Tweede Kamer fracties willen tijdens inlog bij overheid end-to-end encryptie
Nieuws -> TechnologieBron: Rijksoverheid
24-01-2023
Staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) biedt haar antwoorden aan op vragen die gesteld zijn naar aanleiding van de brieven 'Voortgangsrapportage domein Toegang', Ministeriële Regeling met eisen aan inlogmiddelen voor burgers en bedrijven en de brief interbestuurlijk toezicht onder de Wet digitale overheid (Wdo).
De vragen zijn gesteld door de leden van de Tweede Kamer fracties VVD, D66, CDA en SP van de vaste commissie voor Digitale Zaken. Een kopie van de beantwoording is ook aan de Eerste Kamer gezonden. De leden van de VVD-fractie lezen dat wordt gewerkt met voorschriften voor het versturen van burgerservicenummers door aanbieders van inlogmiddelen. Deze voorschriften bestaan uit het werken op basis van pseudoniemen. Deze leden vragen waarom niet is gekozen voor end-to-end encryptie. Ziet de staatssecretaris dit net als deze leden als veiligere optie? Zo ja, waarom is dan niet voor deze optie gekozen? Zo nee, waarom niet?
(Foto ©RVD/Valerie Kuypers en Martijn Beekman - 2022)
Alexandra van Huffelen (D66) staatssecretaris Koninkrijksrelaties en Digitalisering
Alexandra van Huffelen (D66) staatssecretaris Koninkrijksrelaties en Digitalisering: 'Ik ben het met de leden eens dat end-to-end versleuteling een veilige optie is. Dat is dan ook de optie die wordt ingezet, zodat BSN's (burgerservicenummer) van begin tot het eind versleuteld (als pseudoniem) worden verstuurd. Daarbij komt dat BSN's ook nu al nooit onversleuteld worden verzonden.'
De leden van de VVD-fractie lezen dat aanbieders van inlogmiddelen moeten borgen dat de wijze, waarop informatie aan de burger wordt getoond niet door een derde partij kan worden gemanipuleerd. Op welke manier moeten deze aanbieders de veiligheid borgen? Welke veiligheidseisen worden gesteld aan deze aanbieders?
Van Huffelen: 'Er worden veiligheidseisen gesteld om te zorgen dat de verbinding tussen de gebruiker, de aanbieder van het inlogmiddel en de dienstverlener veilig is. Dat gebeurt bijvoorbeeld met de eis voor een beveiligde verbinding door het gebruik van technische certificaten waardoor de systemen onderling herkenbaar zijn. Dat betekent dat de systemen van de publieke dienstverlener kunnen controleren dat gegevens ook daadwerkelijk van het systeem van de betreffende aanbieder van een inlogmiddel afkomstig zijn, en niet van een derde partij. Ook kan daardoor verzekerd worden dat de informatie die wordt uitgewisseld niet tussentijds is aangepast. Burgers en bedrijven kunnen zeker zijn (het slotje op websites), dat zij daadwerkelijk contact hebben met de dienstverlener waarmee zij zaken willen regelen en dat de informatie zoals zij die te zien krijgen juist is.'
'Op dit moment maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app. De overige accounts maken alleen gebruik van gebruikersnaam en wachtwoord, al dan niet in combinatie met sms-authenticatie. De 215.000 mensen die nog geen gebruik maken van tweefactor-authenticatie worden geïnformeerd dat veiliger gebruik van de dienstverlening noodzakelijk is, wat zij kunnen doen om een middel met een hoger betrouwbaarheidsniveau te krijgen en hoe zij hiermee geholpen kunnen worden. In de beschikbare communicatie over DigiD wordt de app expliciet onder de aandacht gebracht.
SMS-authenticatie blijft sowieso mogelijk zolang er diensten op betrouwbaarheidsniveau laag worden aangeboden. Gelet op de hiervoor genoemde aantallen is het gebruik en de bekendheid met de DigiD-app groot. Het vaststellen van het betrouwbaarheidsniveau van elektronische diensten is aan de dienstverlener. Het benodigde betrouwbaarheidsniveau hangt onder andere af van de gevoeligheid van de gegevens die ontsloten worden. Zo kan ik me voorstellen, gezien de gevoeligheid van medische gegevens, dat die in de toekomst door zorgverleners worden aangeboden op de niveaus substantieel en hoog.
Het is niet zo dat de machtigingsfunctie als het dwingende alternatief voor de sms-authenticatie wordt gepresenteerd. De machtigingsfunctie is er eerder voor de doelgroep die een bepaalde overheidsdienstverlening aan een ander wil overdragen, zoals bijvoorbeeld het doen van belastingaangifte'- aldus Alexandra van Huffelen (D66) staatssecretaris Koninkrijksrelaties en Digitalisering. Lees de volledige brief (pdf 11 pagina’s).
End-to-end encryption (End-to-end-codering E2EE) is een beveiligingsmethode die uw chats en berichten veilig houdt. Het end-to-end encryptiesysteem van communicatie, waarbij alleen de communicerende gebruikers de berichten kunnen lezen. Het voorkomt in principe dat potentiële afluisteraars – waaronder telecomproviders, internetproviders, kwaadwillenden en zelfs de aanbieder van de communicatiedienst – toegang krijgen tot de cryptografische sleutels die nodig zijn om het gesprek te ontsleutelen.
End-to-end encryptie is bedoeld om te voorkomen dat gegevens worden gelezen of in het geheim worden gewijzigd, anders dan door de echte afzender en ontvanger(s). De berichten worden versleuteld door de afzender, maar de derde partij heeft geen middelen om ze te ontsleutelen en slaat ze versleuteld op. De ontvangers halen de versleutelde gegevens op en ontsleutelen deze zelf.