"Ssl werd al overwogen, maar het rapport van Networking4all was wel een aansporing", zegt woordvoerder Vincent van Steen, van het ministerie van Binnenlandse Zaken (BZK). Hij vertelt dat de zogeheten corporate sites, de hoofdsites van de ministeries zelf, als eerste aan de beurt zijn.

Tientallen per ministerie

Later volgen dan de andere sites van de Nederlandse Rijksoverheid. Dat zijn enkele tientallen sites. "Ik weet het niet precies. Het zijn er wel tientallen per ministerie", geeft Van Steen als grove schatting. Het exacte aantal is niet bekend doordat elk ministerie over de eigen sites gaat, legt hij uit.

Ook op het hogere niveau van de hoofdsites zijn er al meerdere sites. "Algemene Zaken heeft bijvoorbeeld Postbus 51 en ook regering.nl." Het aantal corporate sites is dus groter dan het aantal departmenten (dertien).

Hoeveel overheidssites er in totaal zijn, is onbekend. "Voor een actueel overzicht is een inventaris nodig. De PVV heeft hierover Kamervragen gesteld, dus die inventaris wordt wel gemaakt", schat Van Steen in. BZK had al gereageerd dat de sitebeveiliging van de overheid wel op orde is.

Contactformulieren

De doorvoering van ssl geldt voor de contactformulieren op overheidssites. "Maar daarnaast gaan we de beveiliging in het algemeen doorlichten." Dat gebeurt dan op basis van een risico-inschatting; welke gevoelige informatie wordt waar aangeboden, verwerkt of opgeslagen. "Daarbij wordt er vooral gekeken naar de aard van de informatie."

Van Steen benadrukt dat beveiliging een doorlopend proces is. "Sommige sites zijn al erg veilig, bijvoorbeeld de Belastingdienst en Werkenbijdeoverheid.nl." Op die sites is immers er veel meer gevoelige informatie.

Werkenbijdeoverheid.nl

Networking4all bestrijdt overigens dat Werkenbijdeoverheid.nl al veilig is, zoals de overheid suggereert. "Een 'quick scan' toont feilloos aan dat de betreffende website nog steeds onveilig is", zegt Paul van Brouwershaven, technisch directeur van Networking4all. "Zonder enig probleem kan Networking4all 'live' en binnen een paar minuten aantonen hoe persoonsgegevens van deze website af te halen zijn."

"De overheid vindt het niet altijd nodig dat pagina's waarop slechts 'eenvoudige gegevens' worden ingevuld, beveiligd moeten worden. Echter als er één zwakke schakel in de beveiliging zit dan lijdt de hele keten daaronder. Het moge duidelijk zijn dat nader onderzoek zeker op zijn plaats is", laat Networking4all in een persbericht weten.

Het Rijk

De nu aangekondigde toepassing van ssl-certificaten voor contactformulieren is alleen van toepassing op sites van de Rijksoverheid. Het is aan gemeenten en provincies zelf of zij dit ook doorvoeren voor hun eigen sites. "Daar kan via een koepelorganisatie, zoals de VNG, wel op worden aangedrongen. Maar ik spreek alleen voor de Rijksoverheid", aldus de woordvoerder van BZK.

Update: Reactie Networking4all toegevoegd