Oss

RTL kopte onlangs "Beveiliging tientallen gemeentesites lek: persoonsgegevens niet veilig". Uit onderzoek van de SP blijkt dat ook niet alle websites van de gemeente Oss even veilig zijn. Wie naar oss.nl (zonder www ervoor) gaat, krijgt een veiligheidswaarschuwing. Dit is bij de gemeente al maanden bekend, maar er wordt niets mee gedaan. Ook andere sites van de gemeente Oss blijken technologieën te gebruiken waarin bekende fouten zitten.

In deze tijden van steeds meer automatisering vragen wij ons af of de gemeente de veiligheid van haar websites wel serieus neemt: worden meldingen over veiligheid in behandeling genomen? Wie is er nu eigenlijk verantwoordelijk voor de verschillende websites? Waarom hebben sommige websites geen beveiligde verbinding?

Wij nemen privacy en veiligheid serieus, we wachten de antwoorden op onze vragen af.

Lees hieronder de veertien vragen die aan B&W zijn voorgelegd.

1. Bent U net als de SP van mening dat zodra er persoonsgegevens of andere persoonlijke gegevens electronisch uitgewisseld worden dat dit, in ieder geval vanuit de gemeente, veilig (naar redelijkheid) dient te gebeuren?
2. Bent U van mening dat de websites van organisaties waar de gemeente Oss (nauw) mee samenwerkt ook veilig (naar redelijkheid) dienen te zijn met betrekking tot de electronische uitwisseling van gegevens?
3. Bent U bekend met bovengenoemde artikelen? Zo ja, heeft U contact opgenomen om te informeren of Oss op de lijst van veilige of onveilige websites staat? Zo nee, waarom niet?
4. Wat is Uw mening over de mogelijke inzet van beveiligde e-mail in plaats van "plain text e-mail" vanuit de gemeente Oss richting haar burgers?
5. Wie is er verantwoordelijk voor de veiligheid en controle van de veiligheid van de gemeentelijke websites, is dat de eigen automatiseringsafdeling of een externe partij?
6. Op oss.nl zijn volgens ons onderzoek de volgende subdomeinen actief: www, webmail, wion, loket en hulpwijzer. Welk van deze of andere actieve subdomeinen hebben volgens U een beveiligde verbinding nodig vanwege gegevensuitwisseling?
7. Naar welke externe websites (behalve permitonline.nl en werkenbijdegemeenteoss.nl) waar persoonlijke gegevens ingevuld kunnen of moeten worden, verwijst de Osse website nog meer?
8. Is de onbeveiligde website wion.oss.nl, waarop men kan inloggen, nog actief in gebruik? Zo ja, waarom heeft deze geen beveiligde verbinding, zo nee, waarom is deze nog bereikbaar?De gebruiker krijgt een beveiligswaarschuwing (wanneer oss.nl (dus zonder "www") wordt bezocht. In deze waarschuwing staat dat er bij het bezoeken van de website op deze manier, informatie gestolen kan worden. Dit probleem is reeds in 2009 gemeld via e-mail4, en opnieuw op 8 januari door mij en journalist Paul Driessen.5 Volgens de terugkoppeling via het gemeentelijk Twitter account, zou dit in februari opgelost worden.6 Op het moment van schrijven verschijnt nog steeds de beveilingswaarschuwing.
9. Bent U met ons van mening dat bij het bezoeken van de gemeentelijke website geen beveiligswaarschuwing mag verschijnen, tenzij in uitzonderlijke situaties zoals net ontdekte problemen waarop nog geen actie is ondernomen?
10. Bent U met ons van mening dat elke duidelijke mondelinge of schriftelijke melding (al dan niet via een electronisch kanaal zoals Twitter) over beveiligingsproblemen richting ambtenaren serieus genomen en in behandeling genomen dient te worden? Zo nee, waarom niet?
11. Bovenstaand probleem is op meerdere manieren eenvoudig op te lossen, waarom is dit nog steeds niet gebeurd?
12. Volgens ons onderzoek is de beveiligde verbinding naar www.oss.nl niet up-to-date en gebruikt of ondersteunt het onveilige SSL 3 protocol. Zonder www is er een "onveilig certificaat" waarschuwing, zoals eerder beschreven. Vindt U dit een probleem? Zo ja, wat gaat U daar aan doen? Zo nee, waarom niet?
13. Wie naar Home > Inwoners > Parkeren > Uw parkeerkaart7 op de Osse website gaat, wordt doorverwezen naar een externe website bij permitonline.nl8. Wie beheert deze website, gezien het gemeentelijke logo en contactgegevens bovenaan de pagina? Volgens ons onderzoek is de beveiliging van deze website niet up-to-date en kwetsbaar voor minimaal één probleem, de zogenaamde POODLE-aanval, bekend sinds oktober 2014. Vindt U dit een probleem? Zo ja, wat gaat U daar aan doen? Zo nee, waarom niet?
14. Op de website werkenbijdegemeenteoss.nl kunnen persoonlijke gegevens ingevuld worden (zie bijvoorbeeld het formulier voor een stageplek10, inclusief uploaden CV/brief met daarin persoonlijke gegevens en persoonsgegevens). Deze website heeft geen beveiligde verbinding. Vindt U dit een probleem? Zo ja, wat gaat U daar aan doen? Zo nee, waarom niet?

Bij voorbaat dank voor de spoedige beantwoording van deze vragen.

namens de SP fractie,

Martijn Tonies