Er komt een e-ID kaart. Eindelijk gaat de overheid het niet-veilige DigiD aanpakken. DigiD is bedacht in 1998 en ingevoerd in 2003, maar er is vanaf het begin al een discussie over de beveiliging van DigiD. Men twijfelde of het gebruik van een login en wachtwoord wel veilig genoeg was, zeker voor het doel waarvoor men DigiD in gedachten had, namelijk een digitale handtekening zetten onder belangrijke overheidsdocumenten in een digitale wereld. DigiD werd, zeker voor overheidsbegrippen, snel geadopteerd door de Belastingdienst en was daarmee in 2005 de grootste gebruiker van DigiD-authenticatie bij het ondertekenen van hun digitale belastingaangifte voor burgers. Vanaf 2006 werd het zelfs verplicht om met DigiD te werken bij een digitale belastingaangifte.
Nee, dan onze zuiderburen, de Belgen:
De Belgische overheid voerde op 1 januari 2003 in één klap de e-ID kaart in voor alle, ruim 9,5 miljoen, burgers. Zonder pardon werd er gezegd: “Vanaf nu werken alle overheidsinstanties, van hoog tot laag, met deze kaart.” Er werd zelfs een officieel identificatiebewijs van de e-ID gemaakt. Elke Belgische burger kreeg ook een e-ID kaartlezer, om digitaal te kunnen inzien waarvoor persoonsgegevens worden gebruikt.
Vrijheid blijheid?
DigiD bleef een zorgenkindje. Al in 2006 werd er officieel kritiek geuit op de werkwijze van DigiD. Met name de website van DigiD en de manier van inloggen lagen onder vuur. Tegenmaatregel: de website werd met een certificaat tot een secure website verheven en er ontstond een vrijwillige manier van 2-factor authenticatie; een SMS code op je telefoon die dan weer niet verplicht was.
Een loginnaam en wachtwoord is makkelijk door te geven en daar werd ook veelvuldig gebruik van gemaakt. Vrijwillig, omdat je belastingadviseur jouw belasting formulier in moet kunnen sturen. Onvrijwillig, omdat het voor kwaadwillenden heel eenvoudig is om een DigiD-login aan te vragen en deze te misbruiken voor allerlei doeleinden waar DigiD niet voor bedoeld is. Wist je dat je jouw belastingformulier met iedere DigiD-login kan ondertekenen, zonder dat er bij de Belastingdienst een check wordt gedaan of de DigiD-ondertekenaar en degene die daadwerkelijk de aangifte doet één en dezelfde persoon zijn? Meerdere schandalen zoals de gehackte rootcertificaten van DigiNotar, de Groningse studentenfraude en de Amsterdamse uitkeringsfraude volgden.
Nee, dan onze zuiderburen, de Belgen:
Omdat aan het Belgische e-ID een officiële authenticatiestatus is verleend, kan misbruik op grote schaal bij de e-ID nooit voorkomen. Dit is in de praktijk dan ook nog nooit gebeurd. Overheidsinstanties zoals politie en justitie kunnen de kaart, net zoals bij een bankpas, blokkeren bij verdenking van misbruik.
Samenwerken doe je met z’n allen
Er ontstonden allerlei DigiD-varianten: DigiD voor bedrijven (later eHerkenning) en DigiD Machtigen, waarbij DigiD voor particulieren en DigiD voor bedrijven niet samengevoegd werden maar aparte netwerken bleven. DigiD kan als digitale handtekening overal voor ingezet worden maar daar heeft de overheid niet voor gekozen. Pas de laatste jaren worden er elektronische diensten door middel van DigiD aangeboden bij de lokale overheden. Er is totaal geen transparantie van DigiD-gegevens. Welke DigiD gegevens worden waarvoor gebruikt? Daarnaast heeft de burger, na diverse pogingen om DigiD te koppelen aan het elektronisch patiëntendossier (EPD), terecht wantrouwen gekregen over welke bedrijven inzage hebben in de, soms vertrouwelijke, gegevens van de burger.
Nee, dan onze zuiderburen, de Belgen:
Op de e-ID kaart staan slechts de NAW-gegevens en een persoonscertificaat voor de digitale handtekening. De kaart kan door elk bedrijf worden gebruikt voor identificatie. Hier wordt dan ook veelvuldig gebruik van gemaakt. Met de e-ID kaart kun je naar het gemeentehuis, naar de dokter, naar de apotheek, naar het ziekenhuis en je geeft de belastingadviseur toegang tot jouw gegevens. Iedereen krijgt te zien waartoe hij/zij gemachtigd is. Vele bedrijven kunnen je e-ID kaart gebruiken om de NAW-gegevens over te nemen op een offerte, bijvoorbeeld voor een verbouwing of een nieuwe keuken. Dit alles uiteraard pas na toestemming van de eigenaar van de e-ID kaart. Ben je later van mening dat iemand die je in eerste instantie toegang hebt gegeven tot jouw gegevens nu die toegang wilt ontzeggen, kun je dat zelf wijzigen. Overheidsinstanties, zoals de Belastingdienst en justitie, hebben speciale rechten die je niet mag afnemen maar waarbij wel allerlei privacywetten gelden. Het invoeren van het EPD in België is nooit een probleem geweest, omdat de burger zelf de controle heeft over die gegevens. Je kunt er zelfs je eigen documenten mee beveiligen en beveiligde e-mail op je pc inrichten.
Voorlopig 3-0 voor de Belgen
Doen die Belgen het dan echt zo goed en zijn er nooit problemen geweest? Natuurlijk wel! De eerste e-ID kaart had een ‘foute’ encryptiechip, vergelijkbaar met de OV-kaart, die na vier jaar erg snel te hacken was. De Belgische overheid houdt deze encryptieontwikkelingen nauwlettend in de gaten. Ondertussen zijn ze aan de derde versie van e-ID kaart toe, welke begin 2015 is uitgekomen. Een e-ID kaart is tien jaar geldig, dus de eerste uitgegeven e-ID kaarten zijn uiterlijk in 2013 vervangen. Daarnaast heeft België de e-ID omarmd en worden de mogelijkheden dagelijks uitgebreid. Dit wordt ook door de Belgische overheid gestimuleerd.
Hoe zal onze overheid met de e-ID kaart omgaan? De tijd zal het leren. Voorlopig lopen onze zuiderburen meer dan 15 jaar voor, tegen de tijd dat de e-ID kaart in Nederland zal worden ingevoerd.
Meer weten?
John Vloemans, adviseur bij Telengy, is gespecialiseerd in informatiebeveiliging en privacyrichtlijnen voor lokale overheden. U kunt hem bereiken via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.