opinext@nrc.nl

Fraudegevoelige DigiD: doe er je voordeel mee!

De fiscus waarschuwt voor fraude met toeslagen, na meldingen over pogingen om mensen hun DigiD-gegevens af te troggelen. Met deze reactie legt de Belastingdienst de verantwoordelijkheid terug bij de burger. Dat is onterecht. DigiD is namelijk helemaal niet zo veilig als de overheid het wil laten lijken.

„Met uw persoonlijke DigiD kunt u zich identificeren op websites van de overheid. Zo weten overheidsinstellingen dat ze echt met u te maken hebben.” Zo lezen we op de website van DigiD.

Maar als u op een website komt die niet van de overheid is, bijvoorbeeld een garagebedrijf, een webwinkel, een zorginstelling, pensioenuitkeringsinstantie, gezondheidcentrum of zorgverzekeraar, hoe zit het dan?

Het zijn geen overheidsinstellingen, dus je zou denken dat je geen gebruik mag maken van DigiD. Maar sommige van deze instellingen mogen dat juist toch (de garage en webwinkel niet, de overige uit het rijtje wel). Dat blijkt alleen niet uit de website van DigiD en de Postbus 51-spotjes. Begrijpt u het nog?

Dus (bijna) iedereen die inlogt met DigiD op de website van een andere organisatie dan van een overheid, heeft het niet gesnapt. En logt misschien ook wel in met DigiD op een malafide site. Daar kunnen dan de DigiDgegevens worden ontfutseld (phishing). En omdat er burgers zijn die inloggen op websites die niet van de overheid zijn, is DigiD geen betrouwbaar mechanisme voor het bewijzen van je identiteit. Het gevolg is dat de overheid met geen mogelijkheid kan weten of zij echt met deze burger te maken heeft of met een fraudeur.

De schuld van deze onbetrouwbaarheid ligt bij de overheid en bij de producent Logius (de dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties). Logius en het ministerie van BZK moeten vertellen hoe het echt zit. Het idee van DigiD is heel mooi, maar het systeem was al kwetsbaar genoeg; ook zonder dat er slecht gedocumenteerde uitzonderingen werden gemaakt.

Maar er is een lichtpuntje. Ook ik ga volgend jaar weer DigiD gebruiken bij mijn belastingaangifte en overige zaken met de overheid. Want als alles goed gaat dan is het mooi, maar als er iets mis gaat dan ontken ik alle betrokkenheid. Met als excuus dat wellicht iemand anders mijn DigiD heeft misbruikt.

Conclusie: DigiD is onbetrouwbaar en dat is zeer moeizaam te herstellen!

Advies aan de burger: leg je er bij neer en doe er je voordeel mee!

Advies aan de overheid: los dit op door de betrouwbaarheid van DigiD te herstellen of door DigiD te vervangen door een degelijker product!

Cor Rosielle

Security Specialist bij Outpost24 Benelux