Vastgesteld 8 juni 2015
De vaste commissie voor Binnenlandse Zaken heeft een vraag voorgelegd aan de Algemene Rekenkamer over het rapport van de Algemene Rekenkamer «Resultaten verantwoordingsonderzoek 2014 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII)» (Kamerstuk 34 200 VII, nr. 2).
De Algemene Rekenkamer heeft deze vraag beantwoord bij brief van 5 juni 2015. Vraag en antwoord zijn hierna afgedrukt.
De voorzitter van de commissie, Berndsen-Jansen
De adjunct-griffier van de commissie, Hendrickx
Vraag 1
Hoe verhoudt uw bericht aan de Kamer dat er geen materieel risico voor DigiD bestaat, zich tot de conclusie van de Algemene Rekenkamer dat de huidige maatregelen onvoldoende bescherming bieden voor aanvallen op de webomgeving, en dat dit te maken heeft met de beveiliging van de DigiD- omgeving zelf, en met het feit dat webomgevingen van overheidsinstellingen die DigiD gebruiken kwetsbaar zijn?
De Minister van BZK heeft in zijn brief van 24 februari 2015 de Tweede Kamer geïnformeerd dat ondanks het niet volledig voldoen aan de beveiligingsnormen, geen materieel risico aan de orde is (Kamerstuk 26 643, nr. 352).
Wij constateren echter dat de beveiliging van DigiD nog niet op orde is. De DigiD-omgeving en de webomgevingen van meerdere afnemers voldoen nog niet volledig aan de belangrijke beveiligingsnormen en de beveiliging biedt onvoldoende bescherming voor aanvallen op de webomgeving. Hierdoor is volgens ons sprake van belangrijke beveiligingsrisico’s.