donderdag 10 april 2014

Hoe veilig zijn genealogische en archief websites?

Deze week is een ernstig lek gevonden dat het veilig geachte HTTPS (en ander type verkeer op basis van SSL/TLS) een stuk onveiliger maakt. De lek in de software bibliotheek OpenSSL kreeg de naam Heartbleed. De bibliotheek is verbeterd en het is dan ook zaak dat website eigenaren de nieuwste versie (waarin het probleem is opgelost) installeren en gebruiken.

Een kleine steekproef leert dat Nederlandse genealogische en archief websites geen probleem (meer) hebben op dit punt (zie hier ook een lijst van internationale genealogische websites).

Maar…. uit deze steekproef blijkt ook dat er nog websites zijn die geen HTTPS gebruiken voor login, winkelwagen en bestelpagina’s. Terwijl het versleutelen van persoonlijke informatie toch wel een minimum beveiligingsmaatregel is! In onderstaande tabel zijn de website die geen HTTPS gebruiken rood gemarkeerd.

Website

SSL niveau (*1)

archieven.nl (*2)

-
beta.bhic.nl B
computergenealogie.org -
gahetna.nl A-
gemeentearchief.wassenaar.nl (*3) -
genealogieonline.nl A-
militieregisters.nl.geneabase.com A-
ngv.nl -
openarch.nl A-
pictura-dp.nl (*4) A-
stadsarchief.amsterdam.nl A-
stamboom.nl -
stamboomforum.nl A-
stamboomnederland.nl -
stamboomvragenforum.nl -
tresoar.nl F
uwstamboomonline.nl -
velehanden.nl -
wiewaswie.nl B

*1 Via https://www.ssllabs.com/ssltest/index.html kun je nagaan hoe de HTTPS implementatie van een website er voor staat. Hierbij wordt het Amerikaanse grade systeem gebruikt waarin A het beste is en F het slechtste.

*2 Deze score (dus geen HTTPS) lijkt van toepassing op alle archiefwebsites die gebruik maken van de software van archieven.nl (De Ree), zoals bijvoorbeeld het Zeeuws Archief

*3 Deze score (dus geen HTTPS) lijkt van toepassing op alle archiefwebsites die gebruik maken van Atlantis (DeventIt), zoals bijvoorbeeld Stadsarchief Rotterdam

*4 Deze score (A-) lijkt van toepassing op alle archiefwebsites die gebruik maken van de software van Picturae.

Werk aan de winkel

Alle website/product eigenaren die nog geen HTTPS gebruiken op die delen van de website waar persoonlijke informatie “over de lijn” gaat: ga je schamen en ga aan de slag met HTTPS!

Zijn er sites die in bovenstaande tabel ontbreken, test de website via SSLlabs en plaats het resultaat als commentaar bij dit artikel.

donderdag 3 april 2014

De WOB als middel om aan open data te komen

Met Open Archieven probeer ik archiefinstellingen te laten zien wat er met open data kan, dat het kan leiden innovatie. Het geeft me ook een goede reden om archiefinstellingen om open data te vragen. Op één zo’n verzoek reageerde het betreffende archief niet, reden voor mij om het middel Wet Openbaarheid van Bestuur (WOB) eens uit te proberen…

Stadsarchief Enschede

Op 3 december 2013 stuurde ik digitaal een WOB verzoek (PDF) naar de gemeente Enschede om historische persoonsgegevens. In dit verzoek verzocht ik hen om de meta-gegevens van de volgende openbare bronnen in machineleesbaar formaat:

  • overlijdensakten Enschede, 1811-1950
  • geboorteakten Lonneker, 1811-1910
  • overlijdensakten Lonneker, 1811-1934
  • huwelijksakten Lonneker, 1811-1934
  • bevolkingsregister Enschede-Lonneker, 1811-1936

De eerste 4 bronnen worden op de website van Stadsarchief Enschede via Atlantis ontsloten. De 5e bron zit opgesloten in PDF bestanden die het Stadsarchief op haar website deelt. Geen van deze bronnen zijn herbruikbaar…

Ik heb gevraagd of ik de gegevens “in een machine leesbaar formaat, bij voorkeur volgens een open standaard (te denken valt aan CSV en OAI/PMH volgens A2A model)” kon krijgen. Voor de aanlevering gaf ik hen verschillende mogelijkheden: via e-mail danwel CD/DVD, of door publicatie op http://opendata.enschede.nl/ en/of http://www.opencultuurdata.nl/.

Het besluit van 20 januari 2014 (PDF) luidde als volgt: “De gemeente Enschede zal de door u gevraagde gegevens in het tweede kwartaal van 2014 als open data beschikbaar stellen via de gemeentelijke website, opendata.enschede.nl. De gegeven zullen beschikbaar worden gesteld in csv-bestandsformaat”.

Dit positieve resultaat smaakte naar meer! Vandaar dat ik hierna nog 3 WOB verzoeken de digitale deur uit deed…

Gemeentearchief Venlo

Op 26 januari 2014 stuurde ik digitaal een WOB verzoek (PDF) naar de gemeente Venlo. Dit verzoek was opgesteld naar het model dat ik voor Stadsarchief Enschede had gebruikt, met die kanttekening dat Venlo geen gemeentelijke open data portaal (of beleid) heeft.

Op 4 februari ontving ik per e-mail de melding dat ik het WOB-verzoek niet per e-mail kon indienen (op grond van artikel 2:15, eerste lid, van de Algemene wet bestuursrecht) maar dat dit schriftelijk moest. OK, mijn e-mail uitgeprint, ondertekend en opgestuurd, zucht. Op 13 februari vroeg de gemeente mij, via e-mail, om mijn postadres, want die had de DIV afdeling niet overgenomen van de envelop. Zucht, gemeentes, maak het jullie zelf nou niet zo moeilijk…

Op 26 februari 2014 ontving ik de beschikking (PDF). De gemeente oordeelde dat de gevraagde meta-data geen betrekking heeft op stukken die een bestuurlijke aangelegenheid betreffen en dat het verzoek om deze reden niet kan worden aangemerkt als een verzoek om informatie die betrekking heeft op een bestuurlijke aangelegenheid in de zin van artikel 3, eerste lid, van de Wet openbaarheid van bestuur.

In mijn bezwaarschrift heb ik hen gewezen op uitspraak 201105857/1/A3 van de Raad van State, met name overweging 10. In deze overweging stelt de Raad van State dat het betoog van het college van burgemeester en wethouders van Weesp, dat meta-data niet onder artikel 3, eerste lid, van de Wet openbaarheid van bestuur valt, faalt.

Een volgende stap in dit WOB traject is een hoorzitting. Omdat ik afreizen naar Venlo vanuit Den Haag iets te veel van het goede vind heb ik aangegeven niet te komen maar wel een pleitnota te zullen indienen. Wordt dus vervolgd…

Gemeentearchief Schouwen-Duiveland

De afhandeling van WOB verzoeken verschilt per organisatie, die ervaring had ik al bij mijn WOB verzoeken inzake WieWasWie. Komt het WOB-verzoek niet verder dan de juridische afdeling dan lijkt het adagium “probeer er onderuit te komen”. Heeft een gemeente een open data beleid, dan lijkt het al makkelijker. Gemeente Schouwen-Duiveland pakte het naar mijn smaak helemaal fijn op: het gemeentearchief nodigde me uit voor een gesprek!

Uit het fijne gesprek kwam naar voren dat zij positief wilde besluiten ten aanzien van mijn WOB-verzoek. Hiervoor waren zij ook ten rade gegaan bij het Zeeuws Archief (vanwege totstandkoming dataset/eigenaarschap) en hun leverancier (voor een kosteninschatting). Zij gaven aan dat het WOB verzoek voor hen ook een prikkel was om een beleid ten aanzien van open data te ontwikkelen (waaronder deelname aan de Masterclass Open Cultuur Data), erg mooi!

Vooralsnog zal het gemeentearchief de gegevens eerst aan mij leveren (zodra de gemeente een OAI-PMH/A2A koppeling heeft ingericht), waarbij de wens is de gegevens later als open data beschikbaar te stellen.

Gemeentearchief Wassenaar

Mijn WOB verzoek aan de gemeente Wassenaar (PDF) betrof de meta-data van de geboorteakten van 1811-1902, huwelijksakten van 1811-1926 en overlijdensakten van 1811-1950 van de Burgerlijke Stand van Voorschoten en Wassenaar, alsmede de Hervormde doopboeken van Voorschoten van 1621-1811.

Op 17 februari volgde het bericht (PDF) dat het verzoek niet zou worden ingewilligd. In mijn bezwaarschift heb ik hun argumenten proberen te ontkrachten. Zo zouden de gegevens in een databank zitten waarvan de gemeente Wassenaar niet de maker is, maar wie is dan de maker, is het databankrecht van toepassing? Ook zou het verstrekken van de informatie in de vorm van open data redelijkerwijs niet gevergd kunnen worden van de gemeente Wassenaar. Waarom dan niet (het archiefbeheersysteem heeft toch wel een exportfunctie)?

Maar vooral het niet juridische argument vond ik jammer: er zou geen speciaal gemeentelijk belang zijn om deze meta-data als open data te publiceren. Een dergelijk argument gaf mij de mogelijkheid nog eens aan te geven wat open data is en waarom die voor zowel aanbieder als potentiële gebruikers grote meerwaarde kan bieden.

Na het bezwaarschrift volgde de datum van de hoorzitting (16 april). Tot mijn grote verbazing ontving ik op 31 maart een gewijzigd WOB besluit (PDF), er was nu een gedeeltelijk toekenning en wel met betrekking tot de gegevens van Voorschoten! Bij dit besluit (per e-mail) zaten ook de gevraagde gegevens van Voorschoten (in XLS/CSV formaat). Binnenkort zullen deze op Open Archieven zijn te vinden!

Hierna rees de vraag of de hoorzitting doorgang moest vinden. Na een telefoontje van de juridisch medewerker wist ik genoeg: de meta-gegevens (en afbeeldingen) van de BS akten van Wassenaar die het gemeentearchief op haar website toont zijn ter beschikking gesteld door een vrijwilliger, op voorwaarde van anonimiteit en niet verder verspreiden van de databank. Voor mij was hiermee mijn WOB-verzoek afgehandeld: een gemeente mag niet iets weggeven waarvan ze de eigenaar niet is. Nog even los van of je eigenaar kan zijn van data en of het databankrecht van toepassing is, blijft het wel raar dat de gemeente niet zelf kan beschikken over deze meta-data…

Conclusie

Ik had mijn twijfels of ik via het WOB verzoek aan historische persoonsgegevens in de vorm van open data kon komen. Maar bij 2,5 van de 3 gevallen heeft het dus gewerkt, bij de 4e is het nog te bezien. Het helpt hierbij als het verzoek terecht komt bij een persoon/afdeling die verder kijkt dan het juridische aspect maar oog heeft voor open data.

Ik heb bij deze WOB verzoeken steeds de gemeente als ingang gekozen. Ik hoop dat ook archiefinstellingen zelf open data beleid gaan vormen en (genealogische) open data ter beschikking gaan stellen (zie ook Stappenplan Open Data op de ArchiefWiki). Want dat heb ik toch liever: organisaties die het nut van open data inzien en om deze reden open data leveren, en niet omdat het ‘moet’ vanuit Den Haag of Europa of wordt ‘geëist’ via de WOB.