Nieuws

Toezichthouder hekelt privacy en veiligheid van eID-stelsel

dinsdag 27 september 2016, 11:34 door Redactie, 9 reacties

Het nieuwe digitale identificatiesysteem dat de overheid voor het communiceren met burgers ontwikkelt heeft onvoldoende aandacht voor privacy en ook de beveiliging van de inlogmiddelen moet omhoog, zo schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan de minister van Binnenlandse Zaken.

De overheid en het bedrijfsleven werken samen aan een standaard voor online identificatie, het eID-stelsel genoemd. Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven. Op dit moment voldoet het eID-stelsel niet aan het principe van privacy by design, aldus de toezichthouder. Dit principe houdt in dat organisaties al tijdens de ontwikkeling van producten en diensten aandacht besteden aan privacyverhogende maatregelen.

De toezichthouder vindt dat er tot nu toe bij de ontwikkeling van het eID-stelsel onvoldoende aandacht is besteed aan (technische) privacyaspecten. Bijvoorbeeld op het gebied van logging. Het eID-stelsel voldoet daarmee niet aan het principe van privacy by design. Daarnaast is er onvoldoende aandacht voor het detecteren en afhandelen van beveiligingsincidenten. Ook is het van belang dat er voldoende tests worden uitgevoerd.

DigiD

Binnen het eID-stelsel kunnen mensen straks onder meer inloggen via DigiD. De Autoriteit Persoonsgegevens stelt dat het huidige beveiligingsniveau van DigiD onvoldoende is om straks hiermee in te loggen. Er wordt dan ook geadviseerd om het beveiligingsniveau van DigiD in het kader van de inrichting van het nieuwe eID-stelsel te verhogen naar minimaal tweefactorauthenticatie. Dit houdt in dat naast identificatie via een gebruikersnaam en een wachtwoord iemand ook nog op een andere manier zijn identiteit aantoont om in te loggen.

Verder adviseert de toezichthouder om het eID-stelsel zo te ontwerpen dat snel en eenvoudig nieuwe (technische) beveiligingsmaatregelen kunnen worden getroffen als dat nodig is. Gezien de geconstateerde problemen dringt de Autoriteit Persoonsgegevens erop aan dat de minister het eID-stelsel niet verder uitrolt totdat het beveiligingsniveau van DigiD is verhoogd naar minimaal tweefactorauthenticatie.

Microsoft: gevaar van Java-aanvallen nog niet geheel geweken

Signal vereenvoudigt versleuteld chatten voor iPhone-bezitters

Reacties (9)

27-09-2016, 12:39 door Anoniem

Dus, overheid gaat gewoon door, en wordt weer een megalomaan groot project wat minimaal drie keer de begroting overschrijft en dan nog niet werkt.

Dat er nu al geconstateerd is dat er geen rekening met privacy wordt gehouden toont aan dat de commerciële lobbygroepen hun werk weer goed doen... :( Waarom wil de overheid ook niet leren van het verleden....?

TheYOSH

27-09-2016, 13:02 door security matters

altijd kiezen tussen 2 kwaden. Of gemak of veiligheid. Jammer dat er dan toch steeds de voorkeur gaat naar gemak. Zelfs de zorgverzekeraars lijken het niet te begrijpen want die gebruiken ook de één factor DigiD voor de zorggegevens. Iets met data classificatie??

27-09-2016, 13:14 door Anoniem

Door Anoniem: Dus, overheid gaat gewoon door, en wordt weer een megalomaan groot project wat minimaal drie keer de begroting overschrijft en dan nog niet werkt.

Dat er nu al geconstateerd is dat er geen rekening met privacy wordt gehouden toont aan dat de commerciële lobbygroepen hun werk weer goed doen... :( Waarom wil de overheid ook niet leren van het verleden....?

TheYOSH

Omdat de overheid niet kan leren van het verleden, want telkens zitten er nieuwe mensen die het graag over doen, met de instelling dat het hun wel lukt.

27-09-2016, 13:21 door karma4

Door Anoniem: ...... lobbygroepen hun werk weer goed doen... :( Waarom wil de overheid ook niet leren van het verleden....?

De overheid bestaat niet als lerend orgaan. Het zijn vele mensen en her der zijn de eigen zakken veel belangtijker dan die van velen.

27-09-2016, 13:55 door Anoniem

Het eID-stelsel voldoet daarmee niet aan het principe van privacy by design.

Dat wil dus zeggen dat ze terug moeten naar de design-fase, voordat ze verder kunnen gaan met de ontwikkeling.

Peter

27-09-2016, 15:20 door Anoniem

Even het verhaal van AP lezen. Het gaat om een samenwerking tussen overheid en bedrijfsleven. Juist aan de kant van het bedrijfsleven zit de grootste zorg.

27-09-2016, 16:00 door Anoniem

Lak aan privacy Destijds (in 2015) al geconstateerd

Begon met een Leugenachtige titel rapport
https://www.security.nl/posting/444587/Onderzoekers%3A+DigiD-opvolger+is+privacybestendig

Conclusie : Helemaal Niet privacy bestendig!!
https://www.security.nl/posting/444587#posting444599

Adviezen stug genegeerd : De proef in 2016 lijkt gewoon te zijn begonnen zonder eerst de adviezen op privacy ter harte te nemen en door te voeren.
Op die discrepantie in dat eID (idensys) is al vele malen, ook op deze site op gewezen.

Dit kabinet zit op ramkoers, willens en wetens de eigen agenda doordrukken.
De beproefde tactiek is een pilot draaien, tussentijds desgewenst de naamgeving veranderen , de pilot (met nieuwe naam) een succes noemen en dan invoeren.
Deze piloot werd onder een selectieve groep uitgevoerd, een nieuwe truc uit de trucendoos.

Uiteindelijk 'niemand' die protesteert omdat het nieuwe ervan af is of omdat men niet doorheeft dat het nieuwe project onder een oude naam vele argumenten tegen had..

Wat moet je met een overheid die volop met boodschappen spindoctert en misleidt met reclame achtige tactieken om het eigen beleid op ondoorzichtiger wijze door te voeren?

27-09-2016, 17:47 door Anoniem

Door security matters: altijd kiezen tussen 2 kwaden. Of gemak of veiligheid. Jammer dat er dan toch steeds de voorkeur gaat naar gemak. Zelfs de zorgverzekeraars lijken het niet te begrijpen want die gebruiken ook de één factor DigiD voor de zorggegevens. Iets met data classificatie??

Medische gegevens vereisen conform Europese richtlijnen Stork 3 niveau dus 2 factor authenticatie indien men de gegevens aan de gebruiker toont...

28-09-2016, 08:57 door Anoniem

En dan krijg je een e-mail dat er een bericht voor je klaar staat, je moet 2-factor inloggen om te zien dat een of andere overheid je een mailtje stuurt dat je rijbewijs over 3 a 4 maanden verloopt? Beveiliging OK, maar dan wel voor de zaken die ertoe doen en niet voor iedere flauwekul.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Toezichthouder hekelt privacy en veiligheid van eID-stelsel

DigiD

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren