Signaleren misbruik en oneigenlijk gebruik DigiD: Mogelijk onrechtmatig gebruik van DigiD
- Publicatiecategorie
- Impactvolle algoritmes
- Impacttoetsen
- DPIA
- Status
- In gebruik
Algemene informatie
Thema
Begindatum
Contactgegevens
Link naar publiekspagina
Verantwoord gebruik
Doel en impact
Het doel van het algoritme is om de gebruikers van DigiD te beschermen tegen misbruik of oneigenlijk gebruik, door snel te signaleren of er misbruik gemaakt wordt van DigiD. Het signaal dat het algoritme afgeeft is een startpunt voor een onderzoek. Wanneer blijkt dat er actief misbruik wordt van een DigiD gemaakt wordt, kan de DigiD worden ingetrokken, opgeschort of geblokkeerd. Verder misbruik wordt hiermee voorkomen. Burgers kunnen na intrekking een nieuwe DigiD aanvragen. Een opschorting of blokkering kan opgeheven worden.
Afwegingen
De toegevoegde waarde van dit algoritme, is het signaleren en voorkomen van misbruik en oneigenlijk gebruik van DigiD. De vertrouwelijkheid, beschikbaarheid en integriteit van de gebruikte gegevens wordt niet geschonden. Bij wet is de bevoegdheid van Logius vastgelegd om misbruik en oneigenlijk gebruik van DigiD te signaleren.
Menselijke tussenkomst
Het algoritme geeft een signaal af. Er vindt geen geautomatiseerde opvolging plaats. Het signaal dat afgaat, is de basis voor het (mogelijk) starten van een onderzoek naar de waargenomen activiteit. Toetsing en oordeelsvorming volgt na een onderzoek dat wordt uitgevoerd door meerdere analisten. Afhankelijk van de uitkomst van het onderzoek kan overgegaan worden tot intrekken, opschorten of blokkeren van DigiD. De burger wordt altijd geïnformeerd wanneer het DigiD account wordt ingetrokken, opgeschort of geblokkeerd.
Risicobeheer
Wanneer een signaal afgaat betekent dat verder onderzoek noodzakelijk is. Niet in alle gevallen dat het signaal afgaat sprake is van misbruik en oneigenlijk gebruik. Dat moet altijd blijken uit verder onderzoek. Het algoritme wordt minstens elke 6 maanden geëvalueerd op nut, noodzaak en werking.
Het onderzoek naar misbruik en oneigenlijk gebruik bestaat uit een analyse van het DigiD gebruik. In het proces zit ingebouwd dat minstens drie personen betrokken zijn bij het onderzoek om aannames zoveel mogelijk te voorkomen. Het maximale risico van het algoritme is dat iemands DigiD wordt ingetrokken, opgeschort of geblokkeerd. Na intrekking van een DigiD is de burger in staat om een nieuwe DigiD aan te vragen en een opschorting of blokkering kan opgeheven worden.
Wettelijke basis
Wet digitale overheid
Impacttoetsen
Werking
Gegevens
Bij het uitvoeren van het algoritme wordt gebruik gemaakt van de volgende gegevens;
- Een BSN dat ter identificatie van een persoon kan worden gebruikt
- Gebruiksgegevens, waaronder het IP-adres, geslaagde en mislukte authenticaties
- Applicatiegegevens, waaronder een unieke app code (DigiD App instance_id) en een dienstverlener identificatie (Webservice_id)