Er mogen geen lekken meer optreden in gemeentelijke websites, zo stelt minister Spies van BZK. Elk onderdeel van de overheid dat werkt met DigiD moet jaarlijks een verplichte veiligheidskeuring ondergaan. Die beoordeling moet plaatsvinden onder leiding van een Register EDP-Auditor.

Een extra eis is, dat de auditor in kwestie staat ingeschreven in het register van de Norea. De conclusies van het onderzoek moeten worden doorgegeven aan Logius, de ICT-uitvoeringsorganisatie van het ministerie van BZK.

De beoordeling van de websites gaat aan de hand van de richtlijnen van het Nationale Cyber Security Centrum (NCSC), de recentelijk gevormde opvolger van GovCert.

Te weinig experts

Er wordt al rekening mee gehouden dat Nederland te weinig experts in huis heeft om alle overheidswebsites in één keer te beoordelen. Vandaar dat wordt gekozen voor een gefaseerde aanpak. De 'grootverbruikers' van DigiD, zoals het UWV en de Belastingdienst zijn het eerst aan de beurt. Zij dienen voor het eind van dit jaar een volledige controle te hebben ondergaan. De kleinere sites, zoals die van gemeenten, provincies en waterschappen, krijgen een jaar extra de tijd om aan de verplichtingen te voldoen.