De Autoriteit Persoonsgegevens of AP heeft haar zorgen geuit over de ontwikkeling van het eID-stelsel. De AP vindt dat er meer aandacht moet zijn voor de privacyaspecten en het afhandelen van beveiligingsincidenten.
Dat heeft de AP in een brief aan de minister van Binnenlandse Zaken laten weten. De organisatie wil niet dat de minister verder gaat met de introductie van het eID-stelsel voordat het beveiligingsniveau van DigiD is verhoogd naar minimaal tweefactorauthenticatie.
De AP geeft de minister verschillende adviezen rond het verdere verloop van de ontwikkeling van het nieuwe stelsel waarbij overheid en bedrijfsleven samenwerken aan een standaard voor online identificatie. De dienst moet burgers toegang geven tot online dienstverlening van overheid en bedrijven.
De drie adviezen die de AP geeft gaan achtereenvolgens over 'privacy by design', incidentbeheersing en toezicht en beveiliging. Privacy by design houdt in dat al tijdens de ontwikkeling van producten en diensten aandacht geschonken wordt aan privacyverhogende maatregelen, iets dat volgens de AP bij het eID-stelsel niet het geval is. Zo moet er uitgegaan worden van dataminimalisatie, waarbij zo min mogelijk persoonsgegevens worden gebruikt.
Ook is er nog niet voldoende aandacht besteed aan het detecteren en afhandelen van beveiligingsincidenten. Hier moet van de AP nog meer aandacht aan besteed worden, onder andere rond de inrichting van intern toezicht hierop.
Omdat volgens de AP inloggen via DigiD nog onvoldoende beschermd is door minimaal tweefactorauthenticatie, moet dat beveiligingsniveau eerst omhoog voordat het eID-stelsel ingevoerd wordt omdat inloggen hierbij ook kan via DigiD. Onder beveiliging valt ook de mogelijkheid om snel en eenvoudig nieuwe beveiligingsmaatregelen door te kunnen voeren, ook aan de technische kant.
Een eerdere analyse van de Autoriteit Persoonsgegevens vond dat er te weinig rekening werd gehouden met de eisen van de Wet bescherming persoonsgegevens, zoals het gebruik van het burgerservicenummer of bsn.
Het huidige advies werd gevormd naar aanleiding van pilots met publieke en private authenticatiemiddelen waar onder andere TNO, Panteia en de RDW aan meewerkten.