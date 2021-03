De overheid gaat het inloggen via DigiD met sms-controle op termijn uitfaseren. Straks zal het minimaal vereiste niveau inloggen via de DigiD-app zijn of een vergelijkbare private oplossing. Dat laat demissionair staatssecretaris van Binnenlandse Zaken Knops in een brief aan de Tweede Kamer weten.

DigiD kent vier niveaus waarop een gebruiker zich kan authenticeren. Bij DigiD Basis loggen gebruikers in via alleen een gebruikersnaam en wachtwoord. Bij het niveau DigiD Midden zijn er nu nog twee manieren om in te loggen. De eerste manier is inloggen via gebruikersnaam en wachtwoord gecombineerd met een via sms verstuurde code. Bij de tweede manier identificeert de gebruiker zich via de DigiD-app op zijn smartphone.

Een DigiD-app moet gekoppeld zijn aan een DigiD-account. De DigiD-app gebruikt een cryptografische sleutel die tijdens de activatie wordt gekoppeld aan de smartphone van de gebruiker. Volgens stelt de gebruiker een vijfcijferige pincode in om toegang tot de app te krijgen. Deze pincode wordt "in gemaskeerde vorm opgeslagen" in de DigiD backend, zo laat Logius weten, de overheidsdienst die voor DigiD verantwoordelijk is. Elke keer dat gebruiker via de DigiD-app inlogt moet hij aantonen zowel over de cryptografische sleutel als pincode te beschikken.

Naast DigiD Midden is er als derde het niveau DigiD Substantieel. Dit niveau is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Het kan dan bijvoorbeeld gaan om gegevens over de gezondheid. Om deze gegevens in te zien is er een eenmalige ID-check van de gebruiker nodig. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs. Als laatste is er nog het niveau DigiD Hoog, waarbij de gebruiker inlogt via rijbewijs of identiteitskaart en een bijbehorende pincode. DigiD Hoog is echter nog niet beschikbaar, stelt Logius.

Voor steeds meer overheidsdiensten moeten burgers hun zaken digitaal afhandelen. Mede gelet op het toenemend verplicht gebruik, is een publiek eID-middel met een hoog betrouwbaar karakter noodzakelijk, aldus het ministerie van Binnenlandse Zaken vorig jaar. De overheid maakte vorig jaar al bekend dat het gaat inzetten op gebruik van de DigiD-app, zodat de stap om vervolgens de app op te waarderen naar DigiD Substantieel kleiner wordt.

Uitfaseren van de sms-controle

Het inloggen via DigiD met een sms-controle zal uiteindelijk dan ook gaan verdwijnen, laat Knops weten. "Het is mijn streven om het gebruik door burgers van DigiD 2-factor met sms-authenticatie zoveel mogelijk te gaan uitfaseren. Op termijn zal het minimaal vereiste niveau de DigiD 2-factor met app zijn, of een vergelijkbare private oplossing." De staatssecretaris stelt dat dit wel verantwoord moet gebeuren. "Het mag niet zo zijn dat een ontwikkeling naar een hoger veiligheidsniveau leidt tot uitsluiting van een groep mensen."

Volgens Knops is het voor veel burgers geen probleem om mee te gaan in de overstap naar een hoger veiligheidsniveau en met een ander digitaal inlogmiddel zaken met de overheid te regelen. "Maar er zijn altijd mensen voor wie dergelijke veranderingen wel lastig zijn. Belangrijk bij al deze ontwikkelingen is dus speciale aandacht voor die groep van mensen in Nederland, naar schatting 2,5 miljoen, die niet over voldoende digitale vaardigheden beschikt om dit gemakkelijk te regelen", merkt de staatssecretaris op, die deze groep in kaart wil brengen.

Een tijdstraject voor het uitfaseren van de sms-controle is niet bekendgemaakt. De DigiD-app is alleen beschikbaar in de Apple App Store en Google Play Store, wat inhoudt dat burgers over een Apple ID of Google-account moeten beschikken om van de DigiD-app gebruik te kunnen maken. Logius, de overheidsinstantie die voor DigiD verantwoordelijk is, liet eerder aan Security.NL weten dat het niet van plan is om de app bijvoorbeeld via de eigen website aan te bieden.