Antwoorden op kamervragen over beveiliging DigiD

Een week of twee geleden stelde het SP kamerlid Gerkens vragen aan de staatssecretaris van Binnenlandse Zaken, Bijleveld-Schouten, vragen over de beveiliging van DigiD. De staatssecretaris reageert in eerste instantie op door Gerkens genoemd incident met het DigiD en spreekt daarna over de verschillende beveiligingsniveaus.

Een week of twee geleden stelde het SP kamerlid Gerkens vragen aan de staatssecretaris van Binnenlandse Zaken, Bijleveld-Schouten, vragen over de beveiliging van DigiD. De staatssecretaris reageert in eerste instantie op door Gerkens aangevoerd incident met het DigiD en spreekt daarna over de verschillende beveiligingsniveaus:

Het bericht gaat namelijk over een autohandelaar uit Castricum die de combinatie van gebruikersnaam en wachtwoord voor zijn DigiD vergeten is. Hij doet een aantal inlogpogingen en kiest toevalligerwijs de gebruikersnaamwachtwoordcombinatie van een naamgenoot. Vervolgens kan de man met die combinatie gegevens inzien die toegankelijk zijn op het DigiD-basisniveau.

[Mevrouw Gerkens] vroeg in de eerste termijn: hoe vaak komt dit voor? […] Daarom heb ik nog eens nagevraagd hoe vaak dit soort zaken gemeld worden. Dan blijkt dat dit circa zes keer per jaar voorkomt. Zo vaak wordt onze helpdesk benaderd met een dergelijk voorval. […] Op de vraag of dit vaak is […] kan ik het volgende zeggen: er zijn 7,5 miljoen gebruikers van DigiD […] die zelf hun gebruikersnaam en wachtwoord kiezen. DigiD wordt 25 miljoen keer gebruikt. Tegen dat aantal moeten die zes meldingen worden afgezet.

Het blijft echter iedere keer een afweging tussen aan de ene kant gebruiksvriendelijkheid met het voorkomen van allerlei heraanvragen. Dat zien wij namelijk ook bij DigiD. Ingewikkelde wachtwoorden worden immers vaker vergeten. Nogmaals, het gaat om de afweging tussen gebruiksvriendelijkheid en veiligheid. Ik ben het eens met degenen die zeggen dat het systeem zo veilig mogelijk moet zijn. Een veiligheid van 100% is niet te garanderen, maar wel zo veilig mogelijk.

[…] DigiD kent inderdaad meerdere niveaus van identificatie. Hier ging het om de gebruikersnaam en het wachtwoord. Voor diensten waarvoor dit niet goed genoeg is, is er echter een ander niveau van DigiD. […] Dan kun je namelijk gebruikmaken van sms-authenticatie. Dit is specifiek gericht op individuele mensen en is dus een hoger beveiligingsniveau. […] Naast de twee niveaus die wij nu kennen, komt ook het EPD-DigiD-niveau, met excuses voor het jargon. Dit niveau is alleen te activeren door in persoon een brief met activeringscode op te halen. Dat is de volgende fase. Het hoogste niveau is de elektronische Nederlandse identiteitskaart. […] Ik heb daarom de mogelijkheid tot realisatie van dat laatste, hoogste niveau opgenomen in de aanbestedingsvoorwaarden rondom de nationale identiteitskaart. Ik zal de Kamer dan ook zo snel mogelijk informeren wanneer dit ook operationeel kan zijn.