Brief en antwoorden van Minister inzake de veiligheid van DigiD

Brief versterking van DigiD, kamerstukken II 2014-2015, 26 643, nr. 332 - lijst vragen/antwoorden nr. 333
Naar aanleiding van berichtgeving rondom de veiligheid van DigiD in een tv-uitzending van Opgelicht! op 18 oktober 2014 hebben de regering en minister de Tweede Kamer als volgt geïnformeerd:

2. Recent doorgevoerde maatregelen
– Er worden voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het makkelijker voor burgers om misbruik van hun DigiD te herkennen.
– Op dit moment worden DigiD activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In totaal zijn in 2014 ca. 7500 brieven thuisbezorgd per koerier.
– Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk voor de beschikbaarheid en continuïteit van DigiD maar ook voor de veiligheid.
– Onlangs is DigiD beveiligd om het mogelijk te maken beter de integriteit en authenticiteit van de website te controleren en phishing te bemoeilijken.

3. Nog door te voeren maatregelen ter versterking van DigiD

Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met SMS (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots starten naar verwachting medio 2015.
Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen t.o.v. DigiD Midden met SMS, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD, door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument (bv identiteitskaart, rijbewijs). Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Mede naar aanleiding van de aanbeveling van de Algemene Rekenkamer, wordt ook uitvoering gegeven aan een Actieplan voor het oplossen van de bevindingen op DigiD. Hiermee zal de robuustheid van DigiD verder toenemen. Inmiddels zijn enkele van de bevindingen opgelost. Zoals eerder gemeld wordt er naar gestreefd ook de overige bevindingen vóór het einde van het jaar op te lossen.

20 Wat gaat u doen om de slachtoffers te helpen die er nu al zijn in verband met ongeautoriseerde toegang tot DigiD?
21 Bent u voornemens een afdeling op te zetten die casus van benadeelden beoordeeld? Zo ja, hoe wordt die vormgegeven? Of ligt die bevoegdheid, of blijft die bevoegdheid liggen, bij respectievelijk Logius en de afnemers? Welk risico houdt dat in voor het afschuiven van problemen binnen de keten?
22 Vindt u het terecht dat mensen, die buiten hun eigen schuld slachtoffer worden van veiligheids-problemen rond DigiD, bijvoorbeeld door uit de brievenbus geviste brieven, geld, dat ze nooit hebben aangevraagd en nooit hebben ontvangen, moeten terugbetalen aan de overheid?
In de uitzending kwamen enkele slachtoffers van fraude via DigiD aan het woord. Deze fraudegevallen staan overigens los van de betreffende kwetsbaarheid.
De inzet van de overheid is slachtoffers snel te helpen en schadeloos te (doen) stellen. Slachtoffers van identiteitsfraude kunnen ook altijd bij het Centraal Meldpunt Identiteitsfraude terecht. Bij vastgestelde fraude wordt altijd aangifte gedaan. Wel blijkt zorgvuldig onderzoek van groot belang omdat helaas blijkt dat niet altijd op voorhand eenvoudig vast te stellen is wat er precies gebeurd is en daders en slachtoffers niet altijd eenduidig te onderscheiden zijn. De zaken van de in uitzending aan het woord gekomen slachtoffers worden nader onderzocht.