Veel Nederlandse Gemeenten reageren niet snel of adequaat genoeg op meldingen over veiligheidslekken. Meer dan de helft van de gemeenten heeft geen duidelijke CVD-procedure. Verder is het bij de meeste gemeenten onmogelijk om anoniem een melding te maken van een kwetsbaarheid.

Dat blijkt uit onderzoek van de Universiteit Twente en het Dutch Institute for Vulnerability Disclosure (DIVD).

Onderzoeker maakt 114 meldingen van kwetsbaarheid

Computerwetenschapper Koen Van Hove deed onderzoek naar de CVD-procedures en alertheid van Nederlandse gemeenten. ‘CVD’ staat voor Coordinated Vulnerability Disclosure en beschrijft de procedure om melding te maken bij een bedrijf of organisatie als je op een kwetsbaarheid stuit.

Van Hove maakte tussen augustus 2022 en februari 2023 in totaal 114 meldingen van een beveiligingslek bij gemeenten en keek hoe ze daar op reageerden. Het ging hierbij om een beveiligingslek die het mogelijk maakt om via door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie

Vaak onmogelijk om lek anoniem te melden

Veel gemeenten blijken hun zaken niet op orde te hebben, zo concludeert Van Hove. Van de gemeenten die hij aanschreef bleek ruim de helft (60 van de 114) geen duidelijke CVD-procedure te hebben of handhaven. Bij 89 gemeenten werd bijgehouden of het probleem werd opgelost. De helft van hen reageerde niet binnen negentig dagen op een veiligheidsmelding.

Verder was het vaak niet mogelijk om een kwetsbaarheid anoniem te melden. Reden: het was alleen mogelijk om een veiligheidslek te melden doordat je verplicht was om in te loggen via DigiD.

Een positieve kanttekening is dat bij 19 gemeenten de melding adequaat werd afgehandeld en er ook werd gereageerd op de melding. Verder meldt Van Hove dat bij tien gemeenten het gemelde beveiligingslek werd opgelost. Dit werd echter niet teruggekoppeld met degene die het lek bij de gemeente meldde.

DIVD roept gemeenten op om drempel voor meldingsprocedure te verlagen

Bij de meldingsprocedure stuitte de computerwetenschapper op diverse uitdagingen. Zo kreeg Van Hove te maken met digitale formulieren en e-mailadressen die niet werkten en verwarrende meldingmethoden.

Tijdens zijn onderzoek viel hem op dat bij 11 van de 114 gemeenten een geautomatiseerd proces werd gestart zodra hij de meldingsprocedure startte. Daarbij werden persoonsgegevens als naam, geboortedatum, trouwdatum, financiële staat, verblijfsvergunning van zowel de melder als diens partner, ouders en kinderen opgevraagd uit de Basisregistratie Personen (BRP). Dit gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.

Het DIVD roept gemeenten op om de drempel voor het melden van beveiligingslekken te verlagen. Zo moet de CVD-procedure helder op de website van de gemeente worden benoemd en beschreven. Verder moet er een optie bestaan om een kwetsbaarheid anoniem te melden.