Hoe werkt het eID-stelsel, de opvolger van DigiD?

Het digitale inlogmiddel DigiD van de overheid bestaat al meer dan tien jaar. Het is aan vervanging toe; de beveiliging voldoet niet aan moderne standaarden, en het kabinet wil dat er alternatieven komen.

Daarom wordt al enkele jaren gewerkt aan het zogenoemde eID-stelsel. Dat moet het voor burgers makkelijker maken om in te loggen bij de overheid én in het bedrijfsleven. DigiD wordt vernieuwd, maar er komen ook alternatieven.

Wat gaat er gebeuren met DigiD?

Wie nu inlogt met zijn DigiD-account, hoeft doorgaans alleen een gebruikersnaam en wachtwoord in te tikken. De overheid noemt dit beveiliging op het 'niveau basis'.

Sommige organisaties vragen al om zogenoemde 'tweestapsverificatie'. Gebruikers moeten dan behalve hun wachtwoord ook een code uit een sms'je intikken. Maar dat gebeurt lang niet overal.

In de toekomst moet DigiD juist sterker worden beveiligd en wordt meer ingezet op tweestapsverificatie, op verschillende manieren. Het sms'je blijft een mogelijkheid, maar een inlogpoging zou ook kunnen worden geverifieerd met de chip in een paspoort, rijbewijs of identiteitskaart.

Legitimatiebewijzen bevatten nu al zo'n chip, maar die worden in 2018 vernieuwd. Dan krijgt de chip ook een eigen pincode. Het moet dan mogelijk worden om met een smartphone een id-kaart te scannen en de bijbehorende pincode in te voeren om in te loggen bij de overheid.

In eerste instantie zal dat alleen werken met Android-smartphones, of met USB-kaartlezers aan een laptop. iPhones hebben wel een NFC-chip die de rijbewijzen technisch gezien zou kunnen uitlezen, maar Apple stelt deze chip niet open voor derden. Medewerkers van Logius, beheerder van DigiD, zeggen Apple te hebben gevraagd om medewerking, maar het is nog maar de vraag of het doorgaans zeer gesloten bedrijf daar bereid toe is. (Apple reageerde niet op een verzoek om commentaar.)

Wat valt nog meer onder het eID-stelsel?

Behalve DigiD wil het kabinet de opkomst van meer inlogmiddelen stimuleren. Momenteel zijn er nog twee groepen die aan een eigen eID-inlogmethode werken: Idensys en iDIN.

Idensys is een samenwerking tussen het ministerie van Economische Zaken en enkele bedrijven, waaronder KPN en Digidentity (de oorspronkelijke leverancier van DigiD). Verschil met DigiD is dat Idensys ook bruikbaar zal zijn in het bedrijfsleven, bijvoorbeeld om in te loggen bij webwinkels.

Om een Idensys-account aan te maken, moet de identiteit van een burger in persoon worden gecontroleerd. Vervolgens zijn er verschillende inlogmethodes mogelijk: KPN werkt bijvoorbeeld met een speciale USB-stick en pincode, terwijl een andere Idensys-partner werkt met een app die het gezicht van de gebruiker herkent.

Idensys met 'selfiecheck'

Idensys met 'selfiecheck'

Omdat aan alle Idensys-accounts een geverifieerde identiteit zit, zou het systeem kunnen worden gebruikt om bijvoorbeeld leeftijdschecks uit te voeren als online alcohol wordt gekocht. Nu kunnen bezoekers van webwinkels vaak gemakkelijk liegen over hun leeftijd.

De Nederlandse banken werken ook aan een eID-inlogmethode: iDIN. Die gebruikt het account dat bankklanten al hebben om mee te internetbankieren. Mensen die normaal iDeal-betalingen uitvoeren met een sms'je of via een kastje dat de pinpas scant, kunnen diezelfde methode ook gebruiken bij iDIN.

Zowel Idensys als iDIN moeten uiteindelijk ook bruikbaar worden bij de overheid; je zou dus bij de Belastingdienst moeten kunnen inloggen met je ABN Amro-account. Andersom geldt dat niet: DigiD blijft alleen bij overheidsinstanties werken.

iDIN

iDIN

Is dit nieuwe systeem een goed idee?

Experts zijn het er over eens dat de beveiliging van DigiD achterblijft bij moderne standaarden. Het is dus belangrijk dat er een veiliger inlogsysteem komt voor de overheid, die immers veel gevoelige gegevens in handen heeft.

Toch kan de eID-aanpak niet alleen maar op lof rekenen. De Autoriteit Persoonsgegevens, die al langer kritisch is over het plan, is na jaren van ontwikkeling nog niet overtuigd. Volgens de waakhond ontbreekt het aan privacy by design, ofwel een ingebouwde privacybescherming voor burgers.

Daarbij verwijst de toezichthouder onder meer naar een onderzoek van TNO, dat begin 2016 werd uitgevoerd. Daaruit bleek dat er nog veel onduidelijk was over logging, oftewel welke gebruikersgegevens waar worden opgeslagen. Bij de techniek achter het eID-systeem zijn allerlei leveranciers en beheerders betrokken, en het is niet altijd duidelijk wie welke verantwoordelijkheid heeft.

De grote hoeveelheid betrokken partijen is ook volgens onderzoeker Jaap-Henk Hoepman van de Radboud Universiteit een probleem. Volgens hem had beter gekozen kunnen worden voor een 'decentraal' systeem, waarbij zo min mogelijk persoonlijke informatie wordt uitgewisseld.

Een webwinkel die wil verifiëren dat een klant ouder dan achttien is, zou bijvoorbeeld alleen een verificatie van de leeftijd kunnen oproepen, zonder dat er verdere persoonsgegevens worden uitgewisseld of in centrale databases komen te staan.

Het was sowieso beter geweest als de overheid de ontwikkeling van het eID-systeem volledig in eigen handen had gehouden, betoogt Hoepman. "Het probleem is dat ze hier hebben geprobeerd om voor een dubbeltje op de eerste rang te zitten."

Volgens hem had de overheid de infrastructuur zelf moeten bouwen. "Net als asfalt. De overheid legt wegen aan en vervolgens kunnen mensen daar met hun auto overheen rijden." Commerciële partijen hadden later nog diensten kunnen bouwen bovenop zo'n overheidssysteem, zegt Hoepman.

Het ministerie van Binnenlandse Zaken benadrukt dat privacy juist centraal staat bij het ontwerp van het eID-stelsel. Zo moet het voor banken onmogelijk zijn om te zien wanneer en waar klanten hun iDIN-account gebruiken om in te loggen. Volgens Hoepman klopt dat inderdaad als het gaat om overheisdwebsites, maar wordt die informatie wel degelijk uitgewisseld als wordt ingelogd bij bedrijven.

Volgens het ministerie is het vooral belangrijk dat er nieuwe beveiligingsniveaus ('substantieel' en 'hoog') worden toegevoegd aan DigiD en de andere eID-middelen. Met name in de zorg zou bijvoorbeeld behoefte zijn aan zo'n hoger beveiligingsniveau, om patiëntgegevens te beveiligen.

Wanneer wordt dit ingevoerd?

Het eID-stelsel wordt geleidelijk uitgerold. Dit jaar werden al pilots uitgevoerd met Idensys en iDIN, en wordt veel van de achterliggende infrastructuur gereed gemaakt.

Volgend jaar moet het beveiligingsniveau van DigiD omhoog gaan, en wordt een wetsvoorstel ingediend dat de verdere uitrol van het eID-systeem mogelijk maakt. Dat voorstel moet ook zorgen voor onafhankelijk toezicht op de inlogmethodes.

In 2018 moet het eID-stelsel volledig beschikbaar worden gesteld, en worden dus ook de rijbewijzen en identiteitskaarten vernieuwd om digitaal inloggen mogelijk te maken.

Lees meer over:
eID
Tip de redactie