Uit onderzoek van de Universiteit Twente en het Dutch Institute for Vulnerability Disclosure (DIVD) blijkt dat veel gemeenten traag of niet adequaat genoeg reageren op Coordinated Vulnerability Disclosures (CVD)-meldingen.
CVD-procedures
Koen van Hove van Universiteit Twente en DIVD onderzocht de werking van CVD-procedures bij gemeenten. Van september 2022 tot maart 2023 meldde hij een beveiligingslek in software die gemeenten veel gebruiken. Hij nam hierover contact op met 114 Nederlandse gemeenten.
Verwarrende meldingsmethoden
Van deze 114 gemeenten hielden er 89 bij of het probleem werd opgelost. Bij 10 gemeenten werd het beveiligingslek verholpen zonder dat terug te koppelen aan de melder. Bij 19 gemeenten werd de melding adequaat behandeld. 44 gemeenten reageerden niet binnen 90 dagen. Tijdens het meldingsproces stuitte Van Hove onder meer op niet-functionerende formulieren en e-mailadressen en verwarrende meldingsmethoden.
Baseline Informatiebeveiliging Overheid
Sinds 1 januari 2019 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Deze verplicht het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure). Meer dan de helft van de 114 gemeenten die Van Hove aanschreef, heeft nog geen duidelijke CVD-procedure gepubliceerd of handhaaft deze niet.