Gratis pinnen met de onveilige DigiD

Dat automatisering bij de overheid niet in goede handen is, mag inmiddels een cliché genoemd worden.

Eerder deze maand ontkwam het Rijk ternauwernood aan een digitale meltdown. Het stelsel van beveiligingscertificaten voor overheidswebsites was gecompromitteerd. Het particuliere bedrijf DigiNotar bleek zeer ernstige beveiligingsproblemen te hebben. Er ontstond een grote crisis, die de reputatie van de Staat als aanbieder van veilige websites voorlopig om zeep hielp.

Ook gewone slordigheden zijn schering en inslag. Vorige week liet de minister van Financiën nog de vertrouwelijke Miljoenennota op internet uit zijn handen vallen. Foutje bij weer een andere dienstverlener.

Afgelopen maandag traden zeer ernstige problemen aan het licht met de beveiliging van de zogeheten DigiD. Dat is de elektronische handtekening waarmee burgers via internet bijvoorbeeld bij de Belastingdienst aanvragen kunnen doen voor tal van toeslagen. De Belastingdienst bleek niet te controleren of degene die met deze code rechtshandelingen verricht, wel is wie hij zegt te zijn.

Pas toen bewoners van een hele straat ontdekten dat er door bedriegers huis aan huis spookaanvragen waren gedaan, kwam de fiscus in actie.

In eerste instantie werden de problemen per kerende post weer op de stoep van de burger gedeponeerd: dank dat u ons hebt gewezen op dit lek, maar probeer vooral zelf het geld van de oplichters terug te krijgen. Dan kan de fiscus het namelijk bij u terugvorderen. Over deze houding merkt de Nationale Ombudsman terecht op dat hier een overheid probeert zijn stoepje schoon te vegen.

Dat is vriendelijk uitgedrukt. Alsof het stelsel van eerst toeslagen uitkeren en later controleren niet al kwetsbaar genoeg is voor misverstanden en fouten. Een onveilige DigiD is vergelijkbaar met een geldautomaat zonder pincode. Waarna de bank de rekeninghouders maant beter op hun centen te passen.

Er is hier ten minste sprake van een grove schending van het vertrouwen dat de burger in de overheid mag hebben. De burger moet erop kunnen vertrouwen dat een DigiD veilig is.

Ook vandaag valt nog op de website DigiD.nl te lezen dat deze elektronische code een foolproof identificatiemiddel is voor overheidssites. „Zo weten overheidsinstellingen dat ze echt met u te maken hebben.”

Dat is dus niet het geval gebleken. Of dat nu wel zo is moet maar worden afgewacht.

Voorlopig heeft het Rijk de schijn tegen. De DigiD was helemaal niet ‘geheel privé’, zoals de site meldt, maar een gat in de dijk: een rondslingerend blanco chequeboek. Het was tafeltje-dek-je, ezeltje-strek-je rechtstreeks uit de schatkist. Is er nog iemand in bestuurlijk Den Haag die een beetje oplet?