CBP: Beveiliging rond DigiD moet beter

De beveiliging rond DigiD moet verbeteren. Dit stelt het College bescherming persoonsgegevens (CBP). Het CBP heeft het verantwoordelijke ministerie van Binnenlandse Zaken (BZK) hierop gewezen en om een nadere toelichting op het huidige beveiligingsniveau van DigiD gevraagd.

Duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD. Hierdoor hebben deze gebruikers hun inloggegevens onbedoeld bij het reclamebureau achtergelaten, blijkt uit onderzoek van het CBP. Het risico bestond dat derden misbruik zouden maken van persoonsgegevens die via de DigiD-inloggegevens toegankelijk zijn.

Maatregelen
Zowel het reclamebureau als de beheerder van de overheidsdienst DigiD, Logius, hebben maatregelen genomen om de situatie te verbeteren. CBP concludeert echter ook dat mogelijk in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens. Het beveiligingsniveau van DigiD moet daarom volgens het CBP worden aangepast.

Bij de huidige staat van de beveiligingssituatie kan volgens het CBP niet worden uitgesloten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door gebruik te maken van phishing. Onbevoegden zouden hierdoor misbruik kunnen maken van allerlei gevoelige gegevens die toegankelijk zijn met DigiD. Denk hierbij aan belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget. Om dit te voorkomen is een extra veiligheidsvoorziening volgens het CBP noodzakelijk. De privacywaakhond dat dit verplicht wordt voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Als voorbeeld noemt de instanties twee-staps-authentificatie, waarbij tijdens het inloggen naast de gebruikersnaam en wachtwoord ook een code moet worden ingevoerd die via sms wordt toegezonden.

Onderzoek reclamebureau Digi-D
Het CBP startte op verzoek van het ministerie van BZK een onderzoek naar de verwerking van DigiD-gegevens van burgers door het Brabantse reclamebureau Digi-D. Het reclamebureau bleek van meer dan 8500 DigiD-accounts zowel de gebruikersnamen als wachtwoorden te hebben opgeslagen nadat DigiD-gebruikers hadden geprobeerd in te loggen op de site van het reclamebureau.

Het reclamebureau heeft naar aanleiding van het onderzoek van het CBP het loggen van de wachtwoorden gestaakt. Dit moet voorkomen dat onbevoegden de beschikking krijgen over complete DigiD-inloggegevens. De beheerder van DigiD, Logius, heeft de accounts van de gebruikers van wie de DigiD-inloggegevens bij het reclamebureau waren opgeslagen geblokkeerd en de betrokken mensen geïnformeerd.