OV in Nederland

Eurlings: Rijk niet verantwoordelijk voor privacy ov-sites
Geplaatst op: dinsdag 6 juli 2010 22:45
Laatst bijgewerkt: dinsdag 6 juli 2010 22:48

Minister Eurlings is niet van plan om in het kader van privacybescherming ov-websites onder de rijksoverheid te laten vallen. Hij is wel voorstander van een meldplicht.

Dat zegt demissionair minister Camille Eurlings in een antwoord op Kamervragen van GroenLinks en SP. De partijen stelden vragen na het lekken van gegevens van 168.000 reizigers via de site ervaarhetov.nl.
Lees verder

"De introductie en exploitatie van de OV-chipkaart is een verantwoordelijkheid van de decentrale overheden en hun vervoerders", schrijft Eurlings aan de Tweede Kamer. Hij wijst er verder op dat ook decentrale overheden zich moeten houden aan de Wet bescherming persoonsgegevens.

Kan Eurlings dan niet ingrijpen als het misgaat?

Dat is dezelfde vraag stellen als: Kan Stekelenburg geen bal tegenhouden als het een doelpunt is?

Natuurlijk niet. De ov-chipkaart is dan wel gedelegeerd aan lagere overheden, maar volgens mij zou de rijksoverheid in moeten kunnen grijpen als het mis dreigt te gaan - net zoals dat een minister ook verantwoordelijk is voor de fouten van zijn ambtenaren.

Volgens mij zou er vanuit het ministerie van Economische Zaken sowieso meer aandacht moeten zijn voor websitebeveiliging. Het gebeurt gewoon te vaak dat er XSS, SQL Injection en meer van dat soort plausibele activiteiten mogelijk zijn door slecht geprogrammeerde websites.

Dat is uberhaupt een probleem van de webontwikkelbranche denk ik. Tijd voor professionalisering, in plaats van belangrijke sites door de eerste de beste beunhaas te laten maken...

Tijd voor een (semi-)overheids standaard voor veiligheid, zoiets als drempelvrij maar voor veiligheid?

Ik denk bijvoorbeeld aan een subside voor een code audit, zodat het kostenplaatje lager uitvalt en het aantrekkelijker wordt om zoiets te laten doen. Natuurlijk alleen bij gecertificeerde instellingen.

Laten we eerst maar eens beginnen met certificering en de verplichting voor overheden om daar aan te voldoen, over subsidies kan altijd nog gepraat worden.

Mja, zo'n code audit is misschien weer de andere kant op, dan kom je al snel bij consultancy dingen terecht die duur zijn (en dus projecten onhaalbar maken, omdat zo'n audit verplicht is), en niet altijd even goed zijn... Las een verhaal dat een auditor van een top-bedrijf het database met alle wachtwoorden wel even per email wilde ontvangen (hoezo onveilig...)

Zolang er figuren op het ministerie van Defensie rondlopen die USB-sticks met staatsgeheimen laten slingeren, heb ik er een hard hoofd in. De overheid is op ICT gebied gewoon een volkomen incompetente organisatie...

Bij bedrijven is het niet veel beter hoor...