Overslaan en naar de inhoud gaan

De Test: DigiD

DigiD zit in de problemen vanwege de niet toereikende certificaten van Diginotar. Maar ook zonder dat probleem is het systeem zo lek als…

De veiligheid van DigiD staat al langer ter discussie, ook zonder de huidige problemen met de certificaten van Diginotar. Het panel van Digitaal Bestuur beoordeelt het online identificatiesysteem.

Panel

Wolfgang Ebbers Hoofdonderzoeker publieke dienstverlening bij Novay en verbonden aan Center for e-Government Studies Universiteit Twente.
Arda Gerkens Zelfstandig adviseur ICT en voormalig Tweede Kamerlid SP met portefeuille ICT.
Matt Poelmans Senior consultant bij Het Expertise Centrum en ex-directeur Burgerlink.

 
SCORE: 6-
Dit is het gemiddelde van de drie individuele oordelen


Sinds de start in 2003 heeft de Nederlandse overheid ruim 8 miljoen DigiD-accounts uitgegeven. DigiD staat voor digitale identiteit en bestaat uit een gebruikersnaam en wachtwoord - inloggen met een DigiD is als het online tonen van een paspoort. Zo kunnen overheden burgers op internet identificeren.

‘De simpelheid van het systeem is ook de kracht ervan’, vindt Matt Poelmans. ‘Het grootste voordeel is dat de DigiD is geïntegreerd is in de processen van alle overheden.’ Dat heeft de overheid beter geregeld dan de particuliere sector, waar je voor ieder krantenabonnement of iedere bankrekening nieuwe gegevens moet aanmaken. ‘Met als gevolg een enorme digitale sleutelbos. Verschrikkelijk onhandig’, aldus Poelmans.

 

Ook Arda Gerkens is lovend over het principe: ‘Bureaucratie is een van de grootste ergernissen. Het feit dat je als burger zelf thuis allerlei zaken online kunt regelen, is dan natuurlijk een goede oplossing.’ Nederland heeft volgens Poelmans bewust gekozen voor een simpel systeem in plaats van – wat veel andere landen hebben – een elektronische ID-kaart. ‘Zo’n geavanceerd systeem is lastig te gebruiken. Je ziet in die landen dan ook weinig gebruikers. In tegenstelling tot de DigiD die grootschalig wordt gebruikt.’

 

Het belangrijkste overheidsnieuws van de dag

Schrijf je in voor de Binnenlands Bestuur nieuwsbrief

‘De keerzijde van die simpelheid is echter het veiligheidsniveau,’ stelt Poelmans. ‘Ook met sms-authenticatie is DigiD te licht voor vertrouwelijke toepassingen met gevoelige persoonlijke gegevens.’ Wolfgang Ebbers spreekt van een ‘gebruiksvriendelijke veiligheid’. Zijn ervaring is dat naarmate je vaker verkeerd inlogt, de barrière hoger wordt. ‘Drie keer fout is een dag wachten. Ik weet mijn password uit mijn hoofd, maar maak weleens een typefout in mijn gebruikersnaam. Dat kan voor degene wiens gebruikersnaam ik per ongeluk steeds intik een probleem zijn. Zo blokkeer ik namelijk zijn password.’ Bij het proces van aanvragen van de DigiD vindt Ebbers het beveiligingsdoel goed doordacht. ‘Denk bijvoorbeeld aan de vertragingsdagen en het feit je post op je officiële adres wordt bezorgd.’ Je moet er alleen wel op tijd bij zijn, anders verloopt de activeringstijd. ‘Grote kans dat je, wanneer die envelop met code aankomt, met iets anders bezig bent en de post dus op de keukentafel blijft liggen.’

 

Gerkens vindt dat de overheid met een wachtwoord en sms-authentificatie voor een goedkoop systeem heeft gekozen. ‘Terwijl het om persoonsgegevens gaat, zeer geliefd bij cybercriminelen. Dan mag je als overheid best wat investeren.’ Dat de overheid de veiligheid onderschat en teveel aan marktpartijen overlaat, is de laatste dagen wel gebleken – vindt Gerkens. ‘Terwijl we toch al een geschiedenis hebben met de ov-chip en het EPD.’ Wat Poelmans moet de overheid de opdracht krijgen een nieuw systeem op te zetten. ‘Want de huidige methode van identificatie en authenticatie is zo lek als een mandje.’ Net als Gerkens vindt hij dat de overheid hier zelf verantwoordelijkheid voor moet nemen en het niet moet uitbesteden. ‘En geef burgers dan gelijk ook de keuze of ze DigiD ook buiten de publieke sector willen toepassen, net als het paspoort.’

 

Hoe dat alternatief er uit moet zien, blijkt een lastige vraag. Zo meent Ebbers: ‘Het is te gemakkelijk om te zeggen dat we ook voor de overheid een bancaire oplossing, met een e-paspoort en inlog-kastje, moeten hebben. Daar zitten kosten aan verbonden die linksom of rechtsom worden afgewenteld op de belastbetalers.’ Een mogelijkheid vindt Ebbers nog het meeliften op bancaire identifiers. ‘Maar naar ik begrijp zit die discussie al jaren in een impasse.’ Tijd om die – in het licht van de huidige problemen met beveiliging van overheidwebsites – te doorbreken, aldus Poelmans.

www.digid.nl

Reacties: 6

U moet ingelogd zijn om een reactie te kunnen plaatsen.

N. Rodenburg

Onbegrijpelijk dat mevrouw Gerkens in haar huidige functie en als voormalig kamerlid nog niet beschikte over DigiD.

Op 12 september 2011, 13:08
v d broek

Aan N Rodenburg .
Waarom zou een kamerlid over een DigiD moeten beshikken.
Haar persoon en dus haar privé staan los van de funktionaris die ze is.Iedereen kan toch zonder een DigiD die over privé zaken gaat toch evengoed een funktie beoefenen. , welke dan ook.

Op 12 september 2011, 13:08
Joke

Mevrouw Gerkens geeft aan dat ze zelfstandige is (Zelfstandig adviseur ICT ). Ondernemers doen hun belastingaangifte via een belastingkantoor. of doen dat zelf via een verbinding met een wachtwoord. Daar komt geen DiGiD aan te pas.

Op 12 september 2011, 13:45
Joke

Ik bedoel een belastingadviseur in plaats van een belastingkantoor, en een komma i.p.v. een punt.

Op 12 september 2011, 13:46
Peter

Duister artikel, waar is de conclusie "zo lek als een mandje" op gebaseerd. Dit zijn drie meningen van personen, niet echt lekker argumentatie. Verder wil BZK helemaal niet aan de SMS, vinden ze veel te duur .

Op 14 september 2011, 11:16
Matt Poelmans

@Peter - Zoals uit het recente misbruik van DIGID met Toeslagen bij de Belastingdienst blijkt, is identificatie met naam/wachtwoord onveilig. Een kerntaak van de overheid is te zorgen voor betrouwbare identificatie.

Op 25 september 2011, 21:22

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in