Dat blijkt uit het antwoord van het gemeentebestuur op vragen van het SP-raadslid AnneMarie Mineur. Zij wilde opheldering over de staat van de website, nadat de gemeente eerder ontkende een probleem op de site te hebben maar toch fluks van server wisselde.

Wel laatste versie

Het wisselen van serversoftware zou niet kloppen, zegt het gemeentebestuur nu. Het college bestrijdt dat scans van netcraft over de serversoftware van de gemeente correct zijn. Er zou sinds 10 februari 2010 gewerkt zijn met Windows Server 2008 en een stap terug naar eerdere versies van Windows Server heeft niet plaatsgevonden, zegt het gemeentebestuur.

Wel erkent het college van B en W dat er nog nooit een audit op de website heeft plaatsgevonden. “Er zijn in het verleden geen security audits op de gemeentelijke website gedaan", schrijft het college aan de SP. Wel wordt dat nu opgelost. “De opdracht tot het uitvoeren van een audit is inmiddels gegeven. Uiteraard hebben de recente berichten over beveiligingsrisico's bij ons de aandacht voor beveiliging van onze website verhoogd. Er zijn inmiddels ook enkele verbeteringen doorgevoerd."

Geen certificering

Toch weigert de gemeente de stap te maken om de certificering voor ISO-27001/27002 te halen. “Op basis van een kosten- en batenanalyse zien wij geen meerwaarde in een ISO-certificering", schrijft het college. “De code voor informatiebeveiliging (NEN-ISO 27001 en 27002) geldt echter wel als leidraad voor het vastgestelde informatiebeleid."

Ook weigert de gemeente het verzoek van de SP in te willigen om een onafhankelijk onderzoek te laten verrichten. Daarbij is de boodschap dat de verantwoordelijkheid echt bij de bestuurders ligt en dus de gemeenteraad alleen kritisch mag volgen.

In reactie op vragen van Webwereld stelt Rachel Marbus, onderzoeker aan de Universiteit van Tilburg dat het belangrijk is de zaken goed te regelen: “Een zeer belangrijk onderdeel daarbij, ook vanuit de Wet bescherming persoonsgegevens een plicht, is het adequaat beveiligen van die gegevens. Dat moet gebeuren aan de hand van de laatste stand van de techniek. De basale zaken rondom gegevensbeveiliging moet je dus gewoon op orde hebben."

Onzeker en bezorgd

Raadslid Mineur blijft met een gevoel van onzekerheid zitten. "Wel erkent de gemeente nu gelukkig dat ze dat zonder audit zelf ook niet kunnen beoordelen, en ze laten dus een webapplicatiescan en een penetratietest doen. Dat hebben we gelukkig bereikt", stelt ze in een reactie tegenover Webwereld. "De gemeente is niet bereid om een ISO-certificering aan te vragen, want dat is te duur. De afspraak is dat patches maandelijks gedraaid worden. Waarom niet meteen wanneer ze uitgebracht worden?"

Ook is de SP ontstemd over het uitblijven van onafhankelijk onderzoek. "We wachten nu uiteraard eerst de audit af, en we hopen dat onze vragen dan allemaal beantwoord zijn. We hebben er nu nog een heleboel waar geen bevredigend antwoord op gekomen is", zegt Mineur dan ook.