Vorige week moest ik met DigiD inloggen op een nieuwe site. Het ging om een medische dienstverlener: Keizer Kliniek, <www.mijnkeizerkliniek.nl>. Daar gebeurde iets vreemds. En toen ik dat melde reageerde de helpdesk van DigiD met een antwoord dat mij het ergste doet vrezen over de veiligheid en betrouwbaarheid van DigiD!
Wat was het geval? Als je met DigiD inlogt wordt de naam van de site waar je in gaat loggen getoond, en gevraagd of dat klopt. Doel van deze stap is om te voorkomen dat per ongeluk bij een verkeerde dienstverlener inlogt. Dat is belangrijk om phishing aanvallen te voorkomen. Ik had dus verwacht dat, na het invoeren van de koppelcode, mij gevraagd zou worden of ik in wou loggen op “Keizer Kliniek” “Mijn Keizer Kliniek” of iets wat daar sterk op lijkt. Niets was minder waar! Tot mijn verbazing werd mij gevraagd of ik in wou loggen op “Mijn Medisch Dossier”. Dat is natuurlijk een totaal nietszeggende naam, die iedere medische dienstverlener wel kan gebruiken. En maakt de bedoelde verificatiestap volstrekt overbodig.
Omdat mij dit een behoorlijk flagrante schending van één van de beveiligingsmaatregelen van DigiD leek, maakte ik er melding van via het (algemene) contactformulier van DigiD. (Ik kon geen meer directe ingang voor het melden van technische problemen/storingen vinden.)
Onderwerp: Naam instelling waar ik inlog komt niet overeen met naam in DigiD app
L.S.,
Als ik inlog op de website van Keizer Kliniek (mijnkeizerkliniek.nl) dan moet ik DigiD gebruiken. Als ik de app open en de koppelcode invoer vraagt de app of ik wil inloggen op “Mijn Medisch Dossier” (een vrij generieke, vage term) en niet de exacte naam van de instelling (Keizer Kliniek). Dat lijkt me niet de bedoeling.
Vandaag ontving ik antwoord:
Verschillende organisaties maken gebruik van DigiD om uw identiteit vast te stellen. DigiD kan geen inhoudelijke vragen beantwoorden over deze organisaties. De naam die u ziet is hoe de organisatie bij ons staat aangemeld.
Als u inlogt met uw DigiD, stuurt DigiD uw burgerservicenummer (BSN) door aan de organisatie waar u inlogt. Alleen organisaties die gerechtigd zijn het BSN te gebruiken, mogen van DigiD gebruikmaken. Uw wachtwoord en gebruikersnaam worden nooit doorgestuurd aan andere organisaties.
Voor inhoudelijke vragen met betrekking tot de aangesloten diensten kunt u contact met de desbetreffende organisatie opnemen.
DigiD beschikt niet over de contactgegevens van deze organisatie.
Ik schrok hier wel van, eerlijk gezegd. “De naam die u ziet is hoe de organisatie bij ons staat aangemeld.” Ik mag hopen dat dat niet zo is! Want anders betekent dit dat DigiD geen enkele controle uitvoert op de namen waaronder organisaties zich registreren, en dus kennelijk dat DigiD toestaat dat organisaties daarvoor een willekeurige, nietszeggende naam gebruiken. “DigiD beschikt niet over de contactgegevens van deze organisatie.” Huh? Dat kan toch niet waar zijn? Op zijn minst moet DigiD toch contact op kunnen nemen met een op DigiD aangesloten organisatie als er blijkt dat er een technisch probleem is? Er worden, mag ik hopen, toch om de zoveel tijd audits gedaan of de aangesloten organisaties nog steeds aan de voorwaarden voldoen?
Dit lijkt misschien allemaal muggenzifterij, maar oog voor dit soort details is essentieel om een digitale identiteitsdienst voldoende veilig, betrouwbaar en uiteindelijk ook privacy vriendelijk te houden. Een deel van de beveiliging is technisch van aard. Dat moet van tijd tot tijd ook gecontroleerd worden. En die controle is onderdeel van een stelsel aan afspraken en procedures die net zo goed belangrijk zijn voor het handhaven van een voldoende hoog beveiligingsniveau. Eén van de procedures is de mogelijkheid voor burgers om te kunnen verifiëren dat ze bij die juiste dienstaanbieder in gaan loggen. Juist door ook die miljoenen burgers die dagelijks inloggen in het proces te betrekken, zorg je ervoor dat misbruik of fout gebruik snel ontdekt wordt. Maar dan moeten die wel de juiste en zinvolle informatie te zien krijgen. En niet een generieke omschrijving als “Mijn Medisch Dossier”.
Dag Mij overkwam hetzelfde, en ik bevreemde mij er ook over. Ben het eens met uw kritiek Koos Saathof – groet, Koos Saathof