DigiD

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

DigiD (uitgesproken als die-gie-dee) is de naam van een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren, een soort digitaal paspoort voor overheidinstanties.

DigiD is in 2003 gelanceerd onder de naam Nieuwe Authenticatie Voorziening (NAV) en werd ook wel Burgerpin genoemd.[1][2] Op 5 oktober 2004 werd de naam gewijzigd in DigiD.[3] Vanaf 1 januari 2005 konden alle burgers van Nederland zich bij overheidsorganisaties identificeren via internet en konden alle overheidsinstellingen in Nederland zich gaan aansluiten op DigiD. De Gemeente Enschede was eind 2004 reeds met een proef gestart om haar inwoners via DigiD internetdiensten aan te bieden.[4][5]

De term DigiD is een afkorting van Digitale Identiteit. Het is opgezet door stichting ICTU, die in 2001 is opgericht door het ministerie van Binnenlandse Zaken en de Vereniging van Nederlandse Gemeenten. DigiD werd ontwikkeld door het BKWI.[6][7] DigiD is nu in beheer bij de gemeenschappelijke beheerorganisatie van de overheid: Logius. DigiD is gekoppeld aan het burgerservicenummer.

In 2013 waren er ruim 10 miljoen DigiD's aan burgers uitgegeven.[8] Ook bedrijven konden een DigiD-inlogcode aanvragen, die was gekoppeld aan hun Kamer van Koophandel-nummer. Het gebruik van DigiD door bedrijven was verwaarloosbaar.[9] DigiD voor bedrijven was beschikbaar tot 1 januari 2011. Ter vervanging is het afsprakenstelsel eHerkenning voor Bedrijven gekomen.

Doel[bewerken]

Op aanvraag ontvangt men van DigiD hiervoor een (bij de aanvraag zelf gekozen) gebruikersnaam en bijbehorend wachtwoord. Hiermee kan men met één inlogcode terecht bij elektronische diensten van steeds meer overheidsinstellingen. Intussen zijn naast een groot deel van de gemeenten onder meer ook de Belastingdienst, de Sociale Verzekeringsbank (SVB) en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) aangesloten op DigiD.

Vanaf 2006 is DigiD verplicht voor iedereen die elektronisch belastingaangifte doet. DigiD wordt bij de aangifte gebruikt voor de authenticatie, een vereiste om samen met een of meer andere maatregelen een digitale handtekening te kunnen plaatsen. Alleen degenen die gebruikmaken van de dienst hulp bij aangifte (HUBA), diskettegebruikers, gebruikers van commerciële software en fiscale intermediairs kunnen nog gebruikmaken van de vroegere pincodebeveiliging.

DigiD en de aangesloten overheidsorganisaties bieden vooralsnog geen voorziening voor vertegenwoordiging. Omdat een DigiD strikt persoonlijk is, is het de eigenaar van een DigiD niet toegestaan zijn gebruikersnaam en wachtwoord aan een andere persoon uit te lenen. Wel kan in sommige gevallen een andere persoon voor de authenticatie zorgdragen door zelf zijn eigen DigiD te gebruiken. In dat geval zal de overheidsorganisatie van wie een dienst wordt afgenomen - in aanvulling op DigiD - controle op de rechtmatigheid van de authenticatie ten opzichte van de dienst uitvoeren.

Commerciële vertegenwoordigers, zoals belastingadviseurs, mogen klanten nooit vragen naar hun DigiD of namens hen DigiD's aanvragen. Het gebruik van de DigiD van een ander geldt als identiteitsfraude. Controle op dergelijk oneigenlijk gebruik kan ook op een later moment plaatsvinden, afhankelijk van de aard van de afgenomen dienst.

Werking[bewerken]

Men kan op de website van DigiD een gebruikersnaam aanvragen. Het opgegeven adres van deze persoon moet in ieder geval hetzelfde zijn als wat in de GBA staat als bekende woonadres van de aanvrager.

De aanvrager kan zelf een DigiD-gebruikersnaam en wachtwoord kiezen. Vervolgens krijgt men een activeringscode thuisgestuurd. Met deze activeringscode kan men op de website van DigiD zijn gebruikersnaam activeren. Ook mensen die met een bijzondere achternaam (namenreeks) of een afwijkend adresformaat (zoals bij een woonboot zonder huisnummer) in de GBA staan ingeschreven, kunnen inmiddels ook een DigiD aanvragen.

Om een elektronische dienst af te nemen met DigiD wordt men van de website van de overheidsinstelling doorgeleid naar de inlogpagina van DigiD. Hier logt men in en, nadat de identiteit is geverifieerd, kan men de dienst afnemen. De DigiD-website voert de controle op de identiteit dus uit, waardoor de afnemende overheidssites die controle niet meer zelf hoeven uit te voeren.

Zekerheidsniveaus[bewerken]

DigiD heeft drie verschillende zekerheidsniveaus: Basis, Midden en Hoog. Hoe hoger het zekerheidsniveau, hoe strenger de veiligheidsmaatregelen, maar ook hoe meer diensten er kunnen worden afgenomen.

Zekerheidsniveau Basis
DigiD van dit niveau is alleen gebruikersnaam en wachtwoord. Dit is de eenvoudige en meest gebruikte type DigiD.
Zekerheidsniveau Midden
Het is mogelijk om DigiD via verificatie met behulp van short message service (sms) uit te breiden. Daarvoor moet dan op de DigiD-website worden aangegeven dat authenticatie per sms wenselijk is, waarbij een mobiel telefoonnummer moet worden opgegeven. In dat geval moet na aanmelding op een DigiD-compatible website met DigiD-gebruikersnaam en wachtwoord, ook de per sms ontvangen eenmalig geldige transactiecode worden ingevoerd.
Zekerheidsniveau Hoog
In de toekomst zal de elektronische identiteitskaart worden ingevoerd. Met deze elektronische identiteitskaart beschikt men over zekerheidsniveau Hoog. Met zekerheidsniveau Hoog kan men gebruikmaken van alle mogelijkheden op het internet die de overheid op dat moment kan bieden. Dit niveau gaat gebruikmaken van PKIoverheid-certificaten.

Bezwaren tegen DigiD[bewerken]

Door het Genootschap van Informatiebeveiligers (GvIB) is in 2006 kritiek geuit op de huidige werkwijze rond DigiD. Het bezwaar komt neer op de volgende punten van kritiek:

  • Op dit moment wordt een DigiD-activeringscode op aanvraag via de post uitgereikt (in de brievenbus gestopt). Aangezien er bij de uitreiking geen authenticatie tegen een legaal identiteitsbewijs plaatsvindt, is er geen volledige zekerheid over de daadwerkelijke identiteit van de DigiD-gebruiker. Uitsluitend de DigiD-gebruikersnaam en het bijbehorende wachtwoord zijn benodigd ter identificatie van een persoon.
  • Het uitlekken van de DigiD-gebruikersnaam en wachtwoord is voldoende om de identiteit van een persoon te misbruiken. Voorbeelden zijn een keylogger of (te goeder trouw): partners die gezamenlijk aangifte doen moeten beide met hun DigiD een aangifte ondertekenen. Het ligt voor de hand dat de partner die de aangifte indient ook het DigiD van de andere partner kent en dus de digitale identiteit van die partner kan overnemen. In geval van scheiding is het dus aan te bevelen om het wachtwoord te wijzigen.

Binnen het palet van voorzieningen met niveau basis, midden en hoog, heeft DigiD de basis authenticatiefunctie uitgebreid tot niveau midden door toevoeging van sms-authenticatie. Uitbreiding van de authenticatiefunctie met de sms-functie maakt deze veiliger, aangezien iemand die andermans DigiD-gegevens kent, die functie op de DigiD-website (door wijziging van het te gebruiken 06-nummer) alleen kan aanpassen als deze over het bestaande gsm-nummer kan beschikken. Daarmee wordt dit beveiligingsniveau zo sterk als de beveiliging van de simkaarten in een telefoon. Dat telecomproviders het nodig vinden om in hun algemene voorwaarden het kopiëren van die kaart te verbieden, doet vermoeden dat die kopie makkelijker gemaakt is dan gedacht.

Daarnaast is het eenvoudig om voor iemand anders een DigiD aan te vragen (zodra gegevens als burgerservicenummer en geboortedatum bij een derde bekend zijn). Doordat de activeringscode naar het huisadres gestuurd wordt, is misbruik niet zo eenvoudig te realiseren, al blijkt het in de praktijk wel voor te komen. In juni 2013 bleken 350 DigiD's van studenten in een studentenhuis in Groningen op deze wijze buitgemaakt [10]. Maar door de nieuwe aanvraag komt een bestaand DigiD te vervallen, zodat de rechtmatige eigenaar deze tijdelijk niet kan gebruiken (totdat hij/zij zelf opnieuw een DigiD heeft aangevraagd). In wezen resulteert dit in denial-of-service voor de rechtmatige bezitter van het DigiD. Een soortgelijk incident trad eind 2013 ook op in Amsterdam Zuid-Oost, waarbij Logius (de beheerder van DigiD) de gebrekkige postbezorging in dat postcodegebied als oorzaak aangaf [11].

Er is op dit moment geen uitsluitsel over toepassing van authenticatie bij uitreiking of het gebruik van een betere vorm van versterkte authenticatie met behulp van een token of smartcard, zodat naast kennis van een bewijs van identiteit ook het bezit van een bewijsstuk nodig is ter identificatie. In theorie kan de techniek van het sinds 28 augustus 2006 beschikbare paspoort met biometrie daarvoor worden gebruikt.

Een burger heeft maar een beperkt contact met de overheid via online diensten, ongeveer 1,2 maal per jaar. DigiD wordt daardoor maar zeer beperkt gebruikt en leidt ertoe dat de burger zijn gebruikersnaam en/of wachtwoord vergeet of kwijtraakt. Dan moet een nieuw DigiD-account worden aangevraagd, waarbij het gehele registratieproces opnieuw moet worden doorlopen. Dit betekent extra werk voor de beheerorganisatie van DigiD, die nieuwe gegevens moet uitgeven voor dezelfde burgers. De burger moet extra handelingen verrichten en moet wachten op zijn nieuwe gegevens. Dat dient bepaald niet het gebruiksgemak.

DigiD en niet-overheid[bewerken]

DigiD is het standaardidentificatie- en authenticatiemechanisme bij gegevensuitwisseling met de overheid via internet. Daarmee bestaat DigiD uit een enorme directory van digitale identiteiten. Bovendien zal de overheid borg staan voor de betrouwbaarheid van die identiteiten (even afgezien van de voorgenoemde bezwaren). Waarom zou je die directory ook niet kunnen gebruiken voor niet-overheidsinformatiebronnen?

Met de komst van het burgerservicenummer (dat per 26 november 2007 het sofi-nummer verving) kunnen in theorie ook andere (semi)overheidsorganisaties aansluiten op DigiD. Bijvoorbeeld zorgverzekeraars, onderwijsinstellingen en zorginstellingen. Er zijn diverse organisaties die nadenken over het gebruik van DigiD voor identificatie en authenticatie. Op dit moment mag DigiD daarvoor formeel niet worden gebruikt, omdat DigiD alleen op basis van het burgerservicenummer de authenticatie kan uitvoeren. Alleen bestuursorganen van de overheid mogen dergelijke informatie gebruiken en alleen aan hen mag DigiD het resultaat van de authenticatie melden. Het is op dit moment onduidelijk of en zo ja hoe bijvoorbeeld zorgverzekeraars die ook andere financiële producten en diensten (bijvoorbeeld schadeverzekeringen) aanbieden met DigiD mogen omgaan. De vraag is bijvoorbeeld of met DigiD aanmelden op een algemene verzekeringssite een overtreding van de regelgeving is.

Een bezwaar tegen het gebruik van DigiD voor authenticatie buiten het overheidsdomein is gelegen in de 3rd Law of Identity, zoals geformuleerd door Kim Cameron: de overheid (de eigenaar van DigiD) is geen gerechtvaardigde partij in transacties buiten het overheidsdomein. De overheid heeft bijvoorbeeld niets te maken met transacties tussen een individu en een webwinkel of weblog. Dat geldt in beperkte mate ook voor DigiD, dat in de huidige opzet niet weet van de inhoud van de webdienst, maar wél dat op zijn minst begonnen is met een webdienst af te nemen.

Bezwaren tegen het gebruiken van één authenticatiedienst die door de overheid wordt geleverd, hebben te maken met

  1. de beschikbaarheid
  2. de vertrouwelijkheid en
  3. de integriteit

die door zo'n platform geboden moet worden.

  1. Een grote afhankelijkheid van één authenticatiedienst maakt die dienst erg kwetsbaar voor uitval. Een simpele DDOS-aanval op de servers heeft dan vergaande consequenties.
  2. Zo'n grote databank is een dankbaar onderwerp voor aanvallers: is de vertrouwelijkheid geschaad, dan moet van iedereen in die databank minimaal het DigiD-wachtwoord herzien worden.
  3. Door de verantwoordelijkheidsverschuiving zouden commerciële partijen 'blind' moeten varen op de betrouwbaarheid van het aanmeldproces en het beheerproces van DigiD. Dat is juridisch moeilijk, en vanuit een auditperspectief onwenselijk.

De analogie met het autoverkeer maakt het punt duidelijker. Het is niet de taak van de overheid om merk, kleur en type van de auto te bepalen die over de snelwegen mag rijden. Wel stelt de overheid regels op waaraan auto's moeten voldoen. Is er een probleem met een auto, dat wordt 'de vergunning voor dat type' ingetrokken. De andere auto's blijven dan normaal werken.

De oplossing voor de (gewenste) generieke authenticatieinfrastructuur ligt dus niet in het afdwingen, oftewel beperken, van de mogelijkheden, maar in het stellen van goede eisen en randvoorwaarden die interoperabiliteit mogelijk maken.

Beveiligingsschandaal overheidscertificaten[bewerken]

In de zomer van 2011 kwam DigiNotar, het bedrijf dat de beveiligingscertificaten van onder meer DigiD leverde, ernstig in opspraak, nadat aan het licht was gekomen dat er onder meer vanuit Iran een hack was gezet bij het bedrijf, dat vervolgens had nagelaten de overheid en zijn andere klanten op de hoogte te stellen dat het was gecompromitteerd. Niet alleen de overheid, maar ook makers van browsersoftware zoals Mozilla hebben het vertrouwen in DigiNotar opgezegd, Getronics PinkRoccade heeft de certificering van DigiD-verbindingen overgenomen.[12]

Toekomst[bewerken]

Er komt een nieuwe versie, eID genaamd. Voor het vergroten van de veiligheid worden twee aanvullende maatregelen ten opzichte van DigiD getroffen: een uitgifte in persoon (bijvoorbeeld bij een balie) en een digitaal middel dat aan de hoogste veiligheidsnormen voldoet (bijvoorbeeld een chip).[13]

Trivia[bewerken]

  • DigiD gaf op 22 november 2006 aan van plan te zijn om enkele duizenden mobiele telefoonnummers die bij meerdere DigiD-nummers voorkwamen te verwijderen. Het niveau van die DigiD wordt dan teruggezet naar niveau basis (alleen gebruikersnaam/wachtwoord). De eisen aan het gebruik van DigiD zijn verwoord in de gebruiksvoorwaarden op de DigiD-website. Voor technische en andere aanpassingen zou zo nodig een nieuwe versie worden uitgebracht.
  • De in april 2007 gerezen twijfel aan de veiligheid van DigiD is door gebruikers eenvoudig te herstellen. In het geval een wachtwoord bekend is geraakt bij een andere persoon dan de rechtmatige eigenaar, kan de laatste zijn wachtwoord wijzigen. Of men kan een nieuwe DigiD aanvragen die de oude overschrijft. In het ernstigste geval kan een verzoek worden gedaan aan de DigiD-helpdesk om het account te blokkeren. Het verdient aanbeveling de gebruiksvoorwaarden te lezen en gebruik te maken van de sms-functie.
  • In april 2007 bleek dat de Belastingdienst met DigiD niet als eis stelt dat belanghebbende zelf zijn eigen digitale handtekening gebruikt als de aangifte inkomstenbelasting elektronisch wordt ingediend. Er moet wel met een DigiD worden ondertekend, maar de Belastingdienst controleert niet of dat DigiD wel de DigiD is van de aangever. De DigiD- en Belastingdiensthelpdesks adviseerden gebruikers die hun DigiD-gebruikersnaam of -wachtwoord niet meer kenden onterecht om het DigiD van de buurman te gebruiken.

Zie ook[bewerken]

Externe links[bewerken]

Bronnen, noten en/of referenties
  1. “We zijn het gewoon gaan máken” Olf Kinkhorst, projectleider Nationale Authenticatievoorziening, Bureau Keteninformatisering Werk en Inkomen (BKWI), 12 mei 2004, in Hollandse Helden : Overheidsinnovatie volgens uitvoerders
  2. Congres over Nieuwe Authenticatie Voorziening van de overheid Security.nl, 24 september 2004
  3. Nieuwe Authenticatie Voorziening wordt DigiD Security.nl, 6 oktober 2004
  4. Internet-pincode authenticeert burgers bij overheid Security.nl, 3 augustus 2004
  5. DigiD voor alle burgers beschikbaar 1 januari 2005
  6. IWI en de elektronische overheid : Verkennende studie Inspectie Werk en Inkomen, december 2006
  7. Kink in de keten: Inventarisatie van de bevorderende en belemmerende factoren bij samen-werking tussen landelijke overheids-organisaties op het gebied van ICT Onderzoeksrapport Universiteit Twente, maart 2007
  8. DigiD. "DigiD doorstaat Digistorm".
  9. Verkenning eHerkenning: Een andere opzet voor DigiD. Een studie in opdracht van de ministeries van Economische Zaken alsmede Binnenlandse Zaken en Koninkrijksrelaties Innopay BV, 2008
  10. Diefstal DigiD's in studentenhuis Groningen
  11. Diefstal Digid's door "gebrekkige postbezorging" in Amsterdam Zuid-Oost
  12. Daadkracht overheid in beveiligingsschandaal certificaten Beveiligingnieuws, 5 september 2011
  13. http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2013/04/02/kamerbrief-voortgang-toekomstbestendigheid-identiteitsinfrastructuur.html