De overheid komt met API's (application programming interfaces) voor het delen van data tussen burgers en private partijen. Er komt geen convenant met aanbieders van datadeler-apps. Dat laat staatssecretaris Szabo voor Digitalisering weten, die daarmee advies van de Autoriteit Persoonsgegevens (AP) opvolgt. Datadeler-apps zijn applicaties waarmee mensen gegevens over zichzelf uit overheidsregistraties kunnen (laten) verzamelen, bijvoorbeeld om een hypotheek of een huurwoning te kunnen krijgen.
Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.
"Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties maakt zich zorgen over de gevolgen van het gebruik van datadeler-apps voor de bescherming van persoonsgegevens van de burgers die deze apps gebruiken. Zo hebben de datadeler-apps na het inloggen via DigiD door de betrokkene toegang tot alle gegevens die over de betrokkene op de betreffende overheidswebsite staan, terwijl voor het doel waarvoor de gegevens worden opgevraagd, doorgaans alleen maar een deel van deze gegevens nodig is", liet de Autoriteit Persoonsgegeven afgelopen augustus weten.
Een ander probleem is de manier van inloggen, die de AP problematisch noemt. "Ten eerste wordt het beveiligingsniveau van DigiD verlaagd doordat de datadeler-apps niet de DigiD-app kunnen gebruiken bij het inloggen op overheidswebsites. Ten tweede zijn de DigiD-gebruikersnaam en -wachtwoord van de gebruiker zichtbaar voor de datadeler-app, wat een risico op identiteitsfraude tot gevolg kan hebben."
Om een deel van de problemen tegen te gaan overwoog het ministerie om met de aanbieders van datadeler-apps afspraken te maken en deze vast te leggen in een convenant. De toezichthouder adviseert hier tegen, omdat het ministerie onrechtmatige verwerkingen door datadeler-apps via een convenant zou legitimeren. De AP adviseert als oplossing het beschikbaar stellen van API's, in combinatie met het inrichten van accounts voor de datadeler-apps waarbij het gebruik van de API's gecontroleerd kan worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.