KING is de organisatie die namens het VNG de gemeenten bijstaat in ict-vraagstukken. In samenspraak met de Vereniging Nederlandse Gemeenten en het ministerie van Binnenlandse Zaken wordt aankomende donderdag begonnen met de eerste aanzet in het onderzoek naar de kwaliteit van de informatiebeveiliging bij gemeenten, en dan in het bijzonder naar de koppelingen met DigiD.

De totale aanpak van de beveiliging van DigiD bij gemeenten gaat duren tot eind 2013. In eerste instantie wilde het ministerie van Binnenlandse Zaken al per 1 april klaar zijn, maar dat is bij lange na niet haalbaar gebleken. De grootste DigiD-gebruikers (zoals de Belastingdienst) moeten dit jaar nog “veilig" zijn, de gemeenten een jaar later.

Naar aanleiding van Lektober

De grootscheepse controle is mede naar aanleiding van de ontdekking tijdens Webwerelds Lektober dat minstens veertig gemeenten persoonlijke informatie lekten van burgers door een fout in de koppeling met DigiD. Die veertig gemeenten werden direct afgesloten van DigiD; daarvan is nog steeds een gemeente nog niet terug aangekoppeld, zo maakte minister Spies van Binnenlandse Zaken vorige week bekend.

SP-Tweede Kamerlid Sharon Gesthuizen vindt de tijdspanne waarin de gemeenten worden gecontroleerd te lang. Zij kondigde vorige week aan mogelijk met een motie te komen om de minister tot meer spoed te manen. Spies zei toen niet sneller te kunnen omdat het onderzoek gecompliceerd is en omdat er te weinig capaciteit in de markt is.

Pilot moet uitvinden wat er nu precies is

De complexiteit zorgt er in ieder geval voor dat er eerst wordt gekeken wat er nu precies bij gemeenten aan DigiD-koppelingen zijn, welke leveranciers daarbij zijn betrokken en hoe er voor de audit bij alle 415 gemeenten een gestandaardiseerde aanpak kan worden ontwikkeld. Die pilot wordt gedaan bij negen gemeenten van verschillende grootte. Dat zijn Apeldoorn, Doetinchem, Eindhoven, Heerhugowaard, Lisse, Nieuwegein, Zuidplas, Zutphen en Zwolle.

De pilot kent aankomende donderdag een officiële, en besloten, kickoff-bijeenkomst. Daarna gaat de pilot van start, waarbij behalve de genoemde gemeenten tevens de leveranciers van front-office en hosting zijn betrokken. De pilotfase moet in juni zijn afgesloten, waarna KING de uitkomsten van die impactanalyse wil presenteren.

Na die pilot moet er een gestandaardiseerde aanpak komen van de audits bij alle gemeenten. Volgens Logius, de ict-beheerorganisatie van de overheid is het geen doen om alle 415 gemeenten zelf de audit te laten uitvoeren. Dat moet worden uitbesteed. Logius beheert tevens DigiD en is als zodanig eveneens bij het gehele traject betrokken.

Stappenplan met EDP-auditor

Logius heeft een stappenplan gemaakt waaraan de gemeenten zich kunnen vasthouden. Met de ICT Beveiligingsassesment DigiD kunnen de gemeenten de veiligheid van de eigen DigiD-omgeving testen, waaronder ook alle koppelingen met applicaties die daarvan gebruik maken. Een volgend onderdeel van die test is het laten uitvoeren van een penetratietest, waarmee de papieren veiligheid ook in de dagelijkse praktijk kan worden getest. Vervolgens moet een en ander ook worden vastgelegd door een zo geheten EDP-auditor. Die moet werken volgens de normen van Norea, de beroepsorganisatie van IT-auditors.

De VNG heeft alle gemeenten al op de hoogte gesteld van het stappenplan van Logius, maar zegt er wel bij voor de zekerheid de pilot af te wachten voordat er verdere stappen worden ondernomen. Logius onderschrijft dat advies. “KING adviseert gemeenten om wel aan de slag te gaan met het stappenplan van Logius, om zich zo goed als mogelijk voor te bereiden", zegt Michiel Groeneveld, woordvoerder van Logius. “Een gedegen voorbereiding kost veel tijd, maar zal de doorlooptijd van de audit hoogstwaarschijnlijk verkorten. Natuurlijk kunnen ze ook met de audit aan de slag gaan, maar wellicht is het verstandiger de uitkomsten van de impactanalyse af te wachten."

Bevindingen zijn niet openbaar

De gemeenten moeten de bevindingen van de EDP-auditor naar Logius toezenden, die het weer doorstuurt naar Binnenlandse Zaken. De resultaten worden niet openbaar, zegt Groeneveld. “Logius zal de informatie die ze ontvangt vertrouwelijk behandelen. Openbaarheid kan ook niet omwille van de veiligheid en vertrouwelijkheid. Het is dus geen onwil." Logius zal wel de resultaten beoordelen om te zien of er een (te groot) risico is voor de integriteit van DigiD. In dat geval wordt er ingegrepen met als uiterste maatregel het tijdelijk afkoppelen van DigiD.

De audit zal zich overigens niet alleen beperken tot 2013. Het is de bedoeling dat de gemeenten voortaan jaarlijks een dergelijk assessment doen. Die in 2013 is dan de eerste.