De 342 Nederlandse gemeenten hebben hun primaire websites meestal goed op orde, maar de regie op het groeiende portfolio aan websites zijn ze vaak helemaal kwijt. Sommige gemeenten hebben er zelfs enkele honderden en weten niet meer precies welke ze zelf beheren. Dat blijkt uit cijfers van het Digital Insights Platform (DIP).
In totaal zijn er minstens 10.000 gemeentelijke websites en elk jaar groeit dit cijfer. Het gaat bijvoorbeeld om websites waarop de begroting wordt gepubliceerd, maar ook websites voor de start van de Tour de France. Oude websites met verouderde logo’s van voor een gemeentelijke herindeling blijven in de lucht zonder dat iemand er nog naar omkijkt.
Slechts 28% voldoet
In totaal voldoen van de 10.000 gemeentelijke websites, samen goed voor zo’n 3,5 miljoen webpagina’s, voor slechts 28 procent aan de voor overheden verplichte beveiligingsstandaarden. Deze gaan onder meer over veilig e-mailen via een beveiligde mailserver en een goed beveiligde verbinding gebruiken via HTTPS. Wie de standaarden van Forum Standaardisatie toepast, gaat daarmee onder meer aanvalstechnieken zoals phishing en spoofing tegen.
‘De staat van deze duizenden gemeentelijke websites varieert van ‘pover’ tot ‘best oké’, zeggen Simon Besters en Michiel Duijsings, eigenaren en oprichters van het Digital Insights Platform. Ze zijn specialisten die al jaren werken aan het verbeteren van digitale dienstverlening en online communicatie bij de overheid. Tegen betaling kunnen gemeenten individueel van de inzichten wijzer worden over de staat van hun verzameling websites. Er bestaan echter ook oplossingen, waaronder de website Basisbeveiliging.nl (voorheen faalkaart.nl) die een deel van de data ook in huis heeft en deze als open data publiceert. Deze richt zich voornamelijk op security-eisen. ‘Maar ons perspectief is een stuk breder. Wij geven ook inzicht in leveranciers, gebruikte technieken en cookies. Ook bieden we de gemeenten content en manieren de geconstateerde problemen ook echt op te lossen.’
Vergeten websites
Bij veelgebruikte gemeentelijke websites waar persoonlijke gegevens worden gedeeld, is de beveiliging vaak nog wel op orde: gebruikers loggen in met het goed beveiligde DigiD om toegang te krijgen. ‘Het beeld verandert voor bijvoorbeeld websites die zijn gemaakt voor een bewonersavond met betrekking tot een nieuwbouwproject, gemaakt door leveranciers die niet gewend zijn om volgens de standaarden van de overheid te werken.’
Het probleem van veel gemeenten is volgens Duijsings en Besters dat ze niet goed in kaart hebben voor welke websites zij verantwoordelijk zijn. In sommige gevallen weten ze niet welke websites ze eigenlijk beheren. ‘Bij ieder gesprek met gemeenten hierover zit ik weer met een ander aan tafel. Dat tekent ook dat gemeenten niet goed weten wie nu verantwoordelijk is voor hun websites: de privacy officer, de IT’er of de communicatiemedewerker? In mijn ogen is het een gezamenlijke opgave. Er is een probleem rondom het eigenaarschap.’
Van één naar tientallen websites
Duijsings legt uit dat gemeenten allemaal ooit begonnen zijn met één website, en dat daar tot zo’n vijftien jaar geleden zo af en toe een enkele website bijkwam. Maar na verloop van tijd begonnen ambtenaren steeds vaker zelf websites aan te maken. Steeds meer collega’s begrepen hoe dit werkte en de verschillende afdelingen binnen een gemeente hadden vaak vrij spel bij het realiseren van websites.
Veel opgerichte websites worden al jaren amper bekeken en in sommige gevallen zelfs vergeten. Sommige gemeenten weten zelfs niet welke domeinnamen ze allemaal in beheer hebben en worden daar jaren later door anderen mee geconfronteerd. Dat komt omdat in veel organisaties nog steeds iedereen zomaar een website mag bouwen, leggen Duijsings en Besters uit. Zo zijn communicatieafdelingen er vaak bij betrokken, maar lang niet altijd.
Geen centraal beheer
Maar er is meestal niemand die het overzicht bewaart. ‘De websites van de gemeenten zijn een ongecontroleerde wereld en het effect daarvan is dat er nog steeds allerlei websites bijkomen. Zo gebruiken gemeenten bijna allemaal software van dezelfde SaaS-leverancier voor begrotingssoftware, waarmee automatisch een website wordt aangemaakt voor iedere jaarlijkse begroting. En dan gaat het hard.’
Een andere oorzaak van het groeiende aantal websites is het toenemend aantal gemeentelijke samenwerkingen. Gemeenten trekken bijvoorbeeld vaker gezamenlijk op met hun belastingorganisaties en diensten binnen het sociaal domein. Deze samenwerkingen leveren op den duur vaak websites op waarbij na verloop van tijd niet duidelijk is wie eindverantwoordelijk is voor het naleven van beveiligingsstandaarden. Dat geldt eveneens voor de toegankelijkheid en archivering ervan. In sommige gevallen worden verouderde websites zelfs ‘vergeten’ en weet niemand wie nog verantwoordelijk is.
Gemeenten zouden daar alsnog beleid voor moeten maken, stellen Duijsings en Besters. Volgens de wet zijn zij immers verplicht om hun websites aan de standaarden te laten voldoen. Eind 2024 wordt bovendien de Network and Information Security Directive (NIS2) van kracht: nieuwe strengere wetgeving waarbij gemeenten door het ministerie als ‘essentiële entiteit’ zijn aangemerkt en flinke eisen krijgen opgelegd als het gaat om cybersecurity. Ze kunnen ook een bestuurlijke boete krijgen wanneer er geen passende maatregelen zijn genomen.
In hoeverre hebben gemeenten een probleem? Volgens Duijsings en Besters zal deze wet geen doorslaggevend effect hebben, aangezien gemeenten zich nu ook al niet aan de wet houden qua naleving van beveiligingsstandaarden. ‘En dat is teleurstellend, want het komt simpelweg omdat er niet wordt gehandhaafd. Dat merken wij uit gesprekken met gemeenten. De regelgeving voor het naleven van standaarden voor onder meer beveiliging, maar ook digitale toegankelijkheid, bestaat al vele jaren. Daarin worden slechts kleine stapjes gezet. Ook moeten overheidswebsites volgens de Archiefwet regelmatig worden gearchiveerd, maar dat gebeurt bij zo’n 80 procent van de websites niet.’
Vastlopen
Toch is onwelwillendheid en een gebrek aan motivatie van gemeenten niet het enige probleem. Er zijn simpelweg niet genoeg webprofessionals in Nederland, en zeker niet bij gemeenten. Dat geldt voor zowel grote als kleine gemeenten. Besters en Duijsings: ‘Grote gemeenten hebben meer capaciteit en expertise in huis, maar in de regel ook veel meer websites. Het probleem groeit als het ware met de organisatie mee.’ In de ideale situatie zouden zij zich volop kunnen storten op de gemeentelijke websites, met als kerntaak het veilig houden van de websites en het toegankelijk houden van de informatie. ‘Het kan namelijk ontzettend veel tijd kosten dat op een goed niveau te doen. Kleine gemeenten hebben misschien maar één webprofessional in huis. Ik begrijp wel dat iemand er dan in vastloopt’, aldus Besters. ‘Nu is er vaak één ambtenaar die met de beste bedoelingen tegen de helling op ploetert.’
De Informatiebeveiligingsdienst voor Gemeenten (IBD) stelt in een reactie op de cijfers over het niet naleven van beveiligingsstandaarden door duizenden gemeentelijke websites dat alleen op individuele basis kan worden beoordeeld of hiermee sprake is van een beveiligingsrisico bij gemeenten. ‘De cybersecuritywetgeving NIS2 vraagt vooral om een risico-gebaseerde aanpak. De grootste risico’s pak je als eerste aan. Standaarden voor beveiliging helpen daarbij. De standaarden moeten worden gezien als een middel en niet als een doel, zo worden ze echter wel vaak beschouwd.’
Serieus probleem
Security-expert Dave Maasland van Nederland is er echter zeker van dat gemeenten wél een serieus probleem hebben door beveiligingsstandaarden niet na te leven. ‘Alles op internet is een potentiële kier waarin aanvallers naar binnen kunnen sluipen. Een slecht onderhouden website kan een springplank zijn om bij andere binnen te komen.’ Het belangrijkste dat misgaat volgens Maasland is dat gemeenten niet goed in kaart hebben wat ze in huis hebben aan zaken die aan internet hangen, waaronder de vele ‘vergeten’ websites.
Een goede inventarisatie van alle digitale eigendommen is in zijn ogen de eerste stap bij het voeren van goed securitybeleid. ‘De overheid moet websites en andere online eigendommen in kaart hebben, goed updaten en opschonen. Daarin heeft het een voorbeeldrol, ook de lokale overheden. Door deze websites aan hun lot over te laten, geven ze een slecht signaal af. Voor gemeenten is het zaak om weer ‘in control’ te komen over hun digitale eigendommen.’
Noodzaak
Maasland hoopt dat de nieuwe wetgeving NIS2 iets kan veranderen. Meer toezicht op het naleven van beveiligingsstandaarden is wat hem betreft noodzaak. ‘En het lijkt erop dat er straks eindelijk proactief toezicht gaat worden gehouden op security van de gemeenten. Deze wet kan dus wel eens de sleutel zijn voor dit soort problemen en ervoor zorgen dat het op de agenda komt bij topambtenaren.’
Ook cybersecurityexpert Bernold Nieuwesteeg stelt dat gemeenten een probleem hebben met de websites. ‘Vooral vanwege de uitstraling naar buiten. Bedrijven moeten zich in allerlei bochten wringen om aan NIS 2 te gaan voldoen, toeleveranciers krijgen ook van gemeenten allerlei eisen voor audits opgelegd, en dan zien ze dat de overheid het zelf ook niet goed doet. Voor naleving van wetten helpt het om naast de boetes ook een moreel verhaal te hebben. Want waarom zou je je eigenlijk aan de wet houden als bedrijf als je ziet dat de overheid het zelf niet zo nauw neemt met de regels?’