Het College Bescherming Persoonsgegevens (CBP) concludeert dat de beveiliging van de digitale identificatiemethode DigiD ernstig tekortschiet en dringt aan op maatregelen. Dit naar aanleiding van de massale poging van mensen om in te loggen bij een reclamebureau dat dezelfde naam voert
Reclamebureau DigiD
Duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD. Hierbij hebben zij hun inloggegevens bij het reclamebureau achtergelaten. Dit is de conclusie van het CBP na onderzoek.
Logius
Het risico bestond dat derden misbruik zouden maken van persoonsgegevens die via de DigiD-inloggegevens toegankelijk zijn. Zowel het reclamebureau als de beheerder van de overheidsdienst DigiD, Logius, hebben maatregelen genomen waardoor het veiligheidsrisico rond deze specifieke situatie is weggenomen. Tegelijkertijd constateert het CBP dat mogelijk in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens.
Aangesloten instantie verplichten tot verbeteren
Het CBP laat weten dat “…bij de huidige staat van de beveiligingssituatie niet uit te sluiten valt dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door middel van phishing.” Een betere beveiliging en check van gegevens zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord.
Kom naar Seminar Privacy in de praktijk26 november 2015, Van der Valk Hotel Veenendaal. Nieuwe privacywetgeving vertaald naar uw organisatie
Geef een reactie