Overheid faalt bij verplichte internetbeveiliging

In dit artikel:

Uit metingen van het Forum Standaardisatie in maart 2025 blijkt dat de Nederlandse overheid nauwelijks vooruitgang boekt in de toepassing van verplichte informatieveiligheids- en open standaarden. Van ongeveer 12.000 gecontroleerde overheidsdomeinen voldoet maar 36 procent aan alle regels; vergeleken met augustus 2024 is er nauwelijks verbetering. Onveilige configuraties vergroten de kans op phishing namens overheidsorganisaties en maken manipulatie en afluisteren van web- en e‑mailverkeer eenvoudiger. Vooral het ministerie van Justitie en Veiligheid en dat van Financiën scoren matig bij het voorkomen van e‑mailvervalsing.

Demissionair staatssecretaris Van Marum (Digitalisering) kondigt aan bestaande implementatieteams meer op informatieveiligheid te laten letten en overheidsbreed sneller moderne internetstandaarden te adopteren, maar concrete vooruitgang blijft uit. De gelijktijdig gepubliceerde Monitor Open Standaarden 2025 toont dat aanbestedende diensten gemiddeld slechts 51 procent van relevante standaarden eisen — hetzelfde niveau als sinds 2018. Positieve uitzonderingen zijn onder meer Rijkswaterstaat, de Belastingdienst, RDW, ICTU en de gemeenten Amsterdam en Sittard‑Geleen.

Het rapport wijst drie oorzaken aan: gebrek aan kennis bij inkopers, onwil of onvermogen bij (grote) leveranciers om open standaarden toe te passen, en versnipperde governance binnen organisaties. Hoewel het Forum een verplichte ‘Pas toe of leg uit’-lijst heeft, blijft naleving problematisch.