De nieuwe manier waarop bij DigiD gegevens worden versleuteld zodat ze niet toegankelijk zijn voor derden voldoet niet aan de eisen, heeft de Algemene Rekenkamer vastgesteld.

Die eisen zijn vastgelegd in een besluit uit 2004. Daar wordt niet helemaal aan voldaan, maar er zijn andere veiligheidsmaatregelen genomen en het ministerie van Binnenlandse Zaken vindt de kans op misbruik zo klein, dat het zich erbij neerlegt dat DigiD niet helemaal waterdicht wordt beveiligd.

De nieuwe encryptie wordt naar verwachting begin 2018 in gebruik genomen.

Makkelijke wachtwoorden
De Rekenkamer had al eerder geconstateerd dat DigiD tekortschoot bij de beveiliging van gegevens. Daarbij ging het om de regelmatige veiligheidsonderzoeken, het versleutelen van gegevens en het achteraf controleren van transactiegegevens. Binnenlandse Zaken heeft deze problemen inmiddels opgelost.

In 2016 maakten ruim 13 miljoen mensen ongeveer 250 miljoen keer gebruik van DigiD. Dat gebeurt wel vaak met een makkelijk wachtwoord en zonder sms-code, en dat is eigenlijk onvoldoende, vindt de Rekenkamer. Het betrouwbaarheidsniveau is de verantwoordelijkheid van een organisatie die met DigiD werkt, bijvoorbeeld de Belastingdienst.