image

Toezichthouder hekelt privacy en veiligheid van eID-stelsel

dinsdag 27 september 2016, 11:34 door Redactie, 9 reacties

Het nieuwe digitale identificatiesysteem dat de overheid voor het communiceren met burgers ontwikkelt heeft onvoldoende aandacht voor privacy en ook de beveiliging van de inlogmiddelen moet omhoog, zo schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan de minister van Binnenlandse Zaken.

De overheid en het bedrijfsleven werken samen aan een standaard voor online identificatie, het eID-stelsel genoemd. Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven. Op dit moment voldoet het eID-stelsel niet aan het principe van privacy by design, aldus de toezichthouder. Dit principe houdt in dat organisaties al tijdens de ontwikkeling van producten en diensten aandacht besteden aan privacyverhogende maatregelen.

De toezichthouder vindt dat er tot nu toe bij de ontwikkeling van het eID-stelsel onvoldoende aandacht is besteed aan (technische) privacyaspecten. Bijvoorbeeld op het gebied van logging. Het eID-stelsel voldoet daarmee niet aan het principe van privacy by design. Daarnaast is er onvoldoende aandacht voor het detecteren en afhandelen van beveiligingsincidenten. Ook is het van belang dat er voldoende tests worden uitgevoerd.

DigiD

Binnen het eID-stelsel kunnen mensen straks onder meer inloggen via DigiD. De Autoriteit Persoonsgegevens stelt dat het huidige beveiligingsniveau van DigiD onvoldoende is om straks hiermee in te loggen. Er wordt dan ook geadviseerd om het beveiligingsniveau van DigiD in het kader van de inrichting van het nieuwe eID-stelsel te verhogen naar minimaal tweefactorauthenticatie. Dit houdt in dat naast identificatie via een gebruikersnaam en een wachtwoord iemand ook nog op een andere manier zijn identiteit aantoont om in te loggen.

Verder adviseert de toezichthouder om het eID-stelsel zo te ontwerpen dat snel en eenvoudig nieuwe (technische) beveiligingsmaatregelen kunnen worden getroffen als dat nodig is. Gezien de geconstateerde problemen dringt de Autoriteit Persoonsgegevens erop aan dat de minister het eID-stelsel niet verder uitrolt totdat het beveiligingsniveau van DigiD is verhoogd naar minimaal tweefactorauthenticatie.

Reacties (9)
27-09-2016, 12:39 door Anoniem
Dus, overheid gaat gewoon door, en wordt weer een megalomaan groot project wat minimaal drie keer de begroting overschrijft en dan nog niet werkt.

Dat er nu al geconstateerd is dat er geen rekening met privacy wordt gehouden toont aan dat de commerciële lobbygroepen hun werk weer goed doen... :( Waarom wil de overheid ook niet leren van het verleden....?

TheYOSH
27-09-2016, 13:02 door security matters
altijd kiezen tussen 2 kwaden. Of gemak of veiligheid. Jammer dat er dan toch steeds de voorkeur gaat naar gemak. Zelfs de zorgverzekeraars lijken het niet te begrijpen want die gebruiken ook de één factor DigiD voor de zorggegevens. Iets met data classificatie??
27-09-2016, 13:14 door Anoniem
Door Anoniem: Dus, overheid gaat gewoon door, en wordt weer een megalomaan groot project wat minimaal drie keer de begroting overschrijft en dan nog niet werkt.

Dat er nu al geconstateerd is dat er geen rekening met privacy wordt gehouden toont aan dat de commerciële lobbygroepen hun werk weer goed doen... :( Waarom wil de overheid ook niet leren van het verleden....?

TheYOSH

Omdat de overheid niet kan leren van het verleden, want telkens zitten er nieuwe mensen die het graag over doen, met de instelling dat het hun wel lukt.
27-09-2016, 13:21 door karma4
Door Anoniem: ...... lobbygroepen hun werk weer goed doen... :( Waarom wil de overheid ook niet leren van het verleden....?
De overheid bestaat niet als lerend orgaan. Het zijn vele mensen en her der zijn de eigen zakken veel belangtijker dan die van velen.
27-09-2016, 13:55 door Anoniem
Het eID-stelsel voldoet daarmee niet aan het principe van privacy by design.

Dat wil dus zeggen dat ze terug moeten naar de design-fase, voordat ze verder kunnen gaan met de ontwikkeling.

Peter
27-09-2016, 15:20 door Anoniem
Door Anoniem: Dus, overheid gaat gewoon door, en wordt weer een megalomaan groot project wat minimaal drie keer de begroting overschrijft en dan nog niet werkt.

Dat er nu al geconstateerd is dat er geen rekening met privacy wordt gehouden toont aan dat de commerciële lobbygroepen hun werk weer goed doen... :( Waarom wil de overheid ook niet leren van het verleden....?

TheYOSH
Even het verhaal van AP lezen. Het gaat om een samenwerking tussen overheid en bedrijfsleven. Juist aan de kant van het bedrijfsleven zit de grootste zorg.
27-09-2016, 16:00 door Anoniem
Lak aan privacy Destijds (in 2015) al geconstateerd

Begon met een Leugenachtige titel rapport
https://www.security.nl/posting/444587/Onderzoekers%3A+DigiD-opvolger+is+privacybestendig

Conclusie : Helemaal Niet privacy bestendig!!
https://www.security.nl/posting/444587#posting444599

Adviezen stug genegeerd : De proef in 2016 lijkt gewoon te zijn begonnen zonder eerst de adviezen op privacy ter harte te nemen en door te voeren.
Op die discrepantie in dat eID (idensys) is al vele malen, ook op deze site op gewezen.

Dit kabinet zit op ramkoers, willens en wetens de eigen agenda doordrukken.
De beproefde tactiek is een pilot draaien, tussentijds desgewenst de naamgeving veranderen , de pilot (met nieuwe naam) een succes noemen en dan invoeren.
Deze piloot werd onder een selectieve groep uitgevoerd, een nieuwe truc uit de trucendoos.

Uiteindelijk 'niemand' die protesteert omdat het nieuwe ervan af is of omdat men niet doorheeft dat het nieuwe project onder een oude naam vele argumenten tegen had..

Wat moet je met een overheid die volop met boodschappen spindoctert en misleidt met reclame achtige tactieken om het eigen beleid op ondoorzichtiger wijze door te voeren?
27-09-2016, 17:47 door Anoniem
Door security matters: altijd kiezen tussen 2 kwaden. Of gemak of veiligheid. Jammer dat er dan toch steeds de voorkeur gaat naar gemak. Zelfs de zorgverzekeraars lijken het niet te begrijpen want die gebruiken ook de één factor DigiD voor de zorggegevens. Iets met data classificatie??

Medische gegevens vereisen conform Europese richtlijnen Stork 3 niveau dus 2 factor authenticatie indien men de gegevens aan de gebruiker toont...
28-09-2016, 08:57 door Anoniem
En dan krijg je een e-mail dat er een bericht voor je klaar staat, je moet 2-factor inloggen om te zien dat een of andere overheid je een mailtje stuurt dat je rijbewijs over 3 a 4 maanden verloopt? Beveiliging OK, maar dan wel voor de zaken die ertoe doen en niet voor iedere flauwekul.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.