Nieuw DigiD legt veiligheid bij de gebruiker

Het vernieuwde DigiD laat Nederlanders zelf hun gegevens wijzigen. Beveiliging is meer aan die gebruiker zelf. DigiD versie 4 is vorige maand al live gegaan, gelijk met problemen.

Het identiteitssysteem van de Nederlandse overheid is gisteren officieel gelanceerd door minister Liesbeth Spies van Binnenlandse Zaken en Koninkrijksrelaties. Zij heeft op de lanceringsbijeenkomst gesteld dat burgers niet goed de verantwoording nemen voor beveiliging, ook van DigiD. "Als je je verloofde de deur uitzet, is het niet ongebruikelijk om het slot te veranderen", tekent nieuwssite Nu.nl op uit haar mond.

Beveiligingsniveau naar keuze
De minister verklaart dat veel mensen niet beseffen dat DigiD ook een soort sleutel is. "Het moet me van het hart dat we af en toe ook wel eens een beroep op het gezond verstand van mensen mogen doen." Het vernieuwde identiteitssysteem van de Nederlandse overheid doet dat deels door gebruikers te laten kiezen uit een beveiligingsniveau voor hun aanmelding.

Hierbij zijn er drie keuzes: óf inloggen met gebruikersnaam en wachtwoord, óf met ook nog eens een sms-code, óf met een chippas. De sms-code is een gratis toegestuurd bericht, vergelijkbaar met de TAN-codes van de ING. De chippasoptie is nog niet beschikbaar, want dit is voor een nog in te voeren elektronische identiteitskaart. Daarnaast is op DigiD zelf te zien waar en wanneer zoal is ingelogd. Dit moet inlogs door onbevoegden dan aan het licht brengen.

'Niet veilig genoeg'
Ondanks de aangeprezen verbeteringen in DigiD acht beheerder Logius het systeem niet veilig genoeg voor bijvoorbeeld inloggen op webwinkels. Een nationale e-identiteit die ook elders bruikbaar is, is DigiD vooralsnog niet. "Daar is DigiD zelf gewoon niet veilig genoeg voor", zegt Logius-directeur Steven Luitjens tegen Binnenlands Bestuur.

Hij voelt wel wat voor het idee achter zo'n meer universele identiteit en inlog. "Partijen moeten elkaar niet gaan beconcurreren op authenticatieoplossingen", oordeelt Luijtjens die het voorbeeld noemt van de banken die hun pinpassen uiteindelijk wel compatibel hebben gemaakt voor elkaars systemen.

Storing door migratie
Het 'nieuwe' DigiD is al ruim een maand geleden in gebruik genomen. Daarbij is de dienst in een weekend gemigreerd, waarna het op maandagochtend onderuit is gegaan door een flinke storing. Het hele DigiD-systeem lag toen zeven uur plat door overbelasting van een database. Het ging niet om een nieuwe database en ook niet om een piekbelasting, maar simpelweg om het maandagochtend op gang gekomen normale DigiD-verkeer.