Vergroot contrast

CBP maakt eerste analyse van eID Stelsel

Nieuwsbericht/11 juni 2015
Categorie:

Het College bescherming persoonsgegevens (CBP) heeft een globale analyse gemaakt van het Introductieplateau eID, de eerste fase van het eID Stelsel. Naar het oordeel van het CBP is er hierbij niet genoeg aandacht voor 3 punten uit de Wet bescherming persoonsgegevens (Wbp). Het CBP vertrouwt erop dat deze punten bij de verdere ontwikkeling van het Introductieplateau zullen worden meegenomen.

eID Stelsel

De overheid en het bedrijfsleven werken samen aan een standaard voor online identificatie, het eID Stelsel genoemd. Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven.

Momenteel hebben overheid en bedrijfsleven nog eigen inlogsystemen, zoals DigiD bij de overheid en inlognaam & wachtwoord bij bijvoorbeeld webwinkels.

Analyse van het CBP

Het CBP signaleert de volgende 3 belangrijke aandachtspunten:

1. Verantwoordelijkheid

In het Introductieplateau zijn meerdere partijen vertegenwoordigd. Elke partij heeft een andere rol in het stelsel. De Wbp kent als uitgangpunt dat er één verantwoordelijke is voor de verwerking van persoonsgegevens.

Volgens het CBP is in de huidige opzet van het Introductieplateau onduidelijk wie wanneer voor welke verwerking van persoonsgegevens verantwoordelijk is.

2. Beveiliging

Vanwege deze verdeelde verantwoordelijkheden hebben de verschillende partijen slechts beperkt zicht op het stelsel. Hierdoor zijn beveiligingsincidenten moeilijk te ontdekken, aldus het CBP.

3. Gebruik BSN

In het Introductieplateau eID kunnen mensen zelf kiezen hoe ze bij een organisatie willen inloggen om een dienst af te nemen of informatie uit te wisselen. Het is mogelijk om op dezelfde manier in te loggen bij de overheid als bij het bedrijfsleven, bijvoorbeeld met een inlognaam en wachtwoord.

Hierbij wordt een koppeling gemaakt met het burgerservicenummer (BSN) van deze persoon. Het CBP wijst erop dat het bedrijfsleven het BSN alleen mag verwerken als dat in de wet is vastgelegd. Deze wettelijke grondslag ontbreekt echter bij het Introductieplateau eID.

Publicaties