eHerkenning en DigiD worden massaal gebruikt door bedrijven en burgers en hebben hun doel bereikt. Maar nieuwe, zwaardere beveiligingsmethoden kunnen het lastig maken om in te loggen. Dat schrijft de Algemene Rekenkamer in een nieuw rapport.
eHerkenning en DigiD zijn inmiddels helemaal ingeburgerd om online toegang te krijgen tot (overheids)diensten. Ze leveren zo tijdwinst op voor de maatschappij. Tegelijk kiezen overheden bij DigiD en eHerkenning steeds vaker voor zwaardere (en dus complexere) beveiliging, zegt de Algemene Rekenkamer. Dat brengt het risico met zich mee dat het moeilijker wordt om gebruik te maken van overheidsdiensten. Verder is de overheid onvoldoende voorbereid op nieuwe vormen van digitale identificatie.
Gevaar voor achterblijven burgers
Organisaties zoals UWV, de Belastingdienst en gemeenten kiezen steeds vaker voor zwaardere beveiliging bij digitale communicatie met burgers. Dat komt de veiligheid ten goede. Maar het brengt ook het risico met zich mee dat minder digitaal vaardige burgers in de problemen komen. Zwaardere beveiliging betekent meestal ook een ingewikkeldere manier van inloggen. Bijvoorbeeld verificatie in meerdere stappen met een wachtwoord én een code via sms. Of via een speciale app op je mobiel. Niet alle burgers zijn in staat hiervan gebruik te maken. Het gevaar bestaat dat deze burgers geen toegang tot digitale overheidsdiensten hebben, terwijl deze steeds belangrijker worden.
De overheid moet steeds een afweging maken tussen veiligheid en toegankelijkheid. Ook zou ze meer ondersteuning moeten bieden aan burgers die digitaal minder vaardig zijn of ingewikkelde problemen hebben. Dit kan onder meer door het mogelijk te maken om anderen te machtigen, suggereert de Algemene Rekenkamer. Ook de Informatiepunten Digitale Overheid (IDO’s) kunnen bijdragen aan betere toegankelijkheid.
Onduidelijkheid over aansluiten nieuwe inlogmiddelen
De Wet digitale overheid (Wdo) verandert het stelsel voor digitale toegang. De bedoeling is dat burgers straks ook met andere middelen dan DigiD en eHerkenning kunnen inloggen bij overheidsdiensten. Welke middelen dit zijn is nog niet bekend. Vanaf medio 2023 kunnen private aanbieders zich aanmelden bij de overheid voor goedkeuring. Op dit moment is het echter nog onduidelijk welke voorwaarden de overheid stelt aan die nieuwe inlogmiddelen.
Daarnaast pleit de Algemene Rekenkamer voor één centraal aansluitpunt voor alle dienstverlenende organisaties die nu gebruikmaken van DigiD en eHerkenning en straks van de nieuwe inlogmiddelen. “Dat aansluitpunt is er niet. Hierdoor ontstaat het risico dat er straks wel
nieuwe inlogmiddelen beschikbaar zijn, maar dat overheidsdiensten deze (nog) niet accepteren.”
Europese digitale identiteit en wallet
In de eIDAS-regeling (electronic identification and trust services) van de EU zijn afspraken gemaakt over voorwaarden voor digitale inlogmiddelen in alle lidstaten. Komend jaar gaan er nieuwe, uitgebreidere regels gelden, die het onder meer mogelijk moeten maken om een wallet te creëren, met daarin persoonsgegevens, die een burger of bedrijf kan delen met publieke en private partijen. Burgers kunnen met die wallet straks naar verwachting ook inloggen bij overheidsdiensten. De Nederlandse overheid kiest ervoor een apart systeem te ontwikkelen voor deze Europese wallet en DigiD en eHerkenning daarnaast draaiende te houden. Hoe de wallet eruit komt te zien en hoe deze past in het bestaande stelsel is echter nog onduidelijk, zegt de Algemene Rekenkamer.
Meer over beveiliging? Het volgende magazine gaat onder andere over Cyber- en Datasecurity.