Reactie College B&W op raadsvragen over 'DigiNotar'

Het College van B&W heeft antwoord gegeven op de eerder gestelde vragen over de Diginotar-certificaten van de websites van de gemeente Velsen. De websites zelf zijn niet onbetrouwbaar maar de certificaten waarmee de gebruiker de herkomst van de website kan verifiëren wel.

Het gaat dan om de certificaten voor de volgende websites:

- dacceptatieloket.velsen.nl (testomgeving digitaal loket Dimpact)

- dacceptatiemidoffice.velsen.nl (testomgeving medewerkersportaal Dimpact)

- dloket.velsen.nl (digitaal loket Dimpact)

- dmidoffice.velsen.nl (medewerkersportaal Dimpact)

- eformulierenvelsen.overheid.nl (deze website is niet meer in gebruik)

- velsen.eformulieren.net (digitale formulieren)

- velsen.gt-loket.nl (WOZ-loket)

Het bezoeken van bovengenoemde sites en het raadplegen van de, daarop gepubliceerde, informatie houdt geen enkel risico in, noch voor de inwoners, noch voor Velsen. Wel zijn er risico’s bij:

- het actief gebruik maken van de mogelijkheid om in te loggen met DIGID zodat persoonlijke informatie kan worden geraadpleegd of om transacties te doen. Door de onbetrouwbaarheid van de Diginotar-certificaten bestaat het risico dat deze inloggegevens worden “afgeluisterd” en dus bij onbevoegden terecht komen.

- het maken van een afspraak met de afdeling Burgerzaken. Dit vindt eveneens plaats via een beveiligde webpagina. De aanvrager moet daar enkele persoonlijke gegevens (naam, adres, e-mail-adres, geboortedatum) opgeven. Ook hiervoor bestaat het risico dat deze gegevens in verkeerde handen terecht komen.

Nadat bekend is geworden dat de certificaten niet meer betrouwbaar zijn heeft het College van B&W daadkrachtig opgetreden door de volgende maatregelen te nemen:

1. Aanschaf van nieuwe certificaten bij een andere, betrouwbare,
leverancier;

2. Publiceren van waarschuwingen op de websites;
Op de webpagina met het digitale loket van Velsen wordt de bezoeker afgeraden om gebruik te maken van de mogelijkheid om met DIGID in te loggen.

Voor het maken van een afspraak met de afdeling Burgerzaken of het doen van een Melding Openbare Ruimte kan nog wel gebruik gemaakt worden van de website maar wordt aan de bezoeker aangeraden om daarop alleen de achternaam te vermelden en voor de overige verplichte gegevens (adres, e-mail-adres) de gegevens van de gemeente zelf in te vullen.

3. Verwijderen van links die verwijzen naar een webpagina waarop met DIGID moet worden ingelogd. Alle links naar de digitale formulieren van de producten waarmee moet worden ingelogd met DIGID zijn uit het digitaal loket verwijderd. Het gaat om de
volgende producten:

- Aanvragen uittreksel GBA

- Doorgeven verhuizing

- Vertrek naar buitenland

- Online bezwaarschrift indienen

- Online klachten indienen

- Verzoek geheimhouding persoonsgegevens

- Wijzigen naamgebruik

- Aanvragen eigenverklaring rijbewijs (CBR verklaring)

- Afschrift burgerlijke stand

- Aan- en afmelden Hondenbelasting

Om een kritieke infrastructuur in de toekomst te voorkomen en de daarvoor te nemen voorzorgsmaatregelen is het College van B&W nog onduidelijk en afwachtend. “Daar is op dit moment nog weinig over te zeggen. Deze affaire raakt vrijwel de gehele Nederlandse overheid en het bedrijfsleven. Op internet circuleren diverse berichten over mogelijke maatregelen om de kans op herhaling te minimaliseren. Op de website van de Rijksoverheid is hierover het volgende gepubliceerd:

“Het kabinet constateert dat het goed zou zijn om ook de structurele betekenis van de gebeurtenissen in ogenschouw te nemen. Te denken valt hierbij aan het stelsel en de rol van toezichthouders. Als onderdeel daarvan laat het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een onderzoek uitvoeren naar het gehele stelsel en proces rondom PKIoverheid (red. de certificaten voor de Nederlandse overheid worden PKIoverheidscertificaten genoemd). De Kamer zal hier voor het einde van het jaar over worden bericht. Het kabinet heeft in januari 2011 besloten om toe te werken naar één ICT-beveiligingsorganisatie onder de verantwoordelijkheid van het ministerie van Veiligheid en Justitie. In dit kader maakt
GOVCERT(red. Cyber Security Incident & Response Team van de Nederlandse overheid) reeds onderdeel uit van dat ministerie. De recente ontwikkelingen worden ook meegenomen in de verdere vormgeving van de nationale Cybersecurity Strategie. De Cyber Security Raad is 30 juni jl. geïnstalleerd. Het Nationaal Cybersecurity Centrum zal per 1 januari 2012 in werking treden.”

“De gemeente Velsen volgt de ontwikkelingen op de voet en zal de richtlijnen van Rijk en VNG opvolgen en waar nodig en mogelijk zelf gepaste beveiligingsmaatregelen blijven treffen”.

Deel via: