Voor professionals die werken aan digitalisering van de overheid

Logo Rijksoverheid, naar de homepage

Veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites

Met de inwerkingtreding van de Wet digitale overheid per 1 juli 2023 worden overheden ook verplicht hun publiek toegankelijke websites en webapplicaties te beveiligen met de open standaarden HTTPS en HSTS.

De 16 vragen

  1. Wat wordt verplicht?
  2. Wanneer gaat de verplichting in?
  3. Wat is de grondslag voor de verplichting?
  4. Wie legt de verplichting op?
  5. Voor wie geldt de verplichting?
  6. Voor welke overheidswebsites en ‑webapplicaties geldt de verplichting?
  7. Waarom geldt de verplichting ook voor websites met publieke, niet-persoonlijke informatie?
  8. Waarom deze verplichting? Wat hebben burgers en ondernemers eraan?
  9. Hoe kan je als gebruiker zien of een overheidswebsite voldoet aan de verplichting?
  10. Hoe past deze verplichting bij eerder beleid?
  11. Wat is het verschil tussen ‘wettelijk verplichting’, ‘pas toe of leg uit’ en ‘streefbeeldafspraak’?
  12. Wat is de mate van gebruik door overheidsorganisaties?
  13. Hoe is de verplichting tot stand gekomen?
  14. Zegt de verplichting ook wat over het type TLS-certificaat dat moet worden gebruikt?
  15. Worden andere beveiligingsstandaarden ook verplicht?
  16. Hoe zijn het toezicht en de handhaving geregeld?

1. Wat wordt verplicht?

Het “Besluit beveiligde verbinding met overheidswebsites en ‑webapplicaties” verplicht overheidsorganisaties om hun publiek toegankelijke websites te beveiligen met de open standaarden HTTPS. In aanvulling op HTTPS moeten overheidsorganisaties ook de HSTS-standaard gebruiken. Dat zorgt ervoor dat browsers na een eerste websitebezoek direct via HTTPS verbinden met de website. Daarnaast moet de HTTPS-configuratie voldoen aan de TLS-richtlijnen en Webapplicatie-richtlijnen van het Nationaal Cyber Security Centrum (NCSC).

2. Wanneer gaat de verplichting in?

Op 1 juli 2023 gaat de verplichting van HTTPS en HSTS in, inclusief de relevante NCSC-richtlijnen voor overheidswebsites.

3. Wat is de grondslag voor de verplichting?

Artikel 3 Wet digitale overheid (Wdo) vormt de grondslag voor het “Besluit beveiligde verbinding met overheidswebsites en ‑webapplicaties”. Op basis van dat artikel kunnen standaarden voor elektronisch verkeer worden aangewezen die overheidsorganisaties verplicht moeten toepassen. Meer achtergrondinformatie over het artikel staat in de Memorie van Toelichting. De Wet digitale overheid is gepubliceerd in het Staatsblad.

4. Wie legt de verplichting op?

Het besluit heeft de vorm van een Algemene Maatregel van Bestuur (AMvB). Een AMvB is een besluit van de regering, waarin wettelijke regels nader worden uitgewerkt. In dit geval gaat het om uitwerking van artikel 3 Wet digitale overheid.

Het besluit is ondertekend door de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en door de minister van Justitie en Veiligheid (JenV). Forum Standaardisatie is door het ministerie van BZK betrokken bij de voorbereiding van het besluit.

5. Voor wie geldt de verplichting?

De verplichting tot toepassing van de standaarden geldt voor overheidsorganisaties die bestuursorgaan zijn als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht. Bij deze zogeheten a‑bestuursorganen gaat het om de organen van de Staat (mits niet uitgezonderd), provincies, gemeenten, waterschappen en andere rechtspersonen die krachtens publiekrecht zijn ingesteld.

Bij organen van de Staat valt onder meer te denken aan de Belastingdienst (Ministerie van Financiën) en de Dienst Uitvoering Onderwijs (Ministerie van Onderwijs, Cultuur en Wetenschap). Bestuursorganen met een eigen rechtspersoonlijkheid zijn bijvoorbeeld de Sociale Verzekeringsbank en het Uitvoeringsinstituut werknemersverzekeringen.

6. Voor welke overheidswebsites en ‑webapplicaties geldt de verplichting?

De verplichting geldt voor alle publiek toegankelijke websites van de overheid. Het kan gaan om interactieve websites met bijvoorbeeld een inlogmogelijkheid, applicatie en/of een formulier. Maar het kan ook gaan om websites waar alleen (statische) informatie wordt weergegeven. Ook web application programming interfaces (web API’s), die bijvoorbeeld voor de communicatie met apps worden gebruikt vallen onder deze verplichting. In het geval van een inlogmogelijkheid geldt de verplichting voor zowel het deel vóór als het deel na de inlog. De verplichting tot toepassing van de standaarden heeft ook betrekking op zogeheten parking pages en redirects.

Intranetsites die niet publiekelijk bereikbaar zijn vanaf internet vallen buiten het toepassingsbereik van de verplichting. Dat wil overigens niet zeggen dat toepassing van de standaarden daar niet verstandig is.

De verplichting gaat niet over het gebruik van URL’s zoals in HTML-hyperlinks, of over het gebruik van Linked Data URI’s. Het wijzigen van bestaande Linked Data URI’s is zeer complex en niet aan te raden. Als achter een URL of URI een website of webapplicatie toegankelijk is, dan valt alleen deze website of webapplicatie onder de verplichting.

7. Waarom geldt de verplichting ook voor websites met publieke, niet-persoonlijke informatie?

Zonder HTTPS is de verbinding tussen een website en de browser van de bezoeker toegankelijk voor derden. Een internetcrimineel kan dan niet alleen persoonlijke informatie, maar ook niet-persoonlijke, publieke informatie inzien of manipuleren. Daardoor zou de bezoeker bijvoorbeeld foutieve informatie kunnen ontvangen of omgeleid kunnen worden naar een ‘valse website’. Dat risico wordt ingeperkt door HTTPS. De standaard draagt eraan bij dat de burger online veilig met de overheid kan communiceren.

8. Waarom deze verplichting? Wat hebben burgers en ondernemers eraan?

Gebruikers van overheidswebsites moeten erop kunnen vertrouwen dat informatie-uitwisseling vertrouwelijk verloopt. HTTPS en HSTS inclusief de relevante NCSC-richtlijnen helpen daarbij. Deze beveiligingsstandaarden zorgen ervoor dat de verbinding met de website is versleuteld en dat de website echt bij de gebruikte domeinnaam hoort. Daardoor is het vrijwel onmogelijk voor kwaadwillenden om de informatie-uitwisseling tussen de burger/ondernemer en de overheidswebsite te onderscheppen (oftewel ‘af te luisteren’) of te manipuleren.

9. Hoe kan je als gebruiker zien of een overheidswebsite voldoet aan de verplichting?

Met de testtool Internet.nl kan iedereen testen of een overheidswebsite volledig voldoet aan de verplichting. Een website die voldoet, moet slagen voor alle onderdelen in de categorie ‘Beveiligde verbinding (HTTPS)’ van de websitetest van Internet.nl. Op deze website wordt ook verwezen naar de richtlijnen van NCSC en staan ook aanbevelingen voor implementatie.

In de browser kan de gebruiker vaak alleen zien of een website HTTPS ondersteunt, maar niet in welke vorm. Of ook HSTS en de richtlijnen van NCSC worden toegepast is niet zichtbaar. Indien een website HTTPS ondersteunt, dan toont de webbrowser dat aan de gebruiker. De manier waarop dat zichtbaar is, verschilt per webbrowser. Vaak staat er “https://” (en dus niet “http://”) aan het begin van de URL in de adresbalk. Daarnaast is meestal een specifiek icoontje, meestal een slotje, zichtbaar.

Overigens is de ondersteuning van HTTPS geen garantie dat het om een legitieme overheidswebsite gaat. Behalve op de aanwezigheid HTTPS zal de bezoeker ook op andere kenmerken moet letten om een legitieme overheidswebsite te herkennen, met name de domeinnaam.

10. Hoe past deze verplichting bij eerder beleid?

Hieronder staat een kort overzicht van eerdere verplichtingen voor HTTPS en HSTS en voor de onderliggende TLS-standaard: 

  • september 2014: TLS-standaard op ‘pas toe of leg uit’‑lijst;
  • februari 2016: streefbeeldafspraak dat TLS vóór eind 2017 wordt toegepast op alle overheidswebsites, waarbij burgers en/of bedrijven gegevens moeten invoeren of waarbij gegevens ‘vooringevuld’ zijn;
  • mei 2017: HTTPS en HSTS op ‘pas toe of leg uit’‑lijst;
  • mei 2017: streefbeeldafspraak dat HTTPS en HSTS vóór eind 2018 worden toegepast op alle overheidswebsites en dat deze conform de richtlijnen van het NCSC zijn geconfigureerd.

11. Wat is het verschil tussen ‘wettelijk verplichting’, ‘pas toe of leg uit’ en ‘streefbeeldafspraak’?

‘Pas toe of leg uit’ is kort gezegd een aanschafverplichting voor overheidsorganisaties gericht op het gebruik van de desbetreffende open standaard. Een ‘streefbeeldafspraak’ gaat wat verder en is een inspanningsverplichting voor overheidsorganisaties om de standaard vóór een afgesproken datum in gebruik te nemen. Beide typen verplichtingen hebben het karakter van interne afspraken van de overheid die op hoog bestuurlijk niveau, namelijk op advies van Forum Standaardisatie door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO), worden bekrachtigd.

Een ‘wettelijke verplichting’ op basis van de Wdo betekent dat overheidsorganisaties de betreffende standaard moeten gebruiken. Afwijkingen zijn niet toegestaan. Het betreft een besluit van de regering dat ook externe werking beoogt. In de Memorie van Toelichting van de Wet digitale overheid staat ook dat het verplichten van een standaard ook strekt tot bescherming van burgers en bedrijven.

12. Wat is de mate van gebruik door overheidsorganisaties?

Forum Standaardisatie voert op verzoek van OBDO sinds 2016 periodieke metingen uit onder overheidsorganisaties naar het gebruik van HTTPS en HSTS inclusief de relevante beveiligingsrichtlijnen van NCSC.

Uit de laatste meting van begin 2023 blijkt dat van de circa 2654 gemeten overheidsdomeinnamen 93% doorverwijst naar HTTPS. Van het totaal aantal domeinnamen heeft 77% een configuratie conform de TLS-richtlijnen van NCSC en 78% maakt gebruik van HSTS.

13. Hoe is de verplichting tot stand gekomen?

Het ministerie van BZK heeft samen met Forum Standaardisatie het “ontwerpbesluit beveiligde verbinding met overheidswebsites en ‑webapplicaties” opgesteld. Daarbij zijn ook de vragen van het “Integraal Afwegingskader voor beleid en regelgeving” (IAK) beantwoord.

Het ontwerpbesluit is publiekelijk geconsulteerd van 2 september 2019 tot en met 20 oktober 2019. In totaal zijn er 13 reacties binnengekomen. De noodzaak van het verplicht stellen van de standaarden HTTPS en HSTS werd door bijna alle respondenten onderschreven. Over de ontvangen consultatiereacties heeft het ministerie van BZK begin 2021 een verslag gepubliceerd.

14. Zegt de verplichting ook wat over het type TLS-certificaat dat moet worden gebruikt?

Het toepassen van HTTPS betekent dat partijen een TLS-certificaat moeten installeren op hun website. Het voorgenomen besluit schrijft geen specifiek type TLS-certificaat voor.

15. Worden andere beveiligingsstandaarden ook verplicht?

Behalve HTTPS en HSTS zijn voor websites ook andere beveiligingsstandaarden van belang, zoals DNSSEC. Daarnaast zijn er belangrijke beveiligingsstandaarden voor andere toepassingen, zoals DMARC en DANE voor e‑mail. In de consultatie stelden verschillende respondenten voor om ook andere open standaarden wettelijk te verplichten.

Voor verschillende van deze standaarden bestaan nu al minder vergaande verplichtingen in de vorm van ‘pas toe of leg uit’ en ‘streefbeeldafspraken’. Nadat het voorgenomen besluit voor verplichte toepassing van de informatieveiligheidsstandaarden HTTPS en HSTS in werking is getreden, zal de regering zich beraden voor welke andere standaarden een wettelijke verplichting passend is.

16. Hoe zijn het toezicht en de handhaving geregeld?

Wanneer overheidsorganisaties niet aan deze standaarden voldoen, zijn zij in wettelijke overtreding. Vanuit het ministerie van BZK wordt hierop gemonitord.

Vraag, idee, reactie of suggestie?

Werk je aan de digitalisering van de overheid en heb je een vraag of een idee? Reageer via het contactformulier