'Logius moet DigiD-veiligheid meer handhaven'

Bij één op de vijf publieke organisaties die DigiD inzetten schort er iets aan de veiligheid rond dat autenthicatiemiddel, schatten ingewijden. Zij pleiten voor meer handhaving door Logius. 

Deadline gepasseerd
Alle gemeenten moesten voor 1 januari dit jaar een zogeheten DigiD-Beveiligingsassessment doen, waaruit de veilige omgang met DigiD blijkt, nadat in 2011 en 2012 bleek dat er veel aan de beveiliging schortte. De meeste gemeenten en andere overheidsorganisaties hebben dat ook gedaan, maar nog lang niet alle hebben de zaak afgerond. 

Tachtig procent in orde
Twee bureaus die respectievelijk adviezen geven en audits verrichten, hebben uit hun ervaringen met een kleine zestig van die organisaties geconcludeerd dat 80 procent met succes de DigiD-audit heeft doorlopen, dat 15 procent om uiteenlopende redenen nog geen positieve uitslag heeft gekregen en dat 5 procent is gestopt met het gebruik van DigiD.

Vaarwel DigiD
"Volgens ons zijn die kleine zestig organisaties een redelijke afspiegeling van het totaal, dus als je extrapoleert zou voor zeker honderd organisaties gelden dat er iets aan de hand is met de veiligheid rond DigiD", zegt Herman Timmermans, projectleider gegevensbeveiliging van adviesbureau Tasclinx, dat samenwerkt met BKBO. Enkele tientallen zouden DigiD vooralsnog vaarwel hebben gezegd. “Ik denk dat een gemeente dat niet snel zal doen, maar verwante organisaties zoals een woningcorporatie of een belastingkantoor - daar hebben we voorbeelden van gezien - die kan dat wel doen.” Hij weet dat sommige gemeenten de audit-operatie eigenlijk te kostbaar vinden, maar het is niet bepaald een papieren operatie. "Bij bijna al die partijen die de assessment gedaan hebben, bleek er nog behoorlijk wat werk gedaan te moeten worden om die beveiliging op orde te krijgen." 

Kostenoverwegingen
Pieter-Bas Nederkoorn, portfoliomanager beveiliging bij KPN, vindt de cijfers wel herkenbaar. “Maar dat gemeenten het verplichte rapport nog niet hebben opgeleverd, betekent nog niet per se dat ze de zaken helemaal niet op orde hebben. Soms maakt men uit kostenoverwegingen de keus niet al die auditstappen te doorlopen.” KPN levert zelf diensten aan gemeenten waarbij DigiD wordt gebruikt en waarvoor het bedrijf een zogeheten Third Party Mededeling aan de betreffende gemeenten heeft afgegeven als garantie. Bij een van die twee wordt DigiD gebruikt bij het verstrekken van een elektronische handtekening. “Er zijn een paar gemeenten die hebben gezegd: dan gaan we daar maar mee stoppen, want die extra kosten willen we niet.”

Handhaven is belangrijk
Maar Nederkoorn denkt dat gemeenten voor hun primaire dienstverlening niet om DigiD heenkunnen. “Ik denk dat de vraag of het allemaal wel in orde komt in hoge mate afhankelijk is van de mate waarin Logius gaat handhaven. Het zal echt wel afgedwongen moeten worden bij een aantal gemeenten.” Die mening is ook Timmermans toegedaan. “Het initiatief van die DigiD-audits is goed. Je moet er als burger op kunnen vertrouwen dat je gegevens goed opgeslagen en beheerd worden. Wat ons verbaast is dat Logius niet meer openheid geeft over dat assessment en men duidelijk zegt waar er iets aan schort. Maak dat maar publiek!” 

'Geen dagkoersen'
Tegenover Automatisering Gids heeft Logius laten weten nog na de jaarwisseling 'een lawine aan assessmentrapporten' te hebben ontvangen. "We zijn druk doende die met de noodzakelijke zorgvuldigheid zo snel mogelijk te behandelen. De verwerking van deze hoeveelheid rapporten kost tijd. Dit zal nog enige tijd in beslag nemen. Na afronding daarvan zal een rapportage worden uitgebracht. We noemen geen dagkoersen omdat dat tot speculatie leidt."