DigiD

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
DigiD logo

DigiD (uitgesproken als die-gie-dee) is de naam van een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren, een soort digitaal paspoort voor overheidinstanties.

DigiD is in 2003 gelanceerd onder de naam Nieuwe Authenticatie Voorziening (NAV) en werd ook wel Burgerpin genoemd.[1][2] Op 5 oktober 2004 werd de naam gewijzigd in DigiD.[3] Vanaf 1 januari 2005 konden alle burgers van Nederland zich bij overheidsorganisaties identificeren via internet en konden alle overheidsinstellingen in Nederland zich gaan aansluiten op DigiD. De Gemeente Enschede was eind 2004 reeds met een proef gestart om haar inwoners via DigiD internetdiensten aan te bieden.[4][5]

De term DigiD is een afkorting van Digitale Identiteit. Het is opgezet door stichting ICTU, die in 2001 is opgericht door het ministerie van Binnenlandse Zaken en de Vereniging van Nederlandse Gemeenten. DigiD werd ontwikkeld door het BKWI.[6][7] DigiD is nu in beheer bij de gemeenschappelijke beheerorganisatie van de overheid: Logius. DigiD is gekoppeld aan het burgerservicenummer.

In 2015 waren er ruim 12 miljoen DigiD's aan burgers uitgegeven en werd er 200 miljoen keer mee ingelogd.[8] Ook bedrijven konden een DigiD-inlogcode aanvragen, die was gekoppeld aan hun Kamer van Koophandel-nummer. Het gebruik van DigiD door bedrijven was verwaarloosbaar.[9] DigiD voor bedrijven was beschikbaar tot 1 januari 2011. Ter vervanging is het afsprakenstelsel eHerkenning voor Bedrijven gekomen. DigiD wordt opgenomen in Idensys.

Doel[bewerken]

Op aanvraag ontvangt men van DigiD hiervoor een (bij de aanvraag zelf gekozen) gebruikersnaam en bijbehorend wachtwoord. Hiermee kan men met één inlogcode terecht bij elektronische diensten van steeds meer overheidsinstellingen. Intussen zijn naast een groot deel van de gemeenten onder meer ook de Belastingdienst, de Sociale Verzekeringsbank (SVB) en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) aangesloten op DigiD.

Vanaf 2006 is DigiD verplicht voor iedereen die elektronisch belastingaangifte doet. DigiD wordt bij de aangifte gebruikt voor de authenticatie, een vereiste om samen met een of meer andere maatregelen een digitale handtekening te kunnen plaatsen. Alleen degenen die gebruikmaken van de dienst hulp bij aangifte (HUBA), diskettegebruikers, gebruikers van commerciële software en fiscale intermediairs kunnen nog gebruikmaken van de vroegere pincodebeveiliging.

DigiD en de aangesloten overheidsorganisaties bieden vooralsnog geen voorziening voor vertegenwoordiging. Omdat een DigiD strikt persoonlijk is, is het de eigenaar van een DigiD niet toegestaan zijn gebruikersnaam en wachtwoord aan een andere persoon uit te lenen. Wel kan in sommige gevallen een andere persoon voor de authenticatie zorg dragen door zelf zijn eigen DigiD te gebruiken. In dat geval zal de overheidsorganisatie van wie een dienst wordt afgenomen - in aanvulling op DigiD - controle op de rechtmatigheid van de authenticatie ten opzichte van de dienst uitvoeren.

Commerciële vertegenwoordigers, zoals belastingadviseurs, mogen klanten nooit vragen naar hun DigiD of namens hen DigiD's aanvragen. Het gebruik van de DigiD van een ander geldt als identiteitsfraude. Controle op dergelijk oneigenlijk gebruik kan ook op een later moment plaatsvinden, afhankelijk van de aard van de afgenomen dienst.

Werking[bewerken]

Men kan op de website van DigiD een gebruikersnaam aanvragen. Het opgegeven adres van deze persoon moet in ieder geval hetzelfde zijn als wat in de GBA staat als bekende woonadres van de aanvrager.

De aanvrager kan zelf een DigiD-gebruikersnaam en wachtwoord kiezen. Vervolgens krijgt men een activeringscode thuisgestuurd. Met deze activeringscode kan men op de website van DigiD zijn gebruikersnaam activeren. Ook mensen die met een bijzondere achternaam (namenreeks) of een afwijkend adresformaat (zoals bij een woonboot zonder huisnummer) in de GBA staan ingeschreven, kunnen een DigiD aanvragen.

Om een elektronische dienst af te nemen met DigiD wordt men van de website van de overheidsinstelling doorgeleid naar de inlogpagina van DigiD. Hier logt men in en, nadat de identiteit is geverifieerd, kan men de dienst afnemen. De DigiD-website voert de controle op de identiteit dus uit, waardoor de afnemende overheidssites die controle niet meer zelf hoeven uit te voeren.

Zekerheidsniveaus[bewerken]

DigiD heeft drie verschillende zekerheidsniveaus: Basis, Midden en Hoog. Hoe hoger het zekerheidsniveau, hoe strenger de veiligheidsmaatregelen, maar ook hoe meer diensten er kunnen worden afgenomen.

Zekerheidsniveau Basis
DigiD van dit niveau is alleen gebruikersnaam en wachtwoord. Dit is het eenvoudigste en meest gebruikte type DigiD.
Zekerheidsniveau Midden
Het is mogelijk om DigiD via verificatie met behulp van short message service (sms) uit te breiden. Daarvoor moet op de DigiD-website worden gekozen voor authenticatie met een extra controle via sms en er moet een mobiel telefoonnummer zijn opgegeven. In dat geval moet bij aanmelding op een DigiD-compatible website met DigiD-gebruikersnaam en wachtwoord, ook de per sms ontvangen eenmalig geldige transactiecode worden ingevoerd. De keuzemogelijkheid "Ik wil inloggen met alleen gebruikersnaam en wachtwoord" wordt dan wel gepresenteerd (omdat de presentatie vóór het inloggen niet gebruikersafhankelijk is), maar deze keuzemogelijkheid werkt dan niet.
Inmiddels[wanneer?] is DigiD uitgebreid. Hierbij wordt een smartphone-app ingezet die codes kan genereren[10], vergelijkbaar met bestaande TOTP-compatible applicaties zoals Google Authenticator.[11]
Zekerheidsniveau Hoog
In de toekomst zal de elektronische identiteitskaart worden ingevoerd. Hiermee beschikt men over zekerheidsniveau Hoog. Met dit niveau kan men gebruikmaken van alle mogelijkheden op het internet die de overheid op dat moment kan bieden. Dit niveau gaat gebruikmaken van PKIoverheid-certificaten.

Een aanvulling op DigiD is Remote Document Authentication (RDA). Hiermee kan iemand zich (aanvullend) digitaal identificeren.De te gebruiken identiteitsbewijzen zijn de bestaande middelen met een NFC contactloze chip: het rijbewijs, de identiteitskaart en het paspoort. Voor het lezen van de chip is een NFC-chipkaartlezer of smartphone met NFC nodig.[12][13]

Bezwaren tegen DigiD[bewerken]

Door het Genootschap van Informatiebeveiligers (GvIB) is in 2006 kritiek geuit op de werkwijze rond DigiD. Het bezwaar kwam neer op de volgende punten van kritiek:

  • Een DigiD-activeringscode werd op aanvraag via de post uitgereikt (in de brievenbus gestopt). Aangezien er bij de uitreiking geen authenticatie tegen een legaal identiteitsbewijs plaatsvindt, is er geen volledige zekerheid over de daadwerkelijke identiteit van de DigiD-gebruiker. Uitsluitend de DigiD-gebruikersnaam en het bijbehorende wachtwoord zijn benodigd ter identificatie van een persoon.
  • Het uitlekken van de DigiD-gebruikersnaam en -wachtwoord bleek voldoende om de identiteit van een persoon te misbruiken. Voorbeelden zijn een keylogger of (te goeder trouw): partners die gezamenlijk aangifte deden moesten beiden met hun DigiD een aangifte ondertekenen. Het ligt voor de hand dat de partner die de aangifte indient ook de DigiD van de andere partner kent en dus de digitale identiteit van die partner kan overnemen. In geval van scheiding is het dus aan te bevelen om het wachtwoord te wijzigen.

Binnen het palet van voorzieningen met niveau Basis, Midden en Hoog, heeft DigiD de basis authenticatiefunctie uitgebreid tot niveau Midden door toevoeging van sms-authenticatie. Uitbreiding van de authenticatiefunctie met de sms-functie maakt deze veiliger, aangezien iemand die andermans DigiD-gegevens kent, die functie op de DigiD-website (door wijziging van het te gebruiken 06-nummer) alleen kan aanpassen als deze over het bestaande gsm-nummer kan beschikken. Daarmee wordt dit beveiligingsniveau zo sterk als de beveiliging van de simkaarten in een telefoon.

Daarnaast is het eenvoudig om voor iemand anders een DigiD aan te vragen (zodra gegevens als burgerservicenummer en geboortedatum bij een derde bekend zijn). Doordat de activeringscode naar het huisadres gestuurd wordt, is misbruik niet zo eenvoudig te realiseren, al blijkt het in de praktijk wel voor te komen. In juni 2013 bleken 350 DigiD's van studenten in een studentenhuis in Groningen op deze wijze buitgemaakt.[14] Maar door de nieuwe aanvraag komt een bestaand DigiD te vervallen, zodat de rechtmatige eigenaar deze tijdelijk niet kan gebruiken (totdat hij/zij zelf opnieuw een DigiD heeft aangevraagd). In wezen resulteert dit in denial-of-service voor de rechtmatige bezitter van de DigiD. Een soortgelijk incident trad eind 2013 ook op in Amsterdam-Zuidoost, waarbij Logius (de beheerder van DigiD) de gebrekkige postbezorging in dat postcodegebied als oorzaak aangaf.[15]

Bij gebrek aan uitsluitsel over toepassing van authenticatie bij uitreiking of het gebruik van een betere vorm van versterkte authenticatie met behulp van een token of smartcard, is naast kennis van een bewijs van identiteit ook het bezit van een bewijsstuk nodig ter identificatie. In theorie kan de techniek van het sinds 28 augustus 2006 beschikbare paspoort met biometrie daarvoor worden gebruikt.

DigiD en niet-overheid[bewerken]

DigiD is het standaardidentificatie- en authenticatiemechanisme bij gegevensuitwisseling met de overheid via internet. Daarmee bestaat DigiD uit een enorme directory van digitale identiteiten. Bovendien staat de overheid borg voor de betrouwbaarheid van die identiteiten, afgezien van de voorgenoemde bezwaren.

Met de komst van het burgerservicenummer − dat per 26 november 2007 het sofinummer verving − kunnen in theorie ook andere (semi)overheidsorganisaties aansluiten op DigiD, bijvoorbeeld zorgverzekeraars, onderwijsinstellingen en zorginstellingen. Er zijn diverse organisaties die nadenken over het gebruik van DigiD voor identificatie en authenticatie. Op dit moment mag DigiD daarvoor formeel niet worden gebruikt, omdat DigiD alleen op basis van het burgerservicenummer de authenticatie kan uitvoeren. Alleen bestuursorganen van de overheid mogen dergelijke informatie gebruiken en alleen aan hen mag DigiD het resultaat van de authenticatie melden.

Een bezwaar tegen het gebruik van DigiD voor authenticatie buiten het overheidsdomein is gelegen in de 3rd Law of Identity, zoals geformuleerd door Kim Cameron: de overheid (de eigenaar van DigiD) is geen gerechtvaardigde partij in transacties buiten het overheidsdomein. De overheid heeft bijvoorbeeld niets te maken met transacties tussen een individu en een webwinkel of weblog. Dat geldt in beperkte mate ook voor DigiD, dat in de huidige opzet niet weet van de inhoud van de webdienst, maar wél dat op zijn minst begonnen is met een webdienst af te nemen.

Bezwaren tegen het gebruiken van één authenticatiedienst die door de overheid wordt geleverd, hebben te maken met de beschikbaarheid, vertrouwelijkheid en integriteit die door zo'n platform geboden moet worden.

  1. Een grote afhankelijkheid van één authenticatiedienst maakt die dienst kwetsbaar voor uitval. Een DDoS-aanval op de servers heeft dan vergaande consequenties.
  2. Zo'n grote databank is een dankbaar onderwerp voor aanvallers: is de vertrouwelijkheid geschaad, dan moet van iedereen in die databank minimaal het DigiD-wachtwoord herzien worden.
  3. Door de verantwoordelijkheidsverschuiving zouden commerciële partijen 'blind' moeten varen op de betrouwbaarheid van het aanmeldproces en het beheerproces van DigiD. Dat is juridisch moeilijk, en vanuit een auditperspectief onwenselijk.

Beveiligingsschandaal overheidscertificaten[bewerken]

In de zomer van 2011 kwam DigiNotar, het bedrijf dat de beveiligingscertificaten van onder meer DigiD leverde, ernstig in opspraak, nadat aan het licht was gekomen dat er onder meer vanuit Iran een hack was gezet bij het bedrijf, dat vervolgens had nagelaten de overheid en zijn andere klanten op de hoogte te stellen dat het was gecompromitteerd. Niet alleen de overheid, maar ook makers van browsersoftware zoals Mozilla hebben het vertrouwen in DigiNotar opgezegd, Getronics PinkRoccade heeft de certificering van DigiD-verbindingen overgenomen.[16]

Toekomst[bewerken]

Een nieuw systeem voor elektronische identificatie in Nederland is Idensys. Voor het vergroten van de veiligheid worden hierin twee aanvullende maatregelen ten opzichte van DigiD getroffen: een uitgifte in persoon (bijvoorbeeld bij een balie) en een digitaal middel dat aan de hoogste veiligheidsnormen voldoet (bijvoorbeeld een chip).[17] Tevens wordt gewerkt aan DigiD inlogmiddelen die meer zekerheid geven over de identiteit van de persoon die inlogt. De inlogmiddelen zijn van de eIDAS niveaus Substantieel en Hoog. Met deze inlogmiddelen zal dan alleen van een smartcard gebruik gemaakt kunnen worden, al of niet met een PKI-certificaat.

Trivia[bewerken]

  • DigiD gaf op 22 november 2006 aan van plan te zijn om enkele duizenden mobieletelefoonnummers die bij meerdere DigiD-nummers voorkwamen, te verwijderen. Het niveau van die DigiD wordt dan teruggezet naar niveau basis (alleen gebruikersnaam/wachtwoord). De eisen aan het gebruik van DigiD zijn verwoord in de gebruiksvoorwaarden op de DigiD-website. Voor technische en andere aanpassingen zou zo nodig een nieuwe versie worden uitgebracht.
  • In april 2007 bleek dat de Belastingdienst met DigiD niet als eis stelde dat de belanghebbende zelf zijn eigen digitale handtekening gebruikt als de aangifte inkomstenbelasting elektronisch wordt ingediend. Er moest wel met een DigiD worden ondertekend, maar de Belastingdienst bleek niet goed te controleren of dat DigiD hetzelfde was als dat van de aangever. De DigiD- en Belastingdiensthelpdesks adviseerden gebruikers die hun gebruikersnaam of wachtwoord niet meer kenden, onterecht om de DigiD van de buurman te gebruiken.[18]

Zie ook[bewerken]

Externe links[bewerken]