DEN HAAG - Met alleen een gebruikersnaam en wachtwoord is de beveiliging van de digitale identificatiemethode van de overheid (DigiD) te zwak om er de belastingaangifte mee te ondertekenen.

Zonder extra, sterkere maatregelen is het risico op identiteitsvervalsing te groot en bovendien worden eventuele complicaties afgewenteld op de burger, stelt het Genootschap van Informatiebeveiligers (GvIB).

Sinds het begin van vorig jaar kunnen internetgebruikers bij steeds meer overheidsinstellingen terecht met hun Digitale Identiteit (DigiD). De overheid kan met het systeem de identiteit van de gebruiker controleren. Meer dan een miljoen Nederlanders hebben inmiddels een DigiD aangevraagd en ongeveer 400.000 hebben er dit jaar hun belastingaangifte mee ondertekend.

Naïef

De informatiebeveiligers zijn volgens de Belastingdienst naïef als ze denken dat DigiD de enige methode is om een belastingaangifte op echtheid te controleren. Een woordvoerder laat weten dat er meer waarmerken zijn ingebouwd zoals een check op dubbele aangiften en controle van het ingevoerde rekeningnummer.

Bij de dienst zijn geen gevallen bekend van fraude met DigiD, benadrukte hij vrijdag.

Toetsaanslagen

DigiD bestaat vooralsnog alleen uit een gebruikersnaam en een wachtwoord. Op internet circuleren te veel methoden om toetsaanslagen te bespioneren om de codes geheim te houden, stelt het GvIB "Als ik aangifte moet doen, zou ik dat voorzichtiger willen kunnen doen", zegt scheidend voorzitter M. Kersten van het genootschap. Bij het genootschap zijn onder meer Cap Gemini, LogicaCMG, KPMG en PricewaterhouseCoopers aangesloten.

De overheid redeneert volgens hen alleen uit een eigen belang. Kersten: "Als naam en wachtwoord uitlekken zijn de problemen voor de gebruiker. Als iemand anders je identiteit misbruikt moet jij dat herstellen. De overheid zit hooguit met imagoschade."

Irritatie

"De Belastingdienst zoekt naar een evenwicht tussen eenvoud en veiligheid. Zwaardere methoden maken het ingewikkeld en duurder", staat in een reactie. "In het geval van identiteitsvervalsing leidt dat hoogst tot irritatie. De huidige aanpak is verantwoord."

DigiD begint deze maand een proef met een hoger beveiligingsniveau. De ontwikkelaars koppelen de handtekening aan een code die ze per sms versturen. De Belastingdienst laat weten dat die methode "zeker een optie is". "We zijn continu bezig om onze producten en hun beveiliging te verbeteren."

SP-Kamerlid Gerkens hoort in die toezegging een erkenning dat DigiD nog niet veilig genoeg is. "Het idee is niet prettig. Een digitale identificatiemethode voor veel overheidsdiensten moet vanaf het begin optimaal voldoen anders haken gebruikers voor altijd af."