CBP: DigiD moet veiliger

Beeld anp

Criminelen kunnen eenvoudig de DigiD-gebruikersnamen en wachtwoorden van burgers achterhalen. De DigiD moet daarom veiliger, zegt het College bescherming persoonsgegevens (CBP) donderdag. Met de 'digitale identiteit' kunnen burgers inloggen op sites van de overheid, zoals de Belastingdienst.

Het gevaar zit hem in phishing. Daarbij lokken criminelen nietsvermoedende mensen naar nepwebsites, waar ze hun gebruikersnamen en wachtwoorden kunnen invoeren, in de overtuiging dat ze inloggen bij de overheid. Als criminelen de gegevens hebben, kunnen ze bijvoorbeeld toeslagen aanvragen of een belastingteruggave op hun eigen rekening laten storten.

De waakhond noemt ook een mogelijke oplossing: stuur mensen standaard een sms met een code, die ze moeten invoeren als ze hun gebruikersnaam en wachtwoord hebben ingevuld. Zoiets gebeurt al wanneer mensen via de site van hun bank geld willen overmaken. Bij DigiD bestaat de mogelijkheid al wel, maar die is vrijwillig.

Reclamebureau
Het CBP onderzocht de veiligheid, nadat duizenden mensen per ongeluk hadden geprobeerd in te loggen op de site van DigiD, een Brabants reclamebureau. Het bedrijf sloeg zowel hun gebruikersnamen als hun wachtwoorden op. In die bestanden stonden meer dan 12.000 actieve DigiD-gebruikersnamen, en bij meer dan 8500 namen stond ook het wachtwoord.

Als die gegevens in handen waren gekomen van kwaadwillenden, zouden ze toegang hebben gekregen tot de belastinggegevens van de burgers. Ook hadden ze allerlei toeslagen kunnen aanvragen. Volgens het CBP is dat voor zover bekend niet gebeurd.

De DigiD-accounts zijn geblokkeerd en het reclamebureau slaat de gebruikersnamen en wachtwoorden niet meer op. Maar het CBP zegt dat ook 'in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens'.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden