Staatssecretaris informeert Tweede Kamer over Monitor Open Standaarden en Meting informatieveiligheid

Content

Afgelopen week heeft Staatssecretaris Knops (BZK) twee rapportages van het Forum Standaardisatie aan de Tweede Kamer gestuurd. Uit de Monitor Open Standaarden 2019 blijkt dat in 89% van de onderzochte aanbestedingen om een of meer van de relevante verplichte standaarden wordt gevraagd. Maar in slechts 6% van de aanbestedingen wordt om álle relevante standaarden gevraagd. Het tweede onderzoek gaat dieper in op informatieveiligheid bij website- en email domeinen van de overheid: het gaat steeds beter, maar 42% van de overheid blijkt nog steeds kwetsbaar voor e-mailvervalsing. Daarnaast voldoet de helft niet aan de verplichte beveiligingseisen voor het borgen van vertrouwelijkheid van e-mail.

Het percentage aanbestedingen dat een deel van de verplichte standaarden vraagt groeit. In 2019 ging het om 83%, in 2018 om 79% en in 2017 was het 69%. Waarom niet alle standaarden worden gebruikt en sommigen achterwege worden gelaten -met name vanaf het moment van een nieuwe aanschaf- wordt vaak niet uitgelegd in het jaarverslag zoals het hoort.

Desalniettemin vielen van de 72 onderzochte aanbestedingen, zes organisaties op omdat ze in een aanbesteding om (vrijwel) alle relevante open standaarden vroegen. Dat waren Zorginstituut Nederland, Provincie Groningen, Gemeente Maastricht, Stichting NWO, Ministerie van BZK en Ministerie van AZ. Met hun aanbestedingen geven deze organisaties een goed voorbeeld voor de  publieke sector. Alle onderzochte aanbestedingen en hun bijbehorende beoordeling zijn openbaar gepubliceerd in het digitale magazine Monitor Open Standaarden.

Ook overheidsvoorzieningen zijn onderzocht op het gebruik van de relevante open standaarden. Ten tijde van de meting voldeed 69% van de gemeten overheidsvoorzieningen, zoals DigiD en MijnOverheid, aan alle verplichte standaarden. Toch worden in sommige andere voorzieningen belangrijke standaarden vergeten, of om andere redenen achterwege gelaten.

Informatieveiligheid

Twee weken terug publiceerde Forum Standaardisatie het onderzoek Meting Informatieveiligheidstandaarden. De conclusie daarvan was dat de adoptie steeds beter gaat, maar dat er onvoldoende aandacht is voor beveiligen van overheidsmail. Eind 2019 moesten overheden de standaarden STARTTLS en DANE implementeren, om vertrouwelijkheid van e-mailverkeer te borgen. Ook moesten zij anti-phishing-standaarden SPF en DMARC op een strikte manieren toepassen, om e-mailvervalsing tegen te gaan. Aan deze afspraak werd begin dit jaar voor gemiddeld 75% voldaan. Overheidsbrede afspraken leiden wel tot een grotere adoptie van cruciale informatieveiligheidstandaarden, maar er is kennelijk meer nodig om voldoende urgentie te kweken bij de achterblijvers.

Zie ook: