Open Kamerbeta

Kamervraag 2013Z12447

Nieuwe fraudemogelijkheden met DigiD en gebrekkige dienstverlening van DigiD bij incidenten

Ingediend 18 juni 2013
Beantwoord 11 juli 2013 (na 23 dagen)
Indieners Linda Voortman (GL), Kees Verhoeven (D66)
Beantwoord door Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)
Onderwerpen bestuur organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2013Z12447.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20122013-2812.html
1. Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 2450
  • Vraag 1
    Klopt het dat wanneer iemand beschikking heeft over BSN-nummers en geboortedata van andere personen, hij/zij een nieuwe DigiD voor een ander persoon dan zichzelf kan aanvragen? Klopt het dat de rechtmatige DigiD-gebruiker zelfs niet via het mobiele nummer, waar DigiD sms-codes op kunnen worden ontvangen, wordt geïnformeerd over de aanvraag?

    Het is niet mogelijk om louter met de kennis van iemands BSN en geboortedatum, ook zijn DigiD te verkrijgen. Bij het aanvragen van een DigiD vult de aanvrager BSN, geboortedatum en postcode/huisnummer in op het digitale aanvraagformulier. Hierna wordt een activeringscode verstuurd naar het GBA-adres van degene op wiens BSN een DigiD wordt aangevraagd. Misbruik is dus alleen mogelijk wanneer de kwaadwillende de naar het GBA-adres gestuurde brief met de activeringscode ook onderschept, en met deze code de DigiD activeert. Een DigiD werkt pas na activering.
    Het klopt dat de aanvrager niet via zijn mobiele nummer wordt geïnformeerd over de aanvraag. De brief met de activeringscode kan in deze als de bevestiging van de digitale aanvraag worden gezien.

  • Vraag 2
    Klopt het dat wanneer de onrechtmatige DigiD-aanvrager ook post kan afvangen van de gedupeerde, hij/zij met behulp van de schriftelijk verzonden activatiecode de nieuwe DigiD kan activeren waarmee het oude DigiD-account wordt geblokkeerd?

    Zie het antwoord op vraag 1.
    Aanvullend kan nog worden gemeld dat als de nieuwe DigiD wordt geactiveerd, het oude DigiD-account altijd vervalt.

  • Vraag 3
    Klopt het dat vervolgens rekeningnummer en inkomen aangepast kunnen worden met resultaat dat bijvoorbeeld zorg- of huurtoeslag aangevraagd kan worden?

    Met behulp van DigiD kan een betrokkene via Mijntoeslagen wijzigingen doorgeven. Hij kan ook, nadat hij zich met DigiD heeft geïdentificeerd, zijn rekeningnummer wijzigen. Als er een rekeningnummer wordt gewijzigd, dan ontvangt betrokkene daarvan een bevestigingsbrief van de Belastingdienst.

  • Vraag 4
    Klopt het dat pas bij bevestiging van de huurtoeslag, vaak weken later, de rechtmatige persoon met wiens DigiD is gefraudeerd een signaal krijgt dat er iets niet in de haak is?

    Betrokkene ontvangt na de wijziging binnen twee weken een aparte brief waarin is aangegeven dat zijn rekeningnummer is gewijzigd.

  • Vraag 5
    Kunt u bevestigen dat iets dergelijks heeft plaatsgevonden in de studentenflat Selwerd 3 in Groningen?

    Op dit moment loopt een onderzoek door het Openbaar Ministerie naar het gebruik van de onrechtmatig verkregen DigiD’s.

  • Vraag 6
    Kunt u bevestigen dat de personen bij wie dit probleem zich heeft voorgedaan geen enkele hulp hebben ontvangen van de organisatie die DigiD uitvoert? Kunt u bevestigen dat zij geen enkele informatie ontvingen over de accounts, maar dat zij enkel werden doorverwezen naar hun bestaande account waar zij niet in konden?

    DigiD kent een helpdesk die in desbetreffende gevallen de burger kan helpen en ondersteunen. Daarnaast kent Logius een calamiteitenteam dat in voorkomende gevallen direct en in overleg met betrokken overheidsdienstverleners in werking kan treden. In enkele van de voornoemde gevallen heeft de helpdesk telefonisch contact gehad met de betrokkenen en hebben zij een advies ontvangen over de te nemen stappen. Het betreft een drieledig advies: vraag een nieuw DigiD-account aan, neem contact op met de overheidsdienstverlener waar het probleem zich heeft voorgedaan en doe aangifte bij de politie. Overige betrokkenen zijn per brief geïnformeerd. Kort na de eerste melding is de geschetste fraude calamiteitenprocedure in werking gezet.

  • Vraag 7
    Klopt het dat dergelijke incidenten alleen verholpen kunnen worden door opnieuw een nieuwe DigiD aan te vragen, waarbij enkele dagen verloren gaan die door eventuele daders nuttig gebruikt kunnen worden omdat een DigiD-account niet geblokkeerd kan worden? Ook niet bij vermoeden van fraude?

    Nee, dit klopt niet. Bij een vermoeden van fraude blokkeert Logius zo spoedig mogelijk het DigiD-account. Wel wordt geadviseerd om een nieuwe DigiD-account aan te vragen (zie antwoord 6).

  • Vraag 8
    Welke actie gaat u ondernemen om dergelijke fraude met DigiD aan te pakken en te voorkomen?

    De samenwerking tussen de verschillende betrokken ketenpartners op het gebied van fraudebestrijding, zal verder geïntensiveerd worden, met als doel waar mogelijk fraude te voorkomen en indien toch aan de orde, eerder op te sporen en te beëindigen. Daarnaast is de Tweede Kamer op 2 april jl. door middel van een brief geïnformeerd over de «voortgang toekomstbestendigheid identiteitsinfrastructuur». In deze brief is aangegeven dat met het oog op de toekomst en de continue veranderende technologische mogelijkheden (en bedreigingen) er op termijn een nieuw veiliger authenticatiemiddel zal worden geïntroduceerd, met een hoger betrouwbaarheidsniveau: een eID. Een dergelijk middel (bijvoorbeeld op basis van een chip) zal aan hoge veiligheidsnormen moeten voldoen en zal in persoon (bijvoorbeeld aan een balie) uitgegeven moeten worden. Door uitgifte in persoon zal het risico op fraude door het aanvragen van een DigiD-account op naam van een ander worden geminimaliseerd.

  • Vraag 9
    Hoe gaat u rechtmatige DigiD-gebruikers op de hoogte brengen dat het ongevraagd ontvangen van een nieuwe activatiecode een risico betekent omdat hoogstwaarschijnlijk hun persoonsgegevens zijn buitgemaakt en dat dit gemeld dient te worden?

    Op de website digid.nl staat informatie over hoe burgers dit risico kunnen herkennen en welke maatregelen zij kunnen nemen.

  • Vraag 10
    Gaat u contact opnemen met de bewoners van de betreffende studentenflat?

    Een burger wordt per brief geïnformeerd over de ontstane situatie als er een vermoeden bestaat dat er fraude is gepleegd met zijn DigiD. Dit heeft ook bij de betreffende bewoners plaatsgevonden.

  • Vraag 11
    Wat is de kostenpost van deze fraude?

    Zie antwoord vraag 5.

  • Vraag 12
    Zijn er meer incidenten waarbij op deze manier fraude heeft plaats gevonden?

    Het probleem dat kwaadwillenden de activeringsbrief onderscheppen komt op een totaal van circa 10 miljoen gebruikers en ruim 75 miljoen transacties per jaar verhoudingsgewijs zeer beperkt voor. Naar aanleiding het genoemde incident heeft nader onderzoek plaatsgevonden, waarbij in totaal 118 gevallen van oneigenlijke DigiD-aanvragen zijn gevonden. Dit heeft geleid tot het laten vervallen van accounts of het verwijderen van aanvragen.

  • Vraag 13
    Hoe verhoudt dit zich tot opmerkingen in antwoorden op eerdere vragen dat dergelijke gevallen schaars waren?1

    DigiD is een systeem waar circa 10 miljoen burgers gebruik van maken en waarmee op jaarbasis ruim 75 miljoen keer wordt ingelogd. Elke zaak waarbij een vermoeden is van fraude is er een te veel en wordt onderzocht. Echter, als de hoeveelheid vermoedens van fraude wordt afgezet tegen de hoeveelheid transacties dan blijft het beeld dat een vermoeden van fraude relatief weinig voorkomt.

Kamervraag document nummer: kv-tk-2013Z12447
Volledige titel: Nieuwe fraudemogelijkheden met DigiD en gebrekkige dienstverlening van DigiD bij incidenten
Kamerantwoord document nummer: ah-tk-20122013-2812
Volledige titel: Antwoord op vragen van de leden Verhoeven en Voortman over nieuwe fraudemogelijkheden met DigiD en gebrekkige dienstverlening van DigiD bij incidenten