Op de veiligheid van DigiD is genoeg af te dingen
/10 reacties
-
door: Marjon Vinck over: informatica, privacy op: 27 februari 2007 De overheid pusht burgers en bedrijven een DigiD aan te vragen
Maar ondertussen is de digitale identiteit allerminst veilig te noemen
Iedereen die dit jaar elektronisch belastingaangifte doet, moet een DigiD hebben. Het spreekt voor zich dat veiligheid hier van het grootste belang is. De overheid moet erop kunnen vertrouwen dat zij ook elektronisch met de juiste persoon van doen heeft. Toch is er op de veiligheid van DigiD genoeg af te dingen.
DigiD?
In toenemende mate kun je via internet zaken doen met overheidsinstellingen. Denk aan het aanvragen van een vergunning via de website van je gemeente, of het inzenden van uw belastingaangifte via internet. Meestal wissel je bij dergelijke diensten vertrouwelijke gegevens uit. Om ervoor te zorgen dat die gegevens alleen met jou worden uitgewisseld, willen overheidsinstellingen zeker weten dat je ook echt bent wie je beweert te zijn. Daarvoor is de DigiD in het leven geroepen, een afkorting van digitale identiteit.
Behalve de Belastingdienst en gemeenten zijn er veel meer overheidsinstanties op DigiD aangesloten. Denk daarbij aan het CWI (Centrum Werk en Inkomen), de Sociale Verzekeringsbank (SVB) en het UWV. Een compleet overzicht vind je op de website van DigiD
Eerst maar wat terminologie. Identificatie is in de informatica de eerste stap in het autorisatieproces. Iemand maakt zijn of haar identiteit kenbaar en daarop wil de andere partij weten of de persoon in kwestie wel echt die persoon is. De controle daarvan noemen we de authenticatie. Als het de juiste persoon blijkt te zijn, kan hij of zij toegang krijgen tot het proces. Dat noemen we autoriseren.
Tot voor kort verliep dit hele proces bij de overheid snel en waterdicht. Je ging naar een balie en toonde je paspoort. Aan de hand van de gegeven naam en de gegevens op het paspoort, authenticeerde de betreffende ambtenaar je identiteit om daarna direct te autoriseren.
Bij Digid en/of identificatie via het internet is er geen paspoort en geen fysieke aanwezigheid.
Betrouwbaarheidsniveaus
DigiD hanteert drie niveaus van betrouwbaarheid.
Het basisniveau – bestaande uit de gebruikersnaam en het wachtwoord – verschaft de minste betrouwbaarheid, maar is wel voldoende voor de wat eenvoudigere handelingen.
Daarnaast is er de middelste trap. Bij dit niveau is er sprake van een soort extra sessiebeveiliging. Hierbij zou je kunnen denken aan de huidige methode van de inlogcodes per SMS, maar op dit moment zijn ook nog andere methodes in onderzoek.

De overheidsinstelling die DigiD wil gaan gebruiken, mag zelf bepalen welke trap van betrouwbaarheid zij nodig acht voor de handelingen die zij verrichten, maar DigiD acht de basistrap voldoende voor de meeste handelingen die nu beschikbaar zijn. Moet er echter meer (privacy)gevoelige informatie uitgewisseld worden, dan kan de overheidsinstelling besluiten om de middelste (of indien deze te zijner tijd beschikbaar is, de hoogste) trap te kiezen.