Woensdag 8 juni 2016

DigiD en opvolger Idensys

DigiD en opvolger Idensys

We kunnen haast niet meer zonder: DigiD. Hét inlogmiddel voor de digitale omgeving van de overheid voor toeslagen, belasting en tegenwoordig ook zorgverzekeringen. Het systeem kent een aantal nadelen zoals veiligheidsproblemen. Voor een oplossing hebben publieke en private organisaties de handen ineengeslagen met als resultaat een nieuw systeem: Idensys. In dit artikel wordt de levensloop van DigiD behandeld met zijn gegadigde opvolger inclusief een kritische noot.

 

DigiD: een algemeen kader

DigiD maakt het mogelijk om in te loggen op websites van de overheid en zorgverzekeringen. Het is een systeem dat een Burgerservicenummer (BSN) koppelt aan inloggegevens, zodat een burger zich op een website kan identificeren. DigiD gaat via een beveiligde computerverbinding, wordt regelmatig getest en past zich op snelle technologische ontwikkelingen snel aan.((https://www.digid.nl/nl/veiligheid/#jfmulticontent_c500-4))

 

DigiD en de Wet bescherming persoonsgegevens

Omdat de gegevens die worden uitgewisseld heel gevoelig kunnen zijn, denk aan bijvoorbeeld gegevens over de gezondheid, is het bijzonder van belang dat deze gegevens goed beveiligd worden. Het is dan ook wettelijk verplicht om gegevens goed te beveiligen. Artikel 13 van de Wet bescherming persoonsgegevens (Wbp) verplicht de verantwoordelijke ‘passende technische en organisatorische maatregelen’ te treffen.

Een interessante vraag voor DigiD is natuurlijk: wat zijn de maatregelen die leiden tot het vereiste passende beveiligingsniveau? Hierover verschillen de meningen. Zo is er onenigheid ontstaan over de vraag of het nodig is om bij het inloggen het gebruik van ‘twee factor authenticatie’ verplicht te stellen. Dit houdt in dat naast het inloggen met gebruikersnaam en wachtwoord, nog een extra controle van de identiteit plaatsvindt door een sms met een code te versturen naar de telefoon van de burger.

Het Ministerie van Binnenlandse Zaken vindt het niet nodig om deze extra controle verplicht te stellen. Op basis van risicoanalyse moeten overheidsinstanties namelijk zelf bepalen of een extra sms-controle nodig is.((https://www.security.nl/posting/446536/Binnenlandse+Zaken+niet+eens+met+DigiD-kritiek+CBP))

De Autoriteit Persoonsgegevens (Autoriteit, voorheen: College Bescherming Persoonsgegevens) is de toezichthouder op de naleving van de Wbp. De visie van de Autoriteit op de interpretatie van artikel 13 Wbp is dan ook zeer relevant. De Autoriteit vindt de genoemde twee factor authenticatie wél nodig, deze zou zelfs verplicht gesteld moeten zijn. De Autoriteit trekt deze conclusie mede naar aanleiding van de zaak rondom een Brabants reclamebureau met de naam Digi-D. Door de verwarrende naam van het bureau hebben duizenden DigiD-gebruikers geprobeerd in te loggen, waardoor de inloggegevens in handen zijn gekomen van het reclamebureau. Deze onbevoegde toegang geeft aan dat de beveiliging nog niet ‘passend’ is op grond van artikel 13 Wbp.((https://cbpweb.nl/nl/nieuws/cbp-beveiliging-digid-moet-aangescherpt))

 

Andere nadelen van DigiD

Sinds ingebruikname van DigiD in 2003 heeft het systeem aardig wat figuurlijke klappen gekregen. Zo zijn er een aantal DDoS-aanvallen geweest: een aanval waarbij een systeem overbelast raakt doordat iemand opzettelijk te veel aanvragen richting het systeem stuurt. DigiD is hier gevoelig voor doordat er maar één server is.((http://tweakers.net/nieuws/90755/ddos-aanval-legt-digid-plat.html)) Ook zijn er een aantal fraudegevallen bekend door het onderscheppen van activatiecodes waardoor toeslagen naar een gewijzigd rekeningnummer zijn overgemaakt.((http://tweakers.net/nieuws/93565/fraudeurs-maken-geld-buit-door-onderscheppen-digids.html)) Verder ook niet onbelangrijk: een burger woonachtig in het buitenland kan geen gebruik maken van DigiD.

 

Idensys: een algemeen kader

Om tot een oplossing te komen voor onder andere de genoemde beveiligingsproblemen is gepoogd een nieuw systeem op te zetten dat beter dient te werken. Dit nieuwe systeem heet Idensys en is momenteel nog in ontwikkeling. Het is nog niet duidelijk of Idensys uiteindelijk wel in gebruik zal worden genomen, de Tweede Kamer moet hier na de pilots nog over gaan stemmen.((http://tweakers.net/nieuws/105736/maximaal-30000-mensen-kunnen-meedoen-met-tests-digid-opvolger-idensys.html)) Mocht het systeem ingevoerd worden, dan wordt Idensys een authenticatiedienst voor gebruik door zowel overheidsinstanties als private partijen. Ook webwinkels kunnen hier dus gebruik van maken. Het systeem is bedoeld als standaard: één middel ter authenticatie voor alle onlinezaken.

 

Werking van Idensys

Wanneer een burger iets wil kopen bij een dienstverlener zoals een webwinkel, dan wil deze graag weten of de burger te vertrouwen is. Dit kan gecontroleerd worden door gebruik van Idensys. De burger heeft het inlogmiddel eerder verkregen door zich aan te melden bij een authenticatiedienst. Dit zal veelal een commercieel bedrijf worden. Dit bedrijf heeft door eenmalige identificatie het BSN van de burger gekoppeld aan het inlogmiddel en onder een pseudoniem opgeslagen in een database. Door gebruik van een pseudoniem krijgen dienstverleners niet het BSN van de burger. Deze extra stap is nodig, omdat het BSN een bijzonder gevoelig gegeven is in de zin van de Wbp. De webwinkel krijgt vervolgens van de authenticatiedienst te horen dat de identificatie is geslaagd. De burger kan zelf aangeven welke gegevens hij deelt met een dienstverlener. Het is de bedoeling dat alleen gegevens worden opgevraagd en ingevoerd die daadwerkelijk noodzakelijk zijn voor het verlenen van de dienst. Zo zal voor het kopen van een kinderfilm niet nodig een geboortedatum af te geven maar voor het kopen van een fles wijn wel.

Het nieuwe systeem moet de problemen die DigiD nu kent oplossen. Zo zal Idensys bijvoorbeeld gebruik maken van meerdere servers, namelijk die van verschillende authenticatiediensten. Dit zou moeten voorkomen dat het hele systeem verstoord kan raken door een DDoS-aanval.

 

Analyse door de Autoriteit

De Autoriteit heeft in juni 2015 een analyse gemaakt van Idensys, om input te geven voor de uiteindelijke versie. Er zijn drie knelpunten naar voren gekomen:

1) Het systeem kent voor de verwerking van persoonsgegevens nog geen ‘verantwoordelijke’ in de zin van de Wbp;

2) Doordat verschillende partijen beperkte inzage hebben zijn beveiligingsincidenten moeilijk te ontdekken;

3) Er is (nog) geen wettelijke grondslag voor het verwerken van het BSN door de private organisaties.((https://www.cbpweb.nl/nl/nieuws/cbp-maakt-eerste-analyse-van-eid-stelsel))

Dit laatste punt houdt verband met hetgeen bepaald in artikel 24 Wbp. Dit artikel geeft de bijzondere gevoeligheid van het BSN als persoonsgegeven weer door de verwerking hiervan in beginsel te verbieden. Een verwerking van een BSN is slechts mogelijk wanneer dit in een wet is vastgelegd.

Naar aanleiding van de analyse van de Autoriteit is in oktober 2015 het afsprakenstelsel versie 1.9b verschenen waarin de punten van de Autoriteit deels zijn verwerkt. De minister van Binnenlandse Zaken en Koninkrijksrelaties zal de belangrijke rol van ‘verantwoordelijke’ op zich nemen en is dus in beginsel verantwoordelijk voor belangrijke punten als bijvoorbeeld de beveiliging van het systeem. De wettelijke grondslag voor de verwerking van het BSN ligt volgens het stelsel in de wet Elektronisch berichtenverkeer Belastingdienst die per 1 november 2015 in werking is getreden.((https://afsprakenstelsel.etoegang.nl/display/as/Juridische+structuur)) De Autoriteit heeft nog geen reactie gegeven op deze aanpassingen.

 

Perfecte oplossing?

Hebben de betrokken partijen nu de perfecte oplossing in handen? Er zitten nog wat haken en ogen aan het nieuwe systeem. Zo zal Idensys alleen maar werken wanneer mensen het ook echt gaan gebruiken als één inlogmiddel. Het is de vraag of burgers het niet als probleem zien om een commercieel bedrijf hun BSN te verstrekken. Zoals het systeem nu is krijgt de authenticatiedienst namelijk inzicht in het gebruik van het inlogmiddel door de burger, en is deze van verzekeraar tot slijterij te volgen.

Daarbij is het onduidelijk of de privacy van de burger daadwerkelijk gewaarborgd wordt door de getroffen maatregelen zoals in het afsprakenstelsel gepresenteerd.((https://decorrespondent.nl/3609/Bij-het-nieuwe-DigiD-zijn-bedrijven-de-eigenaar-van-je-gegevens/410287100652-9fefef10)) Bij het treffen van meer maatregelen om de beveiliging te verbeteren gaat echter de gebruiksvriendelijkheid van het systeem achteruit.

Ook worden vraagtekens gezet bij het kostenplaatje. Idensys vereist veel van de authenticatiediensten, zij zullen grote investeringen moeten doen om de gewenste diensten te leveren. Het is maar de vraag of deze authenticatiediensten zich zullen aanbieden zonder dat ze aanspraak kunnen maken op subsidies.((https://www.cqure.nl/kennisplatform/digidem-5-een-business-case-voor-idensys)) Het is dus afwachten of het gemak van één inlogmiddel opweegt tegen de geschetste problemen.

 

Conclusie

Het is wel duidelijk dat DigiD een aantal flinke nadelen heeft en het geschetste plaatje van Idensys ideaal lijkt. Op dit moment zit Idensys nog in de testfase maar als we de critici mogen geloven is het nog maar de vraag of het systeem verder komt dan dat. De aangegeven probleempunten liegen er niet om. Het is nog onduidelijk of de bescherming van gevoelige gegevens effectief gegarandeerd kan worden en of mensen het systeem echt gaan gebruiken. Daarbij is het de vraag of het systeem wel prettig in gebruik is en of de financiële kant geen roet in het eten gooit. De tijd zal het leren!