nieuws

‘Waarom mag Ockto wel data via DigiD opvragen en Nationale Hypotheekbond niet?’

Financiële planning 2142

Het ging er woensdagmiddag af en toe heftig aan toe tijdens de bespreking van de proef met DigiD door de Nationale Hypotheekbond die vorige maand stil werd gelegd door Logius. Logius, de overheidsdienst die DigiD beheert, gaf uitleg waarom ze de proef niet goedkeurden. De bijeenkomst was georganiseerd door de Contactgroep Automatisering. ‘Waarom mag Ockto wel data opvragen via DigiD en de Nationale Hypotheekbond niet?’, was één van de vragen.

‘Waarom mag Ockto wel data via DigiD opvragen en Nationale Hypotheekbond niet?’

In samenwerking met de Contactgroep en Ordina zette de Nationale Hypotheekbond de proef een paar maanden geleden op. Via de site hypotheekkluis.nl konden consumenten een aantal weken lang gegevens, zoals inkomen en vermogen, eenvoudig ophalen van mijnoverheid.nl. Het achterliggende idee hierbij is dat het hypotheekproces hierdoor wordt versneld. In een eerder interview gaf Jeroen Oversteegen, directeur van de Hypotheekbond, aan dat hij de tool had ontworpen omdat hij andere partijen ermee zag experimenteren. Oversteegen meldde volgens eigen zeggen hypotheekkluis.nl aan bij Logius die daarop verzocht de website weer offline te halen.

Vorm van phishing

Gisteren gaf de productmanager DigiD, Annemieke de Kloe, aan dat er actie was ondernomen na een melding van een burger. “Door die melding zagen we dat binnen een paar seconden op hetzelfde BSN-nummer vanuit zes ip-adressen werd ingelogd”, vertelde ze. Uit voorzorg heeft Logius van 150 mensen die via hypotheekkluis.nl hadden ingelogd het DigiD-account verwijderd, zij moesten nieuwe gegevens aanvragen. De woordvoerder van Logius, Michiel Groeneveld zei een paar weken geleden hierover: “Hypotheekkluis heeft op de eigen site een inlogpagina gemaakt voor DigiD om zo op de achtergrond gegevens op te kunnen halen bij allerlei overheden. Dat is met goede bedoelingen gebeurd, maar inloggen mag alleen op de website van DigiD. Anders kunnen DigiD-wachtwoorden in handen van derden vallen.” Logius ziet de manier waarop de Hypotheekbond de tool had ingericht als phishing.

Ockto

Een andere partij, Ockto, die op een vergelijkbare manier data ophaalt wordt door Logius ontzien. Een aantal bezoekers vroeg zich af waarom dit bij de ene partij wel wordt gedoogd en bij de andere partij niet. “Wat is dan het verschil dan? Waarom mag het via de tool van Ockto wel en bij de Hypotheekbond niet?”, was één van de vragen. Sommige publieksleden spraken hun verbazing en verontrusting uit. De verbazing en verontrusting had te maken met de security van de data. “Ik heb hier geen goed gevoel bij, 150 gebruikers waarvan de data makkelijk kon worden ingelezen.”

‘Wij willen graag duidelijkheid’

De Kloe gaf als antwoord: “Zodra een partij op een eigen site mensen vraagt om met DigiD inlognaam en wachtwoord in te loggen komen wij daar tussen.” De productmanager van DigiD voegde daaraan toe dat het wel mag als een site je terugleidt naar de website van DigiD om in te loggen, iets dat bijvoorbeeld gebeurt bij de belastingaangifte en via de tool van Ockto. Ockto is een online tool dat door consultancybureau Yellowtail is bedacht. Leden uit het publiek gaven dat ze dat vaag vonden. “Wij willen graag duidelijkheid over wat wel en niet mag zodat we weten hoe we in het vervolg onze tools mogen opbouwen,” was één van de opmerkingen.

Gevaar van een wallet

De Kloe antwoordde hierop dat wanneer er een gevoel van onzekerheid aanwezig is, er beter met DigiD gebeld kan worden. Ze maakte ook duidelijk dat het de eerste keer was dat Logius een partij er op heeft moeten wijzen dat een tool op een onrechtmatige manier data via DigiD naar zich toetrekt. “Voor ons is dit ook nieuw”, zei ze. “We staan hier om met elkaar in dialoog te gaan, eigenlijk hoeven we dit niet te doen want jullie zijn geen afnemer van ons. Onze afnemers zijn instellingen als het UWV en de Belastingdienst. De Ockto’s en de andere diensten zijn niet onze klant.” De Kloe gaf aan dat ze eigenlijk ook geen voorstander is van de manier waarop Ockto de data opvraagt omdat die constructie het gevaar van een ‘wallet’ met zich meebrengt. Een ‘wallet’ is een moment in een dataproces waarin gegevens door onbevoegde partijen valt uit te lezen. Ze keek daarbij de product director, Paul Janssen, van Ockto aan en zei: “We moeten elkaar in de ogen blijven kijken, jullie mogen geen misbruik maken van de data.”

Vijf vragen

Er waren door de organisatie vijf vragen aan Logius voorgelegd, waarvan er twee door Logius waren geselecteerd en werden behandeld. De eerste vraag ging over de rol die Logius zou kunnen betekenen in de digitalisering van de hypotheekaanvraag. Ngoc Berris, business consultant bij Logius gaf hierop aan dat Logius zelf geen data heeft maar dat de afnemers achter DigiD (bijvoorbeeld de Belastingdienst) de bronhouders  van de data zijn. Ze vertelde dat MijnOverheid hier een portaal voor zou kunnen zijn, maar dat het nog steeds aan de dienstaanbieders is om dat eventueel te ontsluiten. Wat doet Logius aan de veiligheid van de e-Overheid?, was de andere vraag die werd behandeld. Volgens Berris zorgt Logius ervoor dat de aangeboden diensten veilig zijn zoals MijnOverheid en DigiD. Jaarlijkse assessments moeten die veiligheid garanderen.

Vervolg

Oversteegen vertelt dat hij tevreden is met de dialoog. “Vanuit de Contactgroep Automatisering vormen we in samenwerking met Ordina en Ockto een werkgroep waarin we duidelijkheid gaan creëren. Die duidelijkheid hebben we nodig zodat we weten hoe we het hypotheekaanvraagproces kunnen versnellen. We gaan in een vervolgafspraak met Logius de andere technieken die we hebben bedacht en ,waarmee we het adviesproces kunnen versnellen, bespreken. We willen daar een uniform model voor opbouwen. Uiteindelijk zou het zo moeten dat je via MijnOverheid de informatie die nodig is voor het hypotheekadviestraject makkelijk kunt downloaden op een PDF, die dan gewaarmerkt wordt met een unieke code.”

Reageer op dit artikel
Lees voordat u gaat reageren de spelregels

Reageren kan op twee manieren.

Meld uzelf als gebruiker aan, uw naam verschijnt dan automatisch bij de reacties.

Of vink de optie gast aan en reageer onder eigen naam of een schuilnaam. Inlog en wachtwoord zijn dan niet nodig. Het kan maximaal 1 minuut duren voordat uw reactie zichtbaar wordt.

Een e-mailadres wordt altijd gevraagd maar nooit getoond.