De veiligheid van DigiD staat al langer ter discussie, ook zonder de huidige problemen met de certificaten van Diginotar. Het panel van Digitaal Bestuur beoordeelt het online identificatiesysteem.
De Test: DigiD
DigiD zit in de problemen vanwege de niet toereikende certificaten van Diginotar. Maar ook zonder dat probleem is het systeem zo lek als…
Panel
| Wolfgang Ebbers Hoofdonderzoeker publieke dienstverlening bij Novay en verbonden aan Center for e-Government Studies Universiteit Twente. | |
| Arda Gerkens Zelfstandig adviseur ICT en voormalig Tweede Kamerlid SP met portefeuille ICT. | |
| Matt Poelmans Senior consultant bij Het Expertise Centrum en ex-directeur Burgerlink. |
SCORE: 6-
Dit is het gemiddelde van de drie individuele oordelen
Sinds de start in 2003 heeft de Nederlandse overheid ruim 8 miljoen DigiD-accounts uitgegeven. DigiD staat voor digitale identiteit en bestaat uit een gebruikersnaam en wachtwoord - inloggen met een DigiD is als het online tonen van een paspoort. Zo kunnen overheden burgers op internet identificeren.
‘De simpelheid van het systeem is ook de kracht ervan’, vindt Matt Poelmans. ‘Het grootste voordeel is dat de DigiD is geïntegreerd is in de processen van alle overheden.’ Dat heeft de overheid beter geregeld dan de particuliere sector, waar je voor ieder krantenabonnement of iedere bankrekening nieuwe gegevens moet aanmaken. ‘Met als gevolg een enorme digitale sleutelbos. Verschrikkelijk onhandig’, aldus Poelmans.
Ook Arda Gerkens is lovend over het principe: ‘Bureaucratie is een van de grootste ergernissen. Het feit dat je als burger zelf thuis allerlei zaken online kunt regelen, is dan natuurlijk een goede oplossing.’ Nederland heeft volgens Poelmans bewust gekozen voor een simpel systeem in plaats van – wat veel andere landen hebben – een elektronische ID-kaart. ‘Zo’n geavanceerd systeem is lastig te gebruiken. Je ziet in die landen dan ook weinig gebruikers. In tegenstelling tot de DigiD die grootschalig wordt gebruikt.’
‘De keerzijde van die simpelheid is echter het veiligheidsniveau,’ stelt Poelmans. ‘Ook met sms-authenticatie is DigiD te licht voor vertrouwelijke toepassingen met gevoelige persoonlijke gegevens.’ Wolfgang Ebbers spreekt van een ‘gebruiksvriendelijke veiligheid’. Zijn ervaring is dat naarmate je vaker verkeerd inlogt, de barrière hoger wordt. ‘Drie keer fout is een dag wachten. Ik weet mijn password uit mijn hoofd, maar maak weleens een typefout in mijn gebruikersnaam. Dat kan voor degene wiens gebruikersnaam ik per ongeluk steeds intik een probleem zijn. Zo blokkeer ik namelijk zijn password.’ Bij het proces van aanvragen van de DigiD vindt Ebbers het beveiligingsdoel goed doordacht. ‘Denk bijvoorbeeld aan de vertragingsdagen en het feit je post op je officiële adres wordt bezorgd.’ Je moet er alleen wel op tijd bij zijn, anders verloopt de activeringstijd. ‘Grote kans dat je, wanneer die envelop met code aankomt, met iets anders bezig bent en de post dus op de keukentafel blijft liggen.’
Gerkens vindt dat de overheid met een wachtwoord en sms-authentificatie voor een goedkoop systeem heeft gekozen. ‘Terwijl het om persoonsgegevens gaat, zeer geliefd bij cybercriminelen. Dan mag je als overheid best wat investeren.’ Dat de overheid de veiligheid onderschat en teveel aan marktpartijen overlaat, is de laatste dagen wel gebleken – vindt Gerkens. ‘Terwijl we toch al een geschiedenis hebben met de ov-chip en het EPD.’ Wat Poelmans moet de overheid de opdracht krijgen een nieuw systeem op te zetten. ‘Want de huidige methode van identificatie en authenticatie is zo lek als een mandje.’ Net als Gerkens vindt hij dat de overheid hier zelf verantwoordelijkheid voor moet nemen en het niet moet uitbesteden. ‘En geef burgers dan gelijk ook de keuze of ze DigiD ook buiten de publieke sector willen toepassen, net als het paspoort.’
Hoe dat alternatief er uit moet zien, blijkt een lastige vraag. Zo meent Ebbers: ‘Het is te gemakkelijk om te zeggen dat we ook voor de overheid een bancaire oplossing, met een e-paspoort en inlog-kastje, moeten hebben. Daar zitten kosten aan verbonden die linksom of rechtsom worden afgewenteld op de belastbetalers.’ Een mogelijkheid vindt Ebbers nog het meeliften op bancaire identifiers. ‘Maar naar ik begrijp zit die discussie al jaren in een impasse.’ Tijd om die – in het licht van de huidige problemen met beveiliging van overheidwebsites – te doorbreken, aldus Poelmans.
www.digid.nl
Reacties: 6
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Onbegrijpelijk dat mevrouw Gerkens in haar huidige functie en als voormalig kamerlid nog niet beschikte over DigiD.
Aan N Rodenburg .
Waarom zou een kamerlid over een DigiD moeten beshikken.
Haar persoon en dus haar privé staan los van de funktionaris die ze is.Iedereen kan toch zonder een DigiD die over privé zaken gaat toch evengoed een funktie beoefenen. , welke dan ook.
Mevrouw Gerkens geeft aan dat ze zelfstandige is (Zelfstandig adviseur ICT ). Ondernemers doen hun belastingaangifte via een belastingkantoor. of doen dat zelf via een verbinding met een wachtwoord. Daar komt geen DiGiD aan te pas.
Ik bedoel een belastingadviseur in plaats van een belastingkantoor, en een komma i.p.v. een punt.
Duister artikel, waar is de conclusie "zo lek als een mandje" op gebaseerd. Dit zijn drie meningen van personen, niet echt lekker argumentatie. Verder wil BZK helemaal niet aan de SMS, vinden ze veel te duur .
@Peter - Zoals uit het recente misbruik van DIGID met Toeslagen bij de Belastingdienst blijkt, is identificatie met naam/wachtwoord onveilig. Een kerntaak van de overheid is te zorgen voor betrouwbare identificatie.