DigiD
DigiD (spreek uit: ‘Die-gie-dee’) staat voor Digitale Identiteit. Het is een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren.
Inhoud[verbergen] |
[bewerk] Doel
Op aanvraag ontvangt men van DigiD hiervoor een gebruikersnaam en bijbehorend wachtwoord. Hiermee kan men met één inlogcode terecht bij elektronische diensten van steeds meer overheidsinstellingen, o.a. de Belastingdienst. In 2005 zijn tientallen gemeenten, de Sociale Verzekeringsbank (SVB), het Centrum voor Werk en Inkomen (CWI) en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) aangesloten op DigiD.
Vanaf 2007 wordt DigiD verplicht voor iedereen die elektronisch belastingaangifte doet via internet en vervangt dan de huidige pincode die door de Belastingdienst is verstrekt. Alleen degenen die gebruik maken van de service hulp bij aangifte (HUBA), diskettegebruikers, de gebruikers van commerciële software en de fiscale intermediairs, kunnen nog gebruik maken van de oude pincode.
[bewerk] Werking
Men kan op de website van DigiD een gebruikersnaam aanvragen. De aanvrager kan zelf een DigiD gebruikersnaam en tijdelijk wachtwoord kiezen. Vervolgens krijgt men een activeringscode thuisgestuurd. Deze wordt verzonden naar het bij de GBA bekende woonadres van de aanvrager. Met deze activeringscode kan men op de website van DigiD zijn gebruikersnaam activeren. Mensen die zonder achternaam in de GBA staan ingeschreven (zoals bepaalde groepen buitenlanders) kunnen op dit moment echter geen DigiD aanvragen.
Om een elektronische dienst af te nemen met DigiD wordt men van de website van de overheidsinstelling doorgeleidt naar de inlogpagina van DigiD. Hier logt men in en, nadat de identiteit is geverifieerd, kan men de dienst afnemen. De DigiD site voert de controle op de identiteit dus uit, waardoor de afnemende overheidssites die controle niet meer zelf hoeven uit te voeren.
Het is mogelijk om DigiD via verificatie met behulp van sms uit te breiden. Daarvoor moet dan op de DigiD site worden aangegeven dat authenticatie per sms wenselijk is, waarbij een GSM nummer moet worden opgegeven. In dat geval moet na aanmelding op een DigiD compatible site met DigiD gebruikersnaam en wachtwoord, ook de per sms ontvangen eenmalig geldige transactiecode worden ingevoerd.
[bewerk] Bezwaren tegen DigiD
Door het Genootschap van Informatiebeveiligers (GvIB) is kritiek geuit op de huidige werkwijze rond DigiD. Het bezwaar komt neer op de volgende punten van kritiek:
- Op dit moment wordt een DigiD activeringscode op aanvraag via de post uitgereikt (in de brievenbus gestopt).
- Aangezien er bij de uitreiking geen authenticatie tegen een legaal identiteitsbewijs plaatsvindt, is er geen volledige zekerheid over de daadwerkelijke identiteit van de DigiD gebruiker. Uitsluitend de DigiD gebruikersnaam en het bijbehorende wachtwoord zijn benodigd ter identificatie van een persoon.
- Het uitlekken van de DigiD gebruikersnaam en wachtwoord is voldoende om de identiteit van een persoon te misbruiken. Voorbeeld (te goeder trouw): partners die gezamenlijk aangifte doen moeten beide met hun DigiD een aangifte ondertekenen. Het ligt voor de hand dat de partner die de aangifte indient ook het DigiD van de andere partner kent en dus de digitale identiteit van die partner kan overnemen. In geval van scheiding is het dus aan te bevelen om het wachtwoord te wijzigen.
Binnen het pallet van voorzieningen met niveau basis, midden en hoog, heeft DigiD de basis authenticatiefunctie uitgebreid tot niveau midden door toevoeging van SMS authenticatie. Maar ook daar bestaat (afgeleid van de vorige punten) bezwaar tegen:
- Uitbreiding van de authenticatiefunctie met de sms functie maakt deze veiliger, aangezien iemand die andermans DigiD gegevens kent, die functie op de DigiD site (door wijziging van het te gebruiken 06-nummer) alleen aan kan aanpassen als deze over het bestaande GSM nummer kan beschikken.
Er is op dit moment geen uitsluitsel over toepassing van authenticatie bij uitreiking of het gebruik van een betere vorm van versterkte authenticatie met behulp van een token of smartcard, zodat naast kennis van een bewijs van identiteit ook het bezit van een bewijsstuk nodig is ter identificatie. In theorie kan de techniek van het sinds 28 augustus 2006 beschikbare paspoort met biometrie daarvoor worden gebruikt.
[bewerk] DigiD en niet-overheid
DigiD wordt het standaard identificatie en authenticatiemechanisme bij gegevensuitwisseling met de overheid. Daarmee bestaat DigiD uit een enorme directory van digitale identiteiten. Bovendien zal de overheid borg staan voor de betrouwbaarheid van die identiteiten (even afgezien van de voorgenoemde bezwaren). Waarom zou je die directory ook niet kunnen gebruiken voor niet-overheids informatiebronnen? Er zijn diverse organisaties die nadenken over het gebruik van DigiD voor identificatie en authenticatie. Op dit moment mag DigiD daarvoor formeel niet worden gebruikt, omdat DigiD alleen op basis van Sofinummer de authenticatie kan uitvoeren. Alleen bestuursorganen van de overheid mogen dergelijke informatie gebruiken en alleen aan hen mag DigiD het resultaat van de authenticatie melden.
Een bezwaar tegen het gebruik van DigiD voor authenticatie buiten het overheidsdomein is gelegen in de 3e Law of Identity, zoals geformuleerd door Kim Cameron: de overheid (de eigenaar van DigiD) is geen gerechtvaardigde partij in transacties buiten het overheidsdomein. De overheid heeft bijvoorbeeld niets te maken met transacties tussen een individu en een webwinkel of weblog. Omdat DigiD in de huidige opzet geen kennis heeft van de handeling waartoe de authenticatie plaatsvindt is dit bezwaar op DigiD niet van toepassing.
[bewerk] Trivia
- DigiD heeft op 22 november 2006 enkele duizenden mobiele telefoonnummers die bij meerdere DigiD-nummers voorkwamen verwijderd.