Verkeerd DigiD-advies leidt tot wantrouwen

Het officiële advies om de DigiD van de buurman te lenen was knullig, zeggen deskundigen. Je kunt dan zijn gegevens van de Sociale Verzekeringsbank wijzigen.

Toen ze hoorden van het advies dat het ministerie van Binnenlandse Zaken en de Belastingdienst over de DigiD hadden verstrekt, konden ze het bijna niet geloven. „Van een ongekende knulligheid”, zegt advocaat Joost Linnemann, specialist in digitale beveiliging. „Volstrekt onaanvaardbaar”, zegt Matt Poelmans, de voorzitter van het forum Burger@Overheid. Zelfs de woordvoerder van het ministerie van Binnenlandse Zaken is er nog enigszins beduusd van: „Echt ongelooflijk”.

Afgelopen vrijdag had de belastingaangifte van 2006 moeten zijn ingediend. Wie dat elektronisch wilde doen, moest daar dit jaar voor het eerst de DigiD voor gebruiken. DigiD – spreek uit: ‘diegiedee’ – werd vorig jaar ingevoerd en is een strikt persoonsgebonden ‘pincode’ die burgers moeten gaan gebruiken bij hun elektronische communicatie met de overheid, bijvoorbeeld met de Belastingdienst of de Informatie Beheer Groep (IBG). Maar ondanks een intensieve voorlichtingscampagne bleken veel burgers deze week de DigiD nog niet te hebben aangevraagd.

Een probleem? Niet voor de Belastingdienst, zo bleek afgelopen donderdag. Ongeruste burgers die belden met de Belastingtelefoon en vertelden dat ze nog niet over een DigiD beschikten , kregen een simpel advies: gebruik gewoon de DigiD van iemand anders.

Op het ministerie van Binnenlandse Zaken, verantwoordelijk voor de invoering van de inlogcode, vielen ze bijna van hun stoel toen het nieuws naar buiten kwam – ook de medewerkers van hun eigen DigiD-helpdesk raadden burgers aan dit te doen. „We hebben onmiddellijk ingegrepen”, zegt een woordvoerder. Volgens hem wordt dit advies inmiddels niet meer gegeven – ook niet bij de Belastingdienst.

Wie op het idee gekomen is om burgers te adviseren elkaars DigiD te gebruiken, is niet helemaal duidelijk. Een woordvoerder van het ministerie van Financiën wil niet op het onderwerp ingaan, omdat Kamerleden schriftelijke vragen hebben gesteld. Die gaan voor. Hoeveel burgers hun belastingaangifte met de DigiD van hun buurman hebben ondertekend, is om die reden ook onduidelijk.

Het incident roept meer vragen op. Of DigiD wel veilig is, bijvoorbeeld. De persoonsgebonden pincode is gebaseerd op twee gegevens: het ‘burgerservicenummer’ – voorheen sofinummer genoemd – en de inschrijving in de GBA, de Gemeentelijke Basis Administratie. Wie een DigiD aanvraagt, krijgt een inlogcode opgestuurd naar zijn thuisadres. Een tweede wachtwoord kan naar de mobiele telefoon worden gestuurd.

„Een betrekkelijk eenvoudig systeem”, zegt advocaat Joost Linnemann van advocatenkantoor Kennedy Van der Laan uit Amsterdam. Maar daarmee is het systeem nog niet per se onveilig – mits je er prudent mee omspringt. Heb je eenmaal de DigiD van je buurman in handen, dan kun je ‘spoofen’, oftewel de identiteit van iemand anders aannemen. Want met de DigiD van je buurman kun je meer doen dan een belastingaangifte. Je kunt ook zijn gegevens bij de Sociale Verzekeringsbank veranderen, of een bouwvergunning aanvragen bij de gemeente. Met ingewikkeldere, meer beveiligde systemen kan dat net zo goed, zegt Linnemann. „Totdat er overal biometrische kenmerken worden gebruikt, zoals bij de irisscan op Schiphol”.

Wat zijn de juridische gevolgen? Heeft de belastingdienst niet opgeroepen tot het plegen van fraude, vraagt Tweede-Kamerlid Ineke Dezentjé Hamming-Bluemink (VVD) zich op haar weblog af. Dat valt mee, zo zeggen de experts. „Als je aan mij vraagt: leidt dit tot grote problemen, dan zeg ik nee’’, zegt Linnemann. „En als er al problemen komen, dan liggen die vooral bij de Belastingdienst. Stel: de Belastingdienst komt er achter dat jij je huis in Frankrijk niet hebt opgegeven. Dan zou jij kunnen beweren dat de valse aangifte niet door jou is verstuurd, maar door je buurman”.

Niettemin kunnen de gevolgen op de lange termijn groot zijn. De afgelopen jaren is het ‘elektronische loket’ van de overheid steeds belangrijker geworden. Overheidsinstanties als de Belastingdienst kunnen doelmatiger en efficiënter werken. DigiD is zeker niet enige systeem dat daarbij een rol gaat spelen. Zo is er het project PKIoverheid, waarbij PKI staat voor ‘Public Key Infrastructure’. Met PKI kan veilig worden gecommuniceerd met burgers, maar ook tussen overheden zelf. Met een PKI kunnen contracten worden ondertekend. „Een PKI heeft dezelfde rechtsgevolgen als een handgeschreven handtekening”, meldt de website www.pkioverheid.nl.

Voorwaarde is wel dat de burger vertrouwen heeft in dergelijke systemen. Dat vertrouwen is nu met één ondoordachte actie grondig ondergraven, zegt Matt Poelmans van Burger@Overheid. Zijn forum, waarin onder meer de Consumentenbond en de Nationale ombudsman zitting hebben, heeft besloten de ‘Webflop 2007’ toe te kennen aan de Belastingdienst. De Belastingdienst is door de digitale ontwikkelingen in staat om grote hoeveelheden standaardgevallen goed af te wikkelen, zegt Poelmans. „Maar in bijzondere gevallen raakt men in paniek. Dat leidt tot rare adviezen.”

Belastingconsulenten vormen zo’n bijzonder geval. Ineke Vermeulen heeft een adminstratiekantoor in Kortenhoef en gebruikt speciale software om de belastingzaken van haar cliënten af te handelen. Maar voor het aanvragen van zorgtoeslag of voorlopige teruggave werkt die niet. „Dus moet je je klanten om hun DigiD vragen.”