De overheid doet te weinig voor burgers die vermoeden dat hun DigiD misbruikt wordt. Dat zegt de Nationale Ombudsman Alex Brenninkmeijer in een interview met het AD. 'Als de overheid een bank was, zou die nu failliet zijn.' Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties besluit deze zomer of DigiD wordt vervangen door een authenticatiemiddel met een hoger beveiligingsniveau. Door het Genootschap van Informatiebeveiligers (GvIB) is al in 2006 kritiek geuit op het huidige, lage beveiligingsniveau van DigiD.
'Uit de klachten die wij binnenkrijgen blijkt dat het een zeer zwak beschermd systeem is', zegt Brenninkmeijer in het AD. 'Voor mensen die verstand hebben van internetcriminaliteit is het blijkbaar makkelijk om fraude te plegen. Als de overheid een bank was, zou die nu failliet zijn.'
DigiD's worden slechts 'zeer beperkt' ontvreemd, zo liet het ministerie van Binnenlandse Zaken en Koninkrijksrelaties op 4 augustus 2011 weten. 'Sinds de invoering van DigiD in 2005 zijn dergelijke pogingen enkele honderden malen onderzocht. Bij het Centraal Meldpunt Identiteitsfraude zijn enkele tientallen gevallen van vermoeden van misbruik bekend. Een DigiD kan in dat geval worden opgeheven. Dat is dit jaar acht maal gebeurd.'
Brenninkmeijer: 'De praktijk is het beste bewijs, die is namelijk anders. Daaruit blijkt dat mensen het slachtoffer zijn van DigiD-fraude. Ik krijg er niet voor niets klachten over. De bal wordt bij de burger gelegd. Zij moeten zelf maar goed in de gaten houden dat er niets fout gaat met het aanvragen van hun DigiD.'
Gebruikersnaam en wachtwoord
Door het Genootschap van Informatiebeveiligers (GvIB) is al in 2006 kritiek geuit op het lage beveiligingsniveau van DigiD. GvIB stelt onder meer dat het per post versturen van activeringscodes een slecht idee is. Omdat het in dat geval niet nodig is zich te identificeren, is er geen volledige zekerheid over de daadwerkelijke identiteit van de DigiD-gebruiker.
Verder kende DigiD oorspronkelijjk het laagst mogelijke beveiligingsniveau: enkel de DigiD-gebruikersnaam en het bijbehorende wachtwoord waren nodig voor authenticatie. Het uitlekken van de DigiD-gebruikersnaam en -wachtwoord was daardoor voldoende om de identiteit van een persoon te misbruiken. Dat uitlekken zou bijvoorbeeld kunnen gebeuren met malware die toetsaanslagen afvangt.
Sinds een aantal jaren kunnen burgers echter ook kiezen voor 'zekerheidsniveau Midden', door te kiezen voor DigiD met sms-functie. Gebruikers worden in dat geval gevraagd om naast hun DigiD-gebruikersnaam en -wachtwoord ook een eenmalige transactiecode in te toetsen. Die code ontvangt de gebruiker via sms op zijn mobiele telefoon.
DigiD-opvolger: eNIK
Het ministerie besluit in de zomer van 2011 of DigiD wordt vervangen door een authenticatiemiddel met 'zekerheidsniveau Hoog'. Dat zou moeten gebeuren via een Elektronische Nederlandse identiteitskaart (eNIK).
'Daarbij wordt een chip toegevoegd aan de Nederlandse identiteitskaart. Er wordt dus geen aparte kaart voor gemaakt', aldus het ministerie.
Voor bedrijven: eHerkenning
Bedrijven kunnen nu al gebruik maken van hoger beveiligingsniveaus: eHerkenning is de opvolger van DigiD voor bedrijven.
'eHerkenningsmiddelen kennen verschillende betrouwbaarheidsniveaus', valt te lezen op de overheidssite waar het authenticatiemiddel kan worden aangevraagd. 'De overheidsorganisatie bepaalt per dienst het benodigde betrouwbaarheidsniveau. Zo hoort een gebruikersnaam en wachtwoordcombinatie bij het basisniveau, terwijl een PKI-certificaat bij het hoogste betrouwbaarheidniveau hoort. Daar tussenin komen sms-authenticatie en eenmalige wachtwoorden (OTP-tokens).'
@victor
Als we de technologie kunnen gebruiken zonder (!) dat de bank de gegevens kan inzien, zie ik geen probleem, maar of de bank dat wil??
Activeren van DigiD zonder sms-functie lukt wel, maar met sms-code, die wel op het mobieltje aankomt, tikt de activering af/terug! Moet het mobieltje uit tijdens het invoeren van de code? Mag de sim-kaart in het mobieltje niet een andere als de oorspronkelijke zijn (ik krijg op mijn mobieltje bij het browsen op internet de mededeling dat het apparaat niet herkend wordt!)?