Jarenlange onveiligheid van DigiD raakt contact patiënten met zorgverzekeraars

password-397657_640

Het College Bescherming Persoons Gegevens(CBP) publiceerde heden(8-10-2015) een op het oog ferme brief waarin gesteld wordt dat het gebruik van het DigiD als identificatiemiddel strenger beveiligd moet worden. Door bijv. het verplicht stellen van het gebruik van een code per SMS-bericht, verstuurd naar het mobiele telefoonnummer van de burger, zou dat volgens het CBP bereikt kunnen worden. Het probleem, waarover het CBP bericht, bestaat al meerdere jaren en is door de overheid zelf opgeroepen. Helaas wordt daar weinig bekendheid aan gegeven. De geconstateerde onveiligheid, waarvoor critici al veel eerder waarschuwden, treft ook de communicatie van de verzekerden met de zorgverzekeraars die allen gebruik maken van de DigiD als inlogmethode.

Geschiedenis

Waar begint het probleem eigenlijk. In den beginne was er een reclamebureau Digi-D in Waalwijk . Dit bedrijf is opgericht in 2003 . Dat jaar begon de overheid met een nieuw identificatiemiddel, onder de naam Nieuwe Authenticatie Voorziening(NAV) of Burgerpin. Pas op 5 oktober 2004 wordt de naam gewijzigd in DigiD. De directeur van het Waalwijkse bedrijf waarschuwde destijds de overheid voor de toch wel erg verwarrende naamgeving. Ook werd een proces gevoerd over het gebruik van de naam omdat het enige verschil slechts een scheidingsstreepje is. Dat proces werd verloren door het reclamebureau. De rechtbank vond in 2010 dat het wel meeviel met de verwarring en dat het reclamebureau daar niet veel schade van zou ondervinden. Het trieste is echter dat niet het reclamebureau maar de burger er nu ernstige schade van ondervindt.

Jarenlang

In 2012 wordt op de www.webwereld.nl gemeld dat het reclamebedrijf al jaren inloggegevens van de overheids-DigiD ontvangt en sinds 2004 als een soort veredelde helpdesk van de overheid fungeert . Het reclamebureau startte zelfs een website www.zuinigopuwdigid.nl om burgers te waarschuwen. Vanwege haar klantenbestand heeft het reclamebureau voor haar klanten een met certificaat beveiligde website waarop ingelogd moet worden met inlognaam en wachtwoord. Burgers zien ondanks de zeer duidelijke vormgeving de website toch aan als overheids-site en pogen massaal met inlognaam en wachtwoord van hun DigiD in te loggen. Dat speelde ook in 2013 toen er een dagenlange storing bij de DigiD dienst was en burgers hun belastingaangifte niet konden indienen. Massaal werd toen het reclamebureau overstelpt met de DigiD-inloggegevens. In theorie zou men daarmee kunnen inloggen bij alle overheidsdiensten en andere bedrijven die van de DigiD systematiek gebruik maken. Dat zijn ook de zorgverzekeraars. Het was de aanleiding voor actie van het ministerie van Binnenlandse Zaken waarop het CBP nu een “ferme” reactie schrijft.

Traag

Het CBP reageert nogal traag als de data in de brieven in ogenschouw worden genomen. Op 5 maart 2014 ontvangt het CBP de brief van het ministerie. Op 9 maart 2015 doet het CBP een tussentijdse rapportage aan het ministerie. Na verschillende interventies van het CBP bij het reclamebureau wordt op 18 juni 2015 geconstateerd dat er geen DigiD-gegevens meer bij het bureau worden gelogd. Op 21 juli 2015 wordt aan de minister gevraagd of die zich kan vinden in openbaarmaking van de brief. Op zich al apart omdat het ministerie bij de vraag aan het CBP al gezinspeeld had op openbaarmaking van het CBP-advies. Tot 6 augustus 2015 krijgt de minister de tijd. En we zien nu het bericht van het CBP op 8 oktober 2015. Uit het oogpunt van beveiliging zou het uitermate verstandig zijn geweest als het CBP met haar “kloeke” advies al in een veel eerder stadium was gekomen.

Heel flauw is trouwens dat het CBP consequent het reclamebureau als Digi-d aanduidt in plaats van het juiste Digi-D. Visueel lijkt er daardoor een groter verschil met de overheids DigiD dan in werkelijkheid speelt.

Zorgverzekeraars

Voor het contact met hun verzekerden maken de zorgverzekeraars al enige tijd gebruik van een met DigiD beveiligde toegang tot hun administratie. Op diverse sites van zorgverzekeraars wordt gemeld dat behalve de inlognaam en wachtwoord van de DigiD ook sms-notificatie nodig kan zijn. Uitsluitend VGZ, Unive en IZZ blijken alleen te benaderen te zijn met SMS-notificatie bij de DigiD.

Bij Zilveren Kruis(Achmea), Zorg en zekerheid, Menzis, en CZ(waaronder OHRA, DeltaLloyd, en PZP) kan men zelf kiezen of wel of niet met SMS-notificatie ingelogd kan worden..

ONVZ blijkt precies vandaag onderhoud te plegen aan de toegangsmogelijkheid tot haar administratie. Ik denk dat zij de boodschap van het CBP goed begrepen hebben en direct actie ondernemen.

Steken

De moraal van het verhaal is dat de overheid met de invoer en het gebruik van de DigiD forse steken heeft laten vallen en nooit tussentijds proactief gehandeld heeft. De afhandeling van dit probleem kent een tergend traag tempo. Bovendien is de gesuggereerde oplossing ook niet waterdicht. Mobieltjes waarnaar de SMS-berichten verzonden worden kunnen gestolen zijn. Ook kunnen burgers onder druk gezet worden of zijn om de toegezonden SMS-code aan kwaadwillende lieden door te geven die reeds hun inlognaam en wachtwoord hebben.

Heel subtiel zegt het CBP trouwens over de naamgevingskwestie: “De oplossing voor de feitelijke situatie waarin de naamsverwarring centraal staat, ligt bij partijen.

Het is een understatement, want in feite is het de overheid die bekend met het naamgevingsprobleem, dit probleem uitlokte. In dat kader is het apart dat een Nigeriaan die phishing-mails stuurde om DigiDs af te troggelen drie jaar celstraf kreeg. Hij deed het actief, de overheid passief. Dat is het enige verschil.

Al met al is het handelen, dat een overheid die zijn burgers zou moeten beschermen, onwaardig is.

W.J. Jongejan