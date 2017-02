DigiD niet veilig meer veilig genoeg

In het algemeen overleg van de vaste commissie voor Binnenlandse Zaken van 18 januari 2017 heeft minister Plasterk van Binnenlandse Zaken naar aanleiding van een aantal brieven opnieuw zijn zorgen geuit wat betreft het huidige kwetsbare identificatiesysteem DigiD welke wordt gebruikt ter verificatie van communicatie tussen burgers en overheidsorganen. Op het moment geschiedt de verificatie met een simpele gebruikersnaam en een wachtwoord. Voor sommige instanties is daarnaast een extra sms-verificatie verplicht.

Het kabinet beoogt om burgers en ondernemingen de mogelijkheid te bieden op een makkelijkere en veiligere manier te communiceren met overheidsorganen en bedrijven zoals verzekeraars, aangezien het bij communicatie met dit soort entiteiten vaak gaat om persoonlijke en vertrouwelijke informatie.

Momenteel lopen er pilots onder de noemer Impuls eID waarbij verschillende authenticatiesystemen als: Idensys, iDin en eHerkenning door verschillende partijen zoals de Belastingdienst en het Bureau Krediet Registratie worden getest qua werking, veiligheid en privacybescherming. De bedoeling is dat het eID (elektronische identiteit), een soort digitaal paspoort, gegevens van de houder bevat zoals naam, leeftijd, BSN en andere voor bepaalde diensten benodigde gegevens. Naast communicatie met overheidsorganen kan dit eID ook gebruikt worden ter identificatie bij private partijen zoals zorgverzekeraars en webwinkels. Het idee is dat een gebruiker zich met zijn eID overal waar nodig (dus niet alleen bij overheidsinstanties) digitaal kan identificeren, al gaat het alleen om de verificatie van zijn leeftijd (bijvoorbeeld bij producten/diensten met een leeftijdsgrens). Het systeem moet gaan werken zoals het concept van internetbankieren door de meeste banken is geïmplementeerd.

Minister Plasterk noemt, in zijn kamerbrief betreffende de voortgang van het eID stelsel, meerdere malen de update van DigiD waarmee het mogelijk wordt om gebruik te maken van de chips in rijbewijzen, paspoorten en identiteitskaarten i.c.m. met een NFC-kaartlezer om deze uit te kunnen lezen en daarmee vervolgens in te loggen.

Qua privacy en veiligheidsvraagstukken wat betreft dit nieuwe identificatiestelsel is er nog het één en ander te zeggen. Zo heeft de Autoriteit Persoonsgegevens in haar brief tot Minister Plasterk van 27 september 2016 duidelijk gemaakt (zie ook). Zij stelt dat het huidige voorstel nog niet aan het principe van privacy-by-design voldoet en nog te weinig aandacht besteed aan beveiliging en intern toezicht op het nieuwe stelsel. Wat betreft de privacy is het nog niet geheel duidelijk hoe deze voldoende gewaarborgd zal zijn. Indien gebruik wordt gemaakt van een eID om in te loggen bij bijvoorbeeld een webshop, moet het wel duidelijk zijn dat de eigenaar hiervan niet meer gegevens kan inzien dan strikt noodzakelijk voor het leveren van zijn dienst of product.

Het eID stelsel vereist daarnaast sterke maatregelen voor misbruik- en fraudebestrijding om zo de privacy te waarborgen. Dit is volgens de minister vooral van belang bij gebruik door private partijen, waarvoor een toelatingsproces is opgesteld gebaseerd op een uniforme set van eisen welke fungeren als de contractuele voorwaarden tussen private partijen en partijen als Idensys.

Deze ontwikkelingen liggen daarmee in lijn met het European eGovernment Action Plan 2016-2020 en de eIDAS-richtlijn waarmee wordt beoogd de communicatie tussen burgers en overheden binnen de Europese Unie makkelijker te maken, beter beveiligd te hebben en bovendien de grensoverschrijdende interoperabiliteit te verbeteren.

De voorgestelde wijzigingen zullen geregeld moeten in de Wet Generieke Digitale Infrastructuur (GDI) welke eind vorig jaar in consultatie is gegaan en naar verwachting het eerste kwartaal van 2019 van kracht wordt.

De uiteindelijke versie van (het publieke deel van)het eID stelsel zal in tegenstelling tot wat eerder gedacht was nog niet operationeel zijn aan het einde van 2017. Dit werd al eerder door het Bureau ICT-toetsing (BIT) voorspelt in haar advisering over het eID project. Hierin stelde zij dat het kennisniveau omtrent het project duidelijk nog niet op peil is en de huidige deadlines te kort zijn voor een goede implementatie van het nieuwe stelsel. Zo zijn er volgens het BIT nog veel onduidelijkheden omtrent het regelen van toezicht, zaken als de certificering en Europese aanbesteding van de levering van de gebruikte chips.

Daarnaast moeten de evaluaties van de huidige pilots nog worden opgesteld en verwerkt etc.

Een volledige implementatie van het stelsel zal volgens het BIT sowieso op zich laten wachten, gezien het feit dat het stelsel bij de invoering van de identiteitskaarten, paspoorten en rijbewijzen met chip uitgaat van het natuurlijke vervangingspatroon, wat inhoudt dat deze pas worden vervangen wanneer deze zijn verlopen. Gezien het feit dat een paspoort 10 jaar geldig is, zal het na het invoeren van het stelsel nog zeker 10 jaar duren voor er volledige implementatie heeft plaatsgevonden.

Met dank aan Mike Marshall