DigiD
Van Wikipedia
DigiD (spreek uit: ‘Die-gie-dee’) staat voor Digitale Identiteit. Het is een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren. (soort digitaal paspoort voor overheidinstanties)
Inhoud |
[bewerk] Doel
Op aanvraag ontvangt men van DigiD hiervoor een (bij de aanvraag zelf gekozen) gebruikersnaam en bijbehorend wachtwoord. Hiermee kan men met één inlogcode terecht bij elektronische diensten van steeds meer overheidsinstellingen, o.a. de Belastingdienst. In 2005 zijn tientallen gemeenten, de Sociale Verzekeringsbank (SVB), het Centrum voor Werk en Inkomen (CWI) en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) aangesloten op DigiD.
Vanaf 2007 wordt DigiD verplicht voor iedereen die elektronisch belastingaangifte Inkomstenbelasting voor particulieren doet via internet en vervangt dan de huidige pincode die door de Belastingdienst is verstrekt. DigiD wordt bij de aangifte gebruikt voor de authenticatie, een vereiste om samen met een of meer andere maatregelen een Digitale handtekening te kunnen plaatsen. Alleen degenen die gebruik maken van de service hulp bij aangifte (HUBA), diskettegebruikers, de gebruikers van commerciële software en de fiscale intermediairs, kunnen nog gebruik maken van de oude pincode.
DigiD en de aangesloten overheidsorganisaties bieden vooralsnog geen voorziening voor vertegenwoordiging. Omdat een DigiD strikt persoonlijk is, is het de eigenaar van een DigiD niet toegestaan zijn gebruikersnaam en wachtwoord aan een andere persoon uit te lenen. Wel kan in sommige gevallen een andere persoon voor de authenticatie zorgdragen door zelf zijn eigen DigiD te gebruiken. In dat geval zal de overheidsorganisatie van wie een dienst wordt afgenomen - in aanvulling op DigiD - controle op de rechtmatigheid van de authenticatie ten opzichte van de dienst, uitvoeren.
Commercieële vertegenwoordigers, zoals belastingadviseurs, mogen klanten nooit vragen naar hun DigiD of namens hen DigiD's aanvragen. Het gebruik van de DigiD van een ander geldt als identiteitsfraude. Controle op dergelijk oneigenlijk gebruik kan ook op een later moment plaatsvinden, afhankelijk van de aard van de afgenomen dienst.
[bewerk] Werking
Men kan op de website van DigiD een gebruikersnaam aanvragen.
Let op: Het opgegeven adres van deze persoon moet in iedergeval het zelfde zijn als in de GBA bekende woonadres van de aanvrager.
De aanvrager kan zelf een DigiD gebruikersnaam en tijdelijk wachtwoord kiezen. Vervolgens krijgt men een activeringscode thuisgestuurd. Met deze activeringscode kan men op de website van DigiD zijn gebruikersnaam activeren (Meestal kun je past de diensten afnemen wanneer je account is geactiveerd). Ook mensen die met een bijzonder type achternaam (namenreeks)of een afwijkend adresformaat (zoals bij een woonboot zonder huisnummer) in de GBA staan ingeschreven, kunnen inmiddels een DigiD aanvragen.
Om een elektronische dienst af te nemen met DigiD wordt men van de website van de overheidsinstelling doorgeleidt naar de inlogpagina van DigiD. Hier logt men in en, nadat de identiteit is geverifieerd, kan men de dienst afnemen. De DigiD site voert de controle op de identiteit dus uit, waardoor de afnemende overheidssites die controle niet meer zelf hoeven uit te voeren.
Het is mogelijk om DigiD via verificatie met behulp van sms uit te breiden. Daarvoor moet dan op de DigiD site worden aangegeven dat authenticatie per sms wenselijk is, waarbij een GSM nummer moet worden opgegeven. In dat geval moet na aanmelding op een DigiD compatible site met DigiD gebruikersnaam en wachtwoord, ook de per sms ontvangen eenmalig geldige transactiecode worden ingevoerd.
[bewerk] Bezwaren tegen DigiD
Door het Genootschap van Informatiebeveiligers (GvIB) is kritiek geuit op de huidige werkwijze rond DigiD. Het bezwaar komt neer op de volgende punten van kritiek:
- Op dit moment wordt een DigiD activeringscode op aanvraag via de post uitgereikt (in de brievenbus gestopt).
- Aangezien er bij de uitreiking geen authenticatie tegen een legaal identiteitsbewijs plaatsvindt, is er geen volledige zekerheid over de daadwerkelijke identiteit van de DigiD gebruiker. Uitsluitend de DigiD gebruikersnaam en het bijbehorende wachtwoord zijn benodigd ter identificatie van een persoon.
- Het uitlekken van de DigiD gebruikersnaam en wachtwoord is voldoende om de identiteit van een persoon te misbruiken. Voorbeeld (te goeder trouw): partners die gezamenlijk aangifte doen moeten beide met hun DigiD een aangifte ondertekenen. Het ligt voor de hand dat de partner die de aangifte indient ook het DigiD van de andere partner kent en dus de digitale identiteit van die partner kan overnemen. In geval van scheiding is het dus aan te bevelen om het wachtwoord te wijzigen.
Binnen het pallet van voorzieningen met niveau basis, midden en hoog, heeft DigiD de basis authenticatiefunctie uitgebreid tot niveau midden door toevoeging van SMS authenticatie. Maar ook daar bestaat (afgeleid van de vorige punten) bezwaar tegen:
- Uitbreiding van de authenticatiefunctie met de sms functie maakt deze veiliger, aangezien iemand die andermans DigiD gegevens kent, die functie op de DigiD site (door wijziging van het te gebruiken 06-nummer) alleen aan kan aanpassen als deze over het bestaande GSM nummer kan beschikken.
Er is op dit moment geen uitsluitsel over toepassing van authenticatie bij uitreiking of het gebruik van een betere vorm van versterkte authenticatie met behulp van een token of smartcard, zodat naast kennis van een bewijs van identiteit ook het bezit van een bewijsstuk nodig is ter identificatie. In theorie kan de techniek van het sinds 28 augustus 2006 beschikbare paspoort met biometrie daarvoor worden gebruikt.
[bewerk] DigiD en niet-overheid
DigiD wordt het standaard identificatie en authenticatiemechanisme bij gegevensuitwisseling met de overheid. Daarmee bestaat DigiD uit een enorme directory van digitale identiteiten. Bovendien zal de overheid borg staan voor de betrouwbaarheid van die identiteiten (even afgezien van de voorgenoemde bezwaren). Waarom zou je die directory ook niet kunnen gebruiken voor niet-overheids informatiebronnen? Er zijn diverse organisaties die nadenken over het gebruik van DigiD voor identificatie en authenticatie. Op dit moment mag DigiD daarvoor formeel niet worden gebruikt, omdat DigiD alleen op basis van Sofinummer de authenticatie kan uitvoeren. Alleen bestuursorganen van de overheid mogen dergelijke informatie gebruiken en alleen aan hen mag DigiD het resultaat van de authenticatie melden.
Een bezwaar tegen het gebruik van DigiD voor authenticatie buiten het overheidsdomein is gelegen in de 3e Law of Identity, zoals geformuleerd door Kim Cameron: de overheid (de eigenaar van DigiD) is geen gerechtvaardigde partij in transacties buiten het overheidsdomein. De overheid heeft bijvoorbeeld niets te maken met transacties tussen een individu en een webwinkel of weblog. Omdat DigiD in de huidige opzet geen kennis heeft van de handeling waartoe de authenticatie plaatsvindt is dit bezwaar op DigiD niet van toepassing.
[bewerk] Trivia
- DigiD heeft op 22 november 2006 aangegeven van plan te zijn om enkele duizenden mobiele telefoonnummers die bij meerdere DigiD-nummers voorkwamen te zullen verwijderen. Het niveau van die DigiD wordt dan teruggezet naar niveau basis (alleen gebruikersnaam / wachtwoord) De eisen aan het gebruik van DigiD zijn verwoord in de gebruiksvoorwaarden op de DigiD site. Voor technische en andere aanpassingen zal zonodig een nieuwe versie worden uitgebracht.
De in april 2007 gerezen twijfel aan de veiligheid van DigiD is door gebruikers eenvoudig te herstellen. In het geval een wachtwoord bekend is geraakt bij een andere persoon dan de rechtmatig eigenaar, kan de laatste zijn wachtwoord wijzigen. In het ernstigste geval kan een verzoek worden gedaan aan de DigiD-helpdesk om het account te blokkeren. Het verdient aanbeveling de gebruiksvoorwaarden te lezen en gebruik te maken van de SMS functie.
