Networking4all Beveiliging van persoonsgegevens bij deelnemende politieke partijen aan Tweede Kamerverkiezingen 2010 Juni 2010
Voorwoord Er is veel te doen omtrent privacy. Of het nu gaat over het Elektronisch Patiënten Dossier (EPD) of de OVchipkaart. Ook de Wet bescherming persoonsgegevens (Wbp) is een hot issue waar menig kamervraag over wordt gesteld. De ene na de andere partij roept dat het allemaal niet veilig genoeg is en dat het veiliger moet. Met het oog op de Tweede Kamerverkiezingen op woensdag 9 juni 2010 leek Networking4all het interessant om de websites van de deelnemende partijen aan een test te onderwerpen. Het EPD mag dan ter discussie staan, maar zijn de sites van de politieke partijen zelf wél veilig en is de (gevoelige) informatie van de burger daar in veilige handen? Ook politieke partijen dienen zich immers aan de Wbp te houden, en dus ook hun websites. Networking4all onderzocht de websites van alle achttien deelnemende politieke partijen aan de Tweede Kamerverkiezingen op 9 juni. Van de bekende partijen PvdA en VVD tot en met de jongerenpartij Lijst 17 en de Piratenpartij. Op alle websites wordt op minstens één manier gevraagd om persoonlijke informatie. Zo dienen wachtwoorden, bank- of girorekeningnummers en burgerservicenummers te worden ingevuld. Bijvoorbeeld bij een ledenregistratie. Persoonsgegevens dienen in al deze gevallen beveiligd te worden. In dit rapport leest u hoe veilig de websites van de politieke partijen zijn en hoe ze omgaan met de persoonsgegevens van de bezoeker. Hierbij zou je verwachten dat zeker de gezaghebbende partijen veilig met onze gegevens omgaan. Maar is dat daadwerkelijk het geval?
© 2009 Networking4all - www.networking4all.com
pagina 2 van 14
Inhoudsopgave 1 Inleiding
4
1.1 Het onderzoek
4
1.2 Wie is Networking4all?
4
1.3 Het belang van SSL
5
1.4 Wettelijke eisen
6
2 Websites uitgelicht
7
2.1 Kruistabel
7
2.2 Per partij
7
2.2.1 CDA
8
2.2.2 ChristenUnie
8
2.2.3 D66
8
2.2.4 GroenLinks
8
2.2.5 PvdA
9
2.2.6 Partij voor de Dieren
9
2.2.7 PVV
9
2.2.8 SGP
10
2.2.9 SP
10
2.2.10 VVD
10
2.2.11 Evangelische Partij Nederland
11
2.2.12 Heel Nederland
11
2.2.13 Lijst 17
11
2.2.14 Partij één
11
2.2.15 Piratenpartij
11
2.2.16 Partij voor Mens en Spirit
11
2.2.17 Nieuw Nederland
12
2.2.18 Trots op Nederland
12
3 Conclusie
13
4 Contact
14
© 2009 Networking4all - www.networking4all.com
pagina 3 van 14
1
Inleiding 1.1
Het onderzoek
Networking4all houdt zich voortdurend bezig met de veiligheid van persoonsgegevens op het web. Niet zelden worden gegevens over een onveilige verbinding verstuurd en kunnen kwaadwillenden (hackers) de informatie onderscheppen. De gevolgen voor de slachtoffers van deze vorm van internetfraude kunnen groot zijn. Het College Bescherming Persoonsgegevens (CBP) adviseert daarom niet voor niets om als website gebruik te maken van een SSL Certificaat. Met dit onderzoek wil Networking4all achterhalen hoe zorgvuldig de politieke partijen de Wet bescherming persoonsgegevens hanteren. De bescherming van persoonsgegevens is in Nederland een wettelijke verplichting (zie ook paragraaf 1.4). Om te achterhalen hoe serieus deze wet wordt genomen doet Networking4all regelmatig onderzoeken, al dan niet gelieerd naar actuele issues. Deze keer de Tweede Kamerverkiezingen. Doel van deze onderzoeken is de samenleving bewust te maken van de mogelijke gevaren op het web en op de hoogte te stellen van de online veiligheid. Van de politieke partijen zou verwacht mogen worden dat zij de wet keurig naleven. Maar is dat ook daadwerkelijk het geval? Nemen de politieke partijen in Nederland de wetgeving serieus? Gaan zij wél zorgvuldig om met de persoonsgegevens van haar bezoekers? Verantwoording Networking4all onderzocht alle achttien deelnemende politieke partijen aan de Tweede Kamerverkiezingen van 9 juni 2010. Voor een gedegen onderzoek heeft Networking4all alle websites onderzocht op verschillende punten. Zoals bijvoorbeeld het bezit van een SSL Certificaat voor het kunnen aanbieden van een beveiligde methode voor het verzenden van (vertrouwelijke) informatie. Daarnaast zijn de websites ook gecontroleerd op het bestaan van diverse interactieve onderdelen zoals een webshop, contactformulier en een login-mogelijkheid. Hier is gekeken of de gegevens zoals die worden ingevuld worden afgeschermd. Daarbij kun je denken aan een bank/giro-rekeningnummer, burgerservicenummer en/of een wachtwoord. Ook in het geval wanneer bijvoorbeeld de webshop via een externe pagina wordt weergegeven. Tot slot is gecontroleerd of het aanmelden voor de nieuwsbrief kan plaatsvinden zonder dat cybercriminelen hier gemakkelijk emailadressen kunnen verzamelen.
1.2
Wie is Networking4all?
Networking4all biedt als marktleider de samenleving een oplossing voor digitale beveiligingsproblemen. Daarbij vereenvoudigen en centraliseren we domeinnaamregistraties en hosting. Het is onze passie om de samenleving op een snelle en doelgerichte manier bewust te maken en oplossingen aan te bieden op het gebied van online diensten en veiligheid.
© 2009 Networking4all - www.networking4all.com
pagina 4 van 14
Networking4all is sinds de oprichting in 2000 een ambitieus bedrijf en legt de lat hoog. Networking4all heeft de volgende missie: “De samenleving op een snelle en doelgerichte manier bewust te maken en oplossingen aan te bieden op het gebied van online diensten en veiligheid.”
1.3
Het belang van SSL
Networking4all controleert voornamelijk of gegevens worden verstuurd over een beveiligde verbinding aan de hand van een SSL Certificaat. Dit is de methode die voldoet aan de Wet bescherming persoonsgegevens (Wbp) en zoals het College Bescherming Persoonsgegevens (CBP) die stelt. Zie ook paragraaf 1.4. SSL wordt door miljoenen websites gebruikt voor de beveiliging van digitale verbindingen, zoals online aankopen, financiële transacties of het versturen van persoonsgegevens. Hierdoor zal alle informatie tijdens het transport vertrouwelijk blijven en niet leesbaar zijn door derden. Websites die over deze beveiliging beschikken zijn herkenbaar aan het gesloten slotje en de https:// in de adresbalk. Zo ziet u dit bijvoorbeeld op de inlogpagina van uw bank. Voor een SSL verbinding is een SSL Certificaat noodzakelijk. Een gebruiker kan aan de hand van een SSL Certificaat zien wie de eigenaar van de website is en wie het certificaat heeft afgegeven. Er zijn verschillende validatiemethoden voor de SSL Certificaten, namelijk domeinnaam gevalideerd (DV), organisatie gevalideerd (OV) en extended gevalideerd (EV).
Een SSL Certificaat is bovendien erg belangrijk voor de identiteit van de website en de eigenaar daarvan. Het geeft vertrouwen. Bezoekers van de website weten dat er veilig met hun persoonsgegevens wordt omgegaan en kwaadwillenden dit niet kunnen 'afluisteren'. Door het certificaat weten ze bovendien dat de gegevens alleen bij de eigenaar terecht zullen komen. Betekenis SSL staat voor Secure Sockets Layer. De derde versie van SSL stond aan de basis van het Transport Layer Security (TLS), de huidige uitvoering van SSL. Maar de naam SSL wordt nog altijd gebruikt als het gaat om het beveiligen van de internetverbinding. Volledige dekking? Een website dat geen gebruik maakt van een beveiligde verbinding kan worden afgeluisterd. Een SSL Certificaat biedt de meeste optimale bescherming, maar kan geen honderd procent garantie geven. Voor een eindgebruiker is een SSL Certificaat op dit moment echter wel het meest bruikbare middel om te controleren hoe een site omgaat met (persoons)gegevens en met wie ze zaken doen. Een SSL Certificaat beschermd daarentegen niet tegen bijvoorbeeld SQL-injecties, cross-site scripting of malware.
© 2009 Networking4all - www.networking4all.com
pagina 5 van 14
1.4
Wettelijke eisen
In de Wet bescherming persoonsgegevens (Wbp) staat dat het verplicht is om het verzenden van persoonsgegevens via internet te beveiligen. Het gebeurt echter nog veel te vaak dat deze informatie zonder enige vorm van veiligheid over het internet wordt verstuurd. De gevolgen voor de slachtoffers van internetfraude kunnen groot zijn. Criminelen achterhalen via betrouwbaar lijkende websites creditcardinformatie en/of andere persoonlijke gegevens en gaan op naam van de gestolen identiteit vervolgens financiële verplichtingen aan. De Nederlandse overheid erkent dit probleem. Om te voldoen aan de wettelijke eisen adviseert het College Bescherming Persoonsgegevens (CBP) daarom om gebruik te maken van een SSL Certificaat. SSL Certificaat Persoonsinformatie wordt op verschillende manieren verzonden. Bijvoorbeeld in het geval van online aankopen en financiële transacties, maar ook als het gaat om een simpel contactformulier. In alle gevallen verplicht de Wbp tot het beveiligen van de gegevens. Met een SSL Certificaat kan de webwinkelier ervoor zorgen dat deze gegevens niet zijn af te luisteren. Verplicht De wet verplicht het beveiligen van persoonsgegevens. Het CBP ziet er daarom op toe dat deze wet wordt nageleefd. Boetes bij het niet naleven van de regels kunnen oplopen tot € 4500,-. Afgezien van deze boete loopt het nalatige bedrijf ook nog het risico aansprakelijk gesteld te worden voor de schade.
© 2009 Networking4all - www.networking4all.com
pagina 6 van 14
2
Websites uitgelicht Networking4all heeft de websites van alle deelnemende politieke partijen aan een onderzoek onderworpen. Hieronder behandelen we iedere website apart en onderbouwen we onze bevindingen. Daarnaast hebben we de standpunten van de partijen over de bescherming van persoonsgegevens en andere citaten op de websites aangehaald.
2.1
Kruistabel
Uitleg kruistabel: In bovengenoemde tabel ziet u alle onderzochte partijen. Aan de hand van de gekleurde vakjes geven we aan of we een onderdeel op de site hebben kunnen vinden en of het wel of niet veilig is. Dit hebben we gedaan om duidelijk te maken waar, hoe en welke informatie gelekt wordt. In sommige gevallen wordt voor een lidmaatschap een bank of gironummer gevraagd. In andere gevallen niet. In dit schema kunt u exact zien wat wel en niet over een onbeveiligde verbinding wordt verstuurd.
2.2
Per partij
U ziet nu per politieke partij wat er wel en niet goed is aan de website. Waar wordt welke informatie gelekt en wat zeggen ze zelf in hun partijprogramma over online veiligheid en de bescherming van persoonsgegevens.
© 2009 Networking4all - www.networking4all.com
pagina 7 van 14
2.2.1
CDA
Het partijprogramma van het CDA is heel duidelijk over online privacy weten: “Het CDA wil dat mensen meer grip krijgen op hun online privacy. Het gebruik van privacyvriendelijke technieken wordt gestimuleerd. De overheid moet bij digitale ontwikkelingen daarin het goede voorbeeld geven. Bedrijven moeten nadrukkelijk en expliciet consumenten om toestemming vragen voor het verzamelen van hun onlinegegevens en het koppelen van bestanden (opt-in regeling).” Het CDA staat als regeringspartij ook achter de kostbare campagne waarin de burger wordt gewezen op het afschermen van persoonsgegevens en onveilige websites. Het CDA geeft duidelijk aan privacyvriendelijke technieken te stimuleren. Vreemd is dan ook de site van het CDA niet over deze technieken beschikt. De site beschermt nergens de persoonsgegevens van haar bezoekers. Wachtwoord, bank- en adresgegevens worden over een onbeveiligde verbinding verstuurd. Mogen we concluderen: wie zonder zonde is werpe de eerste steen? 2.2.2
ChristenUnie
In het partijprogramma van de ChristenUnie is weinig te vinden over online veiligheid en het beschermen van persoonsgegevens. Wel zegt het over het Elektronisch Patiënten Dossier (EPD): “Het waarborgen van de privacy en de vertrouwelijkheid van gegevens zijn voorwaarden voor landelijke invoering van het EPD.” Evenals het CDA en de PvdA was het deze partij die de campagne geïnitieerd heeft om veiligheid op het web onder de aandacht te brengen bij de burger. Daaruit kun je concluderen dat de privacy van de burger van groot belang is. De ChristenUnie acht het gevaar op haar eigen website schijnbaar minder groot. Het beschikt niet over een beveiligde verbinding en alle gegevens zijn zo af te luisteren, inclusief bankgegevens. 2.2.3
D66
“D66 wil dat de privacy op internet wordt beschermd. Het vastleggen van surfgedrag, invullen van formulieren etcetera, dient beperkt te worden”, valt te lezen in het partijprogramma van D66. Daarnaast stelde Alexander Pechteld veelvuldig tweede Kamer vragen over dit onderwerp. Je mag dan verwachten dat D66 haar zaakjes zelf op orde heeft. Ook deze website beschermt burgers niet tegen het afluisteren van informatie. Wanneer iemand donateur wil worden van D66 zal het bankgegevens over een onbeveiligde verbinding sturen. Een (klein) positief punt is dat inloggegevens voor het intranet van de partij wel worden afgeschermd. Of dit laatste rechtvaardigt dat D66 zich profileert als de partij die webveiligheid hoog in het vaandel heeft staan, is de vraag. 2.2.4
GroenLinks
GroenLinks geeft in haar partijprogramma aan dat persoonsgegevens beter moeten worden beschermd. “Privacy en persoonsgebonden gegevens worden beter beschermd. Digitale informatiesystemen, diensten en producten worden zo ontworpen dat alleen noodzakelijke informatie wordt opgeslagen, voor een vooraf
© 2009 Networking4all - www.networking4all.com
pagina 8 van 14
beschreven doel en waar mogelijk anoniem. Burgers en consumenten krijgen inzicht in het gebruik van hun persoonsgegevens. Zonder hun expliciete toestemming mogen deze niet worden doorverkocht of gedeeld met derden.” Ondanks dat de partij haar zaakjes ten opzichte van de meeste overige partijen redelijk op orde heeft versturen ze nog steeds wachtwoorden over een onbeveiligde verbinding. De site beschikt over een SSL Certificaat, maar deze wordt niet op alle benodigde plaatsen gebruikt. De persoonsgegevens worden afgeschermd wanneer iemand lid wil worden van de partij, maar bijvoorbeeld niet als iemand in wil loggen in het CampagneCentrum. Bij Femke lijkt de veiligheid van persoonsgegevens, zeker in vergelijk met de andere politieke partijen, meer een halszaak. 2.2.5
PvdA
Op de site van de PvdA is een privacyverklaring opgenomen waarin staat: “De Partij van de Arbeid is ervan overtuigd dat de bescherming van de persoonlijke levenssfeer van haar leden, belangstellenden en bezoekers van de website van essentieel belang is voor haar activiteiten. Persoonlijke gegevens van leden, belangstellenden en bezoekers worden dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. De Partij van de Arbeid houdt zich dan ook in alle gevallen aan de eisen die de Wet bescherming persoonsgegevens stelt” en “als u zich wilt aanmelden als lid, als belangstellende of voor een activiteit verstuurt u uw persoonsgegevens en bijvoorbeeld rekeningnummer via een zogenoemde Secure Socket Layer (SSL) verbinding.” Het onderzoek van Networking4all wijst echter anders uit. Ondanks dat de site over een SSL Certificaat beschikt, worden de persoonsgegevens niet in alle gevallen beveiligd. De tekst op de website ten spijt. Een certificaat is aanwezig. De insteek van de partij is dus zeker goed. De uitvoering is daarentegen niet optimaal: het certificaat wordt namelijk niet overal gebruikt. Waar Job Cohen als burgemeester van Amsterdam de veiligheid heeft verbeterd, heeft hij bij de website van de PvdA nog een lange weg te gaan. 2.2.6
Partij voor de Dieren
De Partij voor de Dieren vindt dat “de Wet Bescherming Persoonsgegevens dient te worden aangescherpt om burgerrechten veilig te stellen.” Wellicht dat de partij beter kan pleiten voor een strengere handhaving van de Wet bescherming persoonsgegevens. De site beschikt niet over een SSL Certificaat en verstuurt alle persoonsgegevens over een onbeveiligde verbinding. Ook in de webwinkel van de partij kunnen cybercriminelen gegevens afluisteren. Zonder cynisch te willen zijn, de dieren mogen van geluk spreken dat ze hun persoonsgegevens niet op de website hoeven in te vullen! 2.2.7
PVV
De Partij voor de Vrijheid heeft niets in haar partijprogramma staan dat duidt op het belang van bescherming van persoonsgegevens op internet. De website sluit daar naadloos op aan. De site beschikt over weinig
© 2009 Networking4all - www.networking4all.com
pagina 9 van 14
interactie. De bezoeker van de site kan alleen gebruik maken van een contactformulier en zich inschrijven voor de nieuwsbrief. Dit zal het dan wel moeten doen over een onbeveiligde verbinding. Ook de PVV maakt het cybercriminelen wel erg gemakkelijk. Wat voor gevolgen heeft het als relevante informatie kan worden onderschept door potentiële Moslimterroristen, meneer Wilders? Is zo een onveilige site niet de kat op het spek binden? 2.2.8
SGP
Ook de Staatkundig Gereformeerde Partij heeft in haar verkiezingsprogramma geen ruimte ingenomen voor online privacy. Dat is dan ook te zien aan de site. Het beschikt niet over een SSL Certificaat en alle persoonsgegevens worden over een onveilige verbinding verstuurd. We mogen concluderen dat deze orthodoxe partij met de persoonsgegevens op zijn website onorthodox omgaat. 2.2.9
SP
De SP lijkt veel waarde te hechten aan de bescherming van persoonsgegevens. Ze schrijven daarover: “Het College Bescherming Persoonsgegevens krijgt meer sanctiemogelijkheden en moet hogere boetes kunnen opleggen als er sprake is van schending van privacy.” Ook moet internetfraude volgens de SP hard worden aangepakt. “Politie en justitie krijgen meer mogelijkheden om mensenhandel, belastingontduiking en internetfraude effectief te bestrijden” en “Internet is een nieuwe bron van inkomsten voor tal van criminelen. Veel actiever moet worden opgetreden tegen allerlei vormen van internetcriminaliteit. Illegaal gokken via het internet moet beter worden bestreden.” De website van de SP beschikt over een SSL Certificaat. Deze wordt helaas niet in alle gevallen gebruikt. De webshop is bijvoorbeeld niet beveiligd en wanneer iemand lid wil worden van de partij zal hij/zij zijn gegevens onveilig verzenden. Eenmaal lid van de partij kan er wel worden ingelogd op de beveiligde SPNET site. Jan Marijnissen heeft zijn erfenis redelijk netjes overgedragen aan Emile Roemer, maar ook bij de SP kunnen we er niet echt (tomaten)soep van maken! 2.2.10 VVD De VVD heeft enkele zaken op haar website beveiligd. Het schrijft zelf over de beveiliging van persoonsgegevens: “De bescherming van de persoonlijke levenssfeer van burgers is van groot belang. Vrijheid is immers een groot goed. Internet en hedendaagse technieken maken het mogelijk grote hoeveelheden persoonsgegevens te verzamelen, of het nu gaat om het patiëntendossier of terrorismebestrijding. Te vaak moeten we maar uitgaan van de goede bedoelingen van de overheid, zonder dat voldoende garanties en waarborgen tegen misbruik worden geboden. Heldere regels over wat wel en niet mag en technische garanties die onjuist gebruik verhinderen, zijn waarborgen voor de vrijheid van de burger.” Het ledenregistratieformulier van de website van de VVD is beveiligd. Dit is echter voor een normale gebruiker niet te zien vanwege het gebruik van een 'onzichtbaar' inline frame, welke verwijst naar een extern beveiligde pagina. De site van de partij zelf en de webshop zijn daarentegen niet goed beveiligd en zo kunnen onder andere de bankgegevens alsnog worden afgeluisterd.
© 2009 Networking4all - www.networking4all.com
pagina 10 van 14
Kortom, de website van Mark Rutte brengt het er niet echt slecht vanaf, maar of Neelie Kroes als Europees Commissaris van ICT en Telecom trots op de website van haar cluppie kan zijn, betwijfelen we! 2.2.11 Evangelische Partij Nederland De Evangelische Partij Nederland heeft in haar programma geen aandacht voor bescherming van persoonsgegevens. De site neemt geen maatregelen ter bescherming van de persoonsgegevens die moeten worden ingevuld bij het contactformulier. Verder biedt deze site minimale mogelijkheden tot interactie. 2.2.12 Heel Nederland Heel Nederland laat in haar partijprogramma het belang van online veiligheid achterwege. Het biedt echter haar bezoekers wel de mogelijkheid lid te worden en een contactformulier in te vullen. Beide over een onbeveiligde verbinding. Ook hier kunnen hackers dus de persoonsgegevens (en bankgegevens) achterhalen. 2.2.13 Lijst 17 “Privé blijft privé! Wat ons betreft moet er snel een grens getrokken worden. Onder het motto van veiligheid, zijn we juist steeds minder veilig en liggen onze gegevens steeds vaker – soms letterlijk – op straat.” Dat is wat Lijst 17 schrijft over privacy en internet. Persoonsgegevens liggen ook bij Lijst 17 op straat. De site beveiligt geen gegevens tijdens het transport en bezoekers die het contactformulier invullen lopen het risico dat hun ingevulde gegevens worden afgeluisterd. 2.2.14 Partij één Partij één neemt in haar programma geen standpunt in op het gebied van online privacy. De privacy van de bezoekers op de site lijkt het bovendien niet serieus te nemen. Alle gegevens moeten onbeveiligd ingevuld worden. De site beschikt dan ook niet over een SSL Certificaat. 2.2.15 Piratenpartij Het belangrijkste speerpunt van de Piratenpartij is privacy. In het partijprogramma worden de eerste tien pagina's gewijd aan het belang van privacy. Spijtig is het dan om te constateren dat de website zelf niet al te bewust met privacy omgaat. Zo worden gegevens als bijvoorbeeld een wachtwoord onveilig verzonden. 2.2.16 Partij voor Mens en Spirit “De privacy van de gewone burger komt steeds meer in het geding, zonder dat dit bewijsbaar effect heeft op criminaliteit en terrorisme. Privacy is belangrijk omdat dit vrijheid geeft en omdat het hacken en misbruiken van gegevens in deze tijd nogal eenvoudig is.” Zo ook op de website van de Partij voor Mens en Spirit. De site beschikt niet over een beveiligde verbinding en laat haar bezoekers alle gegevens onbeveiligd invullen, waaronder het bankrekeningnummer.
© 2009 Networking4all - www.networking4all.com
pagina 11 van 14
2.2.17 Nieuw Nederland Nieuw Nederland besteed in haar programma geen aandacht aan bescherming van persoonsgegevens op het web. Het schrijft wel op haar website dat ze handelen in overeenstemming met de Wet bescherming persoonsgegevens. Uit de test van Networking4all blijkt echter het tegendeel. Lid worden van de partij en het invullen van het contactformulier gaat over een onbeveiligde verbinding. Ook kan het burgerservicenummer worden afgeluisterd. 2.2.18 Trots op Nederland Trots op Nederland heeft een kleine noot over internetcriminaliteit. “De overheid bemoeit zich te veel met privé zaken en meningen. Wij maken een einde aan de politieke betutteling, ook op internet: geen filters. Dus het internet blijft vrij van overheidsinvloed. Strafbare feiten die ook in de reële wereld strafbaar zijn worden natuurlijk gewoon onderzocht en vervolgd.” Trots op Nederland mag wat kritischer zijn op haar eigen website. De site beschikt namelijk over geen enkele beveiliging. Zo worden alle persoonsgegevens (inclusief burgerservicenummer en bankgegevens) over een onbeveiligde verbinding gestuurd en kunnen kwaadwillenden relatief eenvoudig deze informatie onderscheppen. De conclusie is gerechtvaardigd dat we niet echt trots op de website van TON kunnen zijn!
© 2009 Networking4all - www.networking4all.com
pagina 12 van 14
3
Conclusie In Nederland zijn de Staten Generaal (1e en 2e Kamer) samen met de regering verantwoordelijk voor de wetgeving in Nederland. De Wet bescherming persoonsgegevens (Wbp) mag dus als bekend worden verondersteld bij politieke partijen. Uit onderzoek van Networking4all blijkt dat slechts vijf van de achttien partijen, die meedoen aan de Tweede Kamerverkiezingen, maatregelen hebben getroffen persoonsgegevens op hun website te beschermen. Helaas zijn de getroffen maatregelen ook bij deze vijf partijen niet afdoende. Wat opvalt is dat in sommige gevallen wel degelijk een SSL Certificaat aanwezig is, maar dat deze niet overal goed wordt toegepast. Feitelijk mogen we stellen dat geen van de achttien partijen zich aan de Wet bescherming persoonsgegevens houdt. En dat is vreemd. De partijen hebben de mond vol over bescherming van persoonsgegevens en de privacy wat betreft het Elektronisch Patiënten Dossier en de OV-chipkaart. Het afgelopen jaar is het onderwerp veelvuldig op de politieke agenda gezet en zijn er diverse Kamervragen gesteld. Op z'n minst mag er dan verwacht worden dat de partijen hun eigen uithangbord -de website- goed afgeschermd hebben. Networking4all heeft de overheid het afgelopen jaar met een rapport er op moeten wijzen dat veel overheidswebsites persoonsgegevens lekken. Er zouden maatregelen genomen worden. Dit is in een aantal gevallen ook gebeurd. Het is dan teleurstellend om te moeten constateren dat juist de politici niet ook naar hun eigen website kijken. Uit dit onderzoek blijkt dat op de websites van de achttien politieke partijen niet alleen naam- en adresgegevens, maar ook zaken als wachtwoorden, bank- of girorekeningnummers en burgerservicenummers onbeveiligd worden verzonden. Hackers kunnen in veel gevallen relatief eenvoudig de informatie onderscheppen zoals die worden ingevuld op de websites. Van de 'grote' partijen komen vooral het CDA, de SGP, de Partij voor de Dieren en de ChristenUnie er heel slecht uit. Op de sites van deze partijen is helemaal niets afgeschermd en wordt gevoelige informatie gelekt. Zeker van regeringspartij CDA die tenslotte ook onze premier levert hadden we gezien hun eigen partijprogramma waarin ze citeren “De overheid moet bij digitale ontwikkelingen daarin het goede voorbeeld geven” meer verwacht. GroenLinks, SP, VVD, D66 en de PvdA lijken de meeste aandacht te hebben besteed aan de bescherming van persoonsgegevens. Waarbij het opvallend is dat de intentie van de PvdA goed lijkt, maar de uitvoering erg matig. Ondanks de goede bedoelingen van deze vijf partijen houden ook zij zich niet aan de Wet bescherming persoonsgegevens. Montesquieu had ongetwijfeld meer verwacht van onze wetgevende macht!
© 2009 Networking4all - www.networking4all.com
pagina 13 van 14
4
Contact Networking4all B.V. Postadres: Postbus 15320 1001 MH Amsterdam Noord-Holland Nederland Telefoon: +31 (0)20 - 7881030 Fax: +31 (0)20 - 7881040 Telefoon België +32 (0)2 - 8081484 Telefoon Verenigd Koninkrijk +44 (0)203 - 3184538 Website: www.networking4all.com E-Mail:
[email protected] Afspraak: Wilt u zien hoe eenvoudig het is om gegevens af te luisteren of een interviewafspraak maken met een specialist op het gebied van online beveiliging? Neem dan contact op met Paul van Brouwershaven, technisch directeur van Networking4all via telefoonnummer 020-7881042 of
[email protected].
© 2009 Networking4all - www.networking4all.com
pagina 14 van 14
