Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 26 juni 2012
Naar aanleiding van de door uw Kamer aangenomen motie over de veiligheid van DigiD
en het laten uitvoeren van ICT-beveiligingsassessments DigiD, bericht ik u het volgende.1
Zoals ik tijdens het verslag algemeen overleg Cybersecurity en Veiligheid overheidswebsites
van 26 april jongstleden (Handelingen II 2011/12, nr. 82, item 5, blz. 5–9) naar voren heb gebracht, deel ik het gevoel van urgentie. Mede hierom zijn de volgende
stappen ondernomen.
In de eerste plaats is Logius een samenwerkingstraject met de grootgebruikers van
DigiD gestart over de aanpak van het ICT-beveiligingsassessment DigiD.
Ten tweede zijn VNG en KING een samenwerkingstraject aangegaan met een vertegenwoordiging
van auditors en ICT-leveranciers van gemeenten over de aanpak van de ICT-beveiligingassessments
DigiD bij gemeenten. Deze samenwerking is gericht op een efficiënte uitvoering en
gecoördineerde aanpak voor gemeenten. Daarnaast is KING begonnen met de ondersteuning
van gemeenten bij de uitvoering van het ICT-beveiliginsassessments DigiD. Tot de zomer voert KING bij een aantal gemeenten en leveranciers
een impactanalyse uit in de vorm van een gecontroleerde pre-audit. De uitkomsten van
de analyse zullen inzicht geven in de impact van het ICT-beveiligingsassessments DigiD
op gemeenten en leveranciers. Voorts zullen de uitkomsten worden gebruikt om te komen
tot een gestandaardiseerde invoering bij gemeenten. Uit de impactanalyse blijkt verder
dat een grote slag gemaakt kan, wanneer (grote) leveranciers nog dit jaar aan de audit
worden onderworpen.
Daarnaast zijn VNG en KING aan het onderzoeken hoe zij gemeenten kunnen ondersteunen
bij het verbeteren van hun informatiebeveiliging. VNG en KING hebben voorgesteld een
gemeentelijke informatiebeveiligingsdienst te ontwikkelen. Deze dienst ondersteunt
gemeenten bij het afhandelen van beveiligingsincidenten en het verbeteren van de gemeentelijke
informatiebeveiliging. Momenteel wordt het voorstel hierover samen met gemeenten nader
uitgewerkt. Ook zal worden onderzocht of voor gemeenten kan worden gekomen tot een
«Baseline Informatiebeveiliging Gemeenten», zoals die ook al bestaat voor de Rijksdienst
(Baseline Informatiebeveiliging Rijksdienst).
Verder heb ik onlangs in bestuurlijk overleg met VNG, IPO, Unie van Waterschappen,
Manifestgroep gesproken over het belang van informatiebeveiliging en de veiligheid
van websites.
Naast de bovenstaande maatregelen onderhoud ik, mede naar aanleiding van het incident
«Lektober» uit het najaar van 2011, maandelijks overleg met VNG, KING, IPO, Unie van
Waterschappen, Manifestgroep en Nationaal Cyber Security Centrum om een vinger aan
de pols te houden bij de informatiebeveiliging.
Tot slot heb ik in aanvulling op het bericht dat begin dit jaar aan de DigiD contactpersonen
van de organisaties is verstuurd, middels een bestuurlijke brief nogmaals aandacht
gevraagd voor de ICT-beveiligingsassessments DigiD, uw motie en de bijbehorende urgentie. Deze brief is aan alle afnemers
van DigiD verstuurd. In de bijlagen treft u de brieven aan de diverse afnemers van
DigiD aan.2
Met deze maatregelen geef ik invulling aan het gedeelde gevoel van urgentie, zoals
deze naar voren komt uit de aangenomen motie over laten uitvoeren van ICT-beveiligingsassessments
DigiD.
De minister van Binnenlandse Zaken en Koninkrijksrelaties,
J. W. E. Spies