In vijf stappen naar veilige en toegankelijke sites
Content
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) stond halverwege 2020 voor een stevige klus: een groot deel van de internetdomeinen en -sites laten voldoen aan de verplichte open standaarden voor beveiliging en toegankelijkheid. Tweeënhalf jaar later is de klus bijna geklaard. Magchiel van Meeteren (CIO BZK) legt in vijf stappen uit hoe zij deze operatie aanpakten en hoe ze zorgden dat het nu blijvend goed geregeld is.
‘Alle domeinen en sites van je organisatie veilig en toegankelijk maken gaat niet vanzelf. Dat kost tijd, geld en behoorlijk wat inspanning. Maar als je ervoor zorgt dat het dan niet meer uit de klauwen loopt, heb je daarna veel profijt van al je werk.
Bij ons begon het in het voorjaar van 2020. We zagen dat veel van de domeinen van BZK nog niet voldeden aan de verplichte open standaarden. En dat de door het OBDO (Overheidsbreed Beleidsoverleg Digitale Overheid) afgesproken deadlines om de beveiligingsstandaarden te gebruiken naderden. Het was een wake-up call. We dachten tot dat moment dat we het goed op orde hadden. Maar het was tijd om het anders aan te pakken.
Want dit onderwerp is belangrijk. Het is belangrijk dat zoveel mogelijk burgers (ook mensen die moeite hebben met lezen, visueel gehandicapt of kleurenblind zijn of een andere beperking hebben) gebruik kunnen maken van online overheidsdiensten. En het is belangrijk dat iedere burger erop kan vertrouwen dat zijn of haar communicatie met de overheid veilig verloopt.’
1. Bouw een domeinnaamportfolio op
‘We hebben bij BZK honderden websites en een veelvoud daarvan aan domeinen onder onze hoede. Domeinen van onze beleidskern, maar ook van uitvoeringsorganisaties die onder BZK vallen, of combinaties met soms complexe eigenaarsconstructies. Toen we met ons project begonnen, ontbrak het ons nog aan een volledig overzicht van alle domeinen van BZK. We hadden alleen actieve websites die bij de directie Communicatie waren aangemeld en de bijbehorende hoofddomeinen in beeld.
Om er grip op te krijgen, begon het projectteam met een totaalinventarisatie van alle domeinen en sites. Bij het opbouwen van dit domeinnaamportfolio brachten we ook direct in kaart in hoeverre de publieke sites voldeden aan de vereiste standaarden. Sites en domeinen die geen bestaansrecht meer hadden, haalden we direct uit de lucht.’
Wil je de regie op domeinen in je organisatie verbeteren? Kijk dan op Regie op Internetdomeinen site voor tips en handvatten. Of lees de Handreiking Beheer Internetdomeinen Rijksoverheid.
2. Rol een netwerk uit
'Het zou hun taak worden om er, onder onze begeleiding en in samenwerking met de leverancier van de website, voor te zorgen dat hun site aan de standaarden zou gaan voldoen. We hadden het stuur ook helemaal kunnen overnemen. Dat was misschien sneller gegaan. Maar als je als eigenaar een keer door die hele molen bent geweest, ben je je daarna veel bewuster van de taken en verantwoordelijkheden die het eigenaarschap over een website met zich meebrengt. En houd je je site daarna, bij wijzigingen, ook beter in de gaten.
Het betekent wel dat je een netwerk nodig hebt om alle eigenaren te kunnen bereiken en motiveren.
We hebben elke organisatie binnen BZK gevraagd om een contactpersoon, die het contact met de domeineigenaren in hun organisatie onderhielden.
Dit netwerk werd draaiende gehouden door Pim Manzoli en Desiree Pieplenbosch, adviseurs van respectievelijk Communicatie en CIO Office. Ook waren alle CIO’s van de BZK-onderdelen aangehaakt.
En ik zat ondertussen in een stuurgroep met de Directeur Communicatie en het afdelingshoofd Directie Digitale Samenleving. Daar bewaakten we de grote lijnen. Waar zitten de bottlenecks? Doen we de goede dingen? Liggen we op schema?’
3. Stel realistische doelen
‘Er lag zoveel werk; we konden niet alles tegelijkertijd aanpakken. Natuurlijk willen we onze sites en domeinen voor intern gebruik ook toegankelijker maken. Maar de focus lag hoofdzakelijk bij de publieke sites. De sites waar burgers gebruik van maken, of zelfs van afhankelijk zijn. Voor het einde van 2022 moesten deze voldoen aan alle beveiligingsstandaarden en een toegankelijkheidsverklaring op niveau B hebben. Alleen met een logische reden hoefden eigenaren hier niet achteraan. Bijvoorbeeld als de site binnen afzienbare tijd uit de lucht gehaald zou worden.’
4. Zorg voor systematische overtuigingskracht
‘Voor de meeste eigenaren was het beheren van de site niet top of mind. Het was een moetje. We moesten dus wat moeite doen om ze in beweging te krijgen. Gelukkig kom je met argumenten al een heel eind. Want als je het goed uitlegt, begrijpen mensen echt wel dat het nodig is om de toegankelijkheid en veiligheid van sites te vergroten.
Maar niet iedereen komt meteen in actie. Daarom is het belangrijk dat je de druk op de ketel houdt. Dat kan je doen door te waarschuwen met sancties, zoals het uit de lucht halen van websites. Maar het is ook heel nuttig om steun te zoeken binnen de organisatie. Ik wist dat de bestuursraad achter me stond. Ik heb het onderwerp regelmatig onder de aandacht gebracht bij het I-beraad, waar de CIO’s van BZK samenkomen. Én ik heb ook de algemeen directeuren een paar keer benaderd per mail.
Iedereen die ervan moest weten binnen BZK, wist ervan. En ik denk dat dat een verschil heeft gemaakt. Vroeger waren we te afhankelijk van persoonlijke overtuigingskracht. Nu hebben we het systematisch aangepakt. Het was onontkoombaar.’
Iedereen die ervan moest weten binnen BZK, wist ervan. En ik denk dat dat een verschil maakt.
Vroeger waren we te afhankelijk van persoonlijke overtuigingskracht. Nu hebben we het systematisch aangepakt. Het was onontkoombaar.’
5. Richt structureel beheer in
‘Als we dit nu loslaten, zijn we over een paar jaar weer terug bij af. Dat weet ik zeker. Na twee jaar dweilen is het belangrijk om de kraan nu permanent dicht te houden. Communicatie en CIO blijven het beheer van onze sites samen bewaken. Ik zit bijvoorbeeld nog steeds regelmatig om tafel met de directeur Communicatie om de voortgang en eventuele maatregelen te bespreken. Dat Communicatie het online-team heeft versterkt met een tweede online adviseur betekent dat we hier ook meer energie en capaciteit op hebben.
En we proberen nu heel duidelijk te maken: wil je een nieuwe website opzetten, dan moet je dat via Communicatie doen. Gebeurt dat niet, dan hebben we het recht om de stekker eruit te trekken. Zo zorgen we ervoor dat nieuwe sites meteen aan de eisen voldoen.’
Lees ook:
- Regie op Internetdomeinen
- Handreiking Beheer Internetdomeinen Rijksoverheid
- Uitleg Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO)
- Dienst Publiek en Communicatie als centrale registrator van domeinnamen voor het Rijk
- Alles over openbaar en toegankelijk
- CIO's aan het woord met Harry Roumen