Onnodig onveilige provin­ciale website


Inleiding
Op 1 december heeft de Open State Foundation hun onderzoek naar buiten gebracht[1], waarin gecontroleerd is of overheidswebsites veilige verbindingen gebruiken in de communicatie met de burgers. Dit is van belang uit oogpunt van afschermen van persoonsgegevens, maar ook voor authenticiteit van de informatie die op de website staat.
Uit dit onderzoek blijkt dat de website van de provincie wordt beoordeeld met een B, waarbij een A+ het hoogst haalbare is. In een interview met de directeur Arjan El Fassed geeft hij aan dat een website met een cijfer van B, qua beveiliging geen zin heeft. Vaak zou het hierbij overigens gaan om verouderde websites[2].

Vragen

1. De website van de provincie is op 7 juli 2016 vernieuwd[3]. Is bij de nieuwe website het aspect veiligheid ook meegenomen als uitgangspunt? Zo ja, kunt u aangeven op welke manier?

2. Bent u van mening dat de huidige website voldoet aan de laatste stand der techniek qua veiligheid? Zo nee, kunt u aangeven op welk termijn dit wel zo is?

3. Verschillende formulieren van de provincie maken geen gebruik van een beveiligde verbinding. Dit geldt ook als op deze formulieren persoonsgegevens worden gevraagd. Een voorbeeld hiervan zijn de Formdesk formulieren waar naar verwezen wordt op de webpagina: https://www.noord-holland.nl/Loket/Bezwaar_en_klachten.
De Autoriteit Persoonsgegevens doet aanbevelingen voor de uitvoering van de Wet bescherming persoonsgegevens (Wbp). Hierin geeft de Autoriteit Persoonsgegevens aan dat de Wbp eist dat overheden ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beveiligen[4].

4. Bent u van mening dat door de huidige opzet en gebruik van deze internet formulieren zorgvuldig wordt omgegaan met persoonsgegevens, zoals de Wbp die vereist? Zo ja, waar baseert u uw oordeel op? Zo nee, kunt u aangeven wanneer wel wordt voldaan aan deze wet?

5. Sinds 1 januari 2016 is er een meldplicht datalekken. De wet maakt onderscheid tussen incident en een lek. Kunt u aangeven of er nu sprake is van een beveiligingsincident of van een datalek?

6. Mocht het hier om een datalek gaan, is hiervan melding gemaakt bij meldpunt datalekken?

[1] Open State Foundation: Veel overheid websites onnodig onveilig 1-12-2016

[2] NOS op 3 Tech Podcast 1-12-2016

[3] Provincie Noord-Holland: Website Noord-Holland Vernieuwd juli 2016

[4] Autoriteit Persoonsgegevens: Beveiliging van persoonsgegevens

Antwoorddatum: 6 dec. 2016

1: Bij de vernieuwing van de website heeft informatieveiligheid een belangrijke rol gespeeld. Zo is SSL-beveiliging aan de website toegevoegd, wordt de beveiliging van de site doorlopend beoordeeld en zijn er beveiligingsvoorzieningen ingericht rondom berichten van bezoekers (reacties op blogs en berichten naar de door Fujitsu beheerde mailserver van de provincie Noord-Holland (PNH) ).

Uit een nadere analyse van de resultaten van het door de Open State Foundation (hierna OSF) gepubliceerde onderzoek blijkt dat de website van PNH en de gebruikte certificaten aan de vereisten voldoet, maar dat de website deze optimale veiligheid niet afdwong. Een verbinding opzetten zónder SSL was dus nog mogelijk. De actie om dit op te lossen is vòòr het onderzoek van OSF al besproken met de leverancier en is intussen gerealiseerd.

De geconstateerde B-score is daarmee veranderd in een A-score.

Deze nog verder opwaarderen naar een A+-score vergt het oplossen van een relatief kleine onvolkomenheid in de SSL-toepassing. Deze (moeilijk te misbruiken) kwetsbaarheid kan niet zonder meer worden verholpen wegens een conflict met een belangrijke functionaliteit. Het onderzoek naar de mogelijkheden om deze onvolkomenheid te verhelpen loopt.

2: De website voldoet vrijwel geheel aan de laatste stand van de techniek. De nieuwe ontwikkelingen in ICT-veiligheid gaan snel en PNH zal voortdurend mee bewegen. Dit wordt gewaarborgd via het contract met de leverancier/beheerder en door periodieke tests.

3: Wij zijn van mening dat wij, met de wijze waarop we nu met deze formulieren werken, voldoen aan de eisen uit de WBP. Hierbij moet worden aangetekend dat ook wordt doorverwezen naar de omgevingsdiensten die door PNH gemandateerd hun werk doen. De afspraken hierover met de omgevingsdiensten zullen worden vastgelegd in Bewerkersovereenkomsten.

4: De ‘Beleidsregels voor de toepassing van artikel 34a WBP’ (AP 8 december 2015) geven aan:

‘Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens’.

In het onderhavige geval is er sprake van een zwakke plek, die we zo snel mogelijk repareren.

5: Aangezien er geen sprake is van een datalek is er geen melding gedaan van dit incident.

Help mee aan een betere wereld

    Word lid Doneer