Twee op de drie domeinen schieten tekort; Justitie en Financiën diep in het rood
De overheid boekt nagenoeg geen verbetering bij de toepassing van verplichte (informatieveiligheid)standaarden. Slechts een op de drie internetdomeinen (36 procent) voldoet aan alle regels.
Zo blijkt uit metingen die het Forum Standaardisatie in maart 2025 heeft gedaan. Deze adviescommissie heeft zo’n 12.000 overheidsdomeinen laten controleren. Vergeleken met de meting daarvoor (augustus 2024) is de vooruitgang minimaal. Overheden die internetdomeinen niet veilig configureren nemen onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties. Ook bestaat er gevaar op manipulatie en afluisteren van web- en e‑mailverkeer.
Vooral het ministerie van Justitie en Veiligheid en die van Financiën bakken er weinig van, , zo blijkt uit de Meting Informatieveiligheidsstandaarden. Deze departementen hebben nog veel werk te verzetten om e‑mailvervalsing namens haar domeinnamen te voorkomen.
Impasse
Demissionair staatssecretaris Van Marum (Digitalisering) kondigt maatregelen ter verbetering aan. Bestaande implementatieteams die nu letten op de naleving van standaarden voor data-uitwisseling, gaan meer op de informatieveiligheid letten. Overheidsbreed zijn afspraken gemaakt om moderne internetstandaarden voor websites en e‑mail versneld te adopteren. Maar daar is tot nog toe bar weinig van terecht gekomen.
Ook uit de Monitor Open Standaarden 2025 die Van Marum tegelijk naar de Tweede Kamer heeft gestuurd, blijkt een impasse. Overheidsorganisaties vragen gemiddeld 51 procent van alle standaarden uit die in een aanbesteding relevant zijn. Sinds 2018 is dit percentage niet omhoog gegaan. Alleen Rijkswaterstaat, de Belastingdienst, RDW, ICTU en de gemeenten Amsterdam en Sittard-Geleen zijn goede voorbeelden.
Gebrek aan kennis, onduidelijke governance en dominante leveranciers
Belangrijkste reden waarom de adoptie stagneert, is het gebrek aan kennis bij aanbestedende diensten. Ook leveranciers missen vaak inzicht in open standaarden. Een andere verklaring ligt in de machtsverhouding tussen aanbestedende diensten en leveranciers, stelt het rapport. Er wordt vaak gewezen op het probleem van (grote, dominante) leveranciers die open standaarden niet willen of kunnen toepassen. Dit vanwege gebrek aan kennis, conflicterende technologie of commerciële belangen. Men is bang dat als de open standaarden geëist worden, er minder of zelfs geen inschrijvingen komen op aanbestedingen.
Een derde verklaring is het ontbreken van een duidelijke governance bij overheidsorganisaties: de rollen zijn versnipperd en de verantwoordelijkheden zijn niet belegd. Het is niet altijd duidelijk wie binnen de organisatie het beleid rond open standaarden bepaalt en toeziet op de naleving daarvan.
Het Forum Standaardisatie heeft een ‘Pas toe of leg uit’-lijst ontwikkeld met standaarden waar overheidsinstantie gebruik van moeten maken. De verplichting geldt voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties. Maar de naleving is een probleem en verbetert ook niet.
Waaruit blijkt dat dit blad wel erg uit de private sector komt. Altijd maar weer wijzen naar de overheid die tekort komt. Ondertussen vergetend dat zo ongeveer alle datalekken uit het bedrijfsleven komen. Of was u Clinical Diagnostics en Odido al weer vergeten?!