Een medewerker van Justis heeft meerdere rapporten vervalst over de beveiliging van de gebruikte DigiD aansluiting. Dat heeft minister Weerwind voor Rechtsbescherming aan de Tweede Kamer gemeld. De Auditdienst Rijk, ADR, is de interne auditor van de Rijksoverheid en doet onderzoek naar allerlei onderwerpen. Ook geeft het adviezen op onder andere het gebied van informatiebeveiliging. De ADR kan op verzoek van ministeries en agentschappen onderzoeken uitvoeren. In opdracht van Justis had de Auditdienst Rijk onderzoek gedaan naar de beveiliging van de gebruikte DigiD aansluiting.

Organisaties die van DigiD gebruikmaken moeten jaarlijks een beveiligingsassessment laten uitvoeren. Zo wordt gecontroleerd of de koppeling van DigiD met de webapplicatie van de aangesloten organisatie wel voldoet aan de beveiligingseisen. Justis is een overheidsorganisatie die de betrouwbaarheid van personen en organisaties beoordeelt en is onder andere verantwoordelijk voor het afgeven van VOG s die werkgevers of organisaties van hun personeel kunnen vragen.

Het onderzoek van de ADR richtte zich specifiek op de webomgeving Digitaal Aanvragen van Justis. Met behulp van deze webapplicatie is het mogelijk om via internet een Verklaring omtrent gedrag, VOG, en een aantal andere producten van Justis aan te vragen. Daarvoor moeten gebruikers via DigiD inloggen. In februari werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD.

Deze versturen we 3-4x per jaar.