Plasterk: ‘Overheidswebsites zijn voldoende beveiligd’

Ruim de helft van de websites van de overheid maken geen gebruik van een beveiligde HTTPS-verbinding, werd in december bekendgemaakt. Maar volgens minister Ronald Plasterk (Binnenlandse Zaken) zijn de websites veilig genoeg, zo stelde hij in een antwoord op Kamervragen.

Volgens Plasterk ontbreekt in het onderzoek “enige nuance” en zijn overheidssites met privégegevens beter beveiligd. Maar: “Het belang van het beveiligen van de verbinding naar een overheidswebsite hangt af van of de website (persoons-) gevoelige informatie uitwisselt.”

De beveiliging van de websites moet dan ook door overheidsinstanties zelf geregeld worden. Er is echter wel afgesproken dat de HTTPS-standaard eind dit jaar moet worden toegepast op iedere website die persoonlijke informatie verwerkt.

UWV

In het onderzoek uit december werden onder meer websites van het UWV als onveilig bestempeld. Volgens Plasterk is dit echter onterecht. “Het gedeelte van uwv.nl waarop algemene informatie wordt getoond (de landingspagina) gebruikt een http-verbinding. Voor deze pagina staat een softwarematige omzetting naar HTTPS in het tweede kwartaal van 2017 op de planning.”

“Pagina’s van uwv.nl waar sprake is van gegevensuitwisseling (bijv. tonen van persoonsgegevens door UWV, insturen van gegevens door klanten) bevinden zich in de MijnUWV-omgeving. Deze pagina’s zijn wel voorzien van een HTTPS-verbinding. Om in de MijnUWV-omgeving te komen moet bovendien worden ingelogd met DigiD.”

HTTPS-verbinding

Voordeel van deze veilige verbinding is dat het internetverkeer niet langer kan worden afgeluisterd. Een HTTP-verbinding kan worden gekaapt, waardoor gebruikers mogelijk persoonlijke gegevens invullen bij malafide websites. Via HTTPS is dit niet mogelijk.

Volgens het onderzoek van Open State Foundation dat in december werd gepubliceerd zijn overheidswebsites in 6 procent van de gevallen wel voorzien van HTTPS, maar waren er fouten gemaakt bij de implementatie. In totaal had 44 procent van de overheidswebsites een HTTPS-verbinding.