Vertrouwen van burger in digitale overheid wankelt

De veiligheid van overheidswebsites blijkt niet langer gegarandeerd. De discussie over ICT en de overheid ontbrandt opnieuw.

Vertrouwen kan snel verdampen. En helemaal als de digitale veiligheid op het spel staat. Dat bleek afgelopen weekend maar weer eens, na alarmerende berichten over de onbetrouwbaarheid van overheidswebsites.

Internet is de afgelopen jaren steeds meer het scharnierpunt geworden in de relatie tussen burgers en de (digitale) overheid. Maar het vertrouwen in veilige communicatie liep een deuk op nadat minister Piet Hein Donner (Binnenlandse Zaken, CDA) op een inderhaast georganiseerde persconferentie om kwart over één vrijdagnacht bekendmaakte dat de veiligheid van veel overheidswebsites niet meer kan worden gegarandeerd.

Donner waarschuwde dat burgers tot nader orde beter niet meer online aangifte kunnen doen via een DigiD-account. Bedrijven kregen het dringende advies om online geen transacties in te dienen. Ook binnen overheden zijn er problemen: bij tientallen gemeenten ligt bijvoorbeeld de webmail stil.

Hackers in Iran bleken te hebben ingebroken in de veiligheidscertificaten van honderden websites. Na uren overleg met onder anderen minister Opstelten (Veiligheid en Justitie, VVD) zegde Donner het vertrouwen op in DigiNotar, het bedrijf dat die veiligheidscertificaten verzorgde. Burgers en bedrijven raadde hij aan om de getroffen websites voorlopig niet te gebruiken, totdat het ministerie is overgeschakeld op nieuwe certificaten.

De politieke en maatschappelijke reacties die volgden, zijn terug te voeren op één vraag: Is de overheid wel in control als het gaat om de betrouwbaarheid en veiligheid van haar belangrijkste communicatiekanaal met de burger? Donner zelf wierp die vraag vrijdagavond impliciet al op. Hem was immers eerder al gebleken dat DigiNotar te lang had gewacht met het naar buiten brengen van de inbraak, half juli. Daarna bagatelliseerde het bedrijf ook nog eens de gevolgen van die inbraak. Mede daardoor bracht de dienst die over de veiligheid van overheidswebsites gaat, vorige week nog een geruststellend persbericht uit.

Maar vrijdagmiddag was het Donner kennelijk duidelijk dat er wel degelijk iets ernstigs aan de hand was. Na afloop van de ministerraad zei hij al te zoeken naar een structurele oplossing om online-veiligheid te garanderen: „Als een particuliere oplossing onvoldoende zekerheid biedt, moeten we in overweging nemen of we voor overheidssites een eigen beveiligingssysteem bouwen”, aldus de minister. Later die nacht sprak hij zich dus nog sterker uit.

Toen de gevolgen van Donners nachtelijke mededeling begonnen door te dringen, kwam het politieke debat los over de wenselijkheid van een grotere overheidsbemoeienis met de online-veiligheid. Aan de ene kant stelden PvdA en SP dat de afhankelijkheid van de overheid van bedrijven als DigiNotar, „veel te groot is”, zoals PvdA’er Heijnen zegt. Heijnen dringt ook aan op de komst van een bewindsman die zich exclusief met ICT-zaken zou bezighouden. Aan de andere kant noemde D66-Kamerlid Verhoeven grotere overheidsbemoeienis met ICT ongeloofwaardig: „Kijk naar de talloze ICT-debacles bij bijvoorbeeld de politie, de Belastingdienst en onlangs nog het gedoe met de ov-chipkaart in het openbaar vervoer. Technologische ontwikkelingen gaan zo snel, die wedloop tegen de modernisering wint de overheid nooit.” Overheden moeten alleen nog met de beste bedrijven in zee gaan, zegt Verhoeven.

Als de overheid tot uitbesteding besluit, is cruciaal dat de afspraken helder zijn. Want hoe kan het gebeuren dat DigiNotar in juli wordt gehackt, en de minister daar niet direct van op de hoogte is? DigiNotar zegt dat het zich aan de regels en procedures heeft gehouden. En ook de Opta, toezichthouder op bedrijven als DigiNotar, sloeg geen alarm. „Als dat waar is, dan zegt dat alles over de slechte kwaliteit van de procedures”, vindt Kamerlid Andre Elissen (PVV).

De vraag in hoeverre de overheid controle heeft over de online-veiligheid, bleek overigens ook een kwestie van beeldvorming. Zaterdagmiddag organiseerde de voorlichtingsdienst van het departement van Binnenlandse Zaken alwéér een persconferentie, nog geen vijftien uur na de eerste. Maar nieuwe feiten had de minister niet te melden, bleek al snel. Doel was vooral om „een uitroepteken te zetten” achter wat hij ’s nachts reeds had verteld, zei zijn woordvoerder.

Commentaar: pagina 2In Het Nieuws: pagina 4-5