'Digitale veiligheid bij overheid moet beter'

Overheden kunnen niet instaan voor de veiligheid van digitale gegevens van bijvoorbeeld burgers, omdat ze die veiligheid niet in alle gevallen op orde hebben. Volgens de Onderzoeksraad voor Veiligheid (OVV) zijn bestuurders zich te weinig bewust van de risico's. Acute veiligheidsproblemen zijn er echter niet.

De onderzoeksraad concludeert dit donderdag in een rapport. De OVV concludeert dat de Belastingdienst en de Sociale Verzekeringsbank hun zaken beter op orde hebben.

Risico's
Maar over het algemeen vertrouwt de overheid te veel op andere partijen en controleert zelf te weinig of regels worden nageleefd. ,,We willen niet stellen dat je alle risico's kunt uitsluiten, maar de overheid moet zich wel bewust van de risico's zijn'', benadrukt voorzitter Tjibbe Joustra. ,,Je moet, als het misgaat, de schade kunnen beperken.''

De onderzoeksraad wil daarom dat het bestuurlijk toezicht wordt verscherpt en dat de overheid zorgt dat de verantwoordelijke bestuurders meer kennis krijgen over de aansturing van digitale veiligheid. Afspraken om de veiligheid te kunnen garanderen bestaan al langer, maar worden ,,beperkt nageleefd’’. Dat moet beter, benadrukt de raad. Ook zou de overheid publiekelijk verantwoording moeten afleggen.

De OVV startte het onderzoek enkele maanden geleden, onder meer op verzoek van het ministerie van Binnenlandse Zaken, na de affaire rond het inmiddels failliete DigiNotar dat werd gehackt. Dat bedrijf gaf beveiligingscertificaten uit, ook voor websites van de overheid. Maar DigiNotar bleek de veiligheid niet te kunnen garanderen.

De zaak veroorzaakte grote commotie over de (on)veiligheid van digitaal contact tussen burgers met de overheid. Hoewel de hack grote risico’s met zich meebracht, bleef de economische schade uiteindelijk beperkt. Maar de overheid deed er wel maanden over om alle veiligheidscertificaten te kunnen vervangen.

Dat kan veel sneller, als overheden zoals, bijvoorbeeld gemeenten, provincies en ministeries, zich hadden gerealiseerd dat een bedrijf als DigiNotar onbetrouwbaar zou kunnen worden. Hadden ze dat wel gedaan, dan hadden ze sneller en beter op de situatie kunnen inspelen.

De OVV spreekt bij gemeenten van ,,gebrekkig inzicht in de risico’s die digitale veiligheid bedreigen’’. Alleen ICT-afdelingen lijken zich de gevaren te realiseren, maar dat geldt niet voor de ambtelijke top of de colleges van burgemeester en wethouders. Want hoewel digitale veiligheid een directe verantwoordelijkheid is van de bestuurders, blijft het onderwerp vaak onbesproken.

ANP