Comply or Explain: handleiding voor een goede verklaring

Verklaringen zijn stukken uitleg die bedoeld zijn om het vertrouwen in een organisatie te versterken. Dit vertrouwen ontstaat doordat de organisatie laat zien enkel doelbewust veilige diensten aan te bieden, en af te wijken op standaarden wanneer dit noodzakelijk is. Wij ondersteunen dit door alleen verklaringen toe te voegen die een organisatie sterker in beeld brengt.

Een goede verklaring is er altijd een waarbij de grondslag ‘by design’ is: dus dit is volgens het ontwerp zo bedoeld en de veiligste optie.

Voorbeelden van goede verklaringen

Goed 1: Volgen van technische eisen

HTTPS is uitgeschakeld omdat Certificate Revocation Lists toegankelijk moeten zijn zonder versleuteling (ivm kip en ei probleem). Deze data heeft checksums om de integriteit vast te stellen.

Goed 2: Begrijpen van de doelgroep

Deze dienst is bedoeld voor apparaten die gegevens uitwisselen. Deze apparaten vertrouwen dit certificaat. Dit is een overheids G1 certificaat dat volgens het ontwerp niet wordt vertrouwd in browsers.

Goed 3: Begrijpen van de eindgebruiker

Versleuteling is niet mogelijk omdat de Commodore 64 geen TLS spreekt, maar wel bij deze gegevens moet kunnen komen.

Voorbeelden van slechte verklaringen

Slecht 1: Beloften over de toekomst

We werken eraan / De leverancier werkt eraan / Dit wordt opgelost / Dit staand gepland voor aan het einde van het jaar.

Wij zien dat dergelijke beloften niet uitkomen. Er is vaak vertraging en een verklaring zou de urgentie weghalen.

Slecht 2: Afwijzen of afschuiven van verantwoordelijkheid

De leverancier wil dit niet doen, of vraagt een enorm bedrag. Dit is voor ons niet haalbaar.

Dit betekent dat je naar een andere leverancier moet, of dat het probleem op een andere manier moet worden opgelost. Wanneer een leverancier duizenden euros vraagt voor simpele beveiligingseisen dan is er iets mis.

Slecht 3: Afbakening van verantwoordelijkheid / Scope / Ontkenning

Dit subdomein is van ons maar wij hebben hier geen dienst op, dat wordt gedaan door een andere organisatie. Dit past niet in onze scope.

In dit geval moeten er afspraken worden gemaakt met de andere organisatie om het uit de scope te halen.

Updates April 2024
Website portfolio bijgewerkt Het website portfolio is een onderbelichte feature van basisbeveiliging. Dit overzicht is bijgewerkt waardoor het beter inzetbaar is voor veiligheidsdoelen. Bijvoorbeeld controle of alle sites de verwachte layout hebben … Lees verder "Updates April 2024"
Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!
Vanaf 10 april toont basisbeveiliging.nl ook de basisveiligheid van het Middelbaar Beroepsonderwijs (MBO) en het Voortgezet onderwijs (VO). Er worden meer dan 6000 domeinen van 700 instellingen gemeten. De eerste onderwijsinstelling die … Lees verder "Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!"
Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites
Het kost ten minste twee miljoen om te mogen versleutelen, maar de kosten voor bijbehorend arbeid verveelvoudigt dat. Gelukkig is de transitie naar gratis certificaten in volle gang. Dit gaat gepaard met … Lees verder "Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites"
Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode.
Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar. Het … Lees verder "Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode."
Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet
Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner … Lees verder "Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet"
De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli
Sinds 7 februari meet basisbeveiliging.nl of e-mailversleuteling voldoet aan de richtlijnen van het NCSC. Deze meting is iets te streng omdat ook DANE als eis is meegenomen. DANE is slechts een overweging … Lees verder "De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli"
Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)
Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken … Lees verder "Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)"
Updates Februari 2024
Beter laat dan nooit: Happy new year! Alles dat we in 2023 hebben gedaan staat in het basisbeveiliging jaaroverzicht 2023. Klassement Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met … Lees verder "Updates Februari 2024"
Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…
Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid … Lees verder "Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…"
Basisbeveiliging Jaaroverzicht 2023
Samenvatting 2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in … Lees verder "Basisbeveiliging Jaaroverzicht 2023"
Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid
Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het … Lees verder "Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid"
Updates December 2023
Security van Cybersecuritybedrijven De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op … Lees verder "Updates December 2023"
Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven
Vanaf 9 november publiceert basisbeveiliging metingen over tracking cookies. Met deze technologie worden bezoekers van websites gevolgd door adverteerders. Om dat te mogen moet een bezoeker expliciet toestemming geven. Bij deze nieuwe … Lees verder "Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven"
7 politieke partijen veiliger, meer dan 100 problemen opgelost
Van de 70 politieke partijen die staan ingeschreven bij de kiesraad doen er uiteindelijk 26 mee aan de Tweede Kamerverkiezingen 2023. De overige partijen hebben we van de kaart gehaald. De samenwerkende … Lees verder "7 politieke partijen veiliger, meer dan 100 problemen opgelost"
Updates November 2023
Nieuwe meting over ongevraagde tracking cookies De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij … Lees verder "Updates November 2023"
Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende
De verkiezingscampagnes zijn inmiddels in volle gang. Dit jaar doen er 70 partijen mee, waarvan er 64 een website hebben. Vanaf 2 oktober is te zien of al deze websites voldoen aan … Lees verder "Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende"
De helpdesk aflevering 5: Waarom geen Google Analytics?
We krijgen regelmatig de vraag waarom basisbeveiliging Google Analytics negatief beoordeelt bij haar privacymeting. Er wordt dan verklaard dat Analytics is ingericht volgens de handleiding van de Autoriteit Persoonsgegevens. De Autoriteit geeft … Lees verder "De helpdesk aflevering 5: Waarom geen Google Analytics?"
Updates Augustus 2023
Meting toegevoegd over de locatie van dienstverlening (in de EU+GDPR zone) Er wordt gekeken waarvandaan online diensten worden verleend: van de server, e-mail server(s) en waar de inhoud van de website vandaan … Lees verder "Updates Augustus 2023"
Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook.
Ook delen 419 overheidsdomeinen data met Google Ads. Vanaf 9 augustus is op basisbeveiliging.nl te zien vanuit welk land de overheid online diensten verleent. We controleren of dit gebeurt vanuit de EU+GDPR … Lees verder "Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook."
1/3e overheidssites voldoet niet aan HTTPS eisen, ontbreekt volledig op 56 adressen
Vanaf 1 Juli 2023 is het toepassen van HTTPS verplicht voor de overheid. Dat betekent dat communicatie met alle websites en webapplicaties versleuteld moet gebeuren. Hierdoor worden bezoekers van deze applicaties beschermd … Lees verder "1/3e overheidssites voldoet niet aan HTTPS eisen, ontbreekt volledig op 56 adressen"