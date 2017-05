Door Sander van Voorst, donderdag 18 mei 2017 11:57, 131 reacties • Feedback

Uit een woensdag gepubliceerd rapport van de Rekenkamer blijkt dat negentig procent van het DigiD-gebruik gebeurt met een zwak wachtwoord en zonder tweetrapsauthenticatie. De organisatie constateert verder dat de encryptie onvolledig is, maar dat dit een klein risico is.

In zijn bevindingen schrijft de Rekenkamer: "Van de circa 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms. In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of

donorgegevens." Volgens de minister van Binnenlandse Zaken zijn organisaties zelf verantwoordelijk voor de toepassing van 'het juiste betrouwbaarheidsniveau'. Uit de bevindingen komt niet naar voren wat de Rekenkamer als een eenvoudig wachtwoord bestempelt. Het inloggen met 'een extra controle via sms' is optioneel.

Daarnaast besteedt de Rekenkamer aandacht aan de encryptie van DigiD-gegevens. Deze bleek in de afgelopen jaren niet te voldoen aan de eisen. In 2016 is door middel van een audit vastgesteld dat er op het gebied van periodieke beveiligingsonderzoeken, en op dat van logging en analyse voldoende maatregelen zijn getroffen. De encryptie is nog steeds alleen gedeeltelijk en voldoet niet aan de geldende regels , maar het misbruik van de gegevens zou door andere veiligheidsmaatregelen 'tot een gering risico' beperkt zijn. De minister nam daarom in oktober 2016 de beslissing om het restrisico te aanvaarden. Encryptie moet volgens de minister worden toegepast in de opvolger van DigiD, die begin 2018 wordt verwacht, aldus de Rekenkamer.

Andere bevindingen uit het rapport van de Rekenkamer zijn dat er bij het rijk onvoldoende deskundigheid aanwezig is op verschillende gebieden, waaronder ict. Dat speelt ook bij de politie, waar ondanks verschillende wervingsrondes nog steeds te weinig ict-experts werkzaam zijn, waardoor groeiende recherchegebieden als internetcriminaliteit te weinig aandacht krijgen. De Rekenkamer constateerde dan ook voornamelijk problemen met de bedrijfsvoering van het rijk op het gebied van ict en informatiebeveiliging.

Aan dat laatste gebied moeten ministeries meer aandacht besteden. De Rekenkamer stelt: "Er is daarnaast bestuurlijke aandacht vereist om gevoelige gegevens van burgers over een strafrechtelijk verleden, orgaandonatie, belasting- of medische informatie beter te beschermen. En om identiteitsfraude, het hacken van systemen voor de bediening van bruggen en sluizen of andere kritieke systemen tegen te gaan."