Antwoord 1

Het (opnieuw) aanvragen van een DigiD is zodanig ingericht dat de drempel om DigiD te gebruiken laag ligt. Burgers hoeven daarvoor bijvoorbeeld niet naar een loket. Voor kwaadwillenden is het niet onmogelijk om de DigiD van een ander aan te vragen. De kwaadwillende moet daarvoor de naam, het adres, de geboortedatum en het BSN kennen van degene wiens DigiD hij wil overnemen. Daarnaast moet hij de activeringsbrief voor DigiD onderscheppen. Deze brief wordt altijd naar het GBA-adres van de aanvrager gestuurd, dat de kwaadwillende dus ook moet kennen. Een dergelijk misbruik van DigiD is een misdrijf.

Antwoord 2

Bij Logius zijn geen gevallen bekend, waarin succesvol fraude heeft plaatsgevonden met een vals verkregen DigiD. Dat houdt in dat het niet is gelukt om met een vals verkregen DigiD een dienst af te nemen bij een overheidsorganisatie, daarvoor is reeds ingegrepen.

Er is recent een aantal samenlopende gevallen tot het vals verkrijgen van een DigiD aan het licht gekomen, die te herleiden zijn tot een of enkele daders. Daarnaast is nog een geval bekend waarin door derden geprobeerd is DigiD’s van een ander te verkrijgen. In beide gevallen heeft Logius aangifte gedaan bij de politie.

Antwoord 3

De aangiftes zijn nu onderwerp van onderzoek door de politie en in een geval ook de FIOD. Er zijn in de afgelopen jaren geen mensen veroordeeld voor het vals verkrijgen van een DigiD. Overigens zijn alle betrokken burgers direct ingelicht en voorzien van aanvullende informatie en hulp.

Antwoord 4

De betrokken instanties zijn voldoende op de hoogte van de mogelijkheden tot fraude.

Bij een vermoeden van misbruik wordt direct gereageerd door Logius en de betreffende overheidsorganisatie die de dienst verleent, om schade bij burgers te voorkomen. Logius werkt daarbij nauw samen met de betrokken overheidsorganisaties.

Daarbij wordt aangetekend dat niet alleen DigiD een rol speelt bij het voorkomen van misbruik, maar ook de interne processen van de betrokken overheidsdienstverleners (zie ook het antwoord op vraag 7).

In individuele gevallen van misbruik adviseert Logius de slachtoffers altijd om aangifte te doen bij de politie. Bij vermoedens van grootschaliger misbruik, schakelt Logius daarnaast ook zelf de politie in.

Antwoord 5

DigiD kent een helpdesk die in desbetreffende gevallen de burger kan helpen en ondersteunen. Daarnaast kent Logius een calamiteitenteam dat in voorkomende gevallen direct en in overleg met overheidsdienstverleners in werking kan treden. In de voornoemde gevallen heeft Logius direct alle maatregelen genomen die nodig waren om misbruik van DigiD te voorkomen.

Naast de helpdesk DigiD is sinds 1 maart 2010 het Centraal Meld- en Informatiepunt Identiteitsfraude en -fouten (CMI) ingericht. Slachtoffers van identiteitsfraude, dus ook van fraude met DigiD, kunnen hier terecht. De eerstelijns helpdesk van het CMI is ingericht bij Postbus 51. Er is een ketenregisseur CMI ingesteld die ervoor zorg draagt dat problemen die op verschillende terreinen/organisaties spelen bezien blijven worden uit het perspectief van het slachtoffer.

Antwoord 6

Mede voor deze problematiek is door de minister van Justitie, samen met de ministers van Binnenlandse Zaken en Koninkrijksrelaties (BZK), voor Jeugd en Gezin (J&G), voor Wonen, Werken en Integratie (WWI) en de Staatssecretarissen van Justitie en Onderwijs, Cultuur en Wetenschap (OC&W) het project «Veiligheid begint bij Voorkomen» in het leven geroepen. (TK 2007–2008, 28 684, nr. 119).

Antwoord 7

Nee, er is geen sprake van een lek. Bij de introductie van DigiD is een afweging gemaakt tussen veiligheid en klantvriendelijkheid. Overheidsorganisaties die DigiD gebruiken zijn bekend met het uitgifteproces en bepalen op basis daarvan of een dienst met DigiD geleverd wordt of niet. Naast het steunen op de dienstverlening van DigiD moet een overheidsorganisatie die gebruikmaakt van DigiD aanvullende beveiligingsmaatregelen treffen om te komen tot aanvaardbare risico’s rondom de eigen webdienst. Zie verder het antwoord op vraag 1.

Antwoord 8

Het klopt dat er niet gevraagd wordt om de bevestiging van de oude inlogcode en het oude wachtwoord, als iemand een nieuwe DigiD aanvragen. Het betreft in dit geval namelijk mensen die hun wachtwoord en inlogcode (ook wel gebruikersnaam genoemd) zijn vergeten. Bij een nieuwe aanvraag kan dan ook niet om de oude inlognaam en wachtwoord worden gevraagd.

Burgers die hun wachtwoord zijn vergeten, maar nog wel hun inlogcode weten, kunnen elektronisch een nieuw wachtwoord aanvragen als zij beschikken over een DigiD op niveau midden (SMS-authenticatie).

Antwoord 9

Ik verwijs u naar het antwoord op vraag 8.

Antwoord 10

Deze maatregel is alleen mogelijk voor burgers met een DigiD op niveau midden (waarvan dus het telefoonnummer bekend is). Daarmee wordt dus voor een grote groep burgers op het niveau DigiD basis een extra drempel opgeworpen, omdat zij dan over moeten gaan tot het gebruik van een mobiele telefoon. Tevens zijn er overheidsdienstverleners die voor hun processen slechts het niveau DigiD-basis vereisen op basis van hun eigen risico-inschatting. Vooralsnog ben ik daarom van mening dat een dergelijke maatregel – nog – niet nodig is maar ik neem deze suggestie wel mee in de reguliere kwetsbaarheidanalyses die voor DigiD worden uitgevoerd.

Antwoord 11

Ik zie geen mogelijkheden om te werken met een zogenaamde «kruisidentificatie». De reden is dat overheidsorganisaties die DigiD gebruiken, na een geslaagde inlogpoging alleen het Burgerservicenummer ontvangen; dat is het enige gegeven waarover DigiD beschikt. DigiD heeft dus – mede uit privacyoverwegingen – geen andere informatie die voor kruisidentificatie gebruikt kan worden.

Antwoord 12

DigiD kent juist meerdere niveaus van identificatie om publieke dienstverleners de mogelijkheid te bieden om het juiste niveau van beveiliging te kiezen voor de door hen gewenste elektronische dienstverleningsprocessen. Naast de huidige niveau’s wordt nu gewerkt aan het EPD-DigiD niveau (zie het antwoord op vraag 13). Voor het hoogste niveau, de Elektronische Nederlandse Identiteitskaart (eNIK) is de mogelijkheid tot realisatie opgenomen in de aanbesteding voor de Nationale Identiteitskaart. Te zijner tijd zal ik u en uw Kamer inlichten of en hoe deze elektronische functionaliteit opgenomen zal worden.

Antwoord 13

Nee, die mening deel ik niet. Over enkele maanden komt EPD-DigiD beschikbaar.

Invoering vindt plaats in overleg met mijn ambtgenoot van VWS. Burgers die een EPDDigiD aanvragen, kunnen deze alleen activeren door in persoon een brief met activeringscode op te halen. Legitimatie is daarbij verplicht, waardoor de betrouwbaarheid van het uitgifteproces verhoogd wordt. EPD-DigiD is door de hogere betrouwbaarheid van het aanvraagproces een aanvulling op de bestaande DigiD niveaus basis en midden. Daardoor is misbruik als hier genoemd te voorkomen.

Het niveau EPD-DigiD is – op verzoek van de Minister van VWS – en naar aanleiding van het advies van onderzoekers van de Radboud Universiteit Nijmegen, de Universiteit van Tilburg en PWC (o.a. P 26, 37) juist ontwikkeld om een veilige toegang van de patiënt tot het EPD te waarborgen.

Antwoord 14

Uit de verstrekte informatie blijkt dat de burger extra moeite heeft moeten doen voor zijn aangifte, maar niet dat de aard van de aangifte in deze specifieke zaak tot problemen heeft geleid.

Om fraude en fouten met identiteiten te voorkomen en bestrijden, hebben de ministeries van BZK en Justitie in 2008 het programma VIPS2 gestart. In het kader van dit programma wordt door het Ministerie van Justitie, in samenwerking met de politie en de Koninklijke Marechaussee, onder meer gewerkt aan een handreiking die ervoor moet zorgen dat gedupeerden die bij het politiebureau aankloppen om aangifte te doen van identiteitsfraude beter geholpen kunnen worden. In deze handreiking zal een overzicht worden opgenomen van de artikelen in het Wetboek van strafrecht die kunnen worden toegepast bij de bestrijding van identiteitsfraude. De handreiking zal verspreid worden in alle politiekorpsen en ook in de Politie Academie. Zie ook mijn antwoord op vraag 6.