Beveiliging DigiD moet op hoger plan

De minister van Binnenlandse Zaken (BZK) heeft volgens de Algemene Rekenkamer in 2013 niet voldoende acties ondernomen om de digitale informatievoorzieningen op orde te krijgen. Dat schaadt de publieke dienstverlening.

Onder minister Plasterk vallen twee belangrijke digitale diensten, namelijk DigiD en de Gemeentelijke Basisadministratie (GBA). DigiD is de voorziening waarmee burgers zich digitaal kunnen identificeren om zaken te doen met de overheid over bijvoorbeeld belastingen, onderwijs en toeslagen. De minister heeft volgens de Algemene Rekenkamer onvoldoende zicht op het effect van het niet naleven van beveiligingsnormen bij DigiD. Evenmin heeft de minister volledig zicht op de kwaliteit van de GBA gegevens, wat onder meer van belang is voor de uitkering van toeslagen. De juistheid van de gegevens in de Gemeentelijke Basisadministratie – vanaf 2014 de Basisregistratie Personen – is van essentieel belang voor de juiste toekenning van tal van overheidsvoorzieningen, zoals toeslagen, uitkeringen en heffingskortingen. De minister van BZK is verantwoordelijk voor een goed functionerend stelsel voor de GBA.

Hoger betrouwbaarheidsniveau noodzakelijk

Net als in 2012 constateert de Algemene Rekenkamer in het Verantwoordingsonderzoek over 2013 bij BZK dat een groot aantal van de overheidsinstellingen die DigiD gebruiken vorig jaar niet voldeden aan de normen die de minister zelf heeft vastgesteld. Die normen gelden voor de beveiliging van webpagina’s en de koppelingen tussen systemen. Ook de DigiD-voorziening zelf voldoet niet op alle punten aan de beveiligingsnormen. Uit resultaten van gehouden assessments in 2013 blijkt dat de webomgevingen van een groot deel van de overheidsinstellingen die DigiD gebruiken nog niet volledig weerbaar zijn tegen cyberaanvallen. Dat kan gevolgen hebben voor de gehele DigiD-keten. Bij de DigiD aangesloten partijen (ongeveer 400) wordt de ict-beveiliging, voor zover dit betrekking heeft op de koppeling met DigiD, door externe auditors onderzocht. Plasterk heeft in 2013 wel maatregelen genomen om tot een beheerste en uniforme afhandeling van de DigiD-assessments te komen, maar desondanks zijn volgens de Algemene Rekenkamer niet alle opgeleverde rapportages tijdig afgehandeld. Verbeteringen worden daardoor later ingezet dan gewenst.

Onduidelijk wanneer BZK ingrijpt

‘Bovendien is op dit moment nog niet duidelijk welke stappen de minister van BZK zal ondernemen wanneer afnemers blijvend niet voldoen aan de gestelde normen. De minister kan er dan voor kiezen om afnemers af te sluiten of de dienstverlening op te schorten. Het valt ons op dat het ministerie nog niet duidelijk heeft gemaakt of en wanneer dit in dergelijke gevallen zal plaatsvinden’, aldus de Algemene Rekenkamer.

Uit de in 2013 uitgevoerde ict-beveiligingsassessments blijkt dat bij minimaal 21 DigiD-aansluitingen belangrijke beveiligingsmaatregelen ontbreken. Daarnaast blijkt dat niet meer dan een kwart van de DigiD-aansluitingen volledig voldoet aan de beveiligingsnormen. De Algemene Rekenkamer stelt verder vast dat de minister de overheidsinstellingen die DigiD gebruiken, niet voldoende heeft gewezen op het feit dat zij DigiD gebruiken voor processen waarvoor een hoger betrouwbaarheidsniveau noodzakelijk is.

Gissen naar norm kwaliteitsniveau GBA

De minister heeft weliswaar nadere regels opgesteld voor het borgen van de kwaliteit van de GBA-gegevens, maar in de handreikingen en circulaires wordt volgens de Algemene Rekenkamer onvoldoende ingegaan op het gewenste niveau van inspanningen door gemeenten voor de toets op de inhoudelijke kwaliteit van de GBA. Het is de minister die toezicht moet houden op het beheer van de GBA. Wat betreft de inhoud van de gegevens geldt dat gemeenten er voor zorgen dat de administratie actueel, juist en volledig is. ‘Tot op heden heeft de minister van BZK niet uitgewerkt welk kwaliteitsniveau de gemeenten moeten leveren bij het controleren van gegevens. We vinden het van belang dat de minister de overheidsinstellingen die gebruik maken van GBA en de gemeenten wijst op de wettelijke verplichting voor het terug melden bij (gerede) twijfel over de juistheid van een inschrijving’, aldus de Algemene Rekenkamer.