62 procent overheidswebsites niet goed beveiligd

Slechts 44 procent van de Nederlandse overheidswebsites maakt gebruik van het versleutelde HTTPS-protocol, meldt de Open State Foundation.

REUTERS/Lee Jae-Won

Slechts 44 procent van de Nederlandse overheidswebsites zijn bereikbaar via een beveiligde HTTPS-verbinding. Dat blijkt uit een onderzoek van de Open State Foundation. De organisatie kwam er achter dat meer dan de helft van de 1.816 onderzochte staatsdomeinen niet voldoende beveiligd zijn.

HTTPS maakt het door versleuteling van websiteverkeer moeilijker om gegevens die tussen de site en de gebruiker uitgewisseld worden af te tappen. Het protocol wordt vaak gebruikt om bijvoorbeeld sites met privacygevoelige informatie te beveiligen. Het standaard HTTP-protocol versleutelt geen informatie, waardoor buitenstaanders kunnen zien wat voor communicatie er plaatsvindt tussen de gebruiker en de website.

Overheidswebsites als igz.nl en rijksrecherche.nl maken geen gebruik van HTTPS.

Binnen- en buitenland

De Open State Foundation ontdekte bovendien dat de overheidswebsites die wél gebruikmaken van HTTPS dat ook niet altijd goed doen. Van de 797 overheidswebsites die HTTPS gebruiken, hebben er 108 de verbinding verkeerd geconfigureerd. Onder andere kiesbeter.nl en lerenenwerken.nl bieden wel een HTTPS-connectie, maar hebben deze niet goed ingesteld, aldus de Open State Foundation.

Gebruikers lopen in totaal op 62 procent van de websites extra risico. Ook hebben meerdere Nederlandse ambassades in het buitenland geen beveiligde verbinding, zoals in China en Afghanistan.

Op gemeenteniveau ligt de score iets boven het gemiddelde: 55 procent van de gemeentewebsites biedt een werkende HTTPS-connectie. Vijf provincies doen het goed, terwijl Friesland, Limburg, Drenthe, Groningen en Zuid-Holland juist geen beveiliging bieden. Het gebruik van HTTPS wordt door de Nederlandse overheid aangeraden, maar is niet verplicht. Het onderliggende protocol TLS is overigens wel een vereiste.

De Open State Foundation houdt vanaf donderdag via het Pulse-dashboard bij of de situatie verandert.