De Wet digitale overheid treedt binnenkort in werking, komend jaar gaan nieuwe regels gelden op grond van de eIDAS-regeling. De Nederlandse overheid is onvoldoende onvoorbereid op alle nieuwe vormen van digitale identificatie die hiermee geaccepteerd moeten gaan worden. De Rekenkamer komt met een alarmerend rapport.
Zwaarere beveiliging gaat gepaard met een ingewikkeldere manier van inloggen. | Beeld: rapport Algemene Rekenkamer
Nieuwe inlogmiddelen
Met de inwerkingtreding van de Wet digitale overheid moeten burgers en bedrijven straks ook met andere middelen dan DigiD en eHerkenning kunnen inloggen bij overheidsdiensten. Welke middelen dit zijn is nog niet bekend. Vanaf medio 2023 kunnen private aanbieders zich aanmelden bij de overheid voor goedkeuring. Maar is het nog onduidelijk welke voorwaarden de overheid stelt aan die nieuwe inlogmiddelen, constateert de Rekenkamer in het rapport ‘Digitale identiteit vraagt veel van DigiD en eHerkenning’
Het risico bestaat dat er straks nieuwe inlogmiddelen beschikbaar zijn, maar dat overheidsdiensten deze (nog) niet accepteren.
Ook moet er één centraal aansluitpunt komen voor alle dienstverlenende organisaties die nu gebruikmaken van DigiD en eHerkenning en straks van de nieuwe in logmiddelen. Dat aansluitpunt is er niet. Hierdoor ontstaat het risico dat er straks wel nieuwe inlogmiddelen beschikbaar zijn, maar dat overheidsdiensten deze (nog) niet accepteren.
Europese digitale identiteit en wallet
Binnen Europa zijn met de eIDAS-regeling (electronic identification and trust services) zijnafspraken gemaakt over voorwaarden voor digitale inlogmiddelen in alle lidstaten. Komend jaar gaan er nieuwe, uitgebreidere regels gelden, die het onder meer mogelijk moeten maken om een zogenaamde ‘wallet’ te creëren. Dit is een soort digitale kluis met daarin persoonsgegevens, die een burger of bedrijf kan delen met publieke en private partijen. Burgers kunnen met die wallet straks naar verwachting ook inloggen bij overheidsdiensten. De Nederlandse overheid kiest ervoor een apart systeem te ontwikkelen voor deze Europese wallet en DigiD en eHerkenning daarnaast draaiende te houden. Hoe de wallet eruit komt te zien en hoe deze past in het bestaande stelsel is echter nog onduidelijk.
Digitale inclusie
Positief is dat DigiD voor burgers en eHerkenning voor bedrijven inmiddels goed zijn ingeburgerd. De meeste Nederlanders gebruiken ze met enige regelmaat om toegang te krijgen tot digitale (overheids)diensten. Daarmee bereiken deze middelen hun belangrijkste doel, constateert de Rekenkamer. Ook lijkende baten van DigiD en eHerkenning (tijdwinst) op te wegen tegen de kosten.
Overheidsorganisaties kiezen steeds vaker voor zwaardere beveiliging kiezen bij digitale communicatie.
Probleem is wel dat organisaties als UWV, Belastingdienst en gemeenten steeds vaker voor zwaardere beveiliging kiezen bij digitale communicatie met burgers. Dat gaat gepaard met een ingewikkeldere manier van inloggen. Bijvoorbeeld door middel van verificatie in meerdere stappen met een wachtwoord én een code via sms. Of via een speciale app op je mobiel. ‘Niet alle burgers zijn in staat hiervan gebruik te maken. Het gevaar bestaat dat deze burgers geen toegang tot digitale overheidsdiensten hebben, terwijl deze steeds belangrijker worden.’
Veiligheid vs toegankelijkheid
De overheid moet steeds een afweging maken tussen veiligheid en toegankelijkheid. Ook zou ze meer ondersteuning moeten bieden aan burgers die digitaal minder vaardig zijn of ingewikkelde problemen hebben. Dit kan onder meer door het mogelijk te maken om anderen te machtigen. Het is nog steeds niet gelukt om hier een een volwaardig systeem voor op te zetten. Ook de Informatiepunten Digitale Overheid (IDO’s) kunnen bijdragen aan betere toegankelijkheid. De Algemene Rekenkamer publiceert later dit jaar, op Verantwoordingsdag (17 mei) een onderzoek naar de IDO’s.
Download HIER het rapport ‘Digitale identiteit vraagt veel van DigiD en eHerkenning’
Probleem is wel dat organisaties als UWV, Belastingdienst en gemeenten steeds vaker voor zwaardere beveiliging kiezen bij digitale communicatie met burgers.
Dit is een gevaarlijke formulering. We moeten juist meer gebruik gaan maken van de correcte betrouwbaarheidsniveaus als we steeds meer essentiële en gevoelige diensten digitaal willen aanbieden.
De fraude met de TOZO (corona) regeling was een perfect voorbeeld van wat er mis kan gaan als je te lage betrouwbaarheidsniveaus gebruikt. Laten we hopen dat we geen voorbeelden gaan zien van zorgdossiers die op straat liggen, omdat het benodigde betrouwbaarheidsniveau niet “makkelijk” genoeg in gebruik is.
Forum Standaardisatie heeft al een duidelijke handreiking die aan geeft welk betrouwbaarheidsniveau gebruikt dient te worden (link). Nu is het nog hopen dat deze meer gebruikt gaat worden.
Daarnaast moet er natuurlijk aandacht blijven voor digitale geletterdheid en alternatieven voor mensen die niet digitaal mee kunnen of willen.
Zwaarere beveiliging
zijnafspraken
lijkende baten