iDIN

iDIN is een Nederlands online identificatiemiddel. De iD staat voor iDentificeren en IN staat voor INloggen. Het werd in 2016 geïntroduceerd door Betaalvereniging Nederland^[1] en is samen met de banken ontwikkeld. Deze zijn hier in 2014 mee begonnen, mede op verzoek van partijen als Thuiswinkel.org, verzekeraars en overheid.

iDIN logo

iDIN kent een viertal toepassingsmogelijkheden die het voor zowel particulieren als bedrijven makkelijker maken om volledig digitaal via de vertrouwde bankomgeving met elkaar zaken af te handelen:

Inloggen
Identificeren
Leeftijdsverificatie
Ondertekenen.

Particulieren kunnen zich met behulp van iDIN identificeren bij een bedrijf zoals een webshop. De persoon logt in bij zijn of haar bank die dan bepaalde gegevens van de persoon, die de bank zelf al gecontroleerd heeft, doorgeeft aan het bedrijf. Alle klanten van de bank die al volledig door de bank zijn geïdentificeerd kunnen al gebruik maken van iDIN. Dit zijn bijna alle Nederlanders.

1. Inloggen met iDIN vereist geen gebruikersnaam of wachtwoord. Een gebruiker dient zich eerst eenmalig aan te melden via iDIN. Iedere volgende keer dat een gebruiker wil inloggen kan dit met iDIN zonder een gebruikersnaam of wachtwoord in te voeren. Het onthouden ervan is met iDIN niet meer nodig.

2. Identificatie is een tweede toepassing van iDIN. Een gebruiker kan met iDIN zich identificeren en zijn of haar persoonsgegevens aan een organisatie doorgeven. Een gebruiker bepaalt en kiest zelf welke gegevens worden doorgegeven. Na akkoord worden deze gegevens aan een organisatie doorgegeven. Deze organisatie is zichtbaar in de veilige bankomgeving waar de identificatie via IDIN wordt goedgekeurd door de gebruiker. Deze organisatie die de iDIN informatie ontvangt, heeft hiervoor een overeenkomst en een verwerkersovereenkomst met een DISP afgesloten.

3. Leeftijdsverificatie met iDIN is een toepassing waarbij de gebruiker alleen zijn of haar leeftijd doorgeeft aan een organisatie.

4. Ondertekenen is een vierde toepassing van iDIN voor het digitaal ondertekenen van documenten.

In de eerste periode werd iDIN getest door de overheid (belastingdienst) en bedrijven zoals Florius, BKR en ONVZ. Inmiddels wordt het door steeds meer bedrijven omarmd als betrouwbare inlogmethode. Met de steeds verdergaande digitalisering van de economie is de afhankelijkheid van betrouwbare identiteiten online ook steeds belangrijker aan het worden. iDIN voldoet aan de vereisten vanuit eIDAS, wwft en de Algemene verordening gegevensbescherming (AVG).

eIDAS en Wwft bewerken

Sinds 2014 is in Europa de eIDAS-verordening van kracht. Deze beschrijft in de bijbehorende uitvoeringsverordening onder meer de betrouwbaarheidsniveaus van de elektronische identificatiemiddelen, met eisen aan processen, techniek en organisatie. De banken hebben veel ervaring met deze processen, omdat zij al jaren de schade lijden wanneer er fraude is met internetbankieren. De banken publiceren via de NVB ook de fraudecijfers, waaruit blijkt dat fraude weliswaar nog steeds voorkomt, maar wel erg weinig in vergelijking tot het gebruik. Voor iDIN geldt dat het voldoet aan de eisen van ten minste niveau "Substantieel" in relatie tot de betrouwbaarheidsniveaus vanuit de eIDAS-verordening.

De Wwft regelt van oudsher al veel van de eisen aan de banken als het gaat om het identificeren van klanten en de toegang tot de rekening en betalingen. Deze eisen worden ook periodiek wereldwijd aangescherpt. Voor iDIN zijn ook deze eisen van toepassing, wat zoveel betekent dat voordat een klant iDIN kan gebruiken deze door de bank is geïdentificeerd en dat de authenticatie op een veilige en betrouwbare manier verloopt.

Privacy en Algemene verordening gegevensbescherming (AVG) bewerken

De toepassing van de privacyregels en richtlijnen is extern getoetst voor iDIN door Considerati. Hieruit kwam naar voren dat iDIN voldoet aan de vereisten en Privacy By Design heeft toegepast: "De Betaalvereniging heeft gedegen aandacht besteed aan de privacy-aspecten die gemoeid zijn met het gebruik van iDIN door consumenten (‘privacy by design’)."^[2]

Een van de maatregelen die iDIN heeft genomen is dat iedere iDIN-gebruiker voor elke instelling waar ingelogd wordt een verschillend pseudoniem (een soort herkenningsnummer) heeft. Hierdoor kunnen de instellingen, wanneer de inloggegevens gecombineerd worden, via die weg geen 'profiling' toepassen.

Het herkenningsnummer dat iDIN doorgeeft voor alle instellingen die het BSN mogen gebruiken is wel steeds hetzelfde en verschilt dus niet per instelling.^[3] Dit heeft te maken met de opzet en werking van het systeem van Logius dat verplicht is voor het gebruik van iDIN wanneer het BSN gebruikt wordt. Veel overheidsinstellingen zijn dankzij de werking van het huidige DigiD gewend aan het verwerken van het BSN bij het inloggen van een burger. Logius 'vertaalt' het herkenningsnummer van iDIN naar het BSN voor elke aangesloten (overheids- en zorg)instelling. De verwachting is dat met de definitieve toelating van iDIN binnen de gehele overheid dit op dezelfde manier gaat werken als voor niet-overheidsinstellingen.^[4]

Met iDIN krijgt de bank geen inzage in de gegevens van de instelling waar ingelogd wordt en omgekeerd krijgt de instelling geen inzage in de financiële gegevens die bij de bank bekend zijn. De klant bepaalt zelf of de identiteitsgegevens gedeeld worden met de instelling.

Aangesloten banken bewerken

De volgende banken zijn aangesloten bij iDIN:^[5]

DISP bewerken

DISP staat voor Digital Identity Service Provider. Een DISP is een organisatie die door Currence is gecertificeerd voor het verwerken van iDIN-transacties. Een DISP mag ook direct met een bedrijf een overeenkomst voor iDIN afsluiten zonder tussenkomst en kosten van een bank. Het voordeel voor een bedrijf dat iDIN wil inzetten om aan klanten aan te bieden, is dat een overeenkomst en verwerkersovereenkomst met een DISP voldoende is om iDIN aan klanten aan te bieden.

Externe link bewerken

Officiële website

Zie ook bewerken

Bronnen, noten en/of referenties

↑ Olaf van Miltenburg, Door banken ontwikkelde inlogmethode komt breed beschikbaar. Tweakers (11 november 2016). Gearchiveerd op 11 november 2016. Geraadpleegd op 11 november 2016.
↑ Considerati, Statement Privacy Compliance iDIN. Gearchiveerd op 24 januari 2018. Geraadpleegd op 29 januari 2018.
↑ Door banken ontwikkelde inlogmethode komt breed beschikbaar (april 2016). Geraadpleegd op 5 maart 2017.
↑ Rijksoverheid, Veilig en makkelijk inloggen bij de overheid en in de zorg. Gearchiveerd op 2 juli 2018. Geraadpleegd op 29 januari 2019.
↑ Kan ik iDIN gebruiken?. iDIN. Betaalvereniging Nederland. Gearchiveerd op 12 augustus 2021. Geraadpleegd op 5 juli 2021.
↑ iDIN now availablewith bunq. Gearchiveerd op 5 december 2019. Geraadpleegd op 5 december 2019.

[1] Olaf van Miltenburg, Door banken ontwikkelde inlogmethode komt breed beschikbaar. Tweakers (11 november 2016). Gearchiveerd op 11 november 2016. Geraadpleegd op 11 november 2016.

[2] Considerati, Statement Privacy Compliance iDIN. Gearchiveerd op 24 januari 2018. Geraadpleegd op 29 januari 2018.

[3] Door banken ontwikkelde inlogmethode komt breed beschikbaar (april 2016). Geraadpleegd op 5 maart 2017.

[4] Rijksoverheid, Veilig en makkelijk inloggen bij de overheid en in de zorg. Gearchiveerd op 2 juli 2018. Geraadpleegd op 29 januari 2019.

[5] Kan ik iDIN gebruiken?. iDIN. Betaalvereniging Nederland. Gearchiveerd op 12 augustus 2021. Geraadpleegd op 5 juli 2021.

[6] DIN now availablewith bunq. Gearchiveerd op 5 december 2019. Geraadpleegd op 5 december 2019.

[1]

[2]

[3]

[4]

[5]

[6]