Websites gemeenten lek in Kop Noord-Holland

Redacteur Schagen
schagen

Uit onderzoek onder negen gemeenten in de Kop van Noord-Holland blijkt dat de communicatie met de meeste gemeentewebsites onvoldoende tot slecht beveiligd is.

Negatieve uitschieter is gemeente Medemblik, die totaal geen beveiliging kent. Den Helder en Langedijk komen als besten uit de bus, maar ook hier kan het beter. Het onderzoek is verricht door IT-expert Dae Punt uit Schagen, directeur van een auotmatiseringsbedrijf in zijn woonplaats.

Lees het nieuwsartikel in het Noordhollands Dagblad.

Beveiliging

Voor geïnteresseerden laat Dae Punt hieronder zien welke beveiligingsmogelijkheden er zijn, en vervolgens hoe dat bij de verschillende gemeentes is geregeld. ,,Er is een hoop te vertellen over computerbeveiliging van websites. Voor de leesbaarheid van dit artikel beperk ik mij tot vier situaties die van toepassing kunnen zijn op websites.''

1. Totaal onbeveiligd. Op zich prima voor gewone informatieve internetpagina's, maar ongeschikt voor uitwisseling van vertrouwelijke gegevens. Als de webpagina waarop je je persoonsgegevens intoetst begint met "http://" dan is er geen beveiliging en zijn je gegevens in gevaar!

2. Beveiliging met normaal beveiligingscertificaat. De webpagina waar je je persoonsgegevens intoetst begint met "https://" en er is een slotje zichtbaar in de adresbalk van je browser. De "S" van "https" staat voor "Secure" (Engels voor "veilig"). Je gegevens worden beveiligd uitgewisseld, maar je doet er goed aan te controleren met wie je de gegevens uitwisselt en wie het certificaat heeft uitgegeven.  De verstrekker van het certificaat heet de Certificate Authority, of kort: CA (Engels voor certificaat-autoriteit). Deze controle is noodzakelijk, omdat elke kwaadwillende voor een paar tientjes een dergelijk certificaat kan vervalsen.

3. Beveiliging met Extended Validation EV beveiligingscertificaat. De webpagina waar je je gegevens intoetst begint met "https://", er is een slotje zichtbaar in de adresbalk van je browser en de naam van de organisatie staat in het groen duidelijk zichtbaar in de adresbalk. Je gegevens worden versleuteld uitgewisseld met de partij waarvan de naam in de adresbalk staat vermeld. Dit is in 2013 de meest betrouwbare beveiliging, maar helaas nauwelijks in gebruik bij Nederlandse gemeenten.

4. Gebruik van DigiD. Sommige gemeenten gebruiken voor hun digitaal loket DigiD van de Nederlandse overheid. Ze maken daarmee gebruik van het wiel dat de overheid heeft uitgevonden en hoeven hun eigen wiel niet uit te vinden. Dit is voor gemeenten eigenlijk de elegantste methode om beveiligd gegevens met burgers uit te wisselen. Controleer goed welke bovengenoemde situatie van toepassing is na het inloggen op DigiD.

Hoe staat met de beveiliging van de communicatie met het digitaal loket in uw gemeente?

Alkmaar: situatie 2. CA: "Staat der Nederlanden Root CA - G2". Naam van de gemeente Alkmaar staat vermeld in de certificaatdetails. Bijzonderheid: het certificaatstaat op naam van "alkmaar.interaccess.nl" en dat is verdacht. Dat is namelijk niet de domeinnaam van de gemeente Alkmaar.

Den Helder: situatie 4 en 2. Keurig. CA: "Staat der Nederlanden Root CA -G2". Certificaat is al wat ouder en verloopt 18 januari 2014.

Heerhugowaard: situatie 1. Geen beveiliging. Vreemd: De gemeente Heerhugowaard maakt gebruik van een externe partij libersy.com die de gegevens onbeveiligd afhandelt.

Hollands Kroon: situatie 1. Ik herken in de internetlink hetzelfde systeem als de gemeente Schagen, voordat het beveiligingscertificaat werd geplaatst. De link naar het digitaal loket (http en geen https) werkt momenteel niet. Misschien heeft de gemeente Hollands Kroon de dienst proactief gesaboteerd.

Koggenland: situatie 2. CA: "Staat der Nederlanden Root CA - G2".

Langedijk: situatie 4 en 2. Keurig. CA: "Staat der Nederlanden Root CA". Certificaat is al wat ouder en verloopt 10 december 2013.

Medemblik: situatie 1. Geen beveiliging. Direct actie ondernemen!

Hoorn: situatie 2. en 4. CA: "Staat der Nederlanden Root CA - G2".

Schagen: situatie 2. CA: "AddTrust External CA Root" uit Zweden (landcode SE). Het beveiligingscertificaat is verstrekt aan "afspraak.schagen.nl" en de naam van de gemeente Schagen komt niet voor in het beveiligingscertificaat. Ook doet de gemeente Schagen er goed aan het verouderde en onveilige SSL 2.0 protocol op de betreffende webserver uit te schakelen.

Punt adviseert: ,,Als de gemeente het niet zo nauw neemt met de beveiliging van persoonsgegevens, dan doe je er goed aan om via de gemeenteraad het college van burgemeester en wethouders ter verantwoording te roepen. Vraag je college dan in ieder geval of ze zich bewust zijn van het risico dat de gemeente en burgers hierdoor lopen, hoe lang de situatie onveilig is en of het college de verantwoordelijkheid neemt aangaande diefstal van persoonsgegevens.''

Meer nieuws uit NHD

Ombudsteam

Ons Ombudsteam springt in de bres voor de consument.