Op 28 augustus jl. werd door de rijksoverheid het bericht verspreid dat DigiD officieel is erkend als Europees inlogmiddel. Het DigiD zou zou op de betrouwbaarheidsniveaus ‘substantieel‘ en ‘hoog‘ beschikbaar zijn.

De werkelijkheid is anders: voor zover ik weet heeft een burger in vrijwel alle gevallen alleen de keus tussen betrouwbaarheidsniveau ‘basis‘ (inloggen met gebruikersnaam en wachtwoord, eIDAS Laag) en ‘midden‘ (inloggen met gebruikersnaam, wachtwoord plus sms-controle of bevestiging met DigiD-app, eveneens eIDAS Laag). Het betrouwbaarheidsniveau ‘substantieel’ is beschikbaar, maar alleen als de betreffende overheidsorganisatie daartoe besloten heeft.

Lees over de betrouwbaarheidsniveaus  de pagina bij Logius. Op de pagina ontbreken veiligheidswaarschuwingen inzake betrouwbaarheidsniveaus ‘basis’ en ‘midden’.

Storend is dat consumentensite van de overheid over DigiD, www.digid.nl niet waarschuwt voor de onveiligheid van inlogmethodes, er staat “Dankzij uw DigiD kunt u overal makkelijk en veilig inloggen. Uw persoonlijke gegevens blijven goed beschermd” en de methode met inlognaam/wachtwoord wordt nog steeds aangeboden, evenals inlognaam/wachtwoord/sms-code.

Het is lachwekkend dat inloggen met inlognaam en wachtwoord een ‘betrouwbaarheidsniveau’ heeft. Dat is namelijk gewoon onveilig en zou de overheid niet mogen aanbieden. Wat men als ‘midden’ aanduidt is een vorm van tweefactor-authenticatie, waarbij sms als tweede factor onveilig is, zo lees ik bij technische mensen. Dus dat zou de overheid eveneens niet moeten willen aanbieden. Misschien dat de variant met de bevestiging door de DigiD-app iets veiliger is, maar dan zou ik wel willen weten hoe de overheid vaststelt dat de DigiD-app door de juiste persoon is geïnstalleerd.

Burger kan niet zelf betrouwbaarheidsniveau kiezen
Opvallend is dat de burger niet zelf voor een betrouwbaarheidsniveau kan kiezen. Volgens de hierboven genoemde Logius-pagina maakt de overheidsorganisatie of private organisatie die van DigiD gebruik maakt de keuze.

Substantieel en hoog 
Op de Logius-pagina is te vinden wat ‘substantieel’ is, maar ‘hoog’ ontbreekt. Na enig zoeken blijkt de Vereniging voor Nederlandse Gemeenten (VNG) over de betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’ te hebben geschreven. Over DigiD Hoog schrijft VNG:

DigiD Hoog is in ontwikkeling en nog niet beschikbaar.

DigiD Substantieel is er al wel. Het kenmerk daarvan is dat wordt ingelogd met de DigiD-app plus een “ID-check” (controle van een identiteitsbewijs, dat wil zeggen paspoort, rijbewijs of identiteitskaart). Op de DigiD-site is dit niet als aparte inlogmanier te vinden maar de ID-check wordt wel genoemd.

VNG schrijft dat DigiD Substantieel geschikt is voor extra privacygevoelige gegevens, zoals het maken van een afspraak met een zorgverlener (ook op digid.nl wordt gezondheid als extra gevoelig genoemd). Mij lijkt dat de belastingaangifte en communicatie met uitkeringsinstanties minstens zo privacy- en cybersecurity-gevoelig zijn: degene die binnen komt, krijgt ruime gegevens te pakken om identiteitsfraude en diverse andere soorten van fraude te plegen. Het is onbegrijpelijk waarom er nog niet op niveau Substantieel kan worden ingelogd bij Belastingdienst en uitkeringsinstanties.

Over DigiD Hoog schrijft VNG dat dit gebaseerd is op een technische voorziening, een ‘applet’ die is ingebouwd in de chip van rijbewijzen en identiteitskaarten.

Betrouwbaarheidsniveau Substantieel kan alleen met geavanceerde apparatuur
Veilige communicatie met de overheid is alleen bereikbaar voor degenen die het kunnen betalen en een recent identiteitsbewijs hebben. Dat valt af te leiden uit de informatie van VNG over de ID-check:

Hoe kan mijn inwoner zijn/haar DigiD ophogen naar betrouwbaarheidsniveau Substantieel?
De ID-check kan op dit moment worden uitgevoerd met de DigiD app op de meest gebruikte smartphones met NFC-lezer. De NFC-lezer op de telefoon kan gegevens uitlezen van de chip op bijvoorbeeld een paspoort of rijbewijs. De gebruiker doet dit door de telefoon op het paspoort, rijbewijs of identiteitskaart te leggen. De smartphone moet wel uitgerust zijn met een NFC-lezer.

Wat heeft de gebruiker nodig?
* DigiD app (geactiveerd)
* Android apparaat met NFC-lezer (Android-versie 6.0 of hoger).
* iPhone, model 7 of hoger (iOS-versie 13.2)
* Nederlands identiteitsbewijs (rijbewijs uitgegeven na 14 november 2014, identiteitskaart of paspoort)

Gelukkig heeft VNG gedacht aan inwoners die geen geschikte smartphone hebben, nadeel is wel dat mensen dan iemand anders nodig hebben, met alle risico’s van dien. Men is bezig met alternatieven:

Niet iedereen kan uit de voeten met bovenstaande oplossingen. Daarom werkt BZK/Logius ook aan oplossingen voor inwoners zonder telefoon of inwoners die graag iemand willen machtigen om online zaken voor hen te regelen.

Lees ook de informatie over scannen van het identiteitsbewijs aan de gemeentebalie en de DigiD zuil.

Op de digid.nl site wordt betrouwbaarheidsniveau substantieel niet als zodanig genoemd, maar is de ID-check wel te vinden, zonder vermelding van de technische eisen, daarvoor moet naar een andere pagina worden doorgeklikt.

Tot slot
Nederland loopt eindeloos achter  als het gaat om veilige communicatie met de overheid, met uitkeringsinstanties en andere organisaties die maatschappelijke voorzieningen aanbieden.

Het is hoog tijd dat burgers zelf kunnen kiezen voor een veilige manier om met de overheid, zorgverzekeraars en uitkeringsinstellingen te communiceren. Ieder van die organisaties moet ten minste het betrouwbaarheidsniveau ‘substantieel’ aanbieden voor alle diensten.

Verder is belangrijk dat de informatievoorziening rondom de cybersecurity van de verschillende inlogmethoden sterk wordt verbeterd. Een tekst als “Dankzij uw DigiD kunt u overal makkelijk en veilig inloggen. Uw persoonlijke gegevens blijven goed beschermd” op de digid.nl site, hoort daar niet thuis als er onveilige inlogmethoden worden aangeboden.

Meer informatie:

Aankondiging erkenning

• Aankondiging op Digitale Overheid: DigiD erkend als Europees inlogmiddel, 28 augustus 2020.
• Aankondiging Logius, Over de grens inloggen met DigiD, 27 augustus 2020.
• Europees overzicht van erkende inlogmiddelen, versie 21 augustus 2020. Onder “eID means under the notified scheme” staat bij Nederland: “Dutch Trust Framework for Electronic Identification (Afsprakenstelsel Elektronische Toegangsdiensten” en “Dutch eID Scheme (DigiD)“. Beide inlogmethoden zijn beschikbaar in de rubrieken ‘substantial‘ en ‘high‘.

Overige informatie

• Uitleg Logius over digitale identificatie.
• VNG: pagina over DigiD Substantieel 3 september 2020; pagina over DigiD Hoog, 3 september 2020.
• Linda Kool en Pieter van Boheemen, Ook bij private opvolgers DigiD moet privacy gewaarborgd zijn, Trouw 3 januari 2020.
• De Cyber Security Raad (CSR) trok in november 2019 aan de alarmbel in een advies over het eID-project van de Nederlandse overheid: Haast is geboden voor digitaal veilige inlogmiddelen voor burgers en bedrijven’.
• DigiD en daarmee samenhangende eID-project kreeg al eerder zware kritiek, onder meer van de Nationale Ombudsman, de Autoriteit Persoonsgegevens en de Algemene Rekenkamer.
• Berichten op dit blog over DigiD, eID en eIDAS.

Aanvulling 18 september 2020
Bij Radar is een artikel over NFC te vinden, Identificatie door paspoort of ID te scannen met NFC, is dit wel veilig?. De informatie over de heridentificatie door banken op grond van de Wwft in dit artikel is onjuist. Lees mijn artikel over dat onderwerp.

De uitleg over NFC is nuttig, helaas ontbreekt dat je voor gebruik van NFC een apparaat moet hebben met een NFC-lezer, dat betreft onder meer nieuwe iOS- en android apparaten, zie hierboven. Verder gaat Radar niet in op de problemen van minder digitaal vaardige gebruikers.

Het is jammer dat er zo veel onvolledige en onjuiste informatie in omloop is.