Brief stasBZK voldoen aan internetveiligheidstandaarden en cookie richtlijnen
Content
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Vergadering: Forum Standaardisatie 8 februari 2023
Agendapunt: FS-20230208.5B1
Documentnummer: 5B1
Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.
Rechten: CC0 publieke domein verklaring
Koepelvertegenwoordigers CIO Rijk, Interprovinciaal Overleg (IPO), Vereniging Nederlandse Gemeenten (VNG), Unie van Waterschappen (UvW), Manifestgroep en Klein Lef
DGDOO/DS
www.linkedin.com/company/ministerie-van-bzk
Datum: 23DEC2022
Betreft:Voldoen aan informatieveiligheidsstandaarden en cookie richtlijnen
Geachte koepelvertegenwoordiger,
Burgers moeten er ten alle tijden op kunnen vertrouwen veilig en vertrouwd digitaal zaken te kunnen doen met de overheid. Het is om die reden van belang dat we als overheid ons daartoe inspannen en ervoor zorgen dat de burger op een veilige en verantwoorde manier zich tot de overheid kan wenden via het internet.
En dat is helaas nog niet overal het geval. Uit recent onderzoek(Overheid schendt eigen regels door cookies van derden toe te laten op websites(trouw.nl)) blijkt dat de overheid zich niet houdt aan de cookie regels. En uit de meest recente meting van het Bureau Forum Standaardisatie blijkt dat overheden nog niet overal voldoen aan de informatieveiligheidsstandaarden.
Met deze brief breng ik de noodzaak hier actie op te nemen richting uw achterban aan de orde. Het immers van belang dat de overheid voldoet aan geldende wet en regelgeving en de implementatie van de informatieveiligheidsstandaarden. De overheid dient het goede voorbeeld te geven en burgers moeten ervan kunnen uitgaan dat de overheid maatregelen treft zorgvuldig om te gaan met haar gegevens.
Ik wil u dan ook dringend verzoeken de boodschap uit deze brief vanuit uw rol als koepelvertegenwoordiger spoedig te delen met uw achterban. De implementatie en toepassing van informatieveiligheidsstandaarden en cookie wet- en regelgeving kan eventuele veiligheidsrisico's en verstoring van de dienstverlening van de digitale overheid beperken.
Cookie
Voor overheidswebsites gelden vereisten voor het plaatsen van cookies. Deze voorwaarden zijn in Nederland vastgelegd in artikel 11.7a van de Telecommunicatiewet, bekend als de 'Cookiewet'. Bij het gebruik van cookies die ook persoonsgegevens verzamelen, zoals bij tracking cookies het geval is, is ook de Algemene Verordening Gegevensbescherming van toepassing. Op de website Mag een website ongevraagd cookies plaatsen?
Riiksoverheid.nl wordt nadere toelichting gegeven over het gebruik van cookies. Het is de verantwoordelijkheid van iedere overheidsorganisatie met een website, om in lijn met de wetgeving te handelen.
lnformatieveiligheidsstandaarden
In het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) zijn tussen 2017- 2021 afspraken gemaakt om met behulp van informatieveiligheidsstandaarden websites en e-mail van overheidsorganisaties te beveiligen. Veiligheidsrisico's zoals phishing en ransomware-aanvallen kunnen door de juiste toepassing van deze standaarden verkleint worden. Uit de meest recente Forum Standaardisatie meting informatieveiligheidsstandaarden blijkt dat slechts 53% van de gehele overheid de webstandaarden en 43% de mailstandaarden toepast. Het zijn zorgwekkende resultaten. Elke overheidsorganisatie heeft een zorgplicht naar burgers, bedrijven en andere overheden om de digitale veiligheid op orde te hebben én te brengen.
Voor meer informatie over de informatieveiligheidsstandaarden kunnen overheden bij het Forum Standaardisatie terecht. Er kan getest worden of sites voldoen aan de standaarden met het meetinstrument Internet.nl en indien er vragen zijn over de toepassing en implementatie van de standaarden kan conté!Ct worden opgenomen met Forum Standaardisatie via info@forumstandaardisatie.nl.
Noodzaak
Ik wil u oproepen om mijn urgente boodschap over bovenstaande wet- en regelgeving en afspraken zo snel mogelijk met uw achterban te delen. De toepassing van de te treffen maatregelen kan per organisatie verschillen, afhankelijk van hoe de ICT-omgeving is ingericht. Ik raad daarom aan dat overheden contact opnemen met de informatiebeveiligingsfunctionaris en/of Chief Information Security Officer (CISO) en hierover in gesprek gaan.
Samen werken we aan een veilige digitale overheidsdienstverlening voor burgers en bedrijven. Daarom roep ik u op om bestuurlijke aandacht te blijven geven aan de continuïteit en veiligheid van de web-omgeving van uw achterban. Dat is ook de reden dat ik mij met deze brief tot alle koepelvertegenwoordigers wend.