De beveiliging van DigiD moet worden aangescherpt, omdat erin verschillende situaties misbruik van de inloggegevens kan worden gemaakt, zo stelt het College bescherming persoonsgegevens (CBP). Uit onderzoek van het CBP blijkt dat duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD.
Hierbij hebben zij hun inloggegevens bij het reclamebureau achtergelaten. Het reclamebureau bleek van meer dan 8500 DigiD-accounts zowel de gebruikersnamen als wachtwoorden te hebben opgeslagen nadat DigiD-gebruikers hadden geprobeerd in te loggen op de site van het reclamebureau. Het risico bestond dat derden misbruik zouden maken van persoonsgegevens die via de DigiD-inloggegevens toegankelijk zijn.
Zowel het reclamebureau als de beheerder van de overheidsdienst DigiD, Logius, hebben maatregelen genomen waardoor het veiligheidsrisico rond deze specifieke situatie is weggenomen. Het reclamebureau heeft naar aanleiding van het onderzoek van het CBP het loggen van de wachtwoorden gestaakt, waardoor het niet meer mogelijk is dat onbevoegden de beschikking krijgen over complete DigiD-inloggegevens. De beheerder van DigiD, Logius, heeft de accounts van de gebruikers van wie de DigiD-inloggegevens bij het reclamebureau waren opgeslagen, geblokkeerd en de betrokken mensen geïnformeerd.
Tegelijkertijd stelt het CBP dat mogelijk in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens. Het beveiligingsniveau van DigiD zou daarom moeten worden aangepast, aldus de toezichthouder. Het CBP heeft het verantwoordelijke ministerie van Binnenlandse Zaken (BZK) hierop gewezen en om een nadere toelichting op het huidige beveiligingsniveau van DigiD gevraagd.
Volgens het CBP valt bij de huidige staat van de beveiligingssituatie niet uit te sluiten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door middel van phishing. Zo kunnen onbevoegden misbruik maken van allerlei gevoelige gegevens die toegankelijk zijn met DigiD. Bijvoorbeeld van belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget.
Om dit te voorkomen is een extra veiligheidsvoorziening noodzakelijk, zo stelt de toezichthouder. "Dit zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord."
Deze posting is gelocked. Reageren is niet meer mogelijk.