Uit onderzoek van Binnenlands Bestuur blijkt dat gemeenten massaal verzuimen om de gebruikelijke beveiligingsstandaarden te hanteren voor e-mail. Dit geeft digitale criminelen alle kansen om bijvoorbeeld wachtwoorden te stelen of in te breken in de computers van burgers die contact hebben met een gemeente.
Naast privacy is ook basale security een probleem bij gemeenten
Eerder schreef ik al over misstanden op het gebied van privacy binnen de diverse gemeenten.
Nu blijkt echter dat niet alleen de privacy in het geding is, maar dat er ook een wezenlijk gevaar is dat e-mailcommunicatie met gemeenten de kans geeft aan criminelen om allerlei duistere activiteiten te ontplooien.
Slechts 3 van de 50 recent onderzochte gemeenten blijken in het bezit te zijn van de juiste standaarden voor veilig e-mailverkeer. Bij 47 gemeenten bleek er niet gewerkt te worden met gebruikelijke standaarden voor de beveiliging van e-mail, zoals DNSsec, DKIM en SPF. Dit terwijl deze e-mailnormen wel verplicht zijn voor gemeenten.
Maar wat betekent dit nou daadwerkelijk voor een gemeente?
Van gemeenten en de overheid in het algemeen mag een hoog en passend beveiligingsniveau gevraagd worden. Op zijn minst moeten de wettelijk verplichte standaarden toegepast moeten worden door gemeenten. Een burger moet erop kunnen vertrouwen dat hij veilig en vertrouwelijk met de overheid kan communiceren.
De gemeente heeft daarbij altijd te maken met de Wet bescherming persoonsgegevens (Wbp). Het ontvangen en verzenden van e-mails valt namelijk ook aan te merken als het verwerken van persoonsgegevens. De Wbp schrijft voor dat persoonsgegevens op een passende manier beveiligd moeten worden. Op het moment dat beveiligingsstandaarden die voorgeschreven zijn door de regering niet worden toegepast, is er heel snel sprake van een niet passend beveiligingsbeleid. Daarmee handelen de gemeenten in strijd met de Wbp.
Autoriteit Persoonsgegevens heeft tanden
Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens de bevoegdheid gekregen om hoge boetes op te leggen aan organisaties die in strijd met de Wbp handelen, zoals het niet passend beveiligen van persoonsgegevens.
Hierbij is tevens de meldplicht datalekken van belang. Sinds 1 januari 2016 moeten datalekken in principe gemeld worden aan de Autoriteit Persoonsgegevens. Een datalek kan in iedere organisatie voor komen en hoeft niet gelijk te leiden tot een boete. De Autoriteit Persoonsgegevens zal echter wel snel een aanleiding hebben om een boete op te leggen als er uit onderzoek blijkt dat het datalek het gevolg is van een slecht beveiligingsbeleid. De boetes hiervoor kunnen oplopen tot €820.000,-!
Een datalek zit in een klein hoekje
Dat een datalek zomaar kan ontstaan heeft bijvoorbeeld gemeente Amersfoort geleerd, waarbij er door een fout met de e-mail persoonlijke gegevens van 1900 inwoners op straat kwamen te liggen. Ondertussen zijn er al diverse debatten over gevoerd en de eerste schadeclaims worden voorbereid, zo wil geen gemeente de media bereiken. Er is wel degelijk zoiets als ‘bad press’. Ook leiden dergelijke datalekken tot schadelijke gevolgen voor de slachtoffers en tot het wantrouwen van gemeenten.
ICTRecht Academy
