In de Tweede Kamer debatteren de partijen aanstaande donderdag over het Diginotar-debacle, waar Webwereld uitgebreid over berichtte. Afgelopen weekend bleek dat vijftig gemeentesites kinderlijk eenvoudig te hacken bleken. De gemeentesites draaiden op oude Windowsversies, waarop hackers gemakkelijk konden inbreken en onder meer DigiD-sessiebestanden konden klonen.

Over het geheel genomen zijn de partijen verbolgen over deze lekken, “maar dat is een cliché," zegt Ger Koopmans (CDA). “Het gaat om de oplossingen. Instanties moeten zelf de verantwoordelijkheid nemen voor de beveiliging." Koopmans steunt de brief van Sharon Gesthuizen waarin ze minister Donner (Binnenlandse zaken) om een reactie vraagt op de lekke gemeentesites. Het CDA onthoudt zich verder van commentaar en wacht op de reactie van minister Donner. Het CDA blijkt daarin alleen te staan.

Crash-team of audit-teams?

Sharon Gesthuizen (SP) is minder afwachtend en pleit voor een crashteam: 'We hebben geluk dat het hier een journalist betreft en niet een kwaadwillende hacker. Al eerder pleitte ik voor een parlementair onderzoek om te achterhalen hoe dit zo fout heeft kunnen gaan. Ook moet er een crash team komen dat 24 uur per dag kan ingrijpen wanneer dit soort gaten in de beveiliging naar buiten komen.'

Arjan el Fassed (GroenLinks) wil ook een team. Maar dan een audit-team dat jaarlijks de ict-beveiliging van gemeenten test. Volgens El Fassed zijn de slecht beveiligde gemeentesites geen incidenten meer, maar een symptoom van gebrek aan controle op ict-veiligheid en privacy bij de overheid. “Ook in dit geval worden basisregels genegeerd. De problemen met ict bij de overheid zijn structureel. We weten dat veiligheid en privacy echt gewaarborgd moet worden, maar weten niet waarom de overheid het steeds maar niet lukt."

Instellen CIO's bij departementen

Pierre Heijnen (PvdA) zal donderdag pleiten voor een verruiming van verantwoordelijkheden bij cio's (chief information officers) op departementen. Volgens Heijen beschikken zij over de hele linie gezien niet over juiste bevoegdheden en budgetten om verantwoordelijkheid te nemen. "Ze zijn formeel wel verantwoordelijk, maar de functie wordt bij sommige departementen er een beetje bij gedaan, door bijvoorbeeld een secretaris-generaal. Dat is niet wenselijk," zegt Heijnen.

Te weinig, concludeert André Elissen (PVV): “Met alleen cio's red je het niet. Het probleem zit meer in de Thorbecke-gedachte dat elke overheidsinstantie zijn eigen autoriteit moet hebben. De gevolgen zie je nu op het gebied van it-veiligheid. Iedereen blijft maar hetzelfde wiel uitvinden. Wij pleiten voor een Thorbecke 2.0 gedachte, waarin de centrale overheid de regie pakt en scherp stuurt op veiligheid van persoonlijke gegevens. Daarnaast pleiten wij ervoor dat elk jaar een onderzoek naar de veiligheid van data wordt uitgevoerd."

Wake-up call

Jeaninie Hennis-Plasschaert (VVD) vindt de zaak “DigiNotar" een enorme wake-up call. De beveiliging van overheidsinstanties is nu nog teveel hap-snap. Ze verwacht veel van een nog op te richten Nationaal Cyber Security Centrum (NCSC), dat gevraagd en ongevraagd advies geeft aan overheidsinstanties over it-veiligheid. Ze zal donderdag vragen naar de invulling van dit centrum om bijvoorbeeld bepaalde zaken af te dwingen.

Hackers inhuren

Als het aan Wassila Hachchi (D66) ligt, gaat de overheid direct samenwerken met hackers voor de beveiliging van gemeentesites. “Door met ethische hackers samen te werken kan je veel problemen ondervangen voordat een overheidssite live gaat." Het ontbreekt volgens haar vooral aan deskundigheid bij de overheid. “We leven in een digitaal tijdperk en de overheid moet deskundigheid in huis halen om de digitale dienstverlening te garanderen." Het initiatief Lektober van Webwereld toont volgens haar aan dat het ict-beleid van de overheid veel ruimte tot verbetering biedt. En dat is volgens haar heel erg zacht uitgedrukt.

Daarnaast hoopt Hachchi dat minister Donner meer duidelijkheid kan geven over het AIVD-onderzoek naar Diginotar: “Het lijkt nu een beetje weggezakt te zijn, maar het feit is dat gegevens van Iraanse mensen gelekt zijn. Met alle gevolgen van dien gelet op de verkiezingen die er daar aankomen."