Fox-IT heeft vastgesteld dat een ambtenaar van Justis – een onderdeel van het ministerie van Justitie en Veiligheid – tussen 2018 en 2022 in elf veiligheidsrapportages kritische punten heeft verwijderd of aangepast. Daardoor konden mogelijk onveilige webapplicaties van DigiD gebruikmaken.

DigiD is een identificatiesysteem waarmee burgers bij onder andere de Belastingdienst en het UWV kunnen inloggen. Het systeem wordt beheerd door Logius, dat strenge eisen stelt aan ICT-systemen die gebruikmaken van DigiD. Beheerders daarvan, waaronder Justis, moeten periodiek zogenoemde ‘assurancerapporten’ opleveren. Dat zijn een soort accountantsverklaringen voor ICT-systemen. Voor Justis worden die door de Auditdienst Rijk opgesteld. De inmiddels ontslagen ambtenaar bracht daar vervolgens veranderingen in aan, zodat de ICT-systemen van Justis mogelijk ten onrechte werden goedgekeurd door Logius, dat onderdeel is van het ministerie van Binnenlandse Zaken.

Nader onderzoek
Al in februari vernam de verantwoordelijke minister Franc Weerwind van Rechtsbescherming dat er iets aan de hand was met de veiligheidsrapportages. Daarop werd Fox-IT ingeschakeld om nader onderzoek te doen. Er bleek onder andere geknoeid te zijn met rapporten over de webapplicatie ‘Digitaal Aanvragen’, waarmee burgers een VOG kunnen aanvragen. Ook waren drie rapporten over Suwinet aangepast. Suwinet is een netwerk waarmee het UWV, SVB en de Nederlandse gemeenten persoonsgegevens kunnen uitwisselen. In een brief aan de Tweede Kamer schrijft Weerwind dat er geen grote risico’s of kwetsbaarheden zijn ontstaan door het manipuleren van de veiligheidsrapporten. Fox-IT onderzoekt nog of de verzwegen veiligheidsproblemen tot hacks of datalekken hebben geleid. De Auditdienst Rijk wil weten hoe de vervalsingen vijf jaar lang niet zijn ontdekt.