Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

‘Veel gemeenten in 2014 onbereikbaar via DigiD’

16 oktober 2013 - 15:143 minuten leestijdActueelOverheidLogius
Sander Hulsman
Sander Hulsman
Chief Digital Content

Het ministerie van Binnenlandse zaken wil de informatiebeveiliging bij lagere overheden verbeteren. Een recente maatregel is om het gebruik van DigiD veiliger te maken. Logius, beheerder van DigiD, eist dat gebruikers voor eind 2013 een zogenaamd DigiD-assessment uitvoeren. Doorstaan zij deze test niet, dan worden zij door Logius afgesloten van het DigiD-gebruik.

Met het assessment moeten gemeenten, waterschappen, zorginstellingen en andere publieke gebruikers aantonen dat zij voldoen aan de nieuwe DigiD-beveiligingsnormen. Eind december moeten alle gebruikers van DigiD een positief assessment-resultaat laten zien aan Logius. Kunnen ze dat niet, dan worden ze afgesloten van het DigiD-gebruik. Het is zeer de vraag of alle gebruikers van DigiD eind van het jaar voldoen aan de strenge eisen van Logius. Wanneer gemeenten en ander publieke organisaties worden afgesloten van DigiD, dan zijn bepaalde overheidssites niet meer toegankelijk. Een woordvoerder van Logius wil geen uitspraken doen over de stand van zaken met het DigiD-assessment.

BKBO en Tasclinx

René IJpelaar van BKBO in Vlijmen is één van de auditors die nauw betrokken is bij de uitvoering van het assessment bij gemeenten en regionale belastingkantoren. ‘Mij valt op dat vooral gemeenten uitstelgedrag vertonen. Veel gemeenten hebben hun DigiD-beveiligde webpagina’s uitbesteed. De partij aan wie is uitbesteed, moet primair zorgen voor de realisatie van de veiligheidseisen,’ zo stelt IJpelaar. ‘Veel regionale belastingkantoren laten hun DigiD-veiligheid nu toetsen, maar van de zeshonderd gebruikers van DigiD zijn er nu pas vier die het assessment positief hebben voltooid.’

Herman Timmermans van Tasclinx in Rosmalen onderschrijft de zorg over het resultaat van de assessments. ‘Wij werken de veiligheidsprocedures en het informatiebeleid bij een aantal DigiD-gebruikers uit, zodat ze voldoen aan de Logius-normen. Ook wij zien dat veel organisaties pas vrij recent met de DigiD-beveiliging aan de slag zijn gegaan. Zeker als er nog veel in de organisatie en het beleid moet worden aangepast, wordt het erg kort dag.’

King

Uit een recente rondvraag van King, het kwaliteitsbureau van de Nederlandse gemeenten, wordt duidelijk dat ongeveer 70 procent van de gemeenten een auditor heeft ingehuurd en 30 procent ‘ermee bezig is’. ‘Wanneer nu pas vier van de zeshonderd ‘erdoor’ zijn, dan is het zeer de vraag of alle gemeenten voor eind dit jaar erin slagen hun DigiD-gebruik veilig te maken’, meent Timmermans. ‘En dat doet het ergste vrezen voor de bereikbaarheid van die gemeentes via DigiD vanaf begin volgend jaar. Bij die gemeenten kan de burger dan weer terug naar het fysieke loket.’

Meer over

DigiD

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme toegang vs. onzichtbare cyberrisico’s in de Zorg

    In zorginstellingen is een constante stroom van personeel, patiënten en bezoekers. Maar hoe zorg je ervoor dat gevoelige gebieden beschermd blijven zonder de dagelijkse gang van zaken te verstoren? Hoe herken je eventuele zwakke plekken in het netwerk?

    Computable.nl

    In detail: succesvolle AI-implementaties

    Het implementeren van kunstmatige intelligentie (AI) biedt enorme kansen, maar roept ook vragen op. Deze paper beschrijft hoe je als (middel)grote organisatie klein kunt starten met AI en gaandeweg kunnen opschalen.

    Computable.nl

    Cybercrime Trendrapport 2024

    Een uitgebreide paper over de nieuwste bedreigingen en ruim 50 best-practices in beveiliging.

    Meer lezen

    Computable.nl
    ActueelCloud & Infrastructuur

    Overheid gaat DigiD zwaarder beveiligen

    Computable.nl
    ActueelOverheid

    BZK waarschuwt voor hengelen bij DigiD

    Computable.nl
    ActueelCloud & Infrastructuur

    King maakt afspraken over DigiD-assessment

    Computable.nl
    ActueelOverheid

    DigiD doorstaat Digistorm

    Computable.nl
    ActueelCloud & Infrastructuur

    ‘Maatwerksoftware deed DigiD de das om’

    Computable.nl
    ActueelCloud & Infrastructuur

    Logius haalt DigiD offline na lek in Ruby on Rails

    9 reacties op “‘Veel gemeenten in 2014 onbereikbaar via DigiD’”

    1. Floris schreef:
      16 oktober 2013 om 17:44

      Een audit voor alle taken in een gemeente (overheidorganisatie) klinkt veel logischer dat ik het vreemd vind dat dat nog niet geregeld is. Want hoeveel kosten al die verschillende audit’s samen en wat leveren ze netto op?
      Het uitstelgedrag is logisch (Logius), weer een kostenpost die weinig oplevert…

      We hebben het nu over de DigiD audit voor de website…..
      Als inwoner heb ik erg veel moeite met de kosten-baten zijn die erg scheef groeien voor een (kleine) gemeente. Voor de DigiD audit om volgend jaar DigiD te hebben kost dat +/- € 15.000,- Dat is per formulier nu minimaal € 50,- extra kosten. Volgens mij is dan de keuze simpel: stoppen met DigiD (en eHerkenning)

      Want een audit klinkt leuk maar je krijgt geen zekerheid en we blijven zelf verantwoordelijk. Logius wil de zekerheid van een onafhankelijke deskundige over de betrouwbaarheid van websites. Maar zegt ook: is de website veilig als de uitslag van de audit positief is? Niet per definitie.
      Als de Register EDP-auditor het niet goed doet dan is het jammer en je kan de schade nergens verhalen.
      Er is geen echt verschil met de DigiNotar waar auditor PWC herhaaldelijk alles in orde heeft bevonden. Dus we kopen m.i. gebakken lucht omdat DigiD niet uitblinkt als veilig.

      Het verbaasd me dat de kosten door de gemeenten voor de DigiD audit blijkbaar gemakkelijk geaccepteerd wordt van dat moet dan maar.
      Dit is een tekentafel- architecten- academische- of hoe je het ook wil noemen oplossing die in de praktijk niks verbeterd maar wel zorgt dat al die ex-politici die bij die ondernemingen met auditoren zijn gaan werken betaald kunnen worden.

      DigiD is zelf een zwak systeem wat elke praktijk ICTér kan aantonen, stop daar geld in.
      Ik ben ook geen voorstander van dat de aansluiting uit DigiD getrokken wordt dan alleen als het niet anders kan.
      Ik hoop dus dat Logius zijn eisen realistisch gaat maken omdat het duidelijk is dat de DigiD-audit een wassen neus is omdat je op papier (theorie) voldoet aan de veiligheidsprocedures maar de praktijk zal ander zijn.

      Een audit voor alle taken in een gemeente en de ICT veiligheid moet tussen de oren van de ambtenaren komen dat de praktijk veilig wordt.

      Login om te reageren
    2. Ewoud D. schreef:
      16 oktober 2013 om 20:09

      Eisen van Logius zijn best logisch, sterke authenticatie maar zwakke beveiliging is namelijk nogal zinloos. Als cijfers inderdaad kloppen en gemeenten nog steeds laks zijn in de uitvoering van hun taken, de veilige communicatie tussen burger en overheid garanderen, dan is dat dubbel zorgelijk. Veel gemeenten bezuinigen tenslotte op de lokettijden en leveren daardoor dus minder service aan hun inwoners voor meer geld. Eventuele excuses dat ze hun verantwoordelijkheid hebben uitbesteed is zwak, ze hebben blijkens dit verhaal hun verantwoordelijkheid alleen maar ontlopen.

      A computing system is only as trustworthy as its weakest link and the weakest link is all too frequently human.

      Benieuwd dus hoe lang het gaat duren voordat Logius gaat eisen dat ook burgers een assessment doen om zeker te stellen dat er geen malware is die de ‘verbeterde’ beveiliging weer verzwakt. Oja, als authenticatie los staat van autorisatie en de audit beperkt is dan blijft het uiteindelijk een draak van een SSO oplossing.

      Login om te reageren
    3. Erwin schreef:
      17 oktober 2013 om 11:16

      Als Loguis zijnde moet je toch vooraf eisen stellen aan aansluiting op DigiD, en voordat de aansluiting feit is het systeem onderzoeken ? Achteraf auditen is een wassen neus.

      En zoals aangegeven, het feit dat je DigiD gegevens via de Post gestuurd worden (niet eens aangetekend) is het grootste lekpunt, niet een SHA-1 certificaat…

      Login om te reageren
    4. NumoQuest schreef:
      17 oktober 2013 om 11:52

      Wat mij weer een beetje frappant over komt is dat het commerciële partijen zijn die met belletjes rinkelen. Als auditeur bij verschillende overheden heb ik er stelselmatig, in de loop van de jaren van mijn carriere melding gemaakt van aandachtspunten en één van die punten is altijd de veiligheid geweest.

      Ou(d)(t) of date
      Veel systemen zijn feitelijk niet rendabel meer en sinds 2008 zie je geen uitstelgedrag maar afstel gedrag. Precies wat men in Den Haag sinds Balkenende aan het doen is. Zoveel mogelijk doorschuiven mensen dan hebben wij er geen last van.

      Nu moet het mij tegelijkertijd ook van het hart dat ik ook auditeus mee heb gemaakt die niet de meest basale kennis van IT en processen en procedures hadden maar go, tjée, hé …. ze haaden hun afvinklijstje en survey lijstje bij zich die dan later wel op de zaak zou worden geanalyseerd.

      Als ik het artikel belees ga je je bijna afvragen wat al die auditeurs toch allemaal aan het doen zijn. Zo ingewikkeld hoeft het de audit nu toch ook weer niet te zijn nietwaar?

      Login om te reageren
    5. Leen Blom schreef:
      17 oktober 2013 om 12:52

      @NumoQuest: Lees http://new.kinggemeenten.nl/informatiebeveiliging/downloads-assessment-digid
      voor achtergrondinformatie over deze assessments.

      Login om te reageren
    6. Johan Duinkerken schreef:
      17 oktober 2013 om 13:30

      Misschien een idee om het auditeren maar te outsourcen naar Azië? Lekker goedkoop en kwalitatief achteruit gaan kan het toch niet.

      DigiD is altijd veel TamTam geweest maar als je een kijkje achter het gordijn hebt mogen nemen weet je wel dat het allemaal theater is.

      Login om te reageren
    7. Robert Parhonyi schreef:
      17 oktober 2013 om 21:09

      De bedoeling van Logius is goed! Gebruikers en leveranciers moeten bewust worden van het belang van informatiebeveiliging. Het gaat nl. om privacy gevoelige informatie. Gezien het vastgestelde normenkader vallen de kosten van de audit behoorlijk hoog uit. Met als resultaat dat vele gemeenten en zorginstellingen overwegen om met DigiD te stoppen. Als alternatief voor DigiD worden straks weer eigen inlogmechanismen geintroduceerd waardoor de burger de digitale sleutelbos terugkrijgt. Bovendien worden deze mechanismen minder veilig en zullen niet gecontroleerd worden. Alle voordelen van DigiD zijn dus weggevegen!

      Wat zal er in 2014 gebeuren als Logius het normenkader n.a.v. de auditrapportages 2013 verder aanscherpt?

      Login om te reageren
    8. Robert Parhonyi schreef:
      17 oktober 2013 om 21:34

      Wat er nog ontbreekt is de beoordelingscriteria van Logius en de mogelijke maatregelen als de DigiD-aansluiting onveilig blijkt te zijn. Wanneer is de aansluiting écht onveilig?! Waar ligt de grens? Zijn alle richtlijnen gelijk of wegen sommigen zwaarder? Ik ben zeer benieuwd naar de maatregelen die Logius zal nemen. Als er bij zware overtredingen geen flinke klappen zullen vallen, had deze audit helemaal geen zin.

      Nu weet iedereen dat elke eigenaar van een DigiD-aansluiting slechts een “rapport” moet indienen. Er wordt dus niet geeist dat zowel de eigenaar als de leverancier zijn stinkende best moet doen om een zo veilig mogelijke webapplicatie, -dienst of -portaal te leveren.

      Login om te reageren
    9. Ewoud D. schreef:
      17 oktober 2013 om 23:17

      @Robert
      Als ik overweeg dat overheid een beroep doet op de burger om de bron van DigiD, het GBA te controleren op juistheid dan lijkt de wet van Murphy me van toepassing:”If there’s any way they can do it wrong, they will.”

      Daarom is het nog niet eens zo gek idee dat gemeenten kiezen voor een andere vorm van authenticatie want geeft tenslotte een keus, aangifte van hondenbezit vind ik tenslotte van minder waarde dan toegang tot mijn medische gegevens. Maar zoals altijd is het bij overheid: “Wie het kleine niet leert, doet het grote altijd verkeerd.”

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs