Bij een onderzoek naar zes 'grootverbruikers' van de authentificatiemethode DigiD zijn problemen gevonden die aanleiding gaven tot 'maatregelen tot verbetering'. Dat schrijft minister Plasterk (Binnenlandse Zaken) vrijdag in een brief aan de Tweede Kamer. Hoe precies welke instanties met hun beveiliging van DigiD tekortschoten, wil het ministerie niet melden.

'Inmiddels opgepakt'

De beveiligingsproblemen waren volgens Plasterk niet zo ernstig dat de gehele toegang tot DigiD moest worden afgesloten. Onder de grootverbruikers van DigiD bevinden zich de Belastingdienst, StudieLink en het UWV. "De betrokken organisaties hebben deze maatregelen inmiddels opgepakt", schrijft de minister. Gemeenten en andere kleine afnemers van DigiD kunnen volgens de bewindsman gebruikmaken van de ervaringen die de grootverbruikers bij het oplossen van de problemen hebben opgedaan.

Plasterk heeft hierover afspraken gemaakt met de Vereniging Nederlandse Gemeenten en het Kwaliteitsinstituut Nederlandse Gemeenten. Die twee partijen hebben samen al een project lopen voor de verbetering van de beveiliging van DigiD bij gemeenten. Jaarlijks moeten alle 408 gemeenten een ict-beveiligingstest rond DigiD uitvoeren.

DigiD offline na Ruby-lek

In januari haalde Logius, de ict-uitvoerder van de overheid, DigiD nog tien uur lang uit de lucht, nadat een groot beveiligingsprobleem met Ruby On Rails was opgedoken. Door het lek konden onder meer sql-injecties worden uitgevoerd en de authenticatie worden omzeild.

Update:

Het ministerie van Binnenlandse Zaken laat Webwereld weten welke instanties deze zes 'DigiD-grootverbruikers' zijn. Naast de Belastingdienst, StudieLink en het UWV betreft het de SVB (Sociale Verzekeringsbank), zorgverzekeraar CZ en DUO (Dienst Uitvoering Onderwijs). Wélke tekortkomingen in de DigiD-beveiliging daar aan de orde waren, wil het ministerie niet openbaren.