Handeling
| Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
|---|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2017-2018 | nr. 98, item 4 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
4 Vragenuur: Vragen Middendorp
Vragen van het lid Middendorp aan de minister van Binnenlandse Zaken en Koninkrijksrelaties, viceminister-president, bij afwezigheid van de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, over het bericht "Waarschuwing valse mails MijnOverheid".
De voorzitter:
Dan is nu aan het woord de heer Middendorp namens de VVD.
De heer Middendorp (VVD):
Dank, voorzitter. Mensen willen dat de overheid er alles aan doet om hen veilig te houden, ook online. Als je met de overheid communiceert, wil je erop kunnen vertrouwen dat je persoonlijke gegevens veilig zijn en dat je niet het slachtoffer wordt van identiteitsfraude. We hebben hier in dit huis al heel veel gesproken over de website MijnOverheid.nl, waarmee de overheid met de Nederlanders communiceert. We hebben het gehad over mensen die in betalingsproblemen komen doordat ze berichten niet zien. We hebben het gehad over het soms moeilijk toegankelijk zijn van de website.
Afgelopen weekend waarschuwde de Fraudehelpdesk voor bedrieglijk echt lijkende phishing-e-mails van MijnOverheid.nl, waarmee werd geprobeerd de inloggegevens van mensen te stelen. Het is natuurlijk goed dat de overheid direct actie heeft ondernomen en heeft gewaarschuwd, maar ik heb enkele vragen aan de minister. Sinds wanneer is dit probleem bekend bij het ministerie? Is direct actie ondernomen? Hoeveel mensen zijn hierdoor gedupeerd? Hoe gaan we de slachtoffers die dit geraakt heeft, helpen? Zijn de daders die zo probeerden identiteitsfraude te plegen al gevonden? De volgende vraag is echt heel belangrijk: wat doet dit voor het vertrouwen in de digitaliserende overheid? Is dit weer een stap terug?
De voorzitter:
Dan is nu het woord aan de minister.
Minister Ollongren:
Dank u wel, voorzitter. Ik dacht dat er nog een vraag zou volgen.
Voorzitter. Wat er gebeurd is, is inderdaad buitengewoon vervelend. Via een phishingmail is geprobeerd mensen hun DigiD-kenmerken te ontfutselen. Dat is wat er gebeurd is. We kennen natuurlijk het fenomeen "phishingmails". Mensen zijn daar ook alert op. In dit geval heeft Logius, de dienst van BZK die hiervoor verantwoordelijk is, dit ook achterhaald dankzij een melding van een alerte burger. Dat lijkt redelijk snel te zijn gebeurd. Er is ook meteen ingegrepen. Dus vanaf dat moment zijn mensen gewaarschuwd: op de site van MijnOverheid is deze praktijk groots kenbaar gemaakt. Zo zijn mensen erop gealerteerd.
Er is bovendien voor gezorgd dat de websites waar je op kwam als je vanuit die e-mail doorklikte, uit de lucht zijn gehaald. Dus ik denk dat er vanaf dat moment goed gehandeld is — daar is ook een protocol voor — om te voorkomen dat er nog meer mensen in de problemen zouden komen. Bovendien zijn de DigiD-accounts verwijderd van de ongeveer 200 mensen die al hadden ingelogd. Zij moeten dus nieuwe accounts aanmaken en zij worden daar ook in bijgestaan. Ze hebben inmiddels ook een brief ontvangen over hoe dat moet gebeuren.
Bovendien is er officieel aangifte gedaan. Dat is natuurlijk ook erg belangrijk, want we willen ook graag weten wie dit heeft gedaan en waarom, om te voorkomen dat het nog een keer gebeurt, maar vooral ook om de daders te pakken te krijgen, als dat enigszins kan.
Dus in antwoord op de vragen het volgende. Het is ontdekt op 22 juni. We weten van 200 mensen, die inderdaad ingelogd en doorgeklikt hebben, dat zij opnieuw een account aan moeten maken. Daar worden zij bij geholpen. Er is aangifte gedaan. Er wordt alles aan gedaan om de daders te vinden. En je kunt niet voorzichtig genoeg zijn en we moeten hier echt heel alert op zijn, want we weten met elkaar dat dit soort dingen gebeuren.
De heer Middendorp (VVD):
Dank aan de minister voor het antwoord. We moeten er alert op zijn. Ik begrijp ook de adviezen van de overheid, bijvoorbeeld zelf een websiteadres intypen. Nogmaals, het is goed dat de overheid snel heeft gewaarschuwd en heeft geacteerd. Voor nu helpt dat erger voorkomen, maar is het niet heel veel houtje-touwtje, achteraf? De vraag is: is het niet weer een enorme stap terug voor het vertrouwen in de digitaliserende overheid? Ik denk dat die vraag wel belangrijk is, want juist doordat het huidige inlogsysteem niet veilig genoeg is, loont het om dit soort phishing-e-mails te sturen en te proberen de DigiD van mensen te stelen.
Ik begrijp dat 90% van de mensen nog inlogt bij DigiD met alleen een wachtwoord. Is de minister daarom van plan om sneller werk te maken van bijvoorbeeld tweestapsidentificatie bij DigiD? Moeten we niet heel snel het inlogsysteem bij de overheid verbeteren en veiliger maken, zodat het niet meer loont om dit soort phishing-e-mails te sturen?
Ik begrijp dat Nederland eigenlijk ook achterloopt in Europa qua veilig inloggen. Ik hoor dat heel veel landen het veel beter geregeld hebben. Hoe gaan wij die achterstand inlopen?
Kortom, hoe gaan we ervoor zorgen dat mensen, met vertrouwen, online met de overheid in contact kunnen treden? En hoe gaan we ervoor zorgen dat de overheid bij haar digitaliseringsagenda, die ook voor ons zo belangrijk is, niet steeds afgeleid wordt door dit soort incidenten? Is de minister het met mij eens dat dit een wake-upcall is, dat de overheid veel sneller moet digitaliseren en dat de overheid er snel voor moet zorgen dat mensen veilig digitaal met de overheid kunnen communiceren?
Minister Ollongren:
Dat zijn natuurlijk heel terechte punten van de heer Middendorp. Dat zijn ook allemaal zaken waar men vanuit BZK, vanuit Logius, mee aan de slag is gegaan. Gelukkig al eerder, want we willen natuurlijk niet achterlopen. We proberen juist de digitale overheid te gebruiken als een goede service voor mensen, maar het moet natuurlijk 100% veilig zijn.
De heer Middendorp noemt enkele voorbeelden: is het voldoende om alleen met een wachtwoord te werken of moet je een two-step ID hebben, en wat voor andere waarborgen kunnen er in het systeem worden gebouwd? Dat is dus allemaal werk in uitvoering. Feit is ook dat de professionalisering van die phishingpraktijken moet leiden tot aangescherpte protocollen.
Maar ik ben het zeer met hem eens dat dit zeer onwenselijk is. Ik denk dat het ook goed is dat hij daar aandacht voor vraagt, zodat mensen ook weten dat je nóóit door MijnOverheid wordt benaderd met een mail met daarin een link waar je op moet klikken. Dat alleen al is een signaal dat er iets aan de hand is. Je kunt wel een mail krijgen van MijnOverheid, maar dan moet je vervolgens toch gewoon zélf inloggen op de DigiD-site.
Kortom, ik ben het eens met de heer Middendorp. We moeten hier heel scherp op zijn. We mogen niet stilzitten. De verbeteringen die hij noemt zijn relevant en onder de aandacht.
De heer Middendorp (VVD):
De vraag is toch ... Het is work in progress, maar ik denk dat het ook een wake-upcall is, als ik het ook met een Engels woord mag beantwoorden. We moeten er niet de hele tijd over praten hoe je een tweestapsproces krijgt, maar ook gewoon een plan maken om dat snel te doen. Dan hoef je niet over dit soort incidenten te praten, maar heb je een inlogsysteem dat echt veilig is en waarbij je mensen niet hoeft aan te raden om niet op een link te klikken, omdat je een tweestapsinlogsysteem hebt.
Minister Ollongren:
De heer Middendorp heeft echt een punt. Maar wat wel opvallend is aan deze actie, is de verrassend sterke gelijkenis tussen deze valse e-mail en de eigen huisstijl. Ik denk dus dat we moeten doen wat de heer Middendorp zegt, maar dat we er ook altijd alert op moeten zijn dat er toch mensen zijn die om hen moverende redenen steeds verder gaan in het zich specialiseren. Hoe goed we het ook doen, we moeten altijd alert blijven.
De heer Middendorp (VVD):
Daar moeten we niet alleen alert op blijven; we moeten ze voor zijn. Dat is eigenlijk het punt.
Minister Ollongren:
Ja, ook dat ben ik met de heer Middendorp eens. Dat is in dit geval niet gebeurd. Het is wel goed om te constateren dat er, als dit optreedt, snel wordt gehandeld. Maar uiteraard is het de bedoeling om het te voorkomen. Dat is beter dan genezen.
De heer Middendorp (VVD):
Toch nog even: in dit geval is dat niet gebeurd, maar als je terugkijkt hoe lang we al praten over veilig inloggen bij de overheid, dan zie je dat er een heleboel gevallen zijn waarin dat niet gebeurd is. Nogmaals, we moeten er alert op zijn, en ik steun ook de directe actie van de overheid. Maar ik denk dat het de vraag oproept of het geen wake-upcall is om veel sneller een systeem te gaan maken, bijvoorbeeld een tweestapsinlogsysteem, waarmee mensen echt veilig bij de overheid kunnen inloggen.
Minister Ollongren:
De heer Middendorp en ik kunnen lang doorgaan met het met elkaar eens zijn. Nogmaals, ik vind echt dat hij goede punten naar voren brengt. Ik vind ook dat we niet alleen van deze casus moeten leren, maar hem ook echt om moeten zetten in verbeteringen. Ik zal dit ook meegeven aan staatssecretaris Knops, in wiens naam ik hier sta, zodat het plan waaraan gewerkt wordt zo goed mogelijk is.
De voorzitter:
De heer Middendorp, tot slot.
De heer Middendorp (VVD):
Ik kijk ernaar uit. Ik krijg dan het liefst per e-mail bericht dat het gelukt is.
Minister Ollongren:
Ja, zonder link, meneer Middendorp.
De voorzitter:
Oké. Dank u wel. Ook dank aan de minister. We zijn nu eigenlijk toe aan de laatste vraag, maar we wachten nog heel even op de minister voor Medische Zorg.
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20172018-98-4.html