Op de veiligheid van DigiD is genoeg af te dingen /10 reacties

Op de veiligheid van DigiD is genoeg af te dingen

Iedereen die dit jaar elektronisch belastingaangifte doet, moet een DigiD hebben. Het spreekt voor zich dat veiligheid hier van het grootste belang is. De overheid moet erop kunnen vertrouwen dat zij ook elektronisch met de juiste persoon van doen heeft. Toch is er op de veiligheid van DigiD genoeg af te dingen.

DigiD?

In toenemende mate kun je via internet zaken doen met overheidsinstellingen. Denk aan het aanvragen van een vergunning via de website van je gemeente, of het inzenden van uw belastingaangifte via internet. Meestal wissel je bij dergelijke diensten vertrouwelijke gegevens uit. Om ervoor te zorgen dat die gegevens alleen met jou worden uitgewisseld, willen overheidsinstellingen zeker weten dat je ook echt bent wie je beweert te zijn. Daarvoor is de DigiD in het leven geroepen, een afkorting van digitale identiteit.

Behalve de Belastingdienst en gemeenten zijn er veel meer overheidsinstanties op DigiD aangesloten. Denk daarbij aan het CWI (Centrum Werk en Inkomen), de Sociale Verzekeringsbank (SVB) en het UWV. Een compleet overzicht vind je op de website van DigiD

Eerst maar wat terminologie. Identificatie is in de informatica de eerste stap in het autorisatieproces. Iemand maakt zijn of haar identiteit kenbaar en daarop wil de andere partij weten of de persoon in kwestie wel echt die persoon is. De controle daarvan noemen we de authenticatie. Als het de juiste persoon blijkt te zijn, kan hij of zij toegang krijgen tot het proces. Dat noemen we autoriseren.
Tot voor kort verliep dit hele proces bij de overheid snel en waterdicht. Je ging naar een balie en toonde je paspoort. Aan de hand van de gegeven naam en de gegevens op het paspoort, authenticeerde de betreffende ambtenaar je identiteit om daarna direct te autoriseren.
Bij Digid en/of identificatie via het internet is er geen paspoort en geen fysieke aanwezigheid.

Betrouwbaarheidsniveaus

DigiD hanteert drie niveaus van betrouwbaarheid.
Het basisniveau – bestaande uit de gebruikersnaam en het wachtwoord – verschaft de minste betrouwbaarheid, maar is wel voldoende voor de wat eenvoudigere handelingen.
Daarnaast is er de middelste trap. Bij dit niveau is er sprake van een soort extra sessiebeveiliging. Hierbij zou je kunnen denken aan de huidige methode van de inlogcodes per SMS, maar op dit moment zijn ook nog andere methodes in onderzoek.


Hoewel de overheid DigiD presenteert als een goed en veilig middel, heeft het Genootschap van Informatiebeveiligers daar grote bedenkingen bijTenslotte komt men bij de hoge trap, die echter nog steeds in ontwikkeling is. Het gaat hierbij om de zogenaamde Elektronische Identiteitskaart (eNIK) die te zijner tijd aan te vragen is bij de gemeente. Deze trap zal uiteindelijk wel de meeste authenticiteit bieden, maar is nog steeds in ontwikkeling met het risico dat de techniek straks enigszins achterhaald is.

De overheidsinstelling die DigiD wil gaan gebruiken, mag zelf bepalen welke trap van betrouwbaarheid zij nodig acht voor de handelingen die zij verrichten, maar DigiD acht de basistrap voldoende voor de meeste handelingen die nu beschikbaar zijn. Moet er echter meer (privacy)gevoelige informatie uitgewisseld worden, dan kan de overheidsinstelling besluiten om de middelste (of indien deze te zijner tijd beschikbaar is, de hoogste) trap te kiezen.