Er is veel te doen over (weer) een aantal meldingen van Brenno de Winter van Webwereld over het al dan niet waterdicht zijn van een aantal websites (van Noord-Hollandse gemeentes in dit geval). Nu noemde Webwereld ook Noorder Koggeland als ‘onveilige gemeente' en die bestaat al jaren niet meer, maar dat terzijde. Misschien is het toch beter om de beveiliging van cloud-toepassingen eens als goed alternatief te beschouwen? Blijkbaar werkt het (ook) niet zo goed als bedrijven of organisaties het zelf in eigen hand houden. Toch een veel gehoord argument om bijvoorbeeld NIET over te stappen naar een dergelijke toepassing (zie ook mijn artikel van enige tijd geleden n.a.v. een blog van Willem van Enter, regional director Benelux van VMware).

Als applicaties centraal beheerd gaan worden via een cloud-infrastructuur is het misschien wat overzichtelijker en wordt het door specialisten beveiligd. Op één plaats beveiligen lijkt mij ook eenvoudiger te organiseren dan overal wat. Is ook geen garantie, ik weet het, maar toch, ik kan me ook voorstellen dat het voor een gemeente - zeker een wat kleinere - niet meer te doen is om alle ontwikkelingen op ICT-gebied (zelf) bij te houden. Eén van de redenen waarom die gemeentesites onveilig waren, volgens Webwereld, was dat ze waren gebaseerd op inmiddels verouderde technologie. En dan is het toch prettig als er specialisten zijn die dat wel doen. Sterker nog, die een deel van die ontwikkelingen in gang hebben gezet.

Nu steeds vaker duidelijk wordt dat de overheid, die zo goed voor de vertrouwelijkheid en betrouwbaarheid van onze persoonlijke gegevens zou moeten zorgen, zelf in veel gevallen zo lek is als een mandje, lijkt het mij het een goed idee om het eens over een andere boeg te gooien. Laat die overheid doen waar zij goed in is (wat was dat eigenlijk ook weer?) en laat specialisten op het gebied van cloud- en informatie-infrastructuur ervoor zorgen dat dergelijke toepassingen goed georganiseerd en makkelijk bereikbaar zijn voor de burgers, maar moeilijker binnen te komen voor de fraudeurs.

Dat betekent overigens niet dat je alle verantwoordelijkheid maar bij die specialisten moet leggen. Ook als je belastingaangifte wordt gedaan door een accountant, toch echt een specialist, ben je zelf eindverantwoordelijk voor het eindresultaat. Die accountants zorgen er ook voor dat jij een contract tekent waarin dat uitdrukkelijk vermeld staat. Je kunt daarover echter wel goede afspraken maken met elkaar. Een goede monitoring - dus niet zoals bij DigiNotar - moet garant staan dat er alles aan is gedaan om ervoor te zorgen dat het proces goed verloopt en de gegevens beveiligd zijn. Meer kun je toch niet verlangen? Dat is toch ook de essentie van (digitaal) beveiligen: dat je je stinkende best doet om ervoor te zorgen dat niemand erbij kan komen die dat niet moet kunnen?

Niet om te zeggen dat iets waterdicht is. Want zodra je dat zegt, zit de hele goegemeenschap aan hackers al op je site om te laten zien dat het toch echt niet waterdicht is.

Kortom, tijd voor bezinning en specialisten te laten doen waar zij goed in zijn en je als (overheids)organisatie te beperken tot je kerncompetentie. En maak het digitaal...

Hééé, waar heb ik dat meer gehoord? Dus wat wordt het: naar de cloud of naar de klote...?

John de Waard