Overheidsinstantie Logius heeft de broncode van de DigiD-app openbaar gemaakt, zodat het mogelijk is om de code van de app te bekijken. Vorig jaar meldde Security.NL al dat de overheid het openbaar maken van de broncode onderzocht. Destijds liet staatssecretaris Van Huffelen van Digitalisering weten dat de openbaarmaking van de broncode het risico met zich meebrengt dat de app kan worden gekloond om via die weg gegevens van gebruikers te stelen.

"De publicatie is in lijn met het kabinetsbeleid om een transparante overheid te bevorderen. Het gebruik van DigiD blijft voor iedereen veilig en betrouwbaar", zo laat Logius, de overheidsinstantie die voor DigiD verantwoordelijk is, vandaag weten. Na een verzoek op de Wet Open Overheid (Woo) is Logius gestart met onderzoek naar de openbaarmaking van de broncode van DigiD.

Als eerste is nu besloten om een snapshot van de broncode van de DigiD-app openbaar te maken. In een volgende fase wordt onderzocht of ook de DigiD-software die bij Logius draait kan worden vrijgegeven. Hergebruik van de broncode is toegestaan onder de EUPL-licentie, met uitzondering van broncode waarvoor een andere licentie is aangegeven. Wie kwetsbaarheden in de broncode vindt kan die rapporteren bij het Nationaal Cyber Security Centrum (NCSC).

"Je vindt de broncode nu nog als ‘foto’, maar Logius wil de broncode op termijn als ‘film’ kunnen publiceren. Dan worden ook nieuwe versies steeds openbaar gemaakt", zo laat Digitale Overheid weten. Daarvoor zijn volgens Logius drie redenen. De software moet hiervoor geschikt gemaakt worden. Daarnaast moet ook de organisatie klaar zijn om deze andere manier van werken te ondersteunen. En kost het tijd om dit zorgvuldig te kunnen doen.

Beveiligingsrisico

In een Kamerbrief over de openbaarmaking van de broncode laat staatssecretaris Van Huffelen weten dat enkele fragmenten in de broncode een beveiligingsrisico voor de continuïteit van DigiD kunnen opleveren. Het gaat dan bijvoorbeeld om informatie over de infrastructuur waar DigiD op draait. Deze fragmenten zijn in de gepubliceerde broncode vervangen door de letter ‘S’ (‘security’). Daarnaast zijn fragmenten waaruit persoonsgegevens van ontwikkelaars te herleiden zijn vervangen door de letter ‘P’ (‘privacy’).