturen (bijv. ten behoeve van mailinglijsten en enquêtes)."

Daarnaast zijn veel organisaties afhankelijk van hun externe leverancier. "Voor het Rijk is Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (SLM), belegd binnen het ministerie van Justitie en Veiligheid (JenV), verantwoordelijk voor de communicatie met de leveranciers", aldus de minister. "JenV vraagt samen met Forum Standaardisatie al sinds 2019 aandacht voor de implementatie van de standaarden. De implementatie van deze standaarden is door Microsoft steeds in tijd opgeschoven. SLM en Forum Standaardisatie hebben Microsoft opnieuw gewezen op de verplichting voor de Nederlandse Overheid deze standaard toe te passen en hebben Microsoft gevraagd de huidige ultieme invoerdatum van juli 2023 hoe dan ook te garanderen."

De staatssecretaris benadrukt bovendien dat ook bij een ingewikkeldere implementatie adoptie zeker mogelijk is, "getuige het groot aantal organisaties dat hun internetdomeinen wel binnen het afgesproken tijdspad op orde heeft gebracht". "Ik verwacht dan ook van alle organisaties dat ze alsnog aan de regels gaan voldoen."

Ministerie gaat Kamer informeren

Dat geldt ook voor het ministerie van Justitie en Veiligheid, dat volgens de meest recente meting achterloopt op onder meer de implementatie van anti-phishingstandaarden. "Het is belangrijk dat het ministerie van JenV zo spoedig mogelijk voldoet aan de verplichte open informatieveiligheiddstandaarden van Forum Standaardisatie", aldus Van Huffelen, ook namens de minister van JenV. 

De minister informeert de Tweede Kamer na het kerstreces over de  termijn waarop alle standaarden geïmplementeerd zijn. "Deze implementatie en het beheer van e-mail-en webdomeinen moet in de ICT-agenda’s van de JenV-onderdelen worden gepland. Domeinbeheer is noodzakelijk opdat het ministerie van JenV blijft voldoen aan deze standaarden."

Staatssecretaris blijft aandacht vragen

Van Huffelen zegt in haar antwoorden verder dat ze medeoverheden en rijksorganisaties per brief gaat wijzen op het belang te voldoen aan de geldende wet- en regelgeving, ook rondom de informatieveiligheidsstandaarden. "Als de huidige leverancier te weinig medewerking verleent, moeten overheden overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden. Om geschikte leveranciers te vinden kan informatie uitgewisseld worden met collega-overheden die leveranciers hebben die wel de afgesproken standaarden ondersteunen."

Ook zegt ze - net als eerder tegenover AG Connect - dat ze structureel aandacht blijft vragen voor "het belang én toepassing van de informatieveiligheidsstandaarden". 

Gerelateerde artikelen
Gerelateerde artikelen
Gerelateerde artikelen
Meer whitepapers
MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in