Het DigiNotar-debat: wat eraan vooraf ging

Vanavond debatteert de Tweede Kamer over de DigiNotar-affaire. Een maand of twee geleden zou niemand dat nog iets gezegd hebben. Maar de beveiliging van overheidssites staat inmiddels hoog op de politieke agenda. Een overzicht van wat vooraf ging.

Beeld anp

In juni van dit jaar werd ingebroken op de servers van DigiNotar, een Beverwijks bedrijf dat beveiligingscertificaten verzorgt van onder andere overheidssites en de Belastingdienst. Aanvankelijk werd daar geen ruchtbaarheid aan gegeven. Het lek werd meteen gedicht en er leek niets aan de hand. Maar in augustus bleek dat er een lek over het hoofd was gezien. Daardoor kon de Nederlandse overheid niet langer garanderen dat alle overheidssites helemaal veilig waren.

Tijdens een nachtelijke persconferentie maakte minister Piet Hein Donner van Veiligheid en Justitie bekend dat de overheid DigiNotar, waar het zo'n tien jaar lang klant was geweest, aan de kant zette. Het Openbaar Ministerie onderzoekt nu of er sprake was van nalatigheid bij het bedrijf. Ondertussen heeft de financiële waakhond OPTA de registratie van DigiNotar als leverancier van gekwalificeerde elektronische handtekeningen ook al ongedaan gemaakt. Onlangs werd DigiNotar dan ook failliet verklaard.

Lektober
De affaire heeft de discussie over de beveiliging van (overheids-)websites doen oplaaien. Technologiewebsite Webwereld heeft oktober uitgeroepen tot 'lektober', de maand van het privacylek, en wil iedere werkdag een lek in een overheidssite of bedrijfsnetwerk blootleggen.

Zo kwam de site erachter dat via een bepaalde inlogprocedure contact kon worden gemaakt met de server achter verschillende gemeentewebsites, waardoor persoonlijke gegevens van medewerkers, documenten en mogelijk ook DigiD-sessies te zien waren. In totaal bleken 34 gemeentelijke websites met veiligheidsproblemen te kampen.

In een reactie daarop kondigde Donner gisteren aan dat de inlogdienst DigiD voortaan niet meer kan worden gebruikt bij alle overheidsorganisaties met lekke websites. Deze organisaties kunnen pas weer met DigiD gaan werken als ze aan een aantal veiligheidseisen voldoen. Vanaf 2012 moeten instellingen die met DigiD werken elk jaar kijken of dit nog wel veilig gebeurt.

Gemeenten en overheidsinstellingen met diensten die met DigiD toegankelijk zijn, moeten uiterlijk voor april volgend jaar de beveiliging van hun ICT gecontroleerd hebben. Govcert, de instelling die gaat over ICT-veiligheid bij de overheid, zal nog aangeven welke normen daarbij gelden.

Vanavond debatteert de Tweede Kamer over de vraag hoe overheidswebsites en -diensten voortaan zodanig beveiligd kunnen worden, dat hun betrouwbaarheid gegarandeerd kan blijven. Het debat zou eigenlijk deze week gevoerd worden, maar door agendaproblemen werd dit verschoven naar vandaag.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden