DigiD-gegevens worden weliswaar gedeeltelijk geëncrypt bewaard, maar de gebruikte versleuteling is niet veilig genoeg. De Algemene Rekenkamer schrijft dit in het rapport Resultaten verantwoordingsonderzoek 2016.
Volgens de Rekenkamer komt de gebruikte encryptie niet geheel overeen met de gestelde eisen van het Tijdelijk besluit nummergebruik overheidstoegangsvoorziening uit 2004. “Omdat op andere manieren veiligheidsmaatregelen zijn genomen die het risico van misbruik van gegevens tot een gering risico beperken, heeft het ministerie in oktober 2016 het besluit genomen het restrisico te accepteren,” is te lezen in het rapport.
Tweefactor-authenticatie
De Rekenkamer gaat in het rapport tevens in op het gebruik van DigiD. In 90 procent van de keren dat mensen DigiD gebruiken, doen ze dat met een eenvoudig wachtwoord. Twee-factor-authenticatie wordt door weinig mensen gebruikt. “In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens,” aldus de Rekenkamer.
DigiD-app
Demissionair minister Plasterk laten weten dat het gebruik van het juiste betrouwbaarheidsniveau de verantwoordelijkheid is van de betreffende organisatie. Recentelijk is bij toeslagen van de Belastingdienst en de studiefinanciering begonnen met een proef om met behulp van de DigiD-app in te loggen.