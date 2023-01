Overheid deelt broncode van DigiD-app zodat burgers kunnen meekijken

De broncode van de DigiD-app is maandag online gezet. Het gaat om de achterliggende tekst waarmee programmeurs de app hebben geschreven. Het kabinet wil broncodes van zijn diensten vaker openbaar maken om burgers te laten zien hoe ze werken.

Iedereen kan de broncode van de DigiD-app bekijken op een GitHub-pagina. Met het publiceren van de code richt de overheid zich op transparantie. Logius heeft de code gedeeld. Die organisatie maakt deel uit van de Rijksoverheid en beheert DigiD.

"Zoals gebruikelijk kan iedereen technische kwetsbaarheden in software van de Rijksoverheid melden bij het NCSC (Nationaal Cyber Security Centrum, red.)", zegt een woordvoerder van Logius tegen NU.nl. "Dat geldt nu ook voor de broncode van de DigiD-app."

Rejo Zenger van digitaleburgerrechtenbeweging Bits of Freedom vindt het verstandig dat de broncode is gepubliceerd. "Er zijn waarschijnlijk allemaal techneuten die er met plezier naar willen kijken, die fouten kunnen opsporen zodat die opgelost kunnen worden", zegt hij.

Wat is DigiD ook alweer? Je gebruikt DigiD om te bewijzen wie je bent als je online iets moet regelen.

DigiD wordt bij de overheid gebruikt, maar ook in het onderwijs en de zorg.

DigiD is een dienst van beheerder Logius, die deel uitmaakt van de Rijksoverheid.

Jammer dat het om oudere versie van broncode gaat

De broncode die is gepubliceerd is van een oudere versie van de app, zegt de woordvoerder van Logius. De beheerder heeft samen met interne en externe deskundigen een onderzoek uitgevoerd op een versie die in september 2022 in de appwinkels stond.

Toch was het misschien beter geweest als de recentste versie van de app openbaar gemaakt was. "Het voordeel daarvan is dat we beter weten wat er op onze telefoons draait", zegt Zenger.

"Stel dat er per ongeluk een fout in de code zit die tot een kwetsbaarheid leidt, dan wordt die sneller gevonden als de code openbaar is", legt Zenger uit. "Als in de recentste versie van de app een kwetsbaarheid zit, betekent het dat die mogelijk onopgemerkt blijft. En dat terwijl iedereen die code op zijn telefoon heeft staan."

Logius zegt ernaar te streven om ook nieuwe versies openbaar te maken. "Maar de organisatie moet klaar zijn om deze manier van werken te ondersteunen", zegt de woordvoerder. "Het kost tijd om dit zorgvuldig te kunnen doen, naast het dagelijkse werk om software veilig en betrouwbaar te houden."

Sommige onderdelen in broncode weggelakt

De overheid onderzocht in juli vorig jaar al of de broncode van de DigiD-app openbaar kon worden gemaakt. Er werd toen bekeken of dat zonder problemen en op een veilige manier kon.

"Enkele fragmenten in de broncode kunnen een beveiligingsrisico opleveren", zegt Logius. "Deze fragmenten zijn in de gepubliceerde broncode vervangen door de letter S (security). Daarnaast zijn fragmenten waaruit persoonsgegevens van ontwikkelaars te herleiden zijn vervangen door de letter P (privacy)."

De DigiD-app is slechts een deel van de DigiD-omgeving. Met deze broncode is alleen te zien hoe de app werkt. Logius zegt ook onderzoek te doen naar de achterliggende DigiD-software, zodat die later gepubliceerd kan worden.

Openheid al langer punt op de agenda

Er wordt al langer gewerkt om broncodes van overheidsdiensten openbaar te maken. In april 2020 riep toenmalig staatssecretaris Raymond Knops overheden al op om de broncode van software vrij te geven, tenzij er een gegronde reden was om dat niet te doen.

Ook vanuit Europa wordt het steeds belangrijker gevonden om transparant te zijn over hoe programma's en diensten werken. Zo komt er een algoritmewet die organisatie verplicht om te laten zien hoe algoritmes werken die ze gebruiken voor hun diensten. Daarmee moet onder meer discriminatie en het verregaand controleren van burgers worden voorkomen.

