of 58959 LinkedIn

Hoe veilig en innovatief is identificatie met eID?

Jeroen van Glabbeek 2 reacties

De banken willen er vanaf, net als de NS: de identificatiepassen. Als het aan Ronald Plasterk ligt, identificeren Nederlanders zich niet langer met DigiD, maar met de eID-pas. Via deze pas met chip doen Nederlanders niet alleen belasting- en btw-aangifte, maar ook online aankopen. Maar hoe veilig en innovatief is de eID?

De ware e-overheid

Nu maken ongeveer 9 miljoen mensen gebruik van DigiD beveiligd per sms-wachtwoord, gekoppeld aan de mobiele telefoon van de gebruiker. De overheid vindt de combinatie van gebruikersnaam en wachtwoord voor DigiD echter gemakkelijk te kraken en ziet de invoer van eID als absolute noodzaak om zo de communicatie met de burger verder te digitaliseren en een ware e-overheid te worden. 

De kosten voor het project worden geschat op 250 miljoen euro. Daarmee moeten Nederlanders vanaf 2017 met de smartcard communiceren met de overheid, maar ook online aankopen doen bij Coolblue, Bol.com en bijvoorbeeld online wijnwinkels, zodat ook meteen de leeftijd in de smartcard van eID wordt geverifieerd.

Het enorme ICT-project komt op een ongelukkig tijdstip. Medio 2014 concludeerde de parlementaire commissie die onderzoek deed naar ICT-projecten bij de overheid nog dat de overheid jaarlijks 1 tot 5 miljard euro verspild met ICT-projecten. De Tweede Kamer verzaakt volgens de commissie-Elias haar controlerende taak door "gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied. Vanuit het kabinet schiet daarnaast de informatievoorziening aan de Kamer tekort”, zo concludeerde de commissie.
 

Identificatie voor een fles wijn?

Daarnaast kun je je de vraag stellen of er miljoenen euro’s belastinggeld moeten worden uitgegeven aan een smartcard die Nederlanders gebruiken om online aankopen te doen. Inderdaad, de communicatie over onder andere belastingaangiften moet goed beveiligd zijn en bovendien eenvoudig. Online aankopen bij webshops als Bol.com en Coolblue gaan echter volledig buiten de overheid om en zijn een private aangelegenheid die de rijksoverheid niet zou moeten bekostigen. Leuk dat het pasje weet hoe oud je bent zodat je meteen online een fles wijn of whisky aan kunt schaffen, maar moet de overheid daar nu echt weer miljoenen voor uittrekken?
 

Ook twijfel ik aan de mate van innovatie en gebruiksgemak van de eID-smartcard van de overheid. Mobiele communicatie en interactie met consumenten en klanten neem toe. Banken zien een enorme groei in mobiel gebruik en bankieren en ook de NS richt zich op mobiel gebruiksgemak. De Nederlandse overheid keert die ontwikkeling de rug toe en introduceert een nieuw pasje voor identificatie.
 

Alles valt te kraken

De overheid heeft er gelijk in dat inloggen met alleen een gebruikersnaam en wachtwoord niet veilig is, met name voor een cruciaal communicatieplatform als DigiD. Als wereldwijde mobiele dienstverlener weet ik dat DigiD in de huidige vorm veilig is. Het verplichten van het sms-wachtwoord bij inloggen kan de veiligheid verder verhogen. Naast het risico op verlies of diefstal van de smartcard, is de nieuwe eID een voorwerp dat je altijd bij je draagt. En dat is – zoals we hebben gezien bij de OV-chipkaart – altijd eenvoudig te kraken.
 

Geen weg meer terug

Het nieuwe eID is wederom een groot ICT-project dat – eenmaal opgestart – niet zomaar kan worden beëindigd, vergelijkbaar met de Betuwelijn en het (geflopte) automatiseringsproject bij het UWV. Beide projecten kampten met vertragingen en kostenoverschrijdingen waarvan met nog steeds de impact voelt. De overheid doet er goed aan niet over één nacht ijs te gaan en de risico’s in kaart te brengen én te beheersen. 

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Privé persoon op
Persoonlijk heb ik er volstrekt geen behoeft aan om op wat voor manier dan ook alle domeinen waarin ik me begeef (contacten met overheid, webwinkel, bank, enz...) aan elkaar te koppelen door ze met één ID te benaderen. En we weten inmiddels allemaal wat er gebeurt met megalomane ICT projecten.
Door Kurt Isik op
We moeten ten eerste digitalisering van dienstverlening als middel zien en niet als doel. Verder heet het E-ID al een aantal weken Idensys.

Nu inhoudelijk. Ik zie wel potentie juist ook door het bruikbaar te laten zijn door private instellingen en meerwaarde gaan opleven in automatisering van informatieketens. Klein voorbeeldje rond om sociale woningenverhuur: Registratie woningzoekende in sociale woonruimte verdeel systeem - toekenning woning door corporatie - registratie huurders bij corporatie - verhuismutatie burgers BRP bij gemeente - Aanvraag huurtoeslag bij Belastingdienst. Administratieve lastenverlichting voor burgers en bedrijven. Zou een boel fraude, fouten en vergissingen kunnen voorkomen. Leuker kunnen we het niet maken....

Verder is het middel waar Idensys op geactiveerd wordt nog niet bepaald en wellicht een keuze voor de gebruiker. Dit zou een separaat pasje kunnen zijn, maar misschien ook wel de chip op je paspoort, NIK, rijbewijs, bankpas of in je telefoon. Persoonlijk zou ik denk ik de voorkeur hebben voor een pasje op bankpasformaat (rijbewijs heb ik altijd bij me ivm id plicht), lekker veilig off line in mijn "secrid cardprotector" en niet online op mijn mobieltje wie weet hoe benaderbaar voor duistere types uit Noord Korea of Moskou. Ook die telefoon is natuurlijk te kraken en staat bovendien vrijwel continu met de hele wereld verbonden.