Besluit beveiligde verbinding met overheidswebsites en -webapplicaties.

Bij Kabinetsmissive van 27 maart 2020, no.2020000610, heeft Uwe Majesteit, op voordracht van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende aanwijzing van de open informatieveiligheidsstandaarden HTTPS en HSTS voor websites en webapplicaties van bestuursorganen, met nota van toelichting.

Het ontwerpbesluit schrijft de toepassing van de informatieveiligheidsstandaarden HTTPS en HSTS verplicht voor ten behoeve van voor publiek toegankelijke websites van bestuursorganen. Het besluit heeft tot doel de beveiliging van deze websites te bevorderen.

De Afdeling advisering van de Raad van State maakt een opmerking over de reikwijdte van de verplichting. In verband daarmee is aanpassing wenselijk van het ontwerpbesluit dan wel de toelichting.

1. Reikwijdte verplichting

De in het ontwerpbesluit opgenomen verplichting tot toepassing van de standaarden geldt uitsluitend voor bestuursorganen als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht (Awb). Het gaat hierbij om de zogenoemde a-bestuursorganen. Dit zijn de organen van rechtspersonen die krachtens publiekrecht zijn ingesteld, en die niet zijn uitgezonderd in artikel 1:1, tweede lid, van de Awb. Het gaat dan om de organen van de Staat (mits niet uitgezonderd), provincies, gemeenten, waterschappen en andere rechtspersonen die krachtens publiekrecht zijn ingesteld.

De verplichting geldt niet voor de zogenaamde b-bestuursorganen, organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Awb, alsmede rechtspersonen met een wettelijke taak, voor zover deze geen a-bestuursorgaan zijn.

De toelichting merkt over dit onderscheid uitsluitend op dat deze b-bestuursorganen en rechtspersonen ook niet onder het reeds gevoerde beleid vielen. (zie noot 1) De toelichting stelt daarnaast dat dit overigens niet wil zeggen dat toepassing van de standaarden op hun websites niet verstandig is.

De Afdeling wijst erop dat het doel van het ontwerpbesluit is om ervoor te zorgen dat gebruikers van overheidswebsites erop moeten kunnen vertrouwen dat informatie-uitwisseling vertrouwelijk verloopt. Kenmerkend daarvoor is dat:
- de verbinding met de website beveiligd is,
- de informatie van de website daadwerkelijk afkomstig is van de beheerder van de website en
- de website daadwerkelijk hoort bij de gebruikte domeinnaam.

Tevens wijst de toelichting erop dat gelet op het doel van de verplichting de reikwijdte van de verplichting materieel ingevuld dient te worden. Het eigendom van de domeinnaam en het beheer van de website zijn daarbij niet relevant. Doorslaggevend is of de website gebruikt wordt in het kader van de uitvoering van een publieke taak door een bestuursorgaan. (zie noot 2)

Gelet hierop is niet duidelijk waarom deze doelstelling niet relevant is voor b-bestuursorganen. Ook daarbij maken burgers en bedrijven gebruik van de website in het kader van een publieke taak. Nu uit de toelichting tevens blijkt dat uit het verplicht voorschrijven van de standaarden weinig tot geen kosten zijn verbonden, lijkt dit ook geen argument te zijn om niet over te gaan tot het verplicht voorschrijven van de standaarden voor b-bestuursorganen. (zie noot 3)

De Afdeling adviseert daarom de reikwijdte van het ontwerpbesluit uit te breiden tot alle bestuursorganen, tenzij alsnog een dragende motivering kan worden gegeven voor de voorgestelde uitzondering.

2. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het ontwerpbesluit en adviseert daarmee rekening te houden voordat een besluit wordt genomen.

De vice-president van de Raad van State


Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W04.20.0067/I

- De hyperlinks in artikel 1 verwijzen allebei naar websites met daarop meerdere pdf-documenten. Mede gelet op Aanwijzing 3.50, tweede lid en onder b, in plaats daarvan hyperlinks opnemen naar de relevante documenten.

Nader rapport (reactie op het advies) van 8 mei 2023

Hieraan voorafgaand hecht ik er aan op te merken, dat de reden voor de ruime tijdspanne tussen het uitbrengen van het advies en het nader rapport is gelegen in het feit, dat het onderhavige besluit kon niet worden vastgesteld zolang de bovenliggende wettelijke grondslag niet in werking was getreden. De Wdo treedt op 1 juli 2023 in werking; alsdan kan ook dit besluit in werking treden.

Vanwege de tussenliggende tijdspanne is het voorstel bezien op actualiteit. Dit heeft niet geleid tot andere dan enkele tekstuele wijzigingen.

1. De Afdeling adviseert de reikwijdte van het ontwerpbesluit uit te breiden tot alle bestuursorganen, tenzij alsnog een dragende motivering kan worden gegeven voor de voorgestelde uitzondering.

In reactie hierop merk ik op, dat omdat vooral a-bestuursorganen elektronische diensten verlenen en in dat verband besluiten jegens burgers en bedrijven nemen, beveiligde verbindingen van essentieel belang zijn. Daarnaast geldt voor a-bestuursorganen dat de verplichtstelling van HTTPS en HSTS voor hun websites door middel van een algemene maatregel van bestuur het sluitstuk is op ingezet beleid. Andere instrumenten, zoals de pas-toe-of leg-uit-lijst (zie noot 4) en zogeheten streefbeeldafspraken (zie noot 5), zijn al eerder ingezet. Dit geldt niet voor andere organen zoals bedoeld in artikel 3, eerste lid, Wet digitale overheid. Deze organen vielen niet onder het reeds gevoerde beleid. De bestaande monitoring door het Forum Standaardisatie beperkt zich ook tot a-bestuursorganen.

Daarnaast is bij de consultatie van het concept-besluit niet getoetst of er voldoende draagvlaak is om de verplichting toe te passen op andere organen zoals bedoeld in artikel 3, eerste lid, Wet digitale overheid. Evenmin is daar in de voorbereidingsfase door de belanghebbenden en/of hun vertegenwoordigers uit het veld om verzocht. Verplichtstelling voor andere organen zoals bedoeld is op dit moment daarom disproportioneel. Dit wil overigens niet zeggen dat toepassing van de standaarden op hun websites niet verstandig is. In samenspraak met vertegenwoordigers uit het veld, zal de regering zich beraden of het op een later moment opportuun is om een besluit tot verplichting te nemen voor andere organen genoemd in artikel 3, eerste lid, Wet digitale overheid.

Naar aanleiding van het advies van de Afdeling is de nota van toelichting uitgebreid met bovenstaande reactie. In de nota van toelichting is ook verduidelijkt dat de verplichting tot toepassing van de standaarden alleen geldt voor zogeheten a-bestuursorganen en dat andere organen zoals bedoeld in artikel 3, eerste lid, Wet digitale overheid niet onder deze verplichting vallen.

2. De Afdeling plaatst enkele redactionele opmerkingen.

De Afdeling merkt op dat de hyperlinks in artikel 1 allebei verwijzen naar websites met daarop meerdere pdf-documenten. De verwijzingen zijn aangepast.

Ik bied U hierbij het ontwerpbesluit en de nota van toelichting aan en verzoek U overeenkomstig dit ontwerp te besluiten.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties

Voetnoten

(1) Toelichting, paragraaf 4, Organen.
(2) Toelichting, paragraaf 4, Functionele toepassingsbereik.
(3) Toelichting, paragraaf 5, Overheden.
(4) https://www.forumstandaardisatie.nl/standaard/https-en-hsts
(5) https://www.forumstandaardisatie.nl/thema/meting-informatieveiligheidstandaarden-en-adoptieafspraken