Veilig inloggen bij de Nederlandse overheid | uitleg over Idensys systeem gewenst

De belastingdienst bestookt de burger met verzoeken om de digitale overheidsportal te activeren, onder het ‘blauwe envelop’ motto.
Al eerder signaleerde ik dat de grote groep digitaal minder vaardige burgers door de rood-blauwe wetgever totaal is vergeten. Dat is zorgelijk.

Maar nog zorgelijker is dat de rijksoverheid de burger nog steeds geen veilige vorm van communicatie met de overheid biedt. Met alle DigidD-fraudes en het Suwinet schandaal nog vers in het geheugen is het interessant om te kijken hoe het zit met de security en databescherming bij de overheid.

eID is Idensys geworden

Ik had altijd het idee dat het eID een veilige communicatievorm met alleen de overheid zou moeten worden. De naam ‘eID’ is uit beeld verdwenen, want de wijze lieden bij de overheid hebben bedacht dat het fenomeen ‘Idensys’ zou moeten heten. Uit de website blijkt dat Idensys een publiek-private samenwerking is.

Bijzonder is dat bij de veelgestelde vragen wordt gemeld dat de burger zijn kostbare burgerservicenummer (BSN) aan een particulier bedrijf moet afgeven:

Private partijen die inlogmiddelen binnen Idensys aanbieden (ook wel private authenticatiediensten genoemd), mogen eenmalig je burgerservicenummer opvragen zodat ze je inlogmiddel kunnen koppelen aan je burgerservicenummer. Alleen op deze manier kun je met je inlogmiddel diensten van de overheid afnemen. Authenticatiediensten mogen je burgerservicenummer niet voor andere doeleinden gebruiken.

Dat is mooi, dat die diensten het BSN niet voor andere doeleinden mogen gebruiken. Maar wat als ze dat wel doen, of als er wordt ingebroken?
Er zullen nog wel meer persoonsgegevens in omloop komen. Dat betekent dat heel belangrijk is hoe de veiligheid van het systeem in elkaar zit.

Veiligheid van het systeem

Over het systeem is op de site van Idensys niet meer te vinden dan:

De overheid en bedrijven hebben afspraken gemaakt over strenge eisen aan veiligheid en betrouwbaarheid van inloggen. Alleen organisaties die volgens deze afspraken werken, mogen aan Idensys meedoen. Je kiest als gebruiker zelf je inlogmiddel en kunt bij het inloggen op een website zelf aangeven welke gegevens een organisatie te zien krijgt. Zo krijgen organisaties nooit meer persoonlijke gegevens dan jij wilt. Er staat geen informatie op het inlogmiddel.

Dat is jammer, want iedereen roept dat hij/zij de security op orde heeft; in de praktijk blijkt dat regelmatig niet zo te zijn. Jammer dat Idensys nergens een pagina aanbiedt waarin aan de belangstellende leek wordt uitgelegd hoe dat veilige en betrouwbare systeem werkt.

Op de pagina met documentatie zijn wel de formele documentatie te vinden, zoals basisdocumentatie (jaarplan 2015, masterplan en dergelijke), de privacy impact assessments en kamerstukken. Maar dan moet ik mij zelf door de stukken heen worstelen om te zien waar de lekenuitleg is te vinden.

Uitleg over het systeem gewenst

Er is uitleg over het gehanteerde systeem gewenst, omdat ik vind dat de burger (dat is niet alleen de particulier maar ook de ondernemer en organisatie) moet kunnen begrijpen wat de gevolgen zijn als voor een bepaalde ‘private authenticatiedienst’, de leverancier van de inlogmethodiek, wordt gekozen en wat de consequenties zijn als via één partij zowel op private als op publieke systemen wordt ingelogd. Zo mis ik inleidende informatie over bijvoorbeeld:

  • de wijze waarop kandidaat-authenticatiediensten worden getoetst (ook technisch);
  • de – naar ik aanneem – permanente monitoring door de overheid van de authenticatiediensten ter voorkoming van misbruik en fraude;
  • de periodieke herkeuring van authenticatiediensten (organisatorisch, juridisch, technisch);
  • toetsing van beleidsbepalers en personeel op integriteit en geschiktheid;
  • de gang van zaken als meerdere natuurlijke personen vertegenwoordigingsbevoegdheid hebben (zoals bij bedrijven het geval kan zijn).

Die informatie hebben de burger en organisatie nodig om het eigen security beleid te kunnen bepalen. Organisaties dienen een security analyse te maken, om daarna te beslissen over de te nemen maatregelen, waarbij ook wordt beoordeeld welke risico’s wel en niet worden genomen. De burger zal hetzelfde moeten doen.

Meer informatie

Er is ook kritiek op het Idensys systeem. Aan het bestuderen daarvan ben ik nog niet toegekomen, maar interessant lijkt het me wel. Zie de artikelen die ik in mijn eerdere bericht van 28 november jl. heb genoemd. Nieuwe artikelen over deze en aanpalende thematiek:

  • Over het inloggen via private bedrijven: “Wilt u af van de authenticatie-pooier?“, Jan-Jaap Hoepman, 8 februari 2016
  • Reactie van Eric Verheul op het vorige stuk. Hoepman meldt die reactie op zijn blog.
  • André Koot lijkt in “Risico’s en maatregelen social login”, InformatieBeveiliging Magazine januari 2016 (niet op internet gevonden), te denken dat het wel meevalt met het via private partijen inloggen.

Aanvulling 15 februari 2016

Vandaag is een persbericht door de rijksoverheid uitgebracht over een veiliger alternatief voor DigiD:

Plasterk reikt eerste elektronische identiteitskaart uit
Nieuwsbericht | 15-02-2016 | 14:15

De eerste elektronische identiteitskaart is vandaag door minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties uitgereikt aan een inwoner van Den Haag. Hiermee kan hij diensten afnemen van de overheid op internet, zoals het aanvragen van toeslagen of vergunningen. Dat kan nu via DigiD, maar het kabinet wil het mogelijk maken dat ook met andere middelen kan worden ingelogd. Hiermee wordt extra beveiliging tegen cybercrime en identiteitsfraude toegevoegd in vergelijking met het bestaande DigiD. Dit maakt internetdiensten mogelijk die hogere eisen aan beveiliging stellen. Ook zijn mensen niet meer afhankelijk van één inlogsysteem. [Lees verder…]

Aanvulling 28 september 2016

Inmiddels heeft ook de Autoriteit Persoonsgegevens laten weten zware kritiek te hebben op het eID project. Hierna het bericht dat de AP plaatste:

AP: onvoldoende aandacht voor privacy bij eID
Nieuwsbericht/27 september 2016

Bij de ontwikkeling van het eID-stelsel moet meer aandacht zijn voor privacyaspecten. De beveiliging van de inlogmiddelen moet omhoog. Ook moet er meer aandacht zijn voor het afhandelen van beveiligingsincidenten. Dat schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan de minister van Binnenlandse Zaken (BZK). De AP dringt erop aan dat de minister het eID-stelsel niet verder uitrolt dan nadat het beveiligingsniveau van DigiD is verhoogd naar minimaal tweefactorauthenticatie.

eID
De overheid en het bedrijfsleven werken samen aan een standaard voor online identificatie, het eID-stelsel genoemd. Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven.

Advies AP
De AP adviseert de minister de volgende onderwerpen mee te nemen bij de verdere ontwikkeling van het eID-stelsel:

1 Privacy by design
Op dit moment voldoet het eID-stelsel niet aan het principe van privacy by design. Dit principe houdt in dat organisaties al tijdens de ontwikkeling van producten en diensten aandacht besteden aan privacyverhogende maatregelen. Ook betekent het dat bij de ontwikkeling van producten en diensten wordt uitgegaan van dataminimalisatie: het verwerken van zo min mogelijk persoonsgegevens. Op deze manier wordt een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afgedwongen. De AP vindt dat er tot nu toe bij de ontwikkeling van het eID-stelsel onvoldoende aandacht is besteed aan (technische) privacyaspecten. Bijvoorbeeld op het gebied van logging. Het eID-stelsel voldoet daarmee niet aan het principe van privacy by design. De AP adviseert alsnog het principe van privacy by design toe te passen voordat de uitvoeringsfase ingaat.

2 Incidentbeheersing en toezicht
De AP constateert dat er nog onvoldoende aandacht is voor het detecteren en afhandelen van beveiligingsincidenten. De toezichthouder adviseert om voldoende aandacht te hebben hiervoor en voor de inrichting van het interne toezicht hierop. Ook is het van belang dat er voldoende tests worden uitgevoerd.

3 Beveiliging
Binnen het eID-stelsel kunnen mensen straks onder meer inloggen via DigiD. De AP oordeelt dat het huidige beveiligingsniveau van DigiD onvoldoende is om straks hiermee in te loggen. De AP adviseert om het beveiligingsniveau van DigiD in het kader van de inrichting van het nieuwe eID-stelsel te verhogen naar minimaal tweefactorauthenticatie. Dit houdt in dat naast identificatie via een gebruikersnaam en een wachtwoord iemand ook nog op een andere manier zijn identiteit aantoont om in te loggen. Tot slot adviseert de AP om het eID-stelsel zo te ontwerpen dat snel en eenvoudig nieuwe (technische) beveiligingsmaatregelen kunnen worden getroffen als dat nodig is.

Eerder advies AP
De AP heeft in de eerste fase van ontwikkeling van het eID-stelsel (toen nog als het College bescherming persoonsgegevens [CBP]) al een eerste analyse gemaakt van het eID-stelsel (Introductieplateau eID). De AP wees toen op eisen uit de Wet bescherming persoonsgegevens (Wbp) waarmee rekening gehouden moet worden, te weten de verantwoordelijkheid, beveiliging en het gebruik van het BSN.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ ||| modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s