Onderzoek

Jarenlang DigiD-inloggegevens binnenkrijgen? Dat kan

Apr 04, 2016 Pim Kokke

door Pim Kokke en Eveline Verwater

Al sinds de introductie van DigiD in 2005 kent het inlogsysteem van de overheid kwalen. Een nieuw inlogsysteem (eID) moet daarom, voor in de toekomst, voor extra beveiliging zorgen. En dan is er nog een reclamebureau uit Waalwijk genaamd Digi-D, dat jarenlang inloggegevens ontving van burgers.

De status van het huidige systeem is volgens een woordvoerder van het ministerie van Binnenlandse Zaken veilig, maar net zoals een huis. “Die moet je ook goed beveiligen en zelfs dan lukt het criminelen soms om binnen te komen. Als er een vermoeden van misbruik bestaat met een DigiD-account wordt meteen overgegaan voor blokkering of verwijdering; in 2014 is dat 8.000 keer gebeurd.”

De voornaamste reden om andermans DigiD inloggegevens te bemachtigen, is om toeslagen aan te vragen en die vervolgens op je eigen rekening te laten storten. “Criminelen willen bijvoorbeeld frauderen via DigiD omdat ze zo toeslagen willen aanvragen waar ze geen recht op hebben”, aldus de woordvoerder.

“De overheid werkt daarom ook aan een nieuw stelsel van elektronische identificatie (Idensys), waar je bijvoorbeeld altijd persoonlijk aan de balie je manier van inloggen moet ophalen. Dat is een extra stap van controle, in plaats van deze gegevens thuis per post ontvangen.”

Idensys
Wat is Idensys? Het elektronische identificatie systeem moet in de toekomst voor extra beveiliging zorgen voor bij het inloggen. Op dit moment worden er pilots gedraaid door bedrijven en instanties. De verwachting is dat het inlogsysteem in 2017 door iedereen gebruikt kan worden.

De betrouwbaarheid van het systeem wordt regelmatig getest door onafhankelijke, professionele partijen. Tevens gaat Logius, dienst digitale overheid van het ministerie van BZK, zelf continue de naleving van technische- en organisatorische maatregelen en de betrouwbaarheid van systemen na door middel van interne controles.”

Digi-D (met een streepje)
Ondertussen liggen er in het Brabantse Waalwijk op dit moment meer dan 65.000 duizend persoonsgegevens bij een reclamebureau. André Elings, mede-eigenaar van Digi-D, vertelt hoe het kan dat zoveel gegevens bij hem terecht zijn gekomen. In 2003 schreven Elings en zijn vrouw het domein Digi-D in bij de Kamer van Koophandel.

Twee jaar later begon de ellende waar Elings tot op de dag van vandaag nog last van heeft. In 2004 registreert de overheid de naam ‘DigiD’ in het merkenregister, om vervolgens in 2005 hun dienst Digid te introduceren. “Vanaf dat moment kregen we mailtjes, telefoontjes en lieten mensen hun inloggegevens bij ons achter, omdat ze ons aanzagen voor DigiD (zonder streepje).

Rechtszaak
Elings nam daarna contact op met het Ministerie van Binnenlandse Zaken over de kwestie. “We spraken met hen af dat als mensen ons benaderden, wij hen door zouden sturen naar DigiD. Vier jaar lang hebben we toen voor secretaresse van de overheid gespeeld.”

Jarenlang werd er ook gesteggeld om de naamsverwarring. Elings: “We vroegen destijds 900.000 euro (exclusief btw). Dat was gebaseerd op een campagne van DigiD. Het was onze fout om zo’n bedrag te vragen, omdat ik niet wist hoe je zoiets moest aanpakken.”

Vervolgens kwam maanden later er een tegenbod van de overheid. “Een bod van 100.000 euro, maar daar ging ik niet mee akkoord omdat volgens onze juridisch adviseur de overheid de naam nooit had mogen gebruiken”, aldus Elings.

En dus volgt er een rechtszaak in november 2010. Het reclamebureau uit Waalwijk (Digi-D) veroordeelt de Staat dat het de aanduiding ‘DigiD’ als merk, handelsnaam en domeinnaam moet staken. Volgens Digi-D gebruikt de Staat DigiD als merk en als handelsnaam en dat is volgens Elings in strijd met artikel 5 van de Handelsnaamwet. Digi-D stelt dat zij de naam in 2003 hebben geregistreerd, voordat de Staat dat deed in 2005.

Artikel 5
Artikel 5: Het is verboden een handelsnaam te voeren, die, vóórdat de onderneming onder die naam werd gedreven, reeds door een ander rechtmatig gevoerd werd, of die van diens handelsnaam slechts in geringe mate afwijkt, een en ander voor zover dientengevolge, in verband met de aard der beide ondernemingen en de plaats, waar zij gevestigd zijn, bij het publiek verwarring tussen die ondernemingen te duchten is. (Wetboek)

De Staat verdedigt zich daarop door het volgende te stellen.
De activiteiten die onder de naam ‘DigiD’ ontplooit zijn, zijn niet aan te merken als het drijven van een onderneming in de zin van artikel 1 Hnw (Handelsnaamwet) en dat DigiD dus geen handelsnaam in de zin van de Hnw is. DigiD is volgens de Staat een middel ten behoeve van zijn communicatie met burgers, een winstoogmerk ontbreekt. (4.2 vonnis)

De rechter stelt de Staat in het gelijk en geeft aan dat het DigiD-systeem van de Staat niet gericht is op het behalen van materieel voordeel. Het gebruik van ‘DigiD’ is daarmee dus niet aan te merken als het gebruik van een handelsnaam. Volgens de rechter heeft de Staat het merk DigiD ingeschreven als merk, maar is er geen sprake van merkgebruik omdat het teken niet gebruikt wordt om afzet te vinden voor waren of diensten in het economisch verkeer.

Het reclamebureau stelt dat het koppelteken verwarring oplevert en dat de Staat in een aantal gevallen hieraan bijdraagt door in openbare stukken Digi-D te gebruiken in plaats van DigiD. De rechter oordeelt dat de vermelding mét streepje in stukken van de overheid per vergissing gebeurd. De Staat heeft een bedrag van 100.000 euro geboden als vergoeding om een einde te maken aan de verwarring. Digi-D vindt dat bedrag te weinig, maar daarvan blijkt in de procedure van niet. (vonnis rechter). De rechter wijst de vorderingen van Elings af en stelt de Staat in het gelijk.

Verder verloop
Vervolgens worden er nog pogingen gedaan om het geschil op te lossen. Er worden door Elings drie onafhankelijke bureaus ingeschakeld om een offerte voor de naamsverandering te maken. Uit de offertes komen bedragen die schommelen tussen de 100.000 en 130.000 euro.

De Staat laat een paar maanden weten het niet zich te kunnen vinden in de offertes, omdat de naamswijziging een grote reclamecampagne niet rechtvaardigt. Dat komt mede omdat Digi-D volgens de Staat een klein vormgevingsbureau is waar alleen Elings en zijn vrouw werkzaam zijn. Daarom biedt de overheid een vergoeding van 22.500 euro aan voor de naamswijziging van het Waalwijkse reclamebureau. Digi-D laat daarna weten dat ze het geen redelijk voorstel vinden en blijven bij hun standpunt dat het bedrag te laag is om een nieuwe merknaam in de markt te zetten, vergeleken met wat er in de markt wordt gevraagd voor dezelfde opdracht.

Statistiekenprogramma
Zes jaar later blijkt dat Elings nog steeds mailtjes en telefoontjes ontvangt waarbij burgers hun inloggegevens bij hem achterlaten. Maar ook via het inlogsysteem, waarbij klanten van het reclamebureau hun orders kunnen bekijken, komen gegevens binnen. “Met het CBP is afgesproken dat als mensen bij ons proberen in te loggen, dat alleen de gebruikersnaam wordt getoond. De wachtwoorden zijn afgeschermd”, aldus Elings.

Schermafbeelding 2016-04-03 om 18.09.37

(Voorbeeld van een combinatie Statistieken + inlogpoging op de website Digi-D) Note: De accounts zijn door Logius geblokkeerd en verwijderd.

Maar ook via het contactformulier op de website sturen mensen onbewust hun persoonlijke gegevens door. Daar staan ook Burgerservicenummers tussen. De derde mogelijkheid is een stuk ingewikkelder. Via het statistiekenprogramma krijgt Elings ook gegevens binnen. “Als iemand zijn inloggegevens gebruikt als zoekterm op een onbeveiligde website of pagina, dan registreert het statistiekenprogramma de zoektermen op de desbetreffende website. Hierdoor komen inloggegevens in onze websitestatistieken voor als mensen vervolgens onze website bezoeken.”

Schermafbeelding 2016-04-03 om 18.08.13

Hierboven een voorbeeld uit het statistiekenprogramma van Digi-D. Vanwege privacy zijn de gegevens zwart gemaakt. De accounts zijn volgens het CPB, Logius en reclamebureau Digi-D geblokkeerd en verwijderd.

Schermafbeelding 2016-04-03 om 18.12.58

(Iemand die zijn BSN nummer via het contactformulier op de website achterlaat)

CBP Rapport
Autoriteit Persoonsgegevens (voorheen CBP) maakte in oktober vorig jaar bekend dat de beveiliging van DigiD aangescherpt moet worden. Uit dat rapport blijkt ook dat Het Ministerie van Binnelandse Zaken het CPB verzocht heeft om onderzoek te doen naar het Waalwijkse reclamebureau Digi-D. “Het CBP is 26 juni 2014 en 23 juni 2015 op bezoek geweest en hebben alle gegevens meegekregen. De accounts zijn volgens het CBP door Logius geblokkeerd en verwijderd”, meldt Elings.

Verder laat het CBP in het rapport weten: Dat Digi-d inloggegevens van burgers binnen blijft krijgen die in de veronderstelling zijn met de overheidsvoorziening DigiD van doen te hebben – en dit ook op andere manieren dan via inlogpogingen op haar website gebeurt, zoals bijvoorbeeld via het statistiekenprogramma en het e-mailadres – kan niet voorkomen worden zo lang de naamsverwarring tussen Digi-d en DigiD blijft bestaan.

Lees het hele rapport hier. 

Waterdicht
Een woordvoerder van Logius zegt het volgende over het lek in het systeem. “Het is geen lek in het systeem van DigiD, dat is waterdicht. Het probleem is dat er van de ruim 12 miljoen mensen die DigiD gebruiken er een aantal zijn geweest die op de website van het reclamebureau Digi-d probeerden in te loggen en daarmee hun DigiD gegevens onwetend weggaven.”

Verder laat de woordvoerder weten dat het inderdaad klopt dat de desbetreffende DigiD-accounts zijn verwijderd. “Logius heeft in overleg met de AP de DigiD-accounts verwijderd van burgers die abusievelijk hun inloggegevens hebben verstrekt aan reclamebureau Digi-d.”

Anonieme bewering
Een anonieme bron beweert dat het systeem van DigiD na al die jaren nog steeds zo lek als een mandje is. “In 2005-2006 lieten we al weten aan Logius dat het systeem makkelijk te kraken was. Maar ze wilden niet luisteren en staken liever de kop in het zand.”

In 2012 zou er weer een poging zijn gedaan om het lek van het systeem onder de aandacht te brengen bij Logius en Binnenlandse Zaken. “We besloten een persbericht te schrijven waarin we vermeldden dat we aan journalisten konden laten zien hoe je DigiD kan hacken. Binnen een half uur werden we gebeld door Logius en het ministerie van BZK met de vraag of we met z’n allen in gesprek konden gaan.”

In dat gesprek zou de bron hebben laten zien wat er mis is. “We werden daarna gebeld door de media met de vraag of wij het ook aan hen konden laten zien, maar daar hebben we niet aan meegewerkt. We willen niet dat iedereen bijvoorbeeld in de krant kan lezen hoe je het systeem kan hacken.”

Maar de anonieme bron beweert dat bij DigiD anno 2016 er substantieel niet veel veranderd is aan de beveiliging sinds het gesprek. “Na dat gesprek is er intern bij Logius wel ingegrepen, maar die kwamen met typische ‘Nederlandse acties’. Ze lieten ze een ICT-bedrijf komen die voor hen een risico-analyse rapport maakte en kwamen ze jaarlijkse security-scans.

Om de zoveel tijd worden dan de fouten geconstateerd, maar verdere acties om die fouten eruit te halen blijven uit. “De overheid moet verantwoording nemen voor de fouten en zich eens gaan richten op de kern van de zaak. Stoppen met deze onnozelheid.”