Overheden kiezen bij de authenticatiemiddelen DigiD (burgers) en eHerkenning (bedrijven) steeds vaker voor zwaardere (en dus complexere) beveiliging. Dat brengt het risico met zich mee dat het voor burgers moeilijker wordt om toegang te krijgen tot overheidsdiensten. Er lopen wel een proefprojecten om een betere machtigingssystematiek in te voeren. Dit meldt de Algemene Rekenkamer na onderzoek.
De Algemene Rekenkamer onderzocht deze publieke authenticatiemiddelen met het oog op de Wet digitale overheid (Wdo) die 1 juli in werking treedt. De Wdo verandert het stelsel voor digitale toegang. De bedoeling is dat burgers straks ook met andere digitale-identiteitsmiddelen dan DigiD en eHerkenning kunnen inloggen bij overheidsdiensten. Maar de rekenkamer constateert in zijn rapport ‘Digitale identiteit vraagt veel van DigiD en eHerkenning‘ dat sommige burgers nu al moeite hebben met het gebruik van ingeburgerde DigId.
De rijkswaakhond stelt vast dat organisaties zoals UWV, de Belastingdienst en gemeenten bij DigiD en eHerkenning steeds vaker voor zwaardere (en dus complexere) beveiliging kiezen. Begrijpelijk, maar dat brengt het risico met zich mee dat het voor minder digitaal vaardiger burgers en burgers, die ingewikkelde problemen hebben, moeilijker wordt om gebruik te maken van overheidsdiensten. Zwaardere beveiliging betekent meestal ook een ingewikkeldere manier van inloggen. Bijvoorbeeld verificatie in meerdere stappen met een wachtwoord én een code via sms. Of via een speciale app op je mobiel. Niet alle burgers zijn in staat hiervan gebruik te maken.
Meer steun
De waakhond vindt dat de overheid meer ondersteuning moeten bieden aan deze groepen burgers. Er zijn al bij bibliotheken zogeheten Informatiepunten Digitale Overheid (IDO’s) die mensen helpen in hun digitale communicatie met de overheid. De Algemene Rekenkamer publiceert later dit jaar, op Verantwoordingsdag (17 mei), een onderzoek naar de IDO’s. Maar het kan sowieso beter, onder meer door het mogelijk te maken om anderen te machtigen die dan ook gebruik kunnen maken van iemands DigiD. Het is (nog) niet gelukt om een volwaardig systeem voor machtigingen op te zetten. De wens hiertoe bestaat al sinds 2013. Er loopt al wel een aantal proeven, maar de realisatie ervan laat nog wel enkele jaren op zich wachten, vrezen de onderzoekers.
Er bestaat al wel het zogenaamde DigiD Machtigen, maar daarbij kan iemand worden gemachtigd voor slechts één specifieke dienst, bijvoorbeeld het doen van een belastingaangifte voor iemand anders. In de praktijk wordt er vooral op een niet-legitieme wijze ‘gemachtigd’. Zonder gebruik te maken van DigiD Machtigen verstrekken bijvoorbeeld familieleden DigiD-gegevens aan elkaar en loggen met elkaars DigiD in. De ingezette ontwikkeling richting hogere betrouwbaarheidsniveaus maken dit op termijn onmogelijk. Als je via de app moet inloggen, moet je op het moment van inloggen beschikken over de smartphone behorend bij een bepaalde DigiD. Dit kan bij bepaalde groepen burgers tot problemen leiden.
Proeven
Sinds november vorig jaar loopt er een proef bij het ziekenhuis Maastricht UMC+ met betrekking tot de ouder-kindrelatie. Hierbij kan de ouder met de eigen DigiD – zonder tussenkomst van het ziekenhuis – inloggen op het patiëntportaal van het kind. Het ziekenhuis checkt of de ouder bevoegd is. De ouder krijgt vervolgens toegang tot het dossier van het kind. Het is de Algemene Rekenkamer niet duidelijk o- en zo ja wanneer – deze proef verbreed of landelijk uitgerold wordt.
Maar er zijn ook volwassenen die niet voldoende handelingsbekwaam zijn en gebruikmaken van bewindvoerders. Denk aan verstandelijk beperkten. Of aan curatoren die beheer moeten voeren over iemands bezittingen. Bewindvoerders en curatoren kunnen nog niet inloggen namens een persoon. De reden is dat de registers nog niet ontsloten zijn waarin staat wie de bewindvoerder of curator voor wie is.
Daar wordt ondertussen aan gewerkt, meldt de rekenkamer. Op 26 september 2022 schreef Alexandra van Huffelen, de staatssecretaris van Koninkrijksrelaties en Digitalisering, aan de Tweede Kamer dat ze het register van wettelijke vertegenwoordigers ontsluit samen met de Raad voor de rechtspraak. Ze maakt de zogenoemde ‘bevoegdheidsverklaringsdienst’. Deze verstrekt een verklaring over de bevoegdheid van iemand om namens een ander te handelen. Het is een generieke voorziening waarop alle overheidsdienstverleners kunnen aansluiten. Haar planning is om dit in 2024 gereed te hebben.
Wat bij dit alles compleet vergeten wordt zijn de ‘mantelzorgers’. Je moet je in allerlei lastige bochten wringen om voor je oude vader of je gehandicapte meerderjarige dochter de ondersteuning voor elkaar te krijgen. Daar zou meer oog voor moeten zijn. Een ‘delegeer het DIGID gebruik’ wat de houder kan instellen en waarbij deze aan vinkt welke dienst aan wie wordt gedelegeerd voor een bepaalde periode. Inclusief de optie om wel een signaal te krijgen of een logging van dat gebruik door die personen waaraan is gedelegeerd.
Verder kan ik me voorstellen dat wanneer je blind of zeer slecht ziend bent, dat gedoe met MFA helemaal een hopeloze uitdaging wordt.
Ik verbaas me enigszins over een wens uit 2013 en het resultaat 10 jaar later want machtigingen spelen volgens mij al lang een rol in het zorgproces. Zo loggen de kinderen in op een patiëntenportaal omdat ouders hier moeite mee hebben, deze zijn nog handelingsbekwaam maar gewoon digitaal onbekwaam. Dus nu pas constateren dat de toegang tot allerlei digitale loketten voor steeds meer mensen lastiger wordt gaat om het visieloos doordrukken van een agenda, Den Haag luistert niet naar de burger. Zo is ook het inzagerecht van de ouders nogal onnozel doordat er een grens getrokken wordt bij 12 jaar voor toestemming en mogelijke intrekking hiervan bij 16 jaar. Misschien moeten ze in Den Haag bij het bedenken van wetten daarom eerst eens gaan nadenken over de uitvoerbaarheid ervan.
Ik vind dat digitalisering de ondergang van menselijkheid en sociaal contact is. Wat zou het toch heerlijk zijn om weer eens normaal via de telefoon contact te hebben met een mens. Scheelt ook een berg aan security maatregelen en extra systemen die updates nodig hebben, gemonitord moeten worden, incidenten kunnen veroorzaken, energie vreten en kunnen uitvallen. Laat staan de ergernis die het in Nederland oplevert voor mensen die niet voldoen aan een proces uitgedacht door it-architecten en web programmeurs waarvoor we allemaal belasting moeten betalen aan de raven van de belastingdienst.
Lang leven het tekort aan inzicht en gevolgen.