Veilig inloggen bij de Nederlandse overheid | kritiek Autoriteit Persoonsgegevens

Al eerder schreef ik over veilig inloggen bij de Nederlandse overheid, onder meer in februari van dit jaar. In september 2016 maakte ik melding van de ernstige kritiek op het eID project van de Algemene Rekenkamer.

Inmiddels heeft de Autoriteit Persoonsgegevens (AP) laten weten eveneens zware kritiek te hebben op het eID project. Net als de Rekenkamer vindt de AP het zorgelijk dat nog steeds met het onveilige DigiD systeem wordt gewerkt.

Hierna het bericht dat de AP plaatste:

AP: onvoldoende aandacht voor privacy bij eID
Nieuwsbericht/27 september 2016

Bij de ontwikkeling van het eID-stelsel moet meer aandacht zijn voor privacyaspecten. De beveiliging van de inlogmiddelen moet omhoog. Ook moet er meer aandacht zijn voor het afhandelen van beveiligingsincidenten. Dat schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan de minister van Binnenlandse Zaken (BZK). De AP dringt erop aan dat de minister het eID-stelsel niet verder uitrolt dan nadat het beveiligingsniveau van DigiD is verhoogd naar minimaal tweefactorauthenticatie.

eID
De overheid en het bedrijfsleven werken samen aan een standaard voor online identificatie, het eID-stelsel genoemd. Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven.

Advies AP
De AP adviseert de minister de volgende onderwerpen mee te nemen bij de verdere ontwikkeling van het eID-stelsel:

1 Privacy by design
Op dit moment voldoet het eID-stelsel niet aan het principe van privacy by design. Dit principe houdt in dat organisaties al tijdens de ontwikkeling van producten en diensten aandacht besteden aan privacyverhogende maatregelen. Ook betekent het dat bij de ontwikkeling van producten en diensten wordt uitgegaan van dataminimalisatie: het verwerken van zo min mogelijk persoonsgegevens. Op deze manier wordt een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afgedwongen. De AP vindt dat er tot nu toe bij de ontwikkeling van het eID-stelsel onvoldoende aandacht is besteed aan (technische) privacyaspecten. Bijvoorbeeld op het gebied van logging. Het eID-stelsel voldoet daarmee niet aan het principe van privacy by design. De AP adviseert alsnog het principe van privacy by design toe te passen voordat de uitvoeringsfase ingaat.

2 Incidentbeheersing en toezicht
De AP constateert dat er nog onvoldoende aandacht is voor het detecteren en afhandelen van beveiligingsincidenten. De toezichthouder adviseert om voldoende aandacht te hebben hiervoor en voor de inrichting van het interne toezicht hierop. Ook is het van belang dat er voldoende tests worden uitgevoerd.

3 Beveiliging
Binnen het eID-stelsel kunnen mensen straks onder meer inloggen via DigiD. De AP oordeelt dat het huidige beveiligingsniveau van DigiD onvoldoende is om straks hiermee in te loggen. De AP adviseert om het beveiligingsniveau van DigiD in het kader van de inrichting van het nieuwe eID-stelsel te verhogen naar minimaal tweefactorauthenticatie. Dit houdt in dat naast identificatie via een gebruikersnaam en een wachtwoord iemand ook nog op een andere manier zijn identiteit aantoont om in te loggen. Tot slot adviseert de AP om het eID-stelsel zo te ontwerpen dat snel en eenvoudig nieuwe (technische) beveiligingsmaatregelen kunnen worden getroffen als dat nodig is.

Eerder advies AP
De AP heeft in de eerste fase van ontwikkeling van het eID-stelsel (toen nog als het College bescherming persoonsgegevens [CBP]) al een eerste analyse gemaakt van het eID-stelsel (Introductieplateau eID). De AP wees toen op eisen uit de Wet bescherming persoonsgegevens (Wbp) waarmee rekening gehouden moet worden, te weten de verantwoordelijkheid, beveiliging en het gebruik van het BSN.

Advertenties

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s