200 DigiD-aansluitingen stopgezet

De verplichte DigiD-assessments die gemeenten sinds het afgelopen jaar moeten laten uitvoeren, hebben geleid tot het stopzetten van een kwart van de 800 aansluitingen.

Afweging
Dat heeft minister Plasterk de Kamer gemeld in een brief over DigiD. De 200 stopzettingen van een DigiD-aansluiting hebben vooral plaatsgevonden op verzoek van overheidsorganisaties zelf, die de aansluiting niet of nauwelijks gebruikten. Zo zijn er bijvoorbeeld gemeenten die een (extra) DigiD-aansluiting hebben voor het verstrekken van een digitale handtekening en die vinden dat de voordelen daarvan niet opwegen tegen de aanzienlijke kosten van de DigiD-assessment daarvan.

Meesten 'op tijd'
Voor de resterende 600 aansluitingen hebben de betreffende overheidsorganisaties - meestal gemeenten - doorgaans voldaan aan hun plicht om voor eind 2013 een assesment te laten uitvoeren. 'Enkele organisaties' hebben enig uitstel gekregen omdat ze bijvoorbeeld nog in een ICT-migratie zaten. Plasterk meldt ook dat 'in een beperkt aantal gevallen' de DigiD-aansluiting is ontkoppeld door beheerder Logius omdat niet op tijd een assessment-rapport is ingestuurd. Logius liet overigens in februari nog weten na de jaarwisseling 'een lawine aan assessmentrapporten' te hebben ontvangen.

Actie ondernemen
Van de 500 op DigiD aangesloten organisaties bleek bij 38 procent in het geheel geen sprake van risicobevindingen. De rest moest actie ondernemen. Daarvan moest 5 procent dat binnen één maand doen ('zeer hoog' risico), 16 procent binnen twee maanden ('hoog'), 39 procent binnen vier maanden ('midden') en 2 procent binnen twaalf maanden ('laag'). 'Acute' beveiligingsproblemen die een onmiddelijke afsluiting van een DigiD-aansluiting rechtvaardigen, deden zich niet voor.

Dit jaar meer tijd
Het DigiD-assessment moet jaarlijks worden afgenomen. Een grote hobbel zal dat waarschijnlijk dit jaar niet worden. Ten eerste blijft het 'Beveiligingsnormenkader DigiD' ongewijzigd. Er wordt dus tegen dezelfde normen beoordeeld. Daarnaast is de deadline voor het inleveren van het assessmentverslag vier maanden opgeschoven, van 1 januari naar 1 mei 2015. Inleveren kan dan vanaf 1 januari. 'Dit wordt mede ingegeven door het feit dat dit jaar (2014) veel organisaties bezig zijn met het oplossen van de bevindingen uit het eerste assessment', aldus de brief. Kennelijk wordt er van uitgegaan dat de gestelde verbetertermijnen door veel overheidsorganisaties niet worden gehaald.