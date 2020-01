Online inloggen bij de Belastingdienst, een zorgverzekeraar of een andere aan de overheid gelieerde dienst gaat nu nog via de bekende DigiD, maar mogelijk niet lang meer. In het wetsvoorstel Digitale Overheid – waar de Tweede Kamer maandag over praat, achter gesloten deuren – verandert het online-identificatiemiddel in de nieuwe variant Elektronische Identiteit, oftewel eID. Die moet betrouwbaarder en gebruiksvriendelijker worden dan zijn voorganger.

Nieuw is dat niet alleen de overheid, maar ook private partijen als Google een inlogmethode voor overheidsdiensten mogen aanbieden aan burgers en zo inzicht kunnen krijgen in zeer gevoelige persoonsgegevens. Want bijvoorbeeld onlinegegevens over een onderneming wijzigen via de Kamer van Koophandel, informatie over een werkstraf doorgeven aan de reclassering of het aanmelden voor een studie aan een hogeschool, zijn allemaal handelingen op het internet waarbij inloggen met de persoonlijke DigiD onvermijdelijk is. Vier vragen over het wetsvoorstel van het ministerie van binnenlandse zaken.

Wat is het verschil tussen DigiD en nieuwkomer eID?

De identificatiemethode via DigiD is zeer privacygevoelig. Het ministerie van binnenlandse zaken schaalt DigiD desondanks op het betrouwbaarheidsniveau ‘laag’. “Zeer terecht”, zegt onderzoeker Pieter van Boheemen van het Rathenau Instituut. DigiD is namelijk helemaal niet zo betrouwbaar als men misschien veronderstelt. “De overheid verzendt de inloggegevens van DigiD per post naar burgers. Daar gaat nog weleens iets mis”, stelt Van Boheemen.

Maar er is meer nodig om in te loggen met DigiD, namelijk een mobiele telefoon: voor een code die via een sms of een app wordt verzonden. Daarom is het belangrijk dat het juiste telefoonnummer bekend is. “Als je de DigiD van iemand weet, kun je natuurlijk de gegevens van zijn of haar telefoon of simkaart ontfutselen”, zegt Van Boheemen. “Het is niet eenvoudig, maar inbreken via een DigiD is zeker niet onmogelijk.”

Het ministerie plaatst eID daarentegen een treetje hoger op de betrouwbaarheidsladder, namelijk op het niveau ‘substantieel’. Het wetsvoorstel legt summier uit waarom, maar de hogere kwalificatie klopt volgens Van Boheemen wel. “De kans is groot dat je straks bijvoorbeeld ook je identiteitskaart of rijbewijs moet scannen bij het inloggen. Dat is in combinatie met de code via de mobiele telefoon betrouwbaarder.”

Dus inloggen bij de overheid wordt veiliger?

Daar lijkt het vooralsnog niet op, stelt Van Boheemen. De nieuwe methode mag dan wel technisch betrouwbaarder zijn dan DigiD, het privacygevoelige gevaar komt nu uit een andere hoek. Ook private partijen kunnen namelijk via de wet Digitale Overheid online-inloggegevens voor overheidsdiensten aanbieden. Zo kunnen Google, maar mogelijk ook Bol.com, MediaMarkt, ING of andere private partijen die een inlogmethode willen aanbieden, het internetgedrag van burgers bij overheidsdiensten registreren. Zoals bijhouden wie wanneer inlogt bij ­bijvoorbeeld het UWV, de reclassering of Dienst Uitvoering Onderwijs (DUO). Die data kunnen worden verkocht aan bedrijven die zo meer informatie over hun sollicitanten kunnen achterhalen. Een mogelijke nieuwe werkgever kan dan tijdens het sollicitatiegesprek en passant ­informeren waarom je op je veertigste nog altijd inlogt bij DUO. ‘Soms nog last van een studieschuld?’ “Die partijen registreren bij wijze van spreken welke winkel je binnenloopt”, vreest Van Boheemen. “Dat zegt ­natuurlijk iets over jou als persoon.”

Waarom biedt het ministerie dan toch ruim baan aan private partijen?

De crux bij het ontwikkelen van een digitaal identificatiesysteem is dat inloggen enerzijds zo veilig mogelijk en anderzijds zo gebruiksvriendelijk mogelijk moet zijn. Tien minuten bezig zijn met het invoeren van acht verschillende wachtwoorden en ­codes is misschien wel veilig, maar niet erg prettig. DigiD is relatief eenvoudig te gebruiken, maar niet heel veilig.

De overheid toont zich kwetsbaar en vermoedt dat private partijen meer digitale kennis in huis hebben en slimmere oplossingen kunnen creëren voor een betere mix van veilig en eenvoudig inloggen. “En als pak ’m beet ook Albert Heijn straks inloggegevens voor overheidsdiensten gaat aanbieden, kunnen burgers veilig hun unieke code ophalen bij een winkelbalie op de hoek van de straat. Dan kan ter plekke een identiteit worden vastgesteld en dat is veiliger”, zegt Van Boheemen.

Wel, staat in het wetsvoorstel, moet een digitale identificatiemethode ook altijd worden aangeboden door de overheid, zodat burgers kunnen kiezen. Ook moeten private partijen aantonen dat zij kunnen voldoen aan de ‘eisen van betrouwbaarheid’, voordat zij een inlogomgeving mogen creëren. “Maar ik lees nergens in de wet wat ze vervolgens met de gegevens kunnen doen”, zegt Van Boheemen. “De vrees is dat ze die data gaan verkopen. Het zou goed zijn als dat expliciet wordt verboden.”

Private partijen mogen aan burgers geen geld vragen voor de inloggegevens, dus de data gebruiken voor commerciële doeleinden lijkt het enige motief om eigen inlog­codes aan te bieden. “Moeten we willen dat de overheid zoiets gevoeligs uit handen geeft”, vraagt Van Boheemen zich af. “Het is ook best vreemd, inloggen bij de overheid met een Google-account.”

Waarom is er nog geen betrouwbaardere inlogvariant?

De derde betrouwbaarheidskwalificatie voor het identificeren die het ministerie hanteert, is de beoordeling ‘hoog’. Maar dat ligt voor een digitale inlogomgeving niet voor hand, zegt Van Boheemen. “100 procent betrouwbaar identificeren ontleden we in drie componenten: je weet iets, namelijk een inlogcode. Je hebt iets, bijvoorbeeld een rijbewijs. En tot slot ben je iets. Je fysiek toon je aan de balie van het gemeentehuis, maar is digitaal heel lastig.” Ook een fysieke component zoals een vingerscan biedt digitaal geen uitkomst voor de kwalificatie ‘hoog betrouwbaar’, aldus Van Boheemen. “Want wat als iemand onder dwang moet scannen?”

Wat Van Boheemen betreft lijkt eID de best mogelijke optie als vervanger van DigiD, maar dan alleen als private partijen de persoonsgegevens niet op de markt mogen aan­bieden.

Lees ook:

Voortaan kun je in één overzicht zien of er beslag op je loon, uitkering of pensioen ligt

Een digitaal overzicht van alle schuldeisers bij elkaar; het moet burgers helpen bij de administratie.Alleen de Belastingdienst werkt (nog) niet mee.