**Hackers: 'Veel gemeenten reageren niet adequaat op veiligheidslekken'**

Gemeenten reageren niet snel of adequaat genoeg op meldingen over beveiligingslekken. Dat blijkt uit onderzoek van de Universiteit Twente en de vrijwilligersorganisatie van 'ethische hackers' Dutch Institute for Vulnerability Disclosure (DIVD), die bedrijven en overheden informeert over kwetsbare systemen.

Om beveiligingsproblemen bij de overheid te verhelpen kunnen experts een een zogeheten CVD-melding doen (coordinated vulnerability disclosure) via de website van een gemeente, zo is het idee. Maar dat systeem werkt lang niet altijd even goed. Onderzoeker Koen van Hove deed als ingenieur en onderzoeker bij DIVD onderzoek naar die CVD-procedures, uit persoonlijke interesse in de alertheid van Nederlandse gemeenten. Van augustus 2022 tot februari 2023 maakte hij melding van een beveiligingslek bij 114 gemeenten, als gevolg van het gebruik van door gemeenten veel gebruikte software.

Anoniem niet mogelijk

Ruim de helft van de gemeenten bleek geen duidelijke CVD-procedure te hebben, 44 gemeenten reageerden niet binnen drie maanden. Ook werkten in een aantal gevallen invulformulieren of emailadressen niet. Daarnaast kon vaak alleen melding worden gemaakt na inloggen via DigiD, waardoor een beveiligingslek anoniem aankaarten onmogelijk werd gemaakt.

Bij elf gemeenten werd melders om uitgebreide persoonsgegevens gevraagd, zoals geboortedatum, gegevens van familie of een verblijfsvergunning. De gemeente bleek daarvan niet op de hoogte.

Reden voor optimisme

Bij tien aangeschreven gemeenten werd het beveiligingslek wel opgelost, maar kreeg de melder dit niet te horen.

DIVD roept gemeenten op de drempel voor beveiligingsmeldingen te verlagen door een duidelijke procedure op de gemeentewebsites te zetten, met de optie om het ook anoniem te kunnen doen.

Volgens DIVD is er ook reden voor optimisme: 19 gemeenten reageerden wel op tijd, en handelden de melding goed af.

https://nos.nl/l/2492689