Ineens hebben criminelen je DigiD met inlogcode in handen

Is DigiD veilig? Niet bepaald. Burgers maken fouten. En via nepsites kunnen criminelen gevoelige gegevens afvangen.

André Elings zit nog geen halve minuut achter zijn bureau als de telefoon gaat. „Ik heb een DigiD-code nodig om een paspoort aan te vragen”, zegt de beller. Die heeft geen idee dat hij met het ontwerpbureau van Elings in Waalwijk belt en niet met de overheid.

Geroutineerd onderbreekt Elings de man, die zijn frustraties over DigiD uiteenzet, en verwijst hem door naar het juiste telefoonnummer. Zo gaat het al jaren bij ontwerpbureau Digi-D. Mét koppelstreepje, in tegenstelling tot identificatiedienst DigiD van de overheid. „Zoiets frustreert je onderneming”, zegt Elings, die het bedrijf in 2003 begon. Twee jaar voordat de overheid met DigiD kwam.

De telefoontjes zijn niet Elings’ grootste zorg. Dat zijn de e-mails en brieven die mensen sturen. Vaak zijn ze gefrustreerd dat het niet lukt in te loggen via de site van het ontwerpbureau, die zij aanzien voor de officiële DigiD-website. Vervolgens mailen ze hun gebruikersnaam en wachtwoord maar, in de hoop dat ze worden geholpen. „Wij ontvangen dagelijks gevoelige gegevens waar criminelen heel wat voor over zouden hebben”, zegt Elings. Hij toont de inbox van zijn e-mail. „Al meer dan 40.000.”

Meer dan 40.000 gebruikersnamen en wachtwoorden van Nederlandse burgers, waarmee het mogelijk is rekeningnummers in het systeem van DigiD te veranderen, om zo bijvoorbeeld uitkeringen en toeslagen naar andere rekeningen door te sluizen – zoals vorig jaar gebeurde in Amsterdam en Groningen. Of om medische dossiers in te kijken. Elings laat ook handgeschreven brieven zien. Vaak van oudere mensen die verdwaald zijn in de digitale wereld. „En het gaat niet alleen om de argeloze burger, zoals de overheid vaak zegt. Ik heb ook gegevens van gemeenteraadsleden en oud-ambassadeurs ontvangen, mensen die beter zouden moeten weten.”

Gebruikersnamen, inlogcodes en soms ook burgerservicenummers haalt Elings nu zoveel mogelijk van zijn computers. Die data bewaart hij op harde schijven in een kluis – hij heeft ze nodig om een punt te maken in een geschil met de staat. Ze liggen namelijk al jaren overhoop over het bedrag dat hij vraagt om de naam van zijn bedrijf te veranderen. Minister Plasterk (Binnenlandse Zaken, PvdA) zei in de Kamer dat Elings „miljoenen” eist. Elings erkent dat hij ooit 1,4 miljoen euro bedroeg. „Ik moest binnen enkele dagen reageren en alles moest geheim blijven. Toen ben ik gaan zoeken op internet en leek 1,4 miljoen euro mij redelijk. Nu zie ik dat dat te veel was, maar ik had geen idee wat gebruikelijk is in dit soort situaties.”

Het laatste bod van de staat, afgelopen december, was volgens Binnenlandse Zaken „enkele tienduizenden” euro’s. „Inderdaad, 20.000 euro”, zegt Elings, „veel te weinig om een nieuwe bedrijfsnaam in de markt te zetten.” Door de publiciteit te zoeken, hoopt hij het ministerie tot een hoger bedrag te bewegen. Daarna kan hij zijn bedrijfsnaam veranderen en alle gevoelige informatie wissen. „Die codes bewaar ik omdat de staat de omvang van het probleem ontkent. Het ministerie gelooft niet dat mensen massaal gevoelige informatie sturen.”

Plasterk heeft het College Bescherming Persoonsgegevens intussen ingeschakeld om te onderzoeken wat er precies gebeurt in Waalwijk. In het uiterste geval kan Elings een boete krijgen als blijkt dat hij onzorgvuldig omgaat met persoonsgegevens.

Het geschil tussen ontwerpbureau Digi-D en de staat maakt duidelijk hoe makkelijk het voor kwaadwillenden is inlogcodes en gebruikersnamen voor DigiD af te vangen. Zo is er een website Digidaanvragen.com in de lucht. Dat lijkt een overheidssite, maar is het niet. De mensen achter de site zijn onvindbaar. Ook Digidaanvragen.com heeft een inlogfunctie waar mensen om hun gebruikersnaam en wachtwoord wordt gevraagd. De kans is groot dat ook bij deze site gevoelige gegevens van burgers zijn binnengekomen.

Een woordvoerder van Logius, het overheidsbedrijf achter DigiD, zegt dat zijn organisatie de website „in het vizier” heeft.

En dan is er nog een, tot nu toe weinig bekende, manier waarop DigiD-codes in verkeerde handen kunnen vallen. Burgers blijken gebruikersnamen en wachtwoorden voor DigiD geregeld in zoekbalken van bijvoorbeeld gemeentesites in te tikken en soms ook gewoon in zoekmachine Google. Die codes duiken op in de statistieken van websites die ze daarna bezoeken. Bijvoorbeeld in die van ontwerpbureau Digi-D. Elings: „Iedereen met een eigen website bekijkt regelmatig de statistische gegevens voor het aantal bezoekers en waar ze allemaal vandaan komen. Daar vind ik die codes ook terug. En daar kan ik ze niet verwijderen.”

Volgens privacy- en ICT-deskundige Jeroen van der Ham van de Universiteit van Amsterdam toont dit aan dat het beveiligingsniveau van DigiD drastisch omhoog moet. „Mensen zouden alleen nog via DigiD bij overheidsdiensten moeten kunnen inloggen als ze naast gebruikersnaam en wachtwoord een code intoetsen die ze net hebben ontvangen, bijvoorbeeld via hun telefoon. Ook betere voorlichting over DigiD lijkt me belangrijk. Burgers zijn immers gedwongen het systeem te gebruiken, zoals voor hun belastingaangifte.”