De Wet digitale overheid (Wdo) legt publieke dienstverleners een duidelijke verplichting op: zij moeten ervoor zorgen dat burgers en bedrijven veilig en betrouwbaar kunnen inloggen op hun onlinediensten. Maar wat komt daar allemaal bij kijken?
Nederland digitaliseert steeds verder, ook de overheid. Het aanvragen van een vergunning, het doorgeven van een verhuizing of het indienen van je belastingaangifte kan tegenwoordig gewoon online. Met DigiD en eHerkenning hebben burgers en bedrijven altijd en overal toegang tot de digitale dienstverlening van de overheid.
Keerzijde
Digitalisering maakt de dienstverlening efficiënter en toegankelijker, en overheidsbeleid transparanter. De overheid is steeds beter in staat om informatie en besluitvormingsprocessen met het publiek te delen. Maar deze digitalisering heeft ook een keerzijde.
De afhankelijkheid van digitale processen en de razendsnelle technologische ontwikkelingen hebben ons kwetsbaarder gemaakt. Een cyberaanval kan de diensten van een publieke dienstverlener volledig lamleggen. Recent nog waren de websites van enkele provincies en van de gemeente Groningen na een DDoS-aanval urenlang onbereikbaar voor burgers en bedrijven.
Digitalisering vergroot ook de kans op identiteitsfraude waarvan zowel burgers en bedrijven als publieke dienstverleners het slachtoffer worden. Zo betaalde een medewerker van de gemeente Alkmaar in 2023 onbedoeld een nepfactuur van 236.000 euro. De afzender van de factuur was een internetcrimineel die zich voordeed als de directeur van een organisatie. Deepfaketechnologie maakt de kans op identiteitsfraude nog groter.
Een ander risico is dat ‘digitaal laaggeletterden’ in een gedigitaliseerde maatschappij niet meer mee kunnen komen. Naar schatting hebben ongeveer 2,5 miljoen Nederlanders problemen bij het gebruik van digitale apparaten zoals computers, smartphones of tablets.
Veilig en betrouwbaar inloggen
De Wet digitale overheid regelt dat alle Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarvoor worden de komende jaren in stappen verschillende maatregelen ingevoerd. Zo komen er naast DigiD en eHerkenning ook private inlogmiddelen met een substantiële of hoge betrouwbaarheid beschikbaar voor toegang tot overheidsdiensten. Die middelen worden opgenomen in het ‘Stelsel Toegang’.
De techniek en de organisatie achter dit stelsel zijn naar verwachting in 2025 klaar. Vanaf het moment dat publieke dienstverleners kunnen aansluiten, hebben ze drie jaar de tijd om dat te doen. Maar er zijn nu al diverse stappen die overheidsinstanties kunnen zetten om te voldoen aan de Wdo. We noemen er 4:
1. Classificeer digitale diensten
Publieke dienstverleners zijn verplicht om per dienst het betrouwbaarheidsniveau te bepalen waarmee gebruikers moeten inloggen. Voor diensten ingedeeld op de niveaus ‘hoog’ en ‘substantieel’ geldt een ‘acceptatieplicht’: publieke dienstverleners moeten alle inlogmiddelen accepteren die zijn toegelaten tot het Stelsel Toegang. Deze middelen bieden een hoge mate van zekerheid over de identiteit van de gebruiker. Diensten die worden ingedeeld op het betrouwbaarheidsniveau ‘laag’ vallen buiten de scope van de Wet digitale overheid (Wdo).
Afhankelijk van het type organisatie gaat het soms om wel honderden diensten. Een behoorlijke klus om die allemaal te classificeren. Het advies is om daar zo snel mogelijk mee te beginnen. Ook kunnen publieke dienstverleners burgers en bedrijven alvast informeren over het betrouwbaarheidsniveau waarop ze bij een dienst moeten inloggen.
De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het classificeren van hun diensten. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) ontwikkelde deze regelhulp samen met de Rijksdienst voor Ondernemend Nederland (RVO).
2. Omarm verplichte standaarden
De Wdo verplicht het gebruik van bepaalde standaarden die zorgen voor meer veiligheid. Zo moeten overheden hun publiek toegankelijke websites en webapplicaties beveiligen met de open standaarden HTTPS en HSTS. Daarnaast moet de HTTPS-configuratie voldoen aan de richtlijnen van het Nationaal Cyber Security Centrum (NCSC).
De genoemde standaarden zorgen voor een beveiligde verbinding met websites. Dit voorkomt dat criminelen privégegevens van de bezoeker kunnen afluisteren of opgevraagde informatie kunnen manipuleren.
Uit een meting van het Forum Standaardisatie blijkt dat de adoptie van deze standaarden nog te wensen overlaat. De meting werd uitgevoerd op 1 juli 2023. Van alle gemeten overheidswebsites had 56% HTTPS en HSTS volledig geïmplementeerd. Voor veel publieke dienstverleners is er dus werk aan de winkel.
3. Evalueer toegankelijkheid
Dienstverlening van de overheid moet voor iedereen toegankelijk zijn. Ook voor bezoekers die bijvoorbeeld een visuele beperking hebben. Deze verplichting lag al vast in het Tijdelijk Besluit Digitale Toegankelijkheid Overheid dat nu is omgezet naar de Wdo. ‘Tijdelijk’ is daarmee komen te vervallen.
De Wdo verplicht publieke dienstverleners om de toegankelijkheid van hun diensten te evalueren en daar waar nodig te verbeteren. Voor al hun websites en apps moeten ze volgens een vast model een toegankelijkheidsverklaring opstellen. Een speciale ‘invulassistent’ van het ministerie van BZK helpt hierbij.
4. Informatiebeveiliging op orde brengen
De Wdo stelt ook beveiligingseisen aan de digitale toegang tot overheidsdienstverlening en aan de digitale infrastructuur van de overheid. Alle organisaties die binnen de digitale overheid met elkaar samenwerken, moeten hun informatiebeveiliging op orde hebben.
De eisen die de Wdo stelt aan informatiebeveiliging sluiten aan op beveiligingsnormen zoals de Baseline Informatiebeveiliging Overheid (BIO). Denk dan aan maatregelen voor het afslaan van DDoS-aanvallen of het voorkomen van identiteitsfraude. Of aan de implementatie van de e-mailstandaarden DMARC en DANE om zaken als phishing, spam, virussen en andere malware tegen te gaan.
Samen met KPN
KPN ondersteunt de publieke sector met oplossingen op het gebied van onder andere cyberweerbaarheid, digitale identiteit en de naleving van wet- en regelgeving. “Als partner staan we zij aan zij met gemeenten en provincies”, zegt Michiel Hogenboom, VP Public a.i. en Public Critical bij KPN. “Het is onze missie om hen met onze kennis bij te staan. Samen streven we naar een veilige en toegankelijke digitale overheid. Een samenleving waarin iedereen actief kan participeren, zoals de Wdo dat beoogt.”
Hulp nodig bij de voorbereidingen op de Wdo? Neem dan contact met ons op!
Neem contact op
