image

Overheid komt met API's voor datadelen tussen burger en private partijen

donderdag 7 november 2024, 16:02 door Redactie, 7 reacties

De overheid komt met API's (application programming interfaces) voor het delen van data tussen burgers en private partijen. Er komt geen convenant met aanbieders van datadeler-apps. Dat laat staatssecretaris Szabo voor Digitalisering weten, die daarmee advies van de Autoriteit Persoonsgegevens (AP) opvolgt. Datadeler-apps zijn applicaties waarmee mensen gegevens over zichzelf uit overheidsregistraties kunnen (laten) verzamelen, bijvoorbeeld om een hypotheek of een huurwoning te kunnen krijgen.

Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.

"Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties maakt zich zorgen over de gevolgen van het gebruik van datadeler-apps voor de bescherming van persoonsgegevens van de burgers die deze apps gebruiken. Zo hebben de datadeler-apps na het inloggen via DigiD door de betrokkene toegang tot alle gegevens die over de betrokkene op de betreffende overheidswebsite staan, terwijl voor het doel waarvoor de gegevens worden opgevraagd, doorgaans alleen maar een deel van deze gegevens nodig is", liet de Autoriteit Persoonsgegeven afgelopen augustus weten.

Zorgen bij Autoriteit Persoonsgegevens

Het ministerie had de AP om advies over datadeler-apps gevraagd. Ook de privacytoezichthouder maakt zich zorgen. Zo zegt de Autoriteit Persoonsgegevens signalen te hebben dat burgers in de praktijk niet altijd een vrije keuze hebben om datadeler-apps te gebruiken, of daarover niet voldoende worden geïnformeerd. Ook zegt de AP signalen uit de praktijk te hebben dat datadeler-apps niet altijd transparant zijn over de techniek die zij gebruiken en over welke persoonsgegevens zij precies verwerken.

Een ander probleem is de manier van inloggen, die de AP problematisch noemt. "Ten eerste wordt het beveiligingsniveau van DigiD verlaagd doordat de datadeler-apps niet de DigiD-app kunnen gebruiken bij het inloggen op overheidswebsites. Ten tweede zijn de DigiD-gebruikersnaam en -wachtwoord van de gebruiker zichtbaar voor de datadeler-app, wat een risico op identiteitsfraude tot gevolg kan hebben."

Om een deel van de problemen tegen te gaan overwoog het ministerie om met de aanbieders van datadeler-apps afspraken te maken en deze vast te leggen in een convenant. De toezichthouder adviseert hier tegen, omdat het ministerie onrechtmatige verwerkingen door datadeler-apps via een convenant zou legitimeren. De AP adviseert als oplossing het beschikbaar stellen van API's, in combinatie met het inrichten van accounts voor de datadeler-apps waarbij het gebruik van de API's gecontroleerd kan worden.

Ontwikkeltijd van twee jaar

Staatssecretaris Szabo laat vandaag weten dat hij het advies van de AP overneemt. "Ik stop daarom conform het advies van de AP met het maken van afspraken in een convenant en werk aan technische oplossing met API’s." De bewindsman schat dat dit ongeveer twee jaar zal duren, maar dat tussentijds, als API’s beschikbaar komen, hier al gebruik van kan worden gemaakt (pdf).

Reacties (7)
Vandaag, 16:07 door majortom
Sinds wanneer kan een willekeurige app een DigiD login faciliteren? Dat was toch enkel voorbehouden aan (semi) overheid?
Vandaag, 17:19 door Anoniem
Waarom zou je uberhaupt je data met een derde partij leveren via een app waarvan je niet weet wat deze doet.
Ik wil geen api's maar gewoon een document waarin staat wat ik moet aanleveren in een bepaald formaat.

Dat leest de derde maar in via een applicatie.

Wil nou niemand meer zelf weten wat er gebeurt en hoe "iets" werkt!!
Vandaag, 17:19 door Anoniem
Oef! API-based spying, neen dank u.
Ook die covid-API zit er nog in...
Vandaag, 17:24 door Anoniem
tja was hier laatst ook al tegenaan gelopen met een hypotheek partij

mijn antwoord was hell no

maar zal wel weer verplicht worden ofzo he? lekker lepelen die data, zo snel en handig...
Vandaag, 18:37 door Anoniem
Door majortom: Sinds wanneer kan een willekeurige app een DigiD login faciliteren? Dat was toch enkel voorbehouden aan (semi) overheid?
Lees de tweede alinea van het artikel nog eens goed: de app scrapet gegevens van de website van een overheidsdienst. Die app doet zich naar de webservers dus voor als een webbrowser en handelt de hele sessie af, inclusief het inloggen via DigiD. Dan heb je het over doodnormaal HTTPS-verkeer. Die app kan dan precies wat een menselijke gebruiker via zijn webbrowser kan, en moet alleen weten hoe al die overheidssites in elkaar zitten en hoe die naar de gevraagde gegevens toe navigeert. En die kennis zit er kennelijk in.
Vandaag, 18:59 door Anoniem
Ik heb geen apps. En nu?
Houd toch op met al dat digi-drammen. Zo vreselijk blij dat ik nooit meer een hypotheek ofzo nodig zal hebben. Lekker, een telefoon (WTF!), het ultieme spionage apparaat, ZELF toegang geven tot MIJN data. Hoe stom kun je zijn (nou ja, de meeste schapen zullen dus wel zo stom zijn...).
Vandaag, 19:06 door Anoniem
Door majortom: Sinds wanneer kan een willekeurige app een DigiD login faciliteren? Dat was toch enkel voorbehouden aan (semi) overheid?
Van hoe ik het lees: een datadelerapp laat je inloggen op de betreffende website/dienst via een WebView'tje, en scrapet vervolgens de inhoud.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.