Handeling
| Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
|---|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2012-2013 | nr. 39, item 6 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
6 Vragenuur
Vragen van het lid Voortman aan de minister van Binnenlandse Zaken en Koninkrijksrelaties over een ernstig beveiligingslek op de website van DigiD.
Mevrouw Voortman (GroenLinks):
Voorzitter. DigiD is het enige authenticatiemiddel met de overheid. Met DigiD kunt u veilig zakendoen, zo wordt beloofd. Inmiddels zijn we de zoveelste storing verder. Vorige week was het weer raak. DigiD moest offline omdat wederom een beveiligingslek was ontdekt. Niemand kan op zo'n moment zijn belastingaangifte doen of zijn medische gegevens controleren. Keer op keer blijkt DigiD lang niet zo betrouwbaar als wordt voorgespiegeld. Ik heb hierover de volgende vragen aan de minister. Ten eerste. Vindt de minister DigiD nog wel veilig genoeg?
Ten tweede. In augustus 2011 constateerden fraude-experts dat DigiD zo lek als een mandje is. Nu blijk je ook nog in het systeem te kunnen komen om gegevens op te halen. Wat is er eigenlijk tot nu toe met de bevindingen van derden gedaan?
Ten derde. Onderzoeksjournalist Brenno de Winter vindt DigiD voor gevoelige, financiële of medische gegevens ronduit ongelukkig. Een beter beveiligd identificatiesysteem, bijvoorbeeld een systeem zoals door banken gebruikt wordt, is dringend gewenst. Welke garanties geeft de minister op het onberispelijk functioneren van DigiD? Wil de minister daadwerkelijk kijken naar het bankenbeveiligingssysteem? Of is het wachten op het volgende lek?
Minister Plasterk:
Voorzitter. Bedankt voor de vragen en voor de gelegenheid om hier te spreken over iets wat we meestal als vanzelfsprekend aannemen, namelijk het DigiD. Aanleiding voor de vragen is een periode van enkele uren op 9 januari dat DigiD uit de lucht is geweest. Dat zal ik even toelichten. Dat kwam niet omdat DigiD zelf lek zou zijn, maar omdat op internet aanwijzingen waren dat er een mogelijkheid bestond om bij de opensourcesoftware Ruby on Rails die voor DigiD gebruikt wordt – en die overigens ook gebruikt wordt voor Uitzending Gemist – binnen te komen. Dat zou mensen inderdaad de gelegenheid bieden om een deel van de database te kopiëren of om daar anderszins actie op uit te voeren.
Dat wetend is door de uitvoeringsorganisatie van Binnenlandse Zaken, Logius, samen met het Nationaal Cyber Security Centrum – daar is geen woord Fries bij – van het ministerie van Veiligheid en Justitie besloten om DigiD op dat moment uit de lucht te halen. Bij dat besluit speelde ook de overweging mee dat men voorzag dat het mogelijk was om binnen enkele uren dat eventuele lek te dichten en die kwetsbaarheid te verhelpen. Dat is toen onmiddellijk ook breed gecommuniceerd zodat iedereen daarvan wist. Het is inderdaad gelukt om diezelfde dag nog, eerder dan gepland overigens, DigiD weer in de lucht te brengen, waardoor mensen maar een aantal uren storing hebben ervaren.
Het is belangrijk om te benadrukken dat we geen enkele reden hebben om te denken dat er enige toegang is geweest tot het bestand of dat er informatie uit is gebruikt. Het was uitsluitend preventief. Ik denk dat er direct en adequaat is ingegrepen. Als dat iets illustreert, is het wel dat er voldoende waakzaamheid is om ervoor te zorgen dat DigiD veilig genoeg is. Nogmaals, er zijn geen gegevens opgehaald voor zover men dat kan achterhalen. Er loopt nog een onderzoek om dat definitief te bevestigen. Ik krijg daar deze week het laatste uitsluitsel van. Laat ik toezeggen dat ik daarvan een afschrift naar de Kamer zal sturen. Ik denk dat het goed werkt. Is het onberispelijk? Niets in het leven is helemaal onberispelijk, maar ik denk dat het zo goed is als kan.
Mevrouw Voortman (GroenLinks):
De minister geeft aan dat DigiD wel degelijk veilig is, maar dat vertrouwen moet wel blijken. Het lijkt er nu namelijk op dat er elke keer een lek is dat gedicht moet worden en dat het wachten is op het moment dat er niet genoeg vingers meer zijn om al die gaten te dichten. Het imago van DigiD is wat ons betreft definitief naar de haaien. We willen graag aan de minister vragen of hij bereid is te kijken naar de beveiligde identificatiesystemen van banken. Daarnaast heb ik zojuist gevraagd wat er met de bevindingen van derden is gebeurd, maar daar heb ik nog geen antwoord op gehad.
Minister Plasterk:
Deze vragen overstijgen enigszins hetgeen ik hier in een minuut kan uitleggen. De keuze voor DigiD is ook bij eerdere gelegenheden breed besproken in de Kamer, ook de software die daaraan ten grondslag ligt. Misschien heeft de Kamer de behoefte daar opnieuw op te reflecteren, maar weet dan wel wat je opentrekt, want dit is een buitengewoon groot bestand. Ik bemoei me natuurlijk niet met de orde van de Kamer, maar ik denk dan toch dat we daar misschien een apart overleg aan zouden moeten wijden. Ik heb aan dit incident overigens geen reden kunnen ontlenen om te twijfelen aan de degelijkheid van DigiD. Ik ben er dus niet aan toe om DigiD te gaan heroverwegen. Dat signaal zou ik hier helemaal niet willen geven. Nogmaals, er is geen sprake van een lek. Er heeft niets gelekt. Er was sprake van een potentieel lek en dat is onmiddellijk gedicht. Men ziet daar dus op toe. Het blijft een ratrace tussen mensen die beveiligen en mensen die proberen door die beveiliging heen te komen. En die is ook deze keer gewonnen door DigiD.
Mevrouw Voortman (GroenLinks):
Ik heb gevraagd wat er met bevindingen van derden is gebeurd. Ik gaf aan dat fraude-experts in augustus 2011 hebben geconstateerd dat DigiD zo lek als een mandje is. De minister zegt dat er geen lek was, maar een potentieel lek. Dit soort zaken gebeurt echter keer op keer. Voor de derde keer stel ik de vraag wat er tot nu toe is gebeurd met bevindingen van derden. Daarnaast geeft de minister aan dat hij ons verder zal informeren over de gebeurtenissen van vorige week. Als hij hier het antwoord niet heeft, zou ik het graag daarbij willen krijgen. Ik kan mij voorstellen dat we hier een keer een discussie moeten voeren over de houdbaarheid van DigiD.
Minister Plasterk:
Ik zeg dat toe. Ik zal dan ook de vragen over het kijken naar systemen van banken bij de brief betrekken. U kunt dan altijd bezien of u daarin aanleiding ziet voor een nader debat.
De voorzitter:
Ik dank de minister voor zijn komst naar de Kamer.
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20122013-39-6.html