Hoe veilig is digitale identiteit? ================================== Eindhovens Dagblad , October 24, 2006 Steeds meer overheidsinstanties maken gebruik van DigiD, het digitale identiteitsbewijs. Wie elektronisch belastingaangifte wil doen, is vanaf 2007 verplicht DigiD te gebruiken. Maar is het systeem wel veilig genoeg? Bij iedereen die dit jaar via de computer aangifte heeft gedaan, valt deze maand een blauwe envelop op de mat. De fiscus roept mensen die aangifte willen blijven doen via internet op, om een DigiD-code aan te vragen. Zonder DigiD (spreek uit: die-gie-dee) is elektronische aangifte niet meer mogelijk, een paar uitzonderingen daargelaten. De code (een combinatie van gebruikersnaam en wachtwoord) is aan te vragen via www.digid.nl. Aangifte doen met DigiD kon ook dit jaar al. Zo'n 530.000 mensen hebben er gebruik van gemaakt. Dezelfde inlogcode is ook te gebruiken bij andere overheidsinstellingen zoals het Kadaster en uitkeringsinstanties (UWV). In totaal zijn er inmiddels meer dan een miljoen DigiD-gebruikers. Al vanaf de uitgifte van de eerste DigiD-codes in 2003 is er veel kritiek. Zo meent het Genootschap van Informatiebeveiligers (GvIB) dat de beveiliging tekortschiet. De code is makkelijk te kraken door methodes op internet om toetsaanslagen te bespioneren. Zonder extra maatregelen is het risico op identiteitsvervalsing volgens het GvIB erg groot. De belastingdienst wijst de kritiek van de hand. DigiD zou niet de enige methode zijn om de aangifte op echtheid te controleren. Er zitten meer waarmerken in zoals een check op dubbele aangiften en een controle op het ingevoerde bankrekeningnummer. Ook prof.dr. Bart Jacobs, hoogleraar computerbeveiliging op de universiteiten van Eindhoven en Nijmegen, heeft zijn bedenkingen. "Superveilig is het niet", zegt de expert op het gebied van informatiebeveiliging. "Weer een wachtwoord om te onthouden. Dus wat doen mensen dan? Ze noteren het ergens in hun agenda of tussen de belastingpapieren. En daar is-ie natuurlijk zo op te sporen. De activeringscode wordt met de post naar het thuisadres gestuurd. Voor wie kwaad wil, is het makkelijk te onderscheppen. Je buurman zou een kapvergunning kunnen aanvragen om eindelijk eens van jouw boom af te komen waar hij al jaren zoveel last van heeft. Ik ben beroepsmatig wantrouwend. En wie dat is, kan er wel wat gaten in schieten." De veiligheid van de digitale identiteit staat of valt volgens het ministerie van Binnenlandse Zaken - dat DigiD liet ontwerpen - met een kritische aanbieder en gebruiker. "Overheidsinstanties zijn zelf verantwoordelijk voor het niveau van beveiliging", stelt zegsman Thijs Manten. "Wie privacy-gevoelige gegevens toegankelijk wil maken, moet zorgen voor de veiligste vorm: met een kaartlezer. Een gebruiker moet zijn wachtwoord met niemand delen. En de computer thuis beveiligen met een goed antivirusprogramma. Wie dat doet, heeft geen probleem." www.digid.nl www.belastingdienst.nl www.kiezeninhetbuitenland.nl www.govcert.nl www.gvib.nl