Veilig inloggen bij de overheid? Kritiek Algemene Rekenkamer

Geplaatst op 12 september 2016 door Ellen Timmer

Al enige tijd volg ik met belangstelling of er nu eindelijk veilige systemen komen om in te loggen bij de overheid, financiële instellingen en dergelijke.
Hoewel algemeen bekend is dat inloggen met het ‘DigiD’ (een mooie naam voor een primitief inlogsysteem met inlognaam en wachtwoord) onveilig is, is er nog geen vervanging en de rijksoverheid doet alsof er niets aan de hand is.

Algemene Rekenkamer in 2013 en 2014: DigiD is onveilig

De Algemene Rekenkamer heeft al lang geleden geconstateerd dat de systemen van de overheid achter lopen en onvoldoende beveiliging bieden. Al in 2013 schreef de Rekenkamer dat er grote risico’s zijn rondom de beveiliging van DigiD. In 2014 constateerde de Rekenkamer dat er al twee jaar melding wordt gemaakt van tekortkomingen in de beveiliging en er nog niets is opgelost.

eID/Idensys

Het zal dan ook niet verbazen dat de Algemene Rekenkamer nu is gekomen met zware kritiek op het eID/Idensys project, dat zou moeten voorzien in een opvolger van het DigiD. De Rekenkamer leidt het onderwerp als volgt in, waarbij ‘kwetsbaar’ betekent dat er sprake is van onveiligheid:

Het kabinet wil dat burgers en bedrijven in 2017 hun zaken met de overheid digitaal af kunnen handelen. Burgers en bedrijven moeten dan digitaal hun identiteit kunnen aantonen. Omdat de huidige middelen daarvoor – zoals DigiD – te kwetsbaar zijn, treft het kabinet op dit moment voorbereidingen om te komen tot een nieuw stelsel voor digitale identificatie en authenticatie (eID-stelsel).Wij zijn nagegaan of het kabinet bij de ontwikkeling van dat stelsel heeft voldaan aan randvoorwaarden op het terrein van de aansturing (governance), de zakelijke rechtvaardiging (business case) en het toezicht.

De Rekenkamer vat de kritiek als volgt samen:

Samenvattend is ons beeld dat tot nu toe (stand van zaken tot en met het voorjaar van 2016) nog niet is voldaan aan een aantal door ons onderzochte randvoorwaarden:

  • De verantwoordelijkheden voor het eID-stelsel zijn niet eenduidig belegd en de governancestructuur is ingewikkeld.
  • Op wezenlijke onderdelen van het eID-stelsel moeten nog besluiten worden genomen of uitgewerkt, bijvoorbeeld over de eisen waaraan nieuwe middelen moeten voldoen, over de privacybescherming en het toezicht.
  • Een actuele integrale business case en alternatievenafweging ontbreken vooralsnog, waardoor niet duidelijk is wat de totale kosten zullen zijn (voor 2016 en 2017 heeft de minister € 23 miljoen extra aan ontwikkelingskosten uitgetrokken).
  • Hoeveel de digitale identificatiemiddelen de individuele burger gaan kosten is evenmin duidelijk.
  • Een integrale visie op de inrichting van het toezicht voor het eID-stelsel ontbreekt.

Om de Tweede Kamer in staat te stellen gefundeerde keuzes te maken over de definitieve inrichting van het eID-stelsel, is het van belang dat het kabinet duidelijkheid schept over deze randvoorwaarden.

Het was me al eerder opgevallen dat de Idensys site op belangrijke vragen geen antwoord gaf.

Ook in het nieuwe rapport van de Rekenkamer vind ik geen antwoord op vragen als hoe de betrokken private partijen worden geselecteerd, hoe die private partijen worden gemonitord en gekeurd; of er personentoetsing plaats vindt van de beleidsbepalers bij dergelijke private partijen (als personentoetsing niet al plaats vindt, zoals bijvoorbeeld bij banken het geval is).

Het is te hopen dat de rijksoverheid de aanbevelingen van de Algemene Rekenkamer opvolgt en dat er met zeer grote spoed een veilig systeem wordt ontwikkeld.

Meer informatie:

  • Aankondiging door de Algemene Rekenkamer van de bevindingen, rapport (pdf) 8 september 2016. Persbericht Rekenkamer.
  • Brief Algemene Rekenkamer 27 oktober 2014, waarin de Rekenkamer onder meer schrijft “DigiD is onderdeel van artikel 6 (dienstverlenende en innovatieve overheid). Al twee jaar constateren wij tekortkomingen in de beveiliging van de DigiD-omgeving en in de DigiD-keten. Wij constateerden in ons verantwoordingsonderzoek 2013 dat overheidsinstellingen die DigiD gebruiken, niet voldoen aan de normen die de Minister van BZK heeft vastgesteld. Ook voldeed de DigiD-omgeving niet aan de eigen normen van de Minister van BZK.”
  • Persbericht Algemene Rekenkamer 15 mei 2013, de Rekenkamer schrijft: “Risico op misbruik vertrouwelijke gegevens. Inbraken op DigiD bij afnemers zoals gemeenten, Dienst Uitvoering Onderwijs (DUO) en de Belastingdienst kunnen leiden tot misbruik van vertrouwelijke gegevens van burgers en bedrijven. Deze afnemers moeten zich dan ook houden aan hoge veiligheidseisen. Volgens de Algemene Rekenkamer zijn er op dit moment echter risico’s voor de beveiliging van DigiD, doordat niet alle afnemers zich volledig aan de veiligheidseisen houden. De minister voor WenR zou de afnemers hierop moeten aanspreken: hij is verantwoordelijk voor de beschikbaarheid en kwaliteit van DigiD. De Algemene Rekenkamer beveelt hem aan te investeren in het toezicht op de afnemers van DigiD.
  • Mijn eerdere berichten over het eID en over DigiD
  • Website van eID / Idensys

Over Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

Gravatar
WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Annuleren

Verbinden met %s