De DigiD-code waarmee burgers digitaal kunnen inloggen voor toegang tot overheidsdiensten heeft last van verwarrende concurrentie. Een reclamebureau dat zich tooit met de naam Digi-D kreeg ongewild de inloggegevens van duizenden DigiD-gebruikers.

Dat meldt het College Bescherming Persoonsgegevens (CBP) donderdag.

“Duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD. Hierbij hebben zij hun inloggegevens bij het reclamebureau achtergelaten”, zo laat het CBP weten in een persbericht.

Het reclamebureau had van ruim 8.500 DigiD-accounts de gebruikersnamen en wachtwoorden opgeslagen. “Het reclamebureau heeft naar aanleiding van het onderzoek van het CBP het loggen van de wachtwoorden gestaakt waardoor het niet meer mogelijk is dat onbevoegden de beschikking krijgen over complete DigiD-inloggegevens.”

De beheerder van DigiD heeft de accounts van de desbetreffende gebruikers geblokkeerd en de betrokkenen geïnformeerd.

DigiD niet veilig genoeg

Het CBP vindt dat DigiD in bredere zin niet veilig genoeg is. "Het beveiligingsniveau van DigiD zou daarom moeten worden aangepast."

Het systeem van DigiD is volgens de privacywaakhond niet zo robuust dat het voor kwaadwillenden onmogelijk is om DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld via phishing (misleidende emails). De DigiD-code wordt onder meer gebruikt om gegevens digitaal naar de Belastingdienst te sturen.

Als extra veiligheidsmaatregel denkt het CBP onder meer aan verplicht gebruik van een code die via sms wordt toegestuurd.

Dit artikel is oorspronkelijk verschenen op z24.nl