DigiD-gegevens worden gedeeltelijk versleuteld opgeslagen, maar de gebruikte encryptie voldoet niet aan de gestelde eisen.
Dit blijkt uit onderzoek van de Algemene Rekenkamer naar het ministerie BZ, meldt Security.nl. Vorig jaar hebben ruim 13 miljoen mensen zo’n 250 miljoen keer DigiD gebruikt.
Risico’s wegnemen
Al eerder jaren constateerde de Rekenkamer dat DigiD niet volledig voldeed aan belangrijke informatiebeveiligingseisen. Daarbij ging het om de periodieke uitvoering van veiligheidsonderzoeken, het versleutelen van gegevens en om actieve controles op systeemvastleggingen (logging en analyse). BZ heeft vorig jaar verschillende acties ondernomen om deze beveiligingsrisico’s weg te nemen.
Restrisico
De Rekenkamer meldt nu dat DigiD-gegevens gedeeltelijk worden versleuteld, maar dat de gebruikte encryptie niet volledig voldoet aan de gestelde eisen van het ‘Tijdelijk besluit nummergebruik overheidstoegangsvoorziening’ uit 2004. “Omdat op andere manieren veiligheidsmaatregelen zijn genomen die het risico van misbruik van gegevens tot een gering risico beperken, heeft het ministerie in oktober 2016 het besluit genomen het restrisico te accepteren”, aldus de Rekenkamer. Volgens demissionair minister Plasterk zal de encryptie in de opvolger van DigiD worden toegepast. Dit is naar verwachting begin 2018.
Te laag betrouwbaarheidsniveau
De Rekenkamer meldt ook dat DigiD in 90 procent van de gevallen alleen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie) wordt gebruikt. “In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens”, schrijft de Rekenkamer.
Plasterk zegt dat toepassing van het juiste betrouwbaarheidsniveau de verantwoordelijkheid is van de betreffende organisatie. Zo is er eind maart 2017 voor onder meer studiefinanciering en toeslagen een proef gestart die het mogelijk maakt om met een DigiD-app in te loggen.
Geef een reactie