Het College Bescherming Persoonsgegevens (CBP) waarschuwt dat de beveiliging van de digitale identificatiemethode DigiD ernstig tekortschiet.

Dat doet het CBP naar aanleiding van het debacle met de site van het Brabantse reclamebureau Digi-D. Ruim 8500 mensen veronderstelden bij het bezoek van de site van dat bureau dat het om de officiële site van DigiD ging, en vulden hun identificatiegegevens in.

Het reclamebureau sloeg vervolgens zowel de gebruikersnamen als de wachtwoorden op. Kwaadwillenden zouden daarmee mogelijk toegang hebben kunnen krijgen tot de belastinggegevens van de burgers. Ook hadden ze allerlei toeslagen kunnen aanvragen. Het reclamebureau heeft alle gegevens gewist en die problemen zijn verholpen.

Overheidscommunicatie

Met DigiD kunnen burgers inloggen op sites van de overheid, zoals de Belastingdienst, en aangiftes doorgeven en toeslagen aanvragen. Bij het inloggen krijgen gebruikers soms de vraag of zij direct in willen loggen, of dat zij eerst een sms-code willen ontvangen. Een kwaadwillende die identificatiegegevens gestolen heeft, kan daar simpelweg omheen door te kiezen voor enkel met wachtwoord inloggen. De sms-controle is optioneel.

Het CBP pleit er nu voor om de sms-controle verplicht te maken. Op die manier kunnen kwaadwillenden zelfs als zij in het bezit zijn van de gebruikersnaam en het wachtwoord niet direct toegang krijgen tot het DigiD van een burger.

De 8500 getroffen DigiD's zijn geblokkeerd door Logius, de beheerder van DigiD. Ook zijn de eigenaren van de accounts geïnformeerd. Daarmee is er voor deze accounts geen enkel veiligheidsrisico meer, aldus het CBP.