15 april 2006

De digitale identificatiemethode van de overheid (DigID) is met alleen een gebruikersnaam en een wachtwoord wel erg minimaal beveiligd, vindt de scheidend voorzitter van het Genootschap van Informatiebeveiligers (GvIB ), M. Kersten. Nu is dat niets nieuws, en voor werkelijk belangrijke zaken als een paspoort en een rijbewijs kan het DigID dan ook niet gebruikt worden. Maar Kersten vindt het DigID ook veel te zwak om de belastingaangifte mee te ondertekenen. Nu wijst Kersten niet zozeer op de zwakke beveiliging alleen; het is al langer bekend dat met een dergelijke zwakke beveiliging het risico op identiteitsvervalsing groot is. Een zwaardere beveiliging zou dan ook heel goed zijn voor het publieke vertrouwen in deze vorm van identificatie. En zeker nu meer dan een miljoen Nederlanders een DigID hebben aangevraagd en ongeveer 400.000 burgers hebben er hun belastingaangifte mee ondertekend. Maar waar Kersten vooral bezwaren tegen heeft is de combinatie van een zwakke beveiliging en het feit dat de overheid bij eventuele complicaties de verantwoordelijk afwenteld op de burger. Op Internet zijn teveel methoden en software te verkrijgen om toetsaanslagen te bespioneren, de zogenaamde key-loggers , om codes en gebruiksnamen geheim te houden. 'Als ik aangifte moet doen, zou ik dat voorzichtiger willen kunnen doen', zegt Kersten. Bij het genootschap zijn onder meer Cap Gemini , LogicaCMG , KPMG en PricewaterhouseCoopers aangesloten.

Volgens de Belastingdienst loopt echter alles niet zo'n vaart; de informatiebeveiligers zijn wel erg naïef als ze denken dat DigID de enige methode is om een belastingaangifte op echtheid te controleren. Volgens een woordvoerder zijn er voldoende andere waarmerken ingebouwd zoals een check op dubbele aangiften en controle van het ingevoerde rekeningnummer. Er zijn ook geen gevallen bekend van fraude met het DigID. 'De Belastingdienst zoekt naar een evenwicht tussen eenvoud en veiligheid. Zwaardere methoden maken het ingewikkeld en duurder', zo luidt de reactie. 'In het geval van identiteitsvervalsing leidt dat hoogst tot irritatie. De huidige aanpak is verantwoord'. Kersten stelt echter dat de overheid met name vanuit het eigen belang redeneert. 'Als naam en wachtwoord uitlekken zijn de problemen voor de gebruiker. Als iemand anders je identiteit misbruikt moet jij dat herstellen. De overheid zit hooguit met imagoschade'. Nu is dat laatste zeer problematisch voor een overheid, maar de burger heeft de echte problemen, omdat hij moet aantonen dat de aanvragen met de DigID niet van hem afkomstig zijn. Later deze maand start DigID wel met een proef met een wat hoger niveau van beveiliging. De ontwikkelaars koppelen dan de handtekening aan een code die per SMS wordt verstuurd. De Belastingdienst laat in ieder geval weten dat die methode een optie is voor de aangifte. Kamerlid Gerkens van de SP hoort in die toezegging een erkenning dat DigID nog niet veilig genoeg is. 'Het idee is niet prettig. Een digitale identificatiemethode voor veel overheidsdiensten moet vanaf het begin optimaal voldoen anders haken gebruikers voor altijd af'. Het probleem is uiteraard dat geen enkele beveiligingsmethode optimaal veilig is. De huidige methode echter is, zeker nu zo velen gebruik ervan maken, niet voldoende en dient dan ook zo snel mogelijk te worden aangepast.