Eén inlogcode voor alles, yes! Maar niet nu

Het kabinet wil één smartcard waarmee je kunt inloggen bij winkels, verzekeraars, banken en overheid Dat is veiliger en makkelijker Maar de timing van het plan is na vele schandalen niet zo best

redacteur technologie

Niet langer stapels losse wachtwoorden onthouden, maar één veilige methode om een boek te bestellen bij Bol.com of je btw-aangifte te doen op de site van de Belastingdienst.

Dat is het doel van het eID-stelsel, een nieuwe vorm van online identificatie die het kabinet wil invoeren. Gisteren werd de Tweede Kamer geïnformeerd over eID – een nieuwe elektronische identiteit voor miljoenen Nederlanders. De kosten voor het omvangrijke ICT–project worden geschat op 250 miljoen euro. De proeven beginnen komend jaar. Vanaf 2017 moeten Nederlanders met een smartcard kunnen inloggen bij overheidssites, webwinkels, verzekeraars en de Nederlandse banken doen mogelijk ook mee.

De presentatie van eID komt op een lastig moment. Het recente Amerikaanse afluisterschandaal maakte duidelijk dat mensen makkelijk via internet te traceren zijn. Niet alleen door Google of Facebook, ook door overheidsdiensten. Nederlanders zijn bovendien niet erg happig om persoonlijke gegevens op een centrale plek op te slaan. De moeizame invoering van het elektronisch patiëntendossier ligt nog vers in het geheugen. Nu maken 9 miljoen mensen gebruik van DigiD. Daarmee loggen ze een paar keer per jaar in bij publieke diensten, maar het is de vraag is of ze de overheid ook al hun dagelijkse online activiteiten toevertrouwen.

Geld besparen

Het kabinet beschouwt eID echter als een noodzakelijke stap om overheidszaken te automatiseren en geld te besparen op ambtenaren en gebouwen. Daarvoor wordt tot nu toe het digitale identificatiesysteem DigiD gebruikt. Maar dat is alleen beveiligd met inlognummer, wachtwoord en af en toe een sms’je – relatief makkelijk te hacken. Een fysiek bewijs, zoals een smartcard, is veiliger. In België werkt de overheid er al mee.

Webwinkels willen met het eID-stelsel meedoen om fraude te voorkomen en beter te controleren op leeftijd van klanten. Ook de Rabobank heeft zijn steun aan eID al toegezegd, ING en ABN Amro zijn nog in gesprek. Het eID-stelsel moet straks ook bruikbaar zijn in andere Europese landen.

Veiligheid en gebruiksgemak zijn in digitale systemen meestal elkaars tegenpolen. Daar hoopt eID een einde aan te maken. „Nu creëert elke website een eigen digitale sleutel: steeds een sleutel erbij aan je digitale sleutelbos. Dat gaan we omdraaien. Online aanbieders maken hun sites en apps toegankelijk met sleutels die voldoen aan de standaarden van het eID-stelsel”, zegt Hans-Rob de Reus van de Belastingdienst, architect van het plan.

‘Snowden-effect’

Voor eID is een strikte scheiding van persoonlijke gegevens nodig. Private partijen als webwinkels mogen bijvoorbeeld geen gebruik maken van het burgerservicenummer (BSN). Dat is alleen bedoeld voor het digitale loket van de overheid. Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen: „De digitale economie loopt nu nog met een slakkengangetje. Als je echt kunt vaststellen wie of wat iemand is, levert dat veel nieuwe mogelijkheden op. Maar het is niet de bedoeling dat ook je verzekeraar kan zien hoe vaak jij naar de slijter gaat.”

Bij de Radbouduniversiteit ontwikkelen ze een kaart die aan het eID-stelsel mee zou kunnen werken: de IRMA-kaart - ‘I reveal my attributes’. Deze smartcard bewaart persoonlijke eigenschappen van de drager niet op een centrale plek, maar op de kaart zelf. Beter voor je privacy, zegt Jacobs.

Hij snapt de scepsis door ‘het Snowden-effect’: „Daar ligt een mooie voorlichtingstaak. De overheid moet uitleggen dat ze het nu technisch netjes wil regelen.” Maar het Rijk heeft geen goede naam als het gaat om grote ICT-klussen – onder meer bij de Belastingdienst en het UWV zijn hiermee tientallen miljoenen euro’s verspild.

Het kabinet heeft haast om verbeteringen in te voeren. Tijdens de Diginotar-hack uit 2011 bleek hoe kwetsbaar de huidige structuur voor beveiligde verbindingen is. Dat bedrijf leverde digitale certificaten aan overheidssites, maar die werden in één keer ontoegankelijk. Alternatieve certificaten waren toen niet snel voorhanden.

Met medewerking van Peter Olsthoorn

    • Marc Hijink