Het nieuwe digitale identificatiesysteem dat de overheid voor het communiceren met burgers ontwikkelt heeft onvoldoende aandacht voor privacy en ook de beveiliging van de inlogmiddelen moet omhoog, zo schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan de minister van Binnenlandse Zaken.
De overheid en het bedrijfsleven werken samen aan een standaard voor online identificatie, het eID-stelsel genoemd. Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven. Op dit moment voldoet het eID-stelsel niet aan het principe van privacy by design, aldus de toezichthouder. Dit principe houdt in dat organisaties al tijdens de ontwikkeling van producten en diensten aandacht besteden aan privacyverhogende maatregelen.
De toezichthouder vindt dat er tot nu toe bij de ontwikkeling van het eID-stelsel onvoldoende aandacht is besteed aan (technische) privacyaspecten. Bijvoorbeeld op het gebied van logging. Het eID-stelsel voldoet daarmee niet aan het principe van privacy by design. Daarnaast is er onvoldoende aandacht voor het detecteren en afhandelen van beveiligingsincidenten. Ook is het van belang dat er voldoende tests worden uitgevoerd.
Binnen het eID-stelsel kunnen mensen straks onder meer inloggen via DigiD. De Autoriteit Persoonsgegevens stelt dat het huidige beveiligingsniveau van DigiD onvoldoende is om straks hiermee in te loggen. Er wordt dan ook geadviseerd om het beveiligingsniveau van DigiD in het kader van de inrichting van het nieuwe eID-stelsel te verhogen naar minimaal tweefactorauthenticatie. Dit houdt in dat naast identificatie via een gebruikersnaam en een wachtwoord iemand ook nog op een andere manier zijn identiteit aantoont om in te loggen.
Verder adviseert de toezichthouder om het eID-stelsel zo te ontwerpen dat snel en eenvoudig nieuwe (technische) beveiligingsmaatregelen kunnen worden getroffen als dat nodig is. Gezien de geconstateerde problemen dringt de Autoriteit Persoonsgegevens erop aan dat de minister het eID-stelsel niet verder uitrolt totdat het beveiligingsniveau van DigiD is verhoogd naar minimaal tweefactorauthenticatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.