Absurd, dat minister Donner van niks wist

Twee persconferenties van minister Donner binnen 24 uur, waarvan één nachtelijke.

Dan moet er wel wat aan de hand zijn.

Ambtenaren willen ook weekend. Dus moest er wel iets serieus aan de hand zijn, toen afgelopen vrijdagavond op het ministerie van Binnenlandse Zaken nog druk overleg gaande was. Ambtenaren onderzochten of de veiligheid van honderden overheidssites in gevaar kon zijn, doordat DigiNotar, het bedrijf dat de veiligheidscertificaten regelt, in juli was gehackt door Iraniërs.

Het vermoeden dat de beveiligingscertificaten van de overheidssites niet langer te vertrouwen waren, werd bevestigd toen bleek dat minister Piet Hein Donner (Binnenlandse Zaken, CDA) om 1 uur ’s nachts nog een persconferentie belegde. En inderdaad: het viel niet uit te sluiten dat de veiligheid van overheidssites zoals DigiD en de Belastingdienst al weken in het geding was.

Waarom zo laat vrijdagnacht die persconferentie? Het simpele antwoord: omdat het kon. Nadat de ministers hadden besloten het vertrouwen in DigiNotar op te zeggen, vertelt een woordvoerder, was de vraag wanneer dat naar buiten gebracht moest worden. „Dan maar meteen, dan weet iedereen het maar.”

Zaterdagmiddag hield Donner vervolgens nóg een persconferentie, zonder dat hij daar nieuwe feiten meldde. Maar dat was dan ook niet de bedoeling. Doel was „om een uitroepteken te zetten” bij wat de minister ’s nachts – en dus niet voor iedereen zichtbaar – al had verteld, zegt zijn woordvoerder. Donner wilde dus vooral laten zien dat hij bovenop dit probleem zit.

Mogelijk is het aan deze twee optredens te danken dat dit keer weinig kritiek klinkt op de manier waarop een bewindspersoon handelt. Donner reageerde „vrij snel”, en „neemt dit probleem in elk geval serieus”, is uit de monden van oppositionele Kamerleden zoals die van D66 te horen. En: „Veiligheid gaat boven alles, dan is het even niet anders dat de burger daar ongemak van ondervindt.”

Ondanks al dat werk in de nachtelijke uurtjes waren er toch critici: VVD-Kamerlid Helma Neppérus vond de informatievoorziening voor burgers „rijkelijk laat op gang komen”. Zaterdagochtend, „toen ik uit bed kwam”, vond ze nog geen informatie op www.rijksoverheid.nl.

Fundamenteler was de kritiek van SP en PvdA. Die partijen vragen zich af of de overheid wel ‘in control’ is bij het garanderen van de veiligheid van het eigen webverkeer. Immers, op woensdag 31 augustus stuurde de overheidsorganisatie die verantwoordelijk is voor de veiligheidscertificaten nog een persbericht de wereld in dat de certificaten wél veilig waren. Pas na onderzoek van IT-beveiligingsbedrijf Fox-IT op vrijdag bleek dat de overheidscertificaten wel degelijk gevaar liepen. Had de minister eerder kunnen of moeten ingrijpen?

Cruciaal punt lijkt inmiddels niet of de minister bij dit incident adequaat heeft opgetreden, maar dat er een structureel probleem is met de online veiligheid, zegt PvdA-Kamerlid Pierre Heijnen. Hij noemt de affaire een wake-up call die tal van politieke en bestuurlijke vragen blootlegt.

Want hoe kan het gebeuren dat een bedrijf dat die veiligheidscertificaten voor de overheid regelt in juli al wordt gehackt, en het ministerie daar vervolgens niet van op de hoogte wordt gesteld? Absurd, noemt ook PVV-Kamerlid Andre Elissen dat. Hij stelde vorige week donderdag Kamervragen over de veiligheid van de DigiD-site. DigiNotar zegt overigens zich aan de regels en procedures te hebben gehouden. Ook de Opta, die toezicht moet houden op bedrijven als DigiNotar, sloeg geen alarm. Elissen: „Als dat allemaal waar is, dan zegt dat alles over de slechte kwaliteit van die procedures.”

Hoe de overheid de online veiligheid moet garanderen, wordt nu hoofdvraag in de Kamer. De PVV wil dat de overheid zelf de regie in handen houdt. Die mening is ook de PvdA toegedaan. „De afhankelijkheid van de overheid van het bedrijfsleven is bij webbeveiliging te groot”, zegt PvdA’er Heijnen. Hij wil een aparte bewindsman, exclusief voor ICT-zaken. Maar dat moet Donner niet zijn, zegt hij erbij: „Die maakt te vaak de indruk ICT niet serieus te nemen.”

De overheid die de online veiligheid – succesvol – in eigen hand gaat houden? Ongeloofwaardig, zegt onder andere D66’er Kees Verhoeven. Overheid en ICT vormen nu eenmaal geen gouden combinatie: kijk naar de problemen met de ov-chipkaart, bij de politie, bij de Belastingdienst, bij het UWV. De kans is zeer reëel dat de overheid achter de feiten aan zal lopen, denkt Verhoeven. „Het lijkt mij beter als de overheid alleen nog met de beste bedrijven in zee gaat”, om overeind te blijven in de „wedloop om de modernisering”.