Ongezouten kritiek Algemene Rekenkamer op achterblijven veiligheidsmaatregelen DigiD

De onveilige inlogmethode voor overheidsdiensten, DigiD, blijft in de aandacht. De Algemene Rekenkamer heeft ongezouten kritiek op het achterblijven van maatregelen door het kabinet, zo blijkt uit een brief van 27 oktober jl. (zie hierna voor het citaat over DigiD). Naar aanleiding van de ‘Opgelicht’ tv-uitzending over de beveiliging van DigiD zijn kamervragen gesteld, die hierna eveneens volgen.

Het gevoel van urgentie lijkt te ontbreken. Net als de Rekenkamer hoop ik op voortvarende actie van het kabinet.

Brief van de Algemene Rekenkamer van 27 oktober 2014

In de brief van 27 oktober jl. constateert de Rekenkamer dat de aanbevelingen inzake de beveiliging van de DigiD omgeving niet zijn opgevolgd.

3 DigiD
DigiD is onderdeel van artikel 6 (dienstverlenende en innovatieve overheid). Al twee jaar constateren wij tekortkomingen in de beveiliging van de DigiD-omgeving en in de DigiD-keten. Wij constateerden in ons verantwoordingsonderzoek 2013 dat overheidsinstellingen die DigiD gebruiken, niet voldoen aan de normen die de Minister van BZK heeft vastgesteld. Ook voldeed de DigiD-omgeving niet aan de eigen normen van de Minister van BZK.
In brieven aan uw Kamer van 9 juli en 9 september 20149 geeft de Minister aan dat uit de resultaten van de assessments bij afnemers van DigiD blijkt dat er geen sprake is van een «acuut» beveiligingsrisico. In deze assessments wordt volgens ons alleen getoetst of de afnemers maatregelen hebben getroffen voor een aantal beveiligingsrisico’s en wordt niet in gegaan op de werking van deze maatregelen. We zijn van mening dat op basis van de resultaten van de assessments geen sluitende uitspraken kunnen worden gedaan over het wel of niet aanwezig zijn van acute risico’s.
Verder is het van belang dat de Minister van BZK aanvullende acties onderneemt naar aanleiding van de beveiligingsrisico’s bij de DigiD-omgeving. Deze acties zijn onder meer van belang voor het borgen van privacygevoelige gegevens van burgers. De Minister van BZK heeft in 2014 een actieplan opgesteld dat moet leiden tot een DigiD-omgeving die voldoet aan de beveiligingsnormen. Onze inschatting is dat door de uitvoering van het actieplan de komende periode de beveiligingsrisico’s worden verminderd, maar niet alle beveiligingsrisico’s worden weggenomen. De maatregelen waarmee de beveiligingsrisico’s wel afdoende worden afgedekt worden naar verwachting niet eerder dan in het derde kwartaal van 2015 (volledig) geïmplementeerd.
Ons valt op dat ondanks eerdere signalering van de problemen nog geen afdoende oplossing is gevonden. Wij adviseren uw Kamer de mogelijke impact hiervan niet te onderschatten en bij de Minister aan te dringen op voortvarende actie.

Bron: overheid.nl

Kamervragen 30 oktober 2014

In deze serie vragen willen de kamerleden informatie over de beveiligingsproblemen die in de uitzending van Opgelicht aan de orde zijn geweest:

Vraag 1
Heeft u kennisgenomen van het item over beveiligingsproblemen bij Digid in de Uitzending van Opgelicht? [1]

Vraag 2
Is het waar dat er een lek in de beveiliging van Digid bij meerdere gemeenten en instanties is of was? Zo nee, hoeveel en welke gemeenten en andere organisaties waren gevoelig voor dit lek?

Vraag 3
Kunt u uitleggen hoe het lek ontstaan is, op welke wijze er gebruik van gemaakt kon worden en welke informatie daarmee verkregen kon worden?

Vraag 4
Sinds wanneer zijn de betrokken gemeenten en Logius op de hoogte van het lek? Wat is in de tussentijd gedaan om het lek te dichten en te onderzoeken of er daadwerkelijk mensen slachtoffer zijn geworden van dit lek?

Vraag 5
Zijn alle mensen waarvan de gegevens kwetsbaar geweest zijn door dit lek door de desbetreffende gemeenten en instanties geïnformeerd? Zo nee, waarom niet? Zo ja, wordt hun aangeraden om maatregelen te nemen naar aanleiding van dit lek?

Vraag 6
Deelt u de mening dat zeer grondig onderzocht moet worden of er mensen slachtoffer zijn geworden van dit lek in DigiD? Zo ja, klopt het bericht van Fox-IT dat niet bij alle kwetsbare gemeenten en instanties onderzoek is gedaan naar misbruik van het lek? Wilt u alsnog opdracht geven om bij alle betrokken gemeenten en instanties onderzoek te doen naar misbruik van het lek, om een maximale inspanning te doen om alle slachtoffers te achterhalen?

Vraag 7
Is het waar dat DigiD gebruik maakt van certificaten die niet voldoen aan de moderne beveiligingseisen? Zo ja, wanneer wordt dit opgelost en waarom zijn deze certificaten niet eerder vervangen?

Vraag 8
Deelt u de mening dat het zorgelijk is dat gemeenten belangrijke onderdelen van de infrastructuur voor de digitale overheid zo slecht beheren? Is dit voor u reden om de decentrale infrastructuur, waarbij iedereen verantwoordelijk is voor de beveiliging van zijn eigen systemen, te heroverwegen en bijvoorbeeld een standaard (kern)website voor gemeenten te ontwikkelen?

Vraag 9
Welke van de getroffen gemeenten en instanties heeft een positieve audit uit laten voeren op zijn DigiD-systemen? Wat zegt dit over de waarde en de betrouwbaarheid van de audits en welke conclusies verbindt u hieraan?

[1] Opgelicht, 28 oktober 2014, NPO1

Bron: overheid.nl

Meer informatie

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ ||| modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft en getagged met , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s