In Juni 2016 werd door de pers reeds een onderzoek gedaan of de gemeentelijke websites duidelijk en overzichtelijk zijn.  Met een score van 6.6/10 was dit voor Jabbeke zeker niet het geval. Wat bovendien opviel tijdens dit onderzoek, was dat de betere sites werden gebouwd door in eGovernment gespecialiseerde bedrijven. Het maken van een goed gestructureerde, duidelijke en overzichtelijke website is dus echt geen job voor om het even wie.  De content aanleveren ligt uiteraard wel in handen van de gemeente.
Dat met de bijkomende investeringsvloed in 2018 hiervoor weer nagelaten wordt een budget uit te trekken is verwonderend.  Een website is nochtans een krachtig medium om een boodschap uit te brengen naar een breed publiek.

In september dit jaar werden alle Vlaamse gemeentewebsites nogmaals gescreend ditmaal op de kwetsbaarheid voor cybercriminelen. Meer bepaald werd onderzocht of er een veilige HTTPS verbinding gebruikt wordt voor het digitaal loket of ook e-loket genaamd.  Als inwoner moet je vaak privacygevoelige informatie invullen. Wanneer die gegevens niet op een veilige manier worden verstuurd, kunnen die in handen vallen van cybercriminelen. Dit met mogelijke identiteitsfraude tot gevolg.

De gemeente Jabbeke kreeg op basis van testen het label 'Matig'. Dit betekent dat de website van de gemeente HTTPS ondersteunt, maar dat dit nog niet geïmplementeerd is over alle onderdelen van de website. (zie https://hoeveiligismijngemeente.be)

Mijn onderzoek waarbij meerdere testers werden betrokken toont echter aan dat het e-loket helemaal geen HTTPS ondersteunt en bovendien gebreken bevat. Hierdoor zelfs het label ‘Matig’ niet verdient.

Aanmelden voor het e-loket (Mijn Jabbeke) kan op twee manieren.  Via een eID kaartlezer of met beveiligingscodes.  De eerste manier werkt gewoon niet.  Dit werd getest met alle gangbare browsers. Ook met de oudere versies ervan.  Bovendien werd dit dubbel gecheckt met de website Tax-On-Web waar het wel werkte met een aantal browsers gebruikt voor het testen van het e-loket in Jabbeke.

De enige manier om gebruik te maken van het e-loket is dus gebruik maken van de beveiligingscodes. Hierbij wordt reeds bij de aanmelding maar ook later bij de aanvraag van een formulier of dienst gewoon onbeveiligd (HTTP) alle persoonlijke gegevens over het internet gestuurd. We spreken niet alleen over de naam en adresgegevens van de aanvrager, maar ook het rijksregisternummer, het emailadres, het telefoon- en gsm-nummer en uiteraard ook het paswoord.  Men kan zich bovendien afvragen of het paswoord geëncrypteerd bijgehouden wordt op de servers van onze gemeente.

Het is duidelijk dat de website van de gemeente onvoldoende beveiligd is. Staatssecretaris voor Privacy, Philippe De Backer , spreekt van een onaanvaardbare situatie gezien het de taak is van de gemeente om de gegevens van haar inwoners goed te beschermen. Het is onaanvaardbaar dat de Privacywet niet gevolgd wordt. Niet volgen van de privacywet zoals de staatssecretaris het verwoord, kan je dus vertalen naar een  inbreuk op de wetgeving.

Mijn vraag tijdens de jongste gemeenteraad aan de bevoegde schepen om een plan van aanpak voor te leggen om het e-loket van Jabbeke beter te beveiligen werd weggewuifd met een aantal documenten die zouden aantonen dat de website voldoet aan alle vereisten.  De burgemeester noch de voorzitter van de gemeenteraad wilden een stemming om dit probleem aan te pakken.

Mensen die het e-loket in Jabbeke gebruiken moeten dus beseffen dat alle persoonlijke gegevens onversleuteld over het net worden gestuurd en dat er een kans is dat cybercriminelen hier misbruik van maken.