Hadden we het gisteren nog over Chertoff die aangaf dat de Amerikanen hun privacy op moesten geven zodat hij ze beter kon beveiligen. Vandaag gaan we verder waar we gisteren met het kip en ei verhaal gebleven waren. Daarbij werd aangegeven dat de overheden er eerst voor moeten zorgen dat onze gegevens goed beveiligd zijn voordat we bereid zijn nog meer van onze privacy op te geven.
In Nederland denken we daar toch blijkbaar anders over want de beveiliging van onze DigiD gaat naar beneden. Blijkbaar hebben zich niet voldoende incidenten voorgedaan waardoor we best op beveiliging kunnen bezuinigen. Het is een beetje als de brandweer afschaffen omdat er het afgelopen jaar geen grote brand is geweest. Op deze wijze is het wachten op incidenten.
De overheid ziet ervan af om de toegang tot DigiD nog langer afdoende te beveiligen. “Systemen die worden beheerd in een kippenhok voldoen aan de eisen van het Rijk.” De problemen spelen bij de dienstverlening om SMS-berichten te kunnen sturen, die door de overheid recentelijk opnieuw is aanbesteed. Daarbij is slechts gekozen met één criterium: de prijs. En dus is alles op dezelfde hoop gegooid. Dat blijkt uit documenten die in het bezit zijn van Webwereld (bron).
Een enge gedachte als je het mij vraagt. Beveiligen puur en alleen op kosten. Natuurlijk moeten we de kosten en baten goed in de gaten houden. We moeten geen € 10-tje beveiligen met een kluis van € 1.000,-. Dat snappen we allemaal. Maar de vraag die we hier moeten stellen is wat onze DigiD-gegevens ons waard zijn.
Beveiliging kun je, net als allerlei andere aanbestedingen en projecten sturen op 3 criteria: kosten, kwaliteit en tijd. Sturen op alle drie de criteria is haast onmogelijk. Als ik namelijk kwaliteit wil dan kost me dat meer geld en tijd, als ik lage kosten wil dan gaat de kwaliteit naar beneden en als ik een strakke deadline wil halen tegen een bepaalde kwaliteit dan zullen de kosten sterk omhoog gaan.
Ik weet niet of het heel verstandig is om de aanbesteding van dergelijke SMS-diensten voor een product als DigiD te sturen op kosten. Dat ze niet absurd hoog mogen zijn is me duidelijk. Maar er zit nog een heel verschil tussen de goedkoopste en de duurste oplossing. Is een bekend gezegde niet: goedkoop is duurkoop?
De vraag is nu echter of ik er als gebruiker van de DigiD nog vanaf kan? Bij de introductie ervan was het allemaal veelbelovend, we zouden er enorm veel mee kunnen en moesten allemaal maar aan de DigiD. In de praktijk gebruik ik hem, volgens mij, alleen bij mijn belastingaangifte.
De eis voor gescreend personeel is komen te vervallen en de systemen hoeven ook niet meer op inmiddels beproefde methodes beheerd te worden. Logboeken of audit trials kunnen vrijelijk ingericht worden en versleutelen doen we ook niet meer. De auditdienst houdt er geen toezicht meer op en dat is misschien nog wel het ergste. We weten straks helemaal niet hoe slecht de boel beheerd wordt en welke incidenten zich hebben voorgedaan.
Het datacenter stelt straks ook niets meer voor en toegangsbeveiliging is alleen maar lastig. Ja zo kun je de kosten natuurlijk wel omlaag brengen.
Ik maak me best zorgen en misschien moeten we toch maar eens van ons recht gebruik maken en bij DigiD opvragen over welke gegevens ze eigenlijk allemaal beschikken. Dat recht hebben we want het gaat hier toch om persoonsgegevens dus de Wet Bescherming Persoonsgegevens is van toepassing.
Het moet allemaal niet gekker worden. Proberen we juist om organisaties beter te beveiligen gaan we met de DigiD weer terug naar het tijdperk van de A Ford. Hij rijdt wel, maar echt comfortabel is anders en inmiddels kunnen we auto’s in meer kleuren bestellen dan in zwart.