Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 februari 2013

Tijdens het vragenuur van 15 januari j.l. (Handelingen II, 2012/2013, nr. 39 mondelinge vragen van het lid Voortman over een ernstig beveiligingslek op de website van DigiD) heb ik u toegezegd de evaluatie van Logius over de calamiteit bij Ruby on Rails software waardoor DigiD op 9 januari tijdelijk uit de lucht is geweest, aan de Kamer toe te zenden. Bijgaand treft u het verslag van de evaluatie aan1. Het betreft een interne technische evaluatie van Logius zoals dat regulier gebeurt na een calamiteit, waarbij het verloop van de calamiteit en de opvolging die daarop plaatsvindt wordt vastgelegd en beoordeeld op leerpunten. Dat heeft ook deze keer plaatsgevonden.

Op 9 januari 2013 werd een risico gedetecteerd bij de open source software Ruby on Rails waar ook DigiD gebruik van maakt. In de uren die daarop volgden zijn er wereldwijd meer dan 1000 websites en diensten tijdelijk uit de lucht gehaald om het risico te repareren. DigiD was één van de diensten die tijdelijk werd uitgeschakeld om het mogelijk lekken van persoonsgegevens tegen te gaan.

Uit de evaluatie van de calamiteit van 9 januari komt naar voren dat er sprake was van een zodanige kwetsbaarheid in de onderliggende software van DigiD, het ontwerpplatform Ruby on Rails, dat het voor het handhaven van de integriteit van DigiD geboden was om direct maatregelen te nemen. Hieraan is – na overleg met het Nationaal Cyber Security Centrum (NCSC) – gevolg gegeven door DigiD uit de lucht te halen en aanpassingen in de software door te voeren, zodat de bedoelde kwetsbaarheid werd ondervangen. Dit is binnen de kortst mogelijke tijd gerealiseerd.

Belangrijk is de constatering dat, ook na het nader onderzoek, geen aanwijzingen zijn gevonden dat misbruik van de kwetsbaarheid in Ruby on Rails is gemaakt op DigiD en dat er dus geen persoonsgegevens van burgers in verkeerde handen terecht zijn gekomen.

Uit de evaluatie komt verder naar voren dat in dit geval direct gekozen is voor het publiceren van de maatregel om DigiD preventief uit de lucht te halen, hetgeen heeft geleid tot veel media-aandacht en vragen. Ondanks het beleid dat de belangrijkste dienstverleners die van DigiD gebruik maken snel door Logius moeten worden geïnformeerd, blijkt dat sommigen toch eerder via de media hebben vernomen dat de dienst tijdelijk uit de lucht was. Dat punt is onderkend en onderwerp van nader gesprek met de dienstverleners. Daarbij moet wel de kanttekening worden gemaakt dat onder omstandigheden zodanige spoed geboden kan zijn dat maatregelen onverwijld genomen dienen te worden. Dat past binnen de verantwoordelijkheden en het mandaat van de beheerorganisatie Logius. Mij hebben overigens geen signalen bereikt dat het afschakelen van DigiD bij uitvoeringsorganisaties of andere overheidsdienstverleners tot onoverkomelijke problemen heeft geleid.

Dit is de eerste keer in de geschiedenis van DigiD dat deze dienst gedurende 10 uur uit de lucht is geweest. DigiD kent een zeer hoog beschikbaarheidspercentage. In het afgelopen jaar betrof dat 99,83%.

Het voorgaande neemt niet weg dat er voortdurend waakzaamheid is geboden voor incidenten en dat het belangrijk is om de veiligheid en prestaties van het authenticatieproces op peil te houden. Zoals bekend vinden zowel bij DigiD als de afnemers van DigiD ICT-beveiligingsassessments plaats op de ICT-omgeving van de betrokken organisaties. Penetratietesten op de aangesloten applicaties maken daar onderdeel van uit. Hiernaast loopt het traject van de Taskforce ICT en veiligheid dat in het leven is geroepen om het bewustzijn van bestuurders en hoger management voor de noodzaak van informatiebeveiliging te bevorderen.

Ten aanzien van de suggestie van mevrouw Voortman om te overwegen om bankmiddelen in te zetten als authenticatiemiddel voor overheidsdienstverlening, kan ik u melden dat vorig jaar een ambtelijke verkenning is afgerond naar de ontwikkeling van een stelsel van elektronische identiteit, waarbij de inzet van particuliere instrumenten naast de bestaande overheidsmiddelen mogelijk wordt gemaakt. Reden voor de ontwikkeling van een stelsel van elektronische identiteit is overigens niet de onveiligheid van de bestaande overheidsvoorzieningen, maar de stimulering van de digitalisering van de dienstverlening, ook in Europees verband. Ook het vergoten van keuzemogelijkheden voor burgers en bedrijven en het wegnemen van het onderscheid in die gevallen (ZZP-ers) waarin dat onderscheid eigenlijk niet goed te maken is, zijn daarbij belangrijke uitgangspunten. Er heeft evenwel over de ontwikkeling van een stelsel van elektronische identiteit nog geen politieke besluitvorming plaatsgevonden.

De minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk