| Ingediend | 6 juni 2016 |
|---|---|
| Beantwoord | 24 juni 2016 (na 18 dagen) |
| Indieners | Astrid Oosenbrug (PvdA), Manon Fokke (PvdA) |
| Beantwoord door | Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
| Onderwerpen | bestuur economie gemeenten ict |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z11231.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-2943.html |
Ja.
Ja.
In het bericht wordt gerefereerd aan de open beveiligingsstandaarden DKIM+SPF+DMARC (anti-phishing), DNSSEC (domeinnaambeveiliging) en STARTTLS (beveiligde verbindingen).
DKIM+SPF en DNSSEC staan op de pas-toe-of-leg-uit lijstvan het Forum Standaardisatie. DMARC en STARTTLS in combinatie met DANE zijn kandidaat om opgenomen te worden. De open standaarden die op de pas-toe-of-leg-uit lijst staan, zijn verplicht bij aanschaf, aankoop, aanbesteding of ontwikkeling van nieuwe diensten.
Volgens cijfers van het Bureau Forum Standaardisatie [https://www.forumstandaardisatie.nl/fileadmin/os/publicaties/Monitor_OSb_2015_Definitief.pdf] was DKIM in 2015 bij 77 gemeenten geïmplementeerd. Concluderend meldt het rapport (p. 24): «Iets meer dan één vijfde van de domeinnamen van overheden is in 2015 voorzien van een DKIM-configuratie. De verschillen tussen de verschillende overheden zijn niet groot.»
Voor deze standaarden is door het Nationaal Beraad een adoptie-impuls afgesproken, met het streefbeeld om de beveiligingsstandaarden die reeds op de pas-toe-of-leg-uit-lijst staan (TLS, DKIM+SPF en DNSSEC) – daar waar van toepassing – uiterlijk eind 2017 te hebben geïmplementeerd.
Gemeenten werken op verschillende fronten aan de bestrijding van spam en phishing. In de eerste plaats gaat het om het vergroten van de bewustwording binnen gemeenten; dit geldt eveneens voor burgers en bedrijven. In de tweede plaats zijn er additionele maatregelen zoals antispam- en antivirusoplossingen voor e-mail en firewallinstellingen.
De Informatiebeveiligingsdienst voor gemeenten (IBD) maakt factsheets rond de implementatie van DMARC, SPF en DKIM, om gemeenten op de hoogte te brengen van de standaarden en de voordelen van het implementeren ervan. Verder informeert IBD de betrokken leveranciers van klantcontactcentra, hostingpartijen, providers e.d. over de standaarden, zodat ze zich klaar kunnen maken voor vragen van gemeenten.
De betreffende standaarden DKIM / DMARC en SPF zorgen voor e-mailauthenticatie; hiermee wordt het mogelijk dat de ontvanger de identiteit van de afzender deels controleert. De standaarden hebben een belangrijke functie bij de mogelijke herkenning van spam en phishing voor zover deze gebruik maken van spoofing (waarbij een verzender zich voordoet als een ander).
Gebruik van deze standaarden is één van de schakels in de bestrijding van phishing en de beveiliging van persoonsgegevens. Omdat behalve gebruik van deze standaarden ook andere maatregelen genomen worden, onderschrijf ik niet dat door het enkele feit dat deze standaarden niet worden gebruikt persoonsgegevens in verkeerde handen vallen.
De standaard STARTTLS is in combinatie met DANE (voor beveiligde mailverbindingen) in behandeling genomen door het Forum Standaardisatie en kan daardoor, mogelijk al in 2016, worden opgenomen op de lijst met open standaarden. Het Forum Standaardisatie zal vanaf dan ook de implementatie bij aanschaf, aankoop en aanbestedingen monitoren.
De internetstandaarden die op de pas-toe-leg-uit-lijststaan, zijn verplicht bij aanschaf, aankoop, ontwikkeling of aanbesteding van nieuwe diensten, tenzij er een zwaarwegende reden is om hiervan af te wijken. Het handhaven in bestaande situaties is niet aan de orde. De versnelde implementatie is onderdeel van een lokaal afwegingskader.
Door het uitvoeren van een impactanalyse heeft de IBD uitgezocht welke impact de implementatie van deze standaarden voor gemeenten heeft. Hieruit blijkt dat de implementatie van de standaarden meer impact heeft naarmate de organisatie groter en complexer is. Voor met name DMARC moeten alle gemeentelijke mailstromen in kaart zijn gebracht en worden vertaald in beveiligingsregels. Het fout instellen van deze standaarden leidt tot een verstoring in e-mail van en aan de gemeente.
Zoals ik uw Kamer heb aangegeven in mijn brief met uitgangspunten wetgeving GDI (Kamerstuk 26 643 nr. 373) werk ik in deze wet aan een grondslag waarmee – nader te bepalen – standaarden uit de pas-toe-of-leg-uit-lijst wettelijk verplicht kunnen worden gesteld voor bestuursorganen, onder andere voor uniformering voor burgers en bedrijven, en het garanderen van communicatie. Daarbij speelt ook informatiebeveiliging een rol. De VNG onderschrijft die uitgangspuntenbrief.
Gemeenteraden bestaan uit gekozen volksvertegenwoordigers. Op grond daarvan en de verantwoordelijkheden en bevoegdheden van gemeenten voortvloeiend uit de Grondwet en de Gemeentewet, voeren gemeenten hun wettelijke taken zelfstandig uit. In die zin acht ik gemeenteraden en het gemeentebestuur zeer wel in staat om zorg te dragen voor de naleving van privacyregels en voor een afdoende niveau van de gemeentelijke informatieveiligheid. Desalniettemin kan het Rijk op grond van de Gemeentewet – in het kader van interbestuurlijk toezicht – toezicht houden op het gemeentebestuur. Dat is bij mijn weten nog niet voorgekomen in het geval van tekortkomingen op het gebied van de verwerking van persoonsgegevens of informatieveiligheid.
Het specifieke toezicht op de naleving van de wettelijke bepalingen inzake de verwerking van persoonsgegevens wordt gehouden door de Autoriteit Persoonsgegevens (AP). De AP richt als onafhankelijke toezichthouder haar eigen toezicht in. In het uitvoeren van haar toezichthoudende en handhavende taak stelt de AP prioriteiten op basis van criteria, zoals de ernst en de duur van de overtreding.
De AP dient haar taken in onafhankelijkheid te kunnen uitoefenen, zonder inmenging van buitenaf. Daarnaast kan ik u mededelen dat er geen signalen bekend zijn waaruit blijkt dat de AP tekortschiet in het houden van toezicht op de naleving van de wettelijke eisen voor de verwerking van persoonsgegevens.
Ja.
Neen. Gemeenten hebben zich gecommitteerd aan de beveiliging van persoonsgegevens en hechten hieraan grote waarde. De implementatie van open standaarden heeft een plek in de activiteiten die gemeenten ontplooien om het gemeentelijk informatielandschap te beveiligen conform de uitgangspunten en kaders van hun gemeenschappelijk normenkader de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De volgorde van implementatie van maatregelen (ook technische detailmaatregelen, maar vooral ook fysieke en organisatorische maatregelen) is gebaseerd op een lokale risicoafweging waar het college van B&W voor verantwoordelijk is.
Zonder in te gaan op de specifieke casuïstiek van individuele gemeenten, zijn er voorbeelden bekend van gemeenten waar bijvoorbeeld de gemeentelijke rekenkamer onderzoek heeft gedaan naar de mate van beveiliging van informatie. Dergelijke onderzoeken stellen college en raad in de gelegenheid om het niveau van informatieveiligheid te verhogen.
Uiteraard moeten gemeenten voldoen aan wettelijke eisen en dienen ze zorgvuldig om te gaan met persoonsgegevens. Dat wil niet zeggen dat er nooit iets mis gaat. Gemeenten werken aan bewustwording bij medewerkers, werken aan informatieveiligheid en weten zich gesteund door de IBD. De IBD draagt ook bij aan kennisdeling op het gebied van best practices. Daarnaast is privacy een belangrijk onderdeel van het programma ISD van de VNG. Ook via dat programma worden vele goede praktijken van gemeenten gedeeld.
De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) maakt deel uit van de Resolutie Informatieveiligheid waarmee de leden van de VNG op 29 november 2013 hebben ingestemd. Een voorstel om daarnaast een privacy-BIG in te stellen, lijkt me in dat kader iets voor de gemeenten om te besluiten.
VNG en gemeenten vinden, net als ik, een goede omgang met privacy zeer belangrijk. Onlangs werd op de ALV van de VNG privacy als prioriteit op de agenda gezet met het Position Paper Privacy. Gemeenten geven daarin aan dat het borgen van privacy en een correcte gegevensbescherming in alle gemeenten van groot belang zijn en een zeer belangrijke basis voor het vertrouwen van burgers, bedrijven, ketenpartners en medeoverheden in gemeenten. Gemeenten willen hun inzet op het gebied van het privacyvraagstuk versterken en collectiviseren. In het position paper zijn hiervoor tien actiepunten opgenomen. Een van de actiepunten houdt in dat de VNG in overleg met bestuurders (waaronder ook raadsleden), ambtenaren, ketenpartners en experts onderzoek doet naar de mogelijkheid om gezamenlijke privacykaders (normen) te ontwikkelen. Ik blijf in contact met de VNG over de ontwikkelingen en voortgang hiervan.