nieuws

Hypotheekbond lanceert nieuwe dienst, is de veiligheid nu wel gegarandeerd?

Financiële planning 1032

De Nationale Hypotheekbond lanceerde eerder deze maand de nieuwe dienst UwKluis.nl. Het initiatief is een vervolg op de eerder door de overheid platgelegde proef hypotheekkluis.nl. De veiligheid van wachtwoorden kon destijds niet worden gegarandeerd omdat er sprake was van phishing. Hoe zit het nu met de veiligheid van de data?

Hypotheekbond lanceert nieuwe dienst, is de veiligheid nu wel gegarandeerd?

Die veiligheid is volgens de voorman van De Nationale Hypotheekbond Jeroen Oversteegen nu wel gegarandeerd: “De techniek is veranderd, gebruikers loggen nu per dienst in via DigiD.”

Technologie

Financieel dienstverleners kunnen gebruikmaken van UwKluis.nl, die de Hypotheekbond in samenwerking met Ordina Data & Finance Solutions ontwikkelde. UwKluis.nl genereert een PDF met de relevante gegevens. In een volgende stap worden de digitale bestanden ‘ingelezen’ in de adviessoftware van financieel adviseurs. De toepassing is gebaseerd op zogenaamde Lckr technologie. De technologie maakt het volgens de Hypotheekbond en Ordina mogelijk (bron)data bij de overheid op te halen en deze te ontsluiten naar een financiële dienstverlener. De technologie ondersteunt op dit moment vijf dienstverleners: Belastingdienst, UWV, Mijnpensioenoverzicht, Mijnoverheid en DUO.

Proef stilgelegd

Wat gebeurde er bij de eerste proef, hypotheekkluis.nl, van de bond? Logius, de overheidsdienst die DigiD beheert, legde in september 2017 de proef stil vanwege de veiligheid van wachtwoorden die niet kon worden gegarandeerd. 150 accounts werden destijds uit voorzorg geblokkeerd. Via hypotheekkluis.nl konden consumenten gegevens zoals inkomen en vermogen eenvoudig ophalen van mijnoverheid.nl. Het idee er achter: versnelling van het hypotheekproces.

Phising

Woordvoerder Michiel Groeneveld zei destijds: “Hypotheekkluis heeft op de eigen site een inlogpagina gemaakt voor DigiD om zo op de achtergrond gegevens op te kunnen halen bij allerlei overheden. Dat is met goede bedoelingen gebeurd, maar inloggen mag alleen op de website van DigiD. Anders kunnen DigiD-wachtwoorden in handen van derden vallen”. De woordvoerder zag het als phishing. Wat wel mag is dat een site je terugleidt naar de website van DigiD om in te loggen, iets dat bijvoorbeeld gebeurt bij de belastingaangifte. In de bijeenkomst die de Contactgroep Automatisering daarna organiseerde, waar Logius ook aanwezig was en uitleg gaf waarom ze de proef niet goedkeurden, ging het er af en toe heftig aan toe. Een andere partij, Ockto, die op een vergelijkbare manier data ophaalt wordt door Logius ontzien.

Een aantal bezoekers vroeg zich tijdens de bijeenkomst af waarom dit bij de ene partij wel wordt gedoogd en bij de andere partij niet. “Wat is dan het verschil? Waarom mag het via de tool van Ockto wel en bij de Hypotheekbond niet?”, was een van de vragen. Sommige publieksleden spraken hun verbazing en verontrusting uit. De verbazing en verontrusting had te maken met de security van de data. “Ik heb hier geen goed gevoel bij, 150 gebruikers waarvan de data makkelijk kon worden ingelezen”, zo meldde een bezoeker.

Goedkeuring?

Is de nieuwe technologie en toepassing nu wel door Logius goedgekeurd? Oversteegen: “Nee dat niet, maar ze gaan er ook niet voorliggen. We zijn wel met ze in gesprek en staan open voor commentaar en tips.” Oversteegen zou het liefst zien dat consumenten via DigiD zelf een pdf kunnen ophalen met daarin alle benodigde (bij de overheid bekende) gegevens voor een hypotheekaanvraag. “Ook daarover zijn we nog in gesprek”, meldt Oversteegen.

Manier van inloggen

Volgens woordvoerder Rick Bron van Logius werd de eerste proef, hypotheekkluis.nl, om twee redenen stilgelegd. Die redenen zijn volgens hem: “Het tonen van een niet officieel DigiD inlogscherm waarbij iemand wel werd gevraagd om zijn DigiD gebruikersnaam en wachtwoord in te voeren. Vervolgens werd er door het systeem automatisch bij meerdere overheidsorganisaties ingelogd om gegevens te verzamelen. Deze beide punten heeft de bond nu aangepast. De gebruiker moet nu iedere keer zelf inloggen bij elke afzonderlijke overheidsorganisatie en doet dat ook via het officiële inlogscherm van DigiD.” Hij vervolgt: “Nu de manier van inloggen voldoet aan onze eisen, is het niet gevoelig voor Phishing. Phishing is natuurlijk nooit helemaal uit te sluiten. Maar iemand kan nu zowel op de website van de overheidsorganisatie als ook in het inlogscherm van DigiD, de officiële url’s en het ‘slotje’ goed controleren. Dit is zeer belangrijk om phishing te kunnen voorkomen. De manier van inloggen met DigiD in deze nieuwe opzet van de technologie voldoet aan onze eisen.”

Reageer op dit artikel