CBP: ‘Beveiliging van DigiD moet worden verbeterd’

Het College bescherming persoonsgegevens (CBP) roept de overheid op de beveiliging van DigiD aan te scherpen. Deze oproep doet het CBP nadat uit onderzoek is gebleken dat duizenden DigiD gebruikers onbedoeld hun inloggegevens hebben achtergelaten bij het reclamebureau Digi-D.

De naam van Digi-D lijkt veel op DigiD, wat in de praktijk verwarring blijkt op te leveren. Onderzoek wijst uit dat duizenden DigiD gebruikers geprobeerd hebben in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD. Hierdoor hebben gebruikers onbedoeld hun inloggegevens achtergelaten bij het reclamebureau en is het risico ontstaan dat derde misbruik maken van persoonsgegevens die via DigiD toegankelijk zijn.

Het incident toont volgens het CBP aan dat niet uitgesloten kan worden dat onbevoegden inloggegevens voor DigiD in handen weten te krijgen door bijvoorbeeld phishing. Indien deze gegevens in verkeerde handen vallen is het mogelijk misbruik te maken van allerlei gevoelige gegevens die toegankelijk zijn via DigiD. Denk hierbij aan belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget. Het CBP wil daarom dat DigiD wordt voorzien van een extra beveiligingslaag, waarbij de privacywaakhond denkt aan twee-factor authentificatie, waarbij tijdens het inloggen naast een gebruikersnaam en wachtwoord ook een code moet worden ingevoerd die via sms wordt toegezonden.