Goede beveiliging begint bij veilige toegang. Voor websites, applicaties en beheersystemen moeten duidelijke afspraken bestaan over accounts, gebruikersnamen, wachtwoorden en inloggen.

Dat betekent onder meer dat gebruikersaccounts persoonlijk zijn, niet worden gedeeld, veilig worden beheerd en waar nodig worden beschermd met multi-factor-authenticatie. CommunicatieRijk benoemt hierbij afspraken over gebruikersnamen, wachtwoordeisen, multi-factor-authenticatie en verantwoordelijkheden rond het verkrijgen en bezitten van accounts.

Voor Cilde betekent dit: leg per digitale voorziening vast wie toegang heeft, wie eigenaar is van het beheer en welke afspraken gelden voor accounts en autorisaties.

De AVG beschermt persoonsgegevens. Websites en digitale formulieren mogen persoonsgegevens niet zomaar verzamelen of verwerken. Als een website om gegevens vraagt, moet duidelijk zijn waarom dat nodig is, welke grondslag bestaat en hoe de bezoeker daarover wordt geïnformeerd.

CommunicatieRijk geeft aan dat vragen naar of verwerken van persoonsgegevens kritisch moeten worden getoetst aan de AVG en moeten zijn voorzien van duidelijke uitleg voor de betrokkene.

Voor Cilde betekent dit: registreer per website of app of persoonsgegevens worden verwerkt, welke formulieren of cookies worden gebruikt, wie privacyverantwoordelijk is en welke uitleg of documentatie beschikbaar is.

Websites van de overheid zijn officiële publicaties. Ze moeten daarom worden gearchiveerd, zodat informatie nu en later beschikbaar blijft. Dat geldt niet alleen voor grote websites, maar ook voor tijdelijke sites, campagnesites, themasites en andere digitale publicatiekanalen.

CommunicatieRijk beschrijft dat alle rijksoverheidsorganisaties hun websites moeten archiveren en verwijst naar de richtlijn van het Nationaal Archief voor het archiveren van overheidswebsites.

Voor Cilde betekent dit: leg vast welke websites archiefwaardig zijn, welke archiveringsafspraken bestaan, wanneer een website wordt beëindigd en hoe de informatie duurzaam toegankelijk blijft.

De Baseline Informatiebeveiliging Overheid, BIO, is het uniforme normenkader voor informatiebeveiliging bij overheidsorganisaties. De BIO helpt om veilig samen te werken en gegevens verantwoord uit te wisselen. CommunicatieRijk beschrijft de BIO als uniform normenkader voor de beveiliging van de informatiehuishouding van alle overheidsorganisaties.

In de praktijk gaat het om risicobeoordeling, beveiligingsmaatregelen, verantwoording, beheer en continue verbetering.

Voor Cilde betekent dit: koppel websites, apps en domeinen aan risico’s, maatregelen, eigenaren, leveranciers, openstaande acties en bewijsstukken.

Het Basiswettenbestand zorgt voor duurzame verwijzingen naar wet- en regelgeving. Als een website verwijst naar wetten of regelingen, moeten die verwijzingen stabiel en eenduidig zijn.

CommunicatieRijk beschrijft BWB als een duurzaam verwijzingsmechanisme voor wet- en regelgeving dat interoperabiliteit van juridische documenten en systemen bevordert.

Voor Cilde betekent dit: controleer of juridische verwijzingen op websites duurzaam zijn ingericht en voorkom dat links naar wetgeving verouderen of onduidelijk worden.

CVD gaat over het verantwoord melden en afhandelen van kwetsbaarheden. Beveiligingsonderzoekers moeten eenvoudig kunnen vinden hoe zij een kwetsbaarheid kunnen melden. De organisatie moet vervolgens zorgvuldig reageren en voldoende tijd nemen om het probleem op te lossen.

CommunicatieRijk beschrijft CVD als een werkwijze om kwetsbaarheden verantwoord te melden en zorgvuldig af te handelen, zodat schadelijke gevolgen worden voorkomen of beperkt.

Voor Cilde betekent dit: leg per website vast of er een CVD-procedure is, waar die staat, wie meldingen opvolgt en hoe opvolging wordt geborgd.

Websites en apps moeten toegankelijk zijn voor iedereen. Dat betekent dat mensen met een visuele, motorische, cognitieve of andere beperking de informatie en functionaliteit ook moeten kunnen gebruiken.

CommunicatieRijk benoemt WCAG 2.1 niveau A en AA als onderdeel van EN 301 549 en geeft aan dat websites minimaal elke 36 maanden getest moeten worden, afwijkingen moeten worden hersteld en een toegankelijkheidsverklaring moet worden gepubliceerd.

Voor Cilde betekent dit: registreer per website of app de toegankelijkheidsstatus, de verklaring, de testdatum, openstaande bevindingen, verantwoordelijke eigenaar en datum voor hercontrole.

DMARC helpt om misbruik van domeinnamen via e-mail tegen te gaan. Het voorkomt dat kwaadwillenden e-mail kunnen versturen alsof die van een overheidsdomein afkomstig is.

DMARC werkt samen met SPF en DKIM en bepaalt wat een ontvangende mailserver moet doen als niet kan worden vastgesteld dat een e-mail echt afkomstig is van het afzenderdomein. CommunicatieRijk beschrijft DMARC als standaard tegen spam en phishing door misbruik van domeinnamen bij e-mail te voorkomen.

Voor Cilde betekent dit: controleer per domein of DMARC correct is ingericht en leg de status vast in het register.

DNSSEC beveiligt het Domain Name System, de “bewegwijzering” van het internet. Het helpt voorkomen dat bezoekers ongemerkt naar een verkeerde of kwaadaardige server worden geleid.

CommunicatieRijk legt uit dat DNSSEC DNS-informatie voorziet van een digitale handtekening, zodat gecontroleerd kan worden of de inhoud authentiek is en DNS-spoofing wordt voorkomen.

Voor Cilde betekent dit: controleer per domein of DNSSEC actief en juist ingericht is.

DKIM koppelt een e-mail aan een domeinnaam met een digitale handtekening. Daardoor kan de ontvanger beter controleren of een e-mail echt afkomstig is van de organisatie die als afzender wordt genoemd.

CommunicatieRijk beschrijft dat DKIM spam- en phishingmails beter filterbaar maakt en helpt vaststellen welke domeinnaam en organisatie verantwoordelijk zijn voor het verzenden van e-mail.

Voor Cilde betekent dit: registreer per domein of DKIM is ingericht en of de e-mailketen betrouwbaar is.

HTTPS, TLS en HSTS zorgen ervoor dat bezoekers veilig verbinding maken met een website.

HTTPS laat zien dat de verbinding met een website beveiligd is. TLS versleutelt de gegevens tussen gebruiker en website. HSTS zorgt ervoor dat een browser bij volgend bezoek direct de beveiligde HTTPS-versie gebruikt. CommunicatieRijk benoemt HTTPS, TLS en HSTS als verplichte open standaarden.

Voor Cilde betekent dit: controleer per website of HTTPS, TLS en HSTS goed zijn ingesteld, of certificaten geldig zijn en of er risico’s zijn rond verlopen certificaten of onveilige configuraties.

IPv6 is de moderne internetstandaard voor IP-adressen. Websites en onderdelen daarvan moeten bereikbaar zijn via IPv6, naast IPv4.

CommunicatieRijk geeft aan dat IPv6 verplicht is en dat de websitehoster moet zorgen dat de website en onderdelen daarvan op servers staan die IPv6 ondersteunen.

Voor Cilde betekent dit: leg per website of domein vast of IPv6 wordt ondersteund en of dit is meegenomen in hosting- en leveranciersafspraken.

Het internetdomeinbeleid gaat over hoe organisaties omgaan met domeinnamen. Het bevat afspraken over naamgeving, techniek, administratie en verantwoordelijkheden.

CommunicatieRijk beschrijft het Internetdomeinbeleid Rijksoverheid als beleidskader voor bestaande en nieuwe domeinen, met afspraken over naamgeving, techniek, administratie en organisatie van internetdomeinen.

Voor Cilde betekent dit: zorg voor overzicht van alle domeinen, subdomeinen, eigenaren, doelen, status, leveranciers en besluitvorming rond behoud of beëindiging.

PDF-documenten op websites moeten zorgvuldig worden gebruikt. Voor archivering bestaan PDF/A-standaarden. Voor toegankelijkheid is PDF/UA relevant. CommunicatieRijk benoemt verschillende PDF-standaarden, waaronder PDF/1.7, PDF/A-1, PDF/A-2 en PDF/UA voor toegankelijkheid.

Tegelijk blijft terughoudendheid belangrijk: niet elke informatie hoeft als PDF te worden gepubliceerd. Vaak is een gewone webpagina toegankelijker, beter vindbaar en beter onderhoudbaar.

Voor Cilde betekent dit: breng in beeld welke PDF’s worden gepubliceerd, of ze toegankelijk zijn, of ze duurzaam bewaard moeten worden en wie verantwoordelijk is voor actualisatie.

De Rijkshuisstijl zorgt voor herkenbaarheid, betrouwbaarheid en toegankelijkheid van online communicatie van de Rijksoverheid. Het gaat onder meer om logo, kleurgebruik, typografie, beeldtaal en online componenten.

CommunicatieRijk geeft aan dat onderdelen van de Rijksoverheid de rijkshuisstijl toepassen en dat voor online publicaties online richtlijnen gelden.

Voor Cilde betekent dit: leg per website vast of de juiste huisstijl en afzender worden gebruikt, vooral bij campagnes, samenwerkingsverbanden en tijdelijke websites.

RPKI beveiligt de routering van internetverkeer. Het helpt voorkomen dat IP-adressen worden gekaapt of dat internetverkeer verkeerd wordt omgeleid.

CommunicatieRijk beschrijft RPKI als cryptografische beveiliging voor het internet-routeringssysteem BGP, waarmee het moeilijker wordt om valse route-informatie in te brengen.

Voor Cilde betekent dit: controleer of voor gebruikte IP-adresblokken de juiste verklaringen zijn gepubliceerd en of leveranciers dit goed hebben ingericht.

SAML is een standaard voor veilige uitwisseling van authenticatie- en autorisatiegegevens. Het wordt gebruikt voor single sign-on: gebruikers loggen één keer in en krijgen daarna toegang tot meerdere diensten.

CommunicatieRijk beschrijft SAML als standaard om authenticatie- en autorisatiegegevens tussen domeinen uit te wisselen en noemt federatieve browser-based single-sign-on en single-sign-off als praktische toepassing.

Voor Cilde betekent dit: leg bij applicaties en beheeromgevingen vast welke inlogstandaarden worden gebruikt en hoe toegang en rechten zijn geregeld.

Een security.txt-bestand maakt duidelijk waar beveiligingsonderzoekers kwetsbaarheden kunnen melden. Het bestand bevat contactinformatie en meestal ook een verwijzing naar het beleid voor kwetsbaarheidsmeldingen.

CommunicatieRijk geeft aan dat security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn en dat het bestand contactinformatie en een vervaldatum moet bevatten.

Voor Cilde betekent dit: controleer per website of security.txt aanwezig, actueel en correct ingevuld is.

SPF helpt controleren of een mailserver namens een domein e-mail mag verzenden. Daarmee wordt misbruik van domeinen voor phishing en spoofing tegengegaan.

CommunicatieRijk benoemt SPF als e-mailstandaard die helpt vaststellen of ontvangen e-mails echt afkomstig zijn van het domein dat als afzender wordt genoemd. Alle overheidsdomeinen en subdomeinen moeten SPF toepassen, ook als ze geen e-mail versturen.

Voor Cilde betekent dit: controleer per domein en subdomein of SPF aanwezig is en past bij het werkelijke e-mailgebruik.

STARTTLS en DANE beveiligen e-mailverkeer tussen mailservers. Ze helpen voorkomen dat mailverkeer wordt afgeluisterd of onderweg wordt aangepast.

CommunicatieRijk beschrijft STARTTLS als manier om transportverbindingen tussen e-mailservers met TLS te beveiligen en DANE als aanvullende standaard waarmee e-mailservers het gebruik van TLS kunnen afdwingen.

Voor Cilde betekent dit: controleer of inkomende mailservers van domeinen STARTTLS en DANE correct ondersteunen.

Websites moeten bezoekers informeren over cookies en, waar nodig, toestemming vragen. Dit geldt ook voor andere technieken waarmee informatie op het apparaat van de gebruiker wordt geplaatst of uitgelezen.

CommunicatieRijk geeft aan dat websites bezoekers moeten informeren over cookies en toestemming moeten krijgen voor cookies waarvoor toestemming nodig is. Bij cookies die persoonsgegevens verzamelen, speelt ook de AVG een rol.

Voor Cilde betekent dit: registreer per website welke cookies en externe diensten worden gebruikt, of toestemming nodig is en of de cookie-informatie actueel is.

Het Websiteregister Rijksoverheid bevat alle websites van de Rijksoverheid en verschillende kwaliteitscriteria. Nieuwe websites moeten worden aangemeld, zodat ze in het register worden opgenomen.

CommunicatieRijk beschrijft dat alle websites van de Rijksoverheid in het Websiteregister staan en dat nieuwe websites bij DPC moeten worden aangemeld.

Voor Cilde betekent dit: een centraal register is onmisbaar. Organisaties moeten weten welke websites bestaan, wie eigenaar is, wat de status is en aan welke kwaliteitscriteria ze voldoen.

De Wet hergebruik overheidsinformatie stimuleert dat overheidsinformatie opnieuw gebruikt kan worden. Informatie die beschikbaar wordt gesteld voor hergebruik moet zoveel mogelijk open en machineleesbaar zijn.

CommunicatieRijk beschrijft de wet als bedoeld om openheid en hergebruik van gegevens van organisaties met een publieke taak te verbeteren. Wanneer informatie voor hergebruik wordt geleverd, moet die in een open en machineleesbaar formaat worden aangeboden.

Voor Cilde betekent dit: leg vast welke informatie via websites en digitale kanalen wordt gepubliceerd, welke datasets of documenten herbruikbaar zijn en of de juiste formats en metadata worden gebruikt.