020 530 0160

Autoriteit Persoonsgegevens: eID-stelsel heeft nog onvoldoende aandacht voor privacy

Gepubliceerd op 30 september 2016 categorieën 

de ontwikkeling van het eID-stelsel, de beoogde opvolger van DigiD, moet meer aandacht komen voor privacyaspecten. Dat schrijft de Autoriteit Persoonsgegevens (AP) in een brief van 19 augustus 2016 aan de minister van Binnenlandse Zaken (BZK). De beveiliging van de inlogmiddelen moet omhoog. Ook moet er meer aandacht zijn voor het afhandelen van beveiligingsincidenten. De Rekenkamer constateerde eerder deze maand al ernstige tekortkomingen. En ook de Tweede Kamer is kritisch over de manier waarop het kabinet het eID-stelsel wil invoeren.

Wat is eID-stelsel?

Met de ontwikkeling van het eID-stelsel werkt de overheid samen met het bedrijfsleven aan de ontwikkeling van een standaard voor de toegang tot online dienstverlening. Burgers en bedrijven kunnen zo diensten digitaal afnemen en zaken digitaal regelen.

Binnen het eID-stelsel kunnen mensen straks inloggen middels diverse inlogmethoden. Nu is dat bij veel (overheids)organisaties alleen nog mogelijk met DigiD. Mensen die momenteel gebruikmaken van DigiD kunnen doorgaans inloggen door middel van een gebruikersnaam en wachtwoord. Sommige organisaties vragen in aanvulling daarop tevens een verificatie door middel van een sms-code (een zogenaamde tweestapsverificatie), maar  dit geldt niet voor alle organisaties.

Met de ontwikkeling van het eID-stelsel moet DigiD een hoger beveiligingsniveau garanderen en wordt meer ingezet op tweefactorauthenticatie. Naast de authenticatiemogelijkheid middels een sms-code, wordt het straks ook mogelijk om in te loggen met de chip in een paspoort, je rijbewijs of identiteitskaart. De huidige chip in zal daartoe in 2018 worden vervangen. Dan krijgt de chip ook een eigen pincode. Het moet dan mogelijk worden om met een smartphone een identiteitskaart te scannen en de bijbehorende pincode in te voeren om in te loggen bij de overheid. Daarnaast wordt het straks ook mogelijk om in te loggen met een app die het gezicht van de gebruiker herkent.

Gevolgen voor de privacy

Het gebruik van het eID-stelstel gaat gepaard met het verzamelen en verwerken van persoonsgegevens teneinde personen te kunnen authentiseren. Uit dit gebruik kunnen risico’s voor privacy van personen voortvloeien. Onzorgvuldigheid, onbetrouwbaarheid van gegevens, verlies van gegevens (datalekken), gegevens gebruiken voor een ander (tegenstrijdig) doel dan waarvoor ze zijn verkregen, kunnen een negatieve impact hebben op iemands privacy. Het is dan ook niet verwonderlijk dat de AP de ontwikkelingen rondom het eID stelsel nauwlettend in de gaten houdt.

Advies AP

De AP adviseert de minister een aantal onderwerpen mee te nemen bij de verdere ontwikkeling van het eID-stelsel. De drie adviezen die de AP geeft gaan over ‘privacy by design’, incidentbeheersing en toezicht en beveiliging.

De AP merkt ten eerste op dat momenteel nog onvoldoende aandacht is besteed aan het principe van privacy by design en adviseert om dit alsnog te doen. Dit houdt in dat al bij de ontwikkeling van producten en diensten aandacht wordt besteed aan privacy verhogende maatregelen. Daarnaast constateert de AP dat er nog geen beleid is ten aanzien van beveiligingsincidenten en voor het interne toezicht daarop. Tot slot oordeelt de AP dat het huidige beveiligingsniveau van DigiD onvoldoende is om straks hiermee in te loggen binnen het eID-stelsel. Het beveiligingsniveau van DigiD dien daarom te worden verhoogd naar minimaal een tweefactorauthenticatie, aldus de AP.

Eerdere analyse AP

De AP heeft in de eerste fase van ontwikkeling van het eID-stelsel al een eerste analyse gemaakt van het eID-stelsel. De AP wees toen op eisen uit de Wet bescherming persoonsgegevens waarmee rekening gehouden moet worden, te weten de verantwoordelijkheid, beveiliging en het gebruik van het BSN.

Slot

Vanaf 2018 zijn de nieuwe inlogmethoden voor alle online overheidsdiensten beschikbaar, zoals de Belastingdienst en in de zorg. Daarnaast zal DigiD vanaf 2017 een extra controle uitvoeren op de identiteit van gebruikers door eenmalig de chip van een identiteitsbewijs uit te lezen. De nieuwe inlogmethoden worden wettelijk vastgelegd. Hiervoor heeft het kabinet het wetsvoorstel Generieke Digitale Infrastructuur (GDI) geïntroduceerd, dat naar verwachting eind 2016 aan de Tweede Kamer wordt aangeboden. In de wet zal worden geregeld dat overheidsorganen verplicht aansluiten op digitale voorzieningen waaronder ook het eID-stelsel en  MijnOverheid.nl.

 

Klik hier voor de vergrote afbeelding

Bron: autoriteitpersoonsgegevens.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Lora

publicaties

Gerelateerde artikelen