DigiD

identificatiemethode van de Nederlandse overheid
Verouderd Dit artikel bevat verouderde informatie en zou bijgewerkt moeten worden. U wordt uitgenodigd om dit artikel bij te werken.
Uitleg: Onder andere onder het kopje DigiD en niet-overheid staat er nog wordt nagedacht over gebruik door andere partijen. Inmiddels werken mi de meeste nu ook met DigiD

DigiD (uitgesproken als die-gie-dee oftewel /ˌdiɣiˈde/) is een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren, een soort digitaal paspoort voor overheidsinstanties. DigiD werd in 2003 gelanceerd onder de naam Nieuwe Authenticatie Voorziening en werd toen ook wel Burgerpin genoemd.[3] De naam werd op 5 oktober 2004 gewijzigd in DigiD.[4] Alle burgers van Nederland konden vanaf 1 januari 2005 zich ermee bij overheidsorganisaties via internet identificeren en alle overheidsinstellingen in Nederland konden zich op DigiD gaan aansluiten.[5][6]

DigiD
Logo
Ontwerper(s) Nederlandse overheid
Ontwikkelaar(s) BKWI
Uitgebracht 2003 (20 jaar)
Recentste versie Android: 6.9.3[1] Bewerken op Wikidata
(17 oktober 2023)

iOS: 6.9.3[2] Bewerken op Wikidata
(18 oktober 2023)

Status Actief
Besturingssysteem Android, iOS
Categorie identificatie
Website (en) (nl) Officiële webpagina
Portaal  Portaalicoon   Informatica

DigiD is een afkorting van Digitale Identiteit. Het is door stichting ICTU opgezet, die in 2001 is opgericht door het ministerie van Binnenlandse Zaken en de Vereniging van Nederlandse Gemeenten. DigiD werd ontwikkeld door het BKWI.[7][8] DigiD is nu in beheer bij de gemeenschappelijke beheerorganisatie van de overheid: Logius. DigiD is gekoppeld aan het burgerservicenummer.

DigiD voor bedrijven is in 2004 gelanceerd onder de naam Overheid Transactie Voorziening. Bedrijven konden ook een DigiD-inlogcode aanvragen, die aan hun Kamer van Koophandel-nummer was gekoppeld. Binnen het toenmalig ministerie van Landbouw Nijverheid en Visserij werd geëxperimenteerd met het gebruik van DigiD voor bedrijven in combinatie met de mineralen aangifte door agrariërs. Het gebruik van DigiD door bedrijven was verwaarloosbaar.[9] DigiD voor bedrijven was beschikbaar tot 1 januari 2011. Ter vervanging is het afsprakenstelsel eHerkenning voor Bedrijven gekomen. DigiD is onderdeel van het eID-stelsel. DigiD is een eIDAS erkend middel. Eind 2021 moet het mogelijk zijn om met je DigiD in te loggen bij overheidsorganisaties in andere Europese lidstaten.[10]

DigiD is vergelijkbaar met CSAM dat in België wordt gebruikt.

Gebruik bewerken

DigiD is een identificatiemethode en bedoeld om via internet veel zaken bij overheidsdiensten te kunnen regelen. DigiD staat voor digitale identiteit, en is de toegang waarmee iemand zichzelf kan identificeren. Met DigiD is in te loggen op de websites van de rijksoverheid, gemeente, ABP, UWV, Sociale Verzekeringsbank, politie, belastingdienst, maar ook is die te gebruiken voor het maken van een afspraak voor een bezoek aan de huisarts of ziekenhuis, bij de apotheek of het declareren bij de zorgverzekering.[11] De website waarbij gebruik kan worden gemaakt van DigiD is te herkennen aan het DigiD logo. Door iemand te machtigen is het mogelijk zaken door die persoon te laten regelen, maar dat gebeurt wel via zijn eigen DigiD.

DigiD en niet-overheid bewerken

DigiD is het standaardidentificatie- en authenticatiemechanisme bij gegevensuitwisseling met de overheid via internet. Daarmee bestaat DigiD uit een enorme directory van digitale identiteiten. Bovendien staat de overheid borg voor de betrouwbaarheid van die identiteiten.

Met de komst van het burgerservicenummer, dat per 26 november 2007 het sofinummer verving, kunnen in theorie ook andere overheidsorganisaties zich op DigiD aansluiten, bijvoorbeeld zorgverzekeraars, onderwijsinstellingen en zorginstellingen. Er zijn diverse organisaties die nadenken over het gebruik van DigiD voor identificatie en authenticatie. Op dit moment mag DigiD daarvoor formeel niet worden gebruikt, omdat DigiD alleen op basis van het burgerservicenummer de authenticatie kan uitvoeren. Alleen bestuursorganen van de overheid mogen dergelijke informatie gebruiken en alleen aan hen mag DigiD 'het resultaat van de authenticatie' melden.

Een bezwaar tegen het gebruik van DigiD voor authenticatie buiten het overheidsdomein is gelegen in de 3rd Law of Identity, zoals geformuleerd door Kim Cameron: de overheid, de eigenaar van DigiD, is geen legitieme partij in transacties buiten het overheidsdomein. De overheid heeft bijvoorbeeld niets te maken met transacties tussen een individu en een webwinkel of weblog. Dat geldt in beperkte mate ook voor DigiD, dat in de huidige opzet niet weet van de inhoud van de webdienst, maar wél dat op zijn minst begonnen is met een webdienst af te nemen.

Bezwaren tegen het gebruiken van één authenticatiedienst die door de overheid wordt geleverd, hebben te maken met de beschikbaarheid, vertrouwelijkheid en integriteit die door zo'n platform geboden moet worden.

  1. Een grote afhankelijkheid van één authenticatiedienst maakt die dienst kwetsbaar voor uitval. Een DDoS-aanval op de servers heeft dan vergaande consequenties.
  2. Zo'n grote databank is een dankbaar onderwerp voor aanvallers: is de vertrouwelijkheid geschaad, dan moet van iedereen in die databank minimaal het DigiD-wachtwoord herzien worden.
  3. Door de verantwoordelijkheidsverschuiving zouden commerciële partijen 'blind' moeten varen op de betrouwbaarheid van het aanmeldproces en het beheerproces van DigiD. Dat is juridisch moeilijk, en vanuit een auditperspectief onwenselijk

Doel bewerken

Op aanvraag ontvangt men van DigiD hiervoor een bij de aanvraag zelf gekozen gebruikersnaam en bijbehorend wachtwoord. Hiermee kan men met één inlogcode terecht bij elektronische diensten van steeds meer overheidsinstellingen. Behalve een groot deel van de gemeenten zijn onder meer ook de Belastingdienst, de Sociale Verzekeringsbank en het Uitvoeringsinstituut Werknemersverzekeringen intussen aangesloten op DigiD.

DigiD werd vanaf 2006 verplicht voor iedereen die in Nederland elektronisch belastingaangifte doet. DigiD wordt bij de aangifte gebruikt voor de authenticatie, een vereiste om samen met een of meer andere maatregelen een digitale handtekening te kunnen plaatsen. Alleen degenen die gebruikmaken van de dienst hulp bij aangifte, diskettegebruikers, gebruikers van commerciële software en fiscale intermediairs kunnen nog gebruikmaken van de vroegere pincodebeveiliging.

DigiD en de aangesloten overheidsorganisaties bieden vooralsnog geen voorziening voor vertegenwoordiging. Omdat een DigiD strikt persoonlijk is, is het de eigenaar van een DigiD niet toegestaan zijn gebruikersnaam en wachtwoord aan een andere persoon uit te lenen. Wel kan in sommige gevallen een andere persoon voor de authenticatie zorgdragen door zelf zijn eigen DigiD te gebruiken. In dat geval zal de overheidsorganisatie van wie een dienst wordt afgenomen, in aanvulling op DigiD, controle op de rechtmatigheid van de authenticatie ten opzichte van de dienst uitvoeren.

Commerciële vertegenwoordigers, zoals belastingadviseurs, mogen klanten nooit vragen naar hun DigiD of namens hen DigiD's aanvragen. Het gebruik van de DigiD van een ander geldt als identiteitsfraude. Controle op dergelijk oneigenlijk gebruik kan ook op een later moment plaatsvinden, afhankelijk van de aard van de afgenomen dienst.

Werking bewerken

Men kan op de website van DigiD een gebruikersnaam aanvragen. Het opgegeven adres van deze persoon moet in ieder geval hetzelfde zijn als wat in de Basisregistratie Personen (BRP) staat als bekende woonadres van de aanvrager.

De aanvrager kan zelf een DigiD-gebruikersnaam en wachtwoord kiezen. Vervolgens krijgt men een activeringscode thuisgestuurd. Met deze activeringscode kan men op de website van DigiD zijn gebruikersnaam activeren. Mensen, die met een bijzondere achternaam, bijvoorbeeld namenreeks, of een afwijkend adresformaat, zoals bij een woonboot zonder huisnummer, in de BRP staan ingeschreven, kunnen ook een DigiD aanvragen.

Om een elektronische dienst af te nemen met DigiD wordt men van de website van de overheidsinstelling doorgeleid naar de inlogpagina van DigiD. Hier logt men in en, nadat de identiteit is geverifieerd, kan men de dienst afnemen. De DigiD-website voert de controle op de identiteit dus uit, waardoor de afnemende overheidssites die controle niet meer zelf hoeven uit te voeren.

Zekerheidsniveaus bewerken

DigiD heeft verschillende zekerheidsniveaus: Basis, Midden, Substantieel en Hoog. Hoe hoger het zekerheidsniveau, hoe strenger de veiligheidsmaatregelen, maar ook hoe meer diensten er kunnen worden afgenomen. De eisen aan het zekerheidsniveau worden gesteld door de website welke inloggen met DigiD aanbiedt.[12] Het bepalen van het minimale niveau hangt onder andere af van het soort persoonsgegevens welke er verwerkt worden. Zo heeft de Autoriteit Persoonsgegevens laten weten dat een patiëntportaal met medische gegevens op minstens niveau Substantieel beschermd zou moeten worden.[13]

Zekerheidsniveau Basis
Op van dit niveau kan worden ingelogd met alleen een gebruikersnaam en wachtwoord. Dit is het eenvoudigste type DigiD en uitgifte van het middel vindt plaats via de post.
Zekerheidsniveau Midden
Er zijn twee middelen (tweefactorauthenticatie) met het zekerheidsniveau Midden. Allereerst is dit DigiD Basis met aanvullend een authenticatie (verificatie) met behulp van sms. Daarvoor moet op de DigiD-website worden gekozen voor authenticatie met een extra controle via sms en moet er een mobiel telefoonnummer of vast telefoonummer worden opgegeven. In dat geval moet bij aanmelding naast de DigiD-gebruikersnaam en het wachtwoord, ook de per sms ontvangen eenmalig geldige sms-code worden ingevoerd. Het is ook mogelijk om een gesproken sms aan te vragen; hierbij wordt het telefoonnummer gebeld en geautomatiseerd de sms-code doorgegeven.
Het tweede middel op dit niveau is de DigiD-app. Deze is beschikbaar in de Apple Store en Google Play Store en kan gebruikt worden op smartphones en tablets. Uit veiligheidsoverwegingen worden de broncode en werking geheimgehouden. In 2019 had de DigiD-app 6 miljoen gebruikers.[14]
Zekerheidsniveau Substantieel
Het niveau Substantieel vereist het gebruik van de DigiD app. In aanvulling op niveau Midden is het hierbij nodig om eenmalig, middels Remote Document Authentication, een identiteitsbewijs te scannen. De te gebruiken identiteitsbewijzen zijn de bestaande middelen met een NFC-chip: het rijbewijs, de identiteitskaart en het paspoort. Voor het lezen van de chip is een NFC-chipkaartlezer of smartphone met NFC nodig.[15][16] Doordat identiteitsbewijzen in persoon uitgegeven worden is er, in vergelijk tot uitgifte van een activeringscode via de post, meer zekerheid over de identiteit van de aanvrager.
Zekerheidsniveau Hoog
In de toekomst zal de elektronische identiteitskaart, eID, worden ingevoerd. Hiermee beschikt men over zekerheidsniveau Hoog. Rijbewijzen die na mei 2018 zijn uitgegeven bevatten de eID-applet en hiermee kan men zich aanmelden met DigiD Hoog.[17] Het gebruik van eID, en daarmee DigiD Hoog, vereist ook een pincode als tweede factor. Voor communicatie met de eID-applet op het identiteitsbewijs is het gebruik van de DigiD-app noodzakelijk, net als een NFC-chipkaartlezer of smartphone met NFC.

In relaties tot de Europese zekerheidsniveaus, binnen eIDAS, zijn zowel DigiD Basis als Midden vergelijkbaar met eIDAS Laag.[18] DigiD Substantieel en Digid Hoog zijn vergelijkbaar met respectievelijk eIDAS Substantieel en eIDAS Hoog. Geen van de DigiD inlogmiddelen heeft echter goedkeuring om gebruikt te kunnen worden binnen het stelsel.

Toekomst bewerken

Een nieuw systeem voor elektronische identificatie in Nederland is Idensys. Voor het vergroten van de veiligheid worden hierin twee aanvullende maatregelen ten opzichte van DigiD getroffen: een uitgifte in persoon, bijvoorbeeld bij een balie, en een digitaal middel dat aan de hoogste veiligheidsnormen voldoet, bijvoorbeeld een chip. Tevens wordt gewerkt aan DigiD inlogmiddelen die meer zekerheid geven over de identiteit van de persoon die inlogt. De inlogmiddelen zijn van de eIDAS-niveaus Substantieel en Hoog. Met deze inlogmiddelen zal dan alleen van een smartcard gebruik gemaakt kunnen worden, al dan niet met een PKI-certificaat.[bron?]

Kritiek en schandalen bewerken

Bezwaren tegen DigiD bewerken

Door het Genootschap van Informatiebeveiligers is in 2006 kritiek geuit op de werkwijze rond DigiD. Het bezwaar kwam neer op de volgende punten:

  • Een DigiD-activeringscode werd op aanvraag via de post uitgereikt, in de brievenbus gestopt. Aangezien er bij de uitreiking geen authenticatie tegen een legaal identiteitsbewijs plaatsvindt, is er geen volledige zekerheid over de daadwerkelijke identiteit van de DigiD-gebruiker. Uitsluitend de DigiD-gebruikersnaam en het bijbehorende wachtwoord zijn benodigd ter identificatie van een persoon.
  • Het uitlekken van de DigiD-gebruikersnaam en -wachtwoord bleek voldoende om de identiteit van een persoon te misbruiken. Voorbeelden zijn een keylogger of partners die te goeder trouw gezamenlijk aangifte deden moesten beiden met hun DigiD een aangifte ondertekenen. Het ligt voor de hand dat de partner die de aangifte indient ook de DigiD van de andere partner kent en dus de digitale identiteit van die partner kan overnemen. In geval van scheiding is het dus aan te bevelen om het wachtwoord te wijzigen.

Binnen het palet van voorzieningen met niveau Basis, Midden en Hoog, heeft DigiD de basis authenticatiefunctie uitgebreid tot niveau Midden door toevoeging van sms-authenticatie. Uitbreiding van de authenticatiefunctie met de sms-functie maakt deze veiliger, aangezien iemand die andermans DigiD-gegevens kent, die functie op de DigiD-website, door het 06-nummer te veranderen, alleen kan aanpassen als deze over het bestaande gsm-nummer beschikt. Daarmee wordt dit beveiligingsniveau zo sterk als de beveiliging van de simkaarten in een telefoon.

Daarnaast is het eenvoudig om zodra gegevens als burgerservicenummer en geboortedatum bij een derde bekend zijn voor iemand anders een DigiD aan te vragen. Doordat de activeringscode naar het huisadres wordt gestuurd, is misbruik niet zo eenvoudig te realiseren, al blijkt het in de praktijk wel voor te komen. 350 DigiD's van studenten in een studentenhuis in Groningen bleken in juni 2013 op deze wijze te zijn buitgemaakt.[19] Maar door de nieuwe aanvraag komt een bestaand DigiD te vervallen, zodat de rechtmatige eigenaar, totdat hij of zij zelf opnieuw een DigiD heeft aangevraagd, deze tijdelijk niet kan gebruiken. In wezen resulteert dit in denial of service voor de rechtmatige bezitter van de DigiD. Een soortgelijk incident trad eind 2013 ook op in Amsterdam-Zuidoost, waarbij Logius de gebrekkige postbezorging in dat postcodegebied als oorzaak aangaf.[20]

Bij gebrek aan uitsluitsel over toepassing van authenticatie bij uitreiking of het gebruik van een betere vorm van versterkte authenticatie met behulp van een token of smartcard, is naast kennis van een bewijs van identiteit ook het bezit van een bewijsstuk nodig ter identificatie. In theorie kan de techniek van het sinds 28 augustus 2006 beschikbare paspoort met biometrie daarvoor worden gebruikt.

Tijdens de behandeling van de Wet digitale overheid in januari 2020 werd een oproep gedaan onder de term #goedID voor het waarborgen van een goede digitale identiteit.[21] De wet maakt het mogelijk om naast publieke inlogmiddelen, zoals eID, mogelijk om ook met private inlogmiddelen, ontwikkeld en verkocht door bedrijven, online in te loggen. Met de slogan 'digitale identiteit is geen handelswaar' pleitte de groep voor transparantie en het gebruik van opensourcesoftware, het voorkomen van een centrale opslag van persoonsgegevens en te waarborgen dat een digitaal ID enkel gebruikt mag worden in het publiek belang.

Beveiligingsschandaal overheidscertificaten bewerken

DigiNotar, het bedrijf dat de beveiligingscertificaten van onder meer DigiD leverde, kwam in de zomer van 2011 ernstig in opspraak, nadat aan het licht was gekomen dat er onder meer vanuit Iran een hack was gezet bij het bedrijf, dat vervolgens had nagelaten de overheid en zijn andere klanten op de hoogte te stellen dat het was gecompromitteerd. Niet alleen de overheid, maar ook makers van browsersoftware zoals Mozilla hebben het vertrouwen in DigiNotar opgezegd, Getronics PinkRoccade heeft de certificering van DigiD-verbindingen overgenomen.[22]

Overheid zet in op DigiD-app - Security.NL[23]

Trivia bewerken

  • DigiD gaf op 22 november 2006 aan van plan te zijn om enkele duizenden mobiele telefoonnummers die bij meerdere DigiD-nummers voorkwamen, te verwijderen. Het niveau van die DigiD wordt dan teruggezet naar niveau basis: alleen gebruikersnaam en wachtwoord. De eisen aan het gebruik van DigiD zijn verwoord in de gebruiksvoorwaarden op de DigiD-website. Voor technische en andere aanpassingen zou zo nodig een nieuwe versie worden uitgebracht.
  • Het bleek in april 2007 dat de Belastingdienst met DigiD niet als eis stelde dat de belanghebbende zelf zijn eigen digitale handtekening gebruikt als de aangifte inkomstenbelasting elektronisch wordt ingediend. Er moest wel met een DigiD worden ondertekend, maar de Belastingdienst bleek niet goed te controleren of dat DigiD hetzelfde was als dat van de aangever. De DigiD- en Belastingdiensthelpdesks adviseerden gebruikers die hun gebruikersnaam of wachtwoord niet meer kenden, onterecht om de DigiD van de buurman te gebruiken.[24]
  • Sinds 2016 is er ook voor de Nederlandse commerciële sector een online identificatiemiddel beschikbaar, genaamd iDIN.
  • Sinds 10 november 2019 kan een paspoort, ID-kaart of rijbewijs worden gebruikt om de identiteit in de DigiD app te bevestigen door middel van NFC in een iPhone draaiend op iOS 13.[25]

Zie ook bewerken

Externe link  bewerken