Dat schrijft Ernst & Young in de Benchmark Digitale Dienstverlening. In het Nationaal Uitvoeringsprogramma hebben de gemeenten afspraken gemaakt over het aanbieden van digitale producten aan de burger. Een van die afspraken was dat vanaf 1 juni 2009 DigiD wordt gebruikt voor alle overheidsdienstverlening waarbij elektronische identificatie door burgers is vereist. Die afspraak is te weinig nagekomen, vindt Ernst & Young.

Privacy niet gewaarborgd

Ernst & Young noemt als voorbeeld van het niet authenticeren met DigiD het inloggen met een burgerservicenummer. “De vraag is in hoeverre de exclusiviteit van de gegevens en de privacy van de burgers met deze andere methoden (dan DigiD, red) is gewaarborgd", schrijft het consultancybureau.

Het rapport van Ernst & Young, met een persbericht dat als kop heeft “Sterke ontwikkeling van digitale dienstverlening gemeenten vraagt meer aandacht voor veiligheid", kwam afgelopen vrijdag uit, toevalligerwijs tegelijkertijd met de alarmmailing van de Vereniging van Nederlandse Gemeenten, die waarschuwde voor de onveiligheid van het gebruik van DigiD op gemeentelijke websites. Dit naar aanleiding van het door Webwereld geïnitieerde Lektober, de maand van de privacylekken.

Lek in DigiD

Via het overnemen van een DigiD-sessie kunnen kwaadwillenden grote schade aanrichten op naam van de argeloze burger. Dat het mogelijk is om sessies over te nemen komt door het ontbreken van de nodige basale beveiligingslagen in DigiD. Zo wordt er niet gewerkt met secure cookies. Daardoor is het mogelijk de informatie over een sessie te stelen en te misbruiken. De VNG riep gemeenten op in het mailtje rekening te houden met “maatschappelijke ophef" naar aanleiding van de berichtgeving over de lekken via DigiD.

Overigens erkent Ernst & Young wel dat er beveiligingsproblemen zijn met gemeentelijke websites. “Het gebruik van innovatieve oplossingen (digitaal afnemen van producten) brengen risico's met zich mee in het kader van informatiebeveiliging, imago en privacy. Dit blijkt ook uit recente incidenten omtrent Diginotar en het uitlekken van de Miljoenenota", staat in het rapport onder het kopje aandachtspunten.

Regelmatig toetsen

De consultants adviseren de gemeenten om de beveiliging en de betrouwbaarheid van de website en de backofficesystemen regelmatig te toetsen. “De kansen nemen toe dat onbevoegden toegang krijgen tot vertrouwelijke of privacygevoelige gegevens." Niettemin adviseert E&Y een verdere integratie van de backoffice met het digitale loket.