Het gedeeltelijk vrijgeven van de broncode van de DigiD-app moet voor een veiligere app zorgen, zo stelt staatssecretaris Van Huffelen van Digitalisering. Begin dit jaar besloot de overheid om de broncode van de DigiD-app deels via GitHub openbaar te maken. Dit zorgde voor vragen en zorgen bij de VVD, zo blijkt uit een debat van de vaste commissie voor Digitale Zaken over informatiebeveiliging bij de overheid dat vorige week plaatsvond.

"De broncode van de DigiD-app is na een Woo-verzoek openbaargemaakt. DigiD moet voor iedereen veilig zijn, vinden wij. Hoe is dat gewaarborgd? Enkele fragmenten van die broncode kunnen echt een beveiligingsrisico hebben. Er moet een continuïteit zijn op het gebied van de veiligheid daarvan. Het moet blijven werken. Denk daarbij ook aan informatie over infrastructuur en waar de app op draait. Dat is best een risico voor hackers. Hoe gaat de overheid om met dit soort Woo-verzoeken? Dat geldt ook voor andere applicaties. Wat mij betreft is het: Woo tot hier en niet verder. Niet alles hoeft altijd openbaar", stelde VVD-Kamerlid Rahimi.

Hij stelde als it'er zorgen te hebben over het openbaar maken van alles. "Dat lijkt soms goed, maar soms kan het ook best dingen prijsgeven over de infrastructuur die wij hebben, de codes die wij gebruiken en de parameters die worden doorgestuurd. Daar kan een hacker best wel wat mee. Daar kan een regering ook best wel wat mee. Daar maak ik me gewoon zorgen om. Ik vind dat openbaarheid goed is. We moeten wel echt naar het volgende kijken. De broncode van de DigiD-app is gepubliceerd op GitHub. Daar kan iedereen bij. Daar zitten letterlijk fragmenten bij waarop "security" staat. Dat kan ervoor zorgen dat sommige dingen eruit worden gehaald. Iemand kan dan iets bouwen."

Rahimi is dan ook bang voor allerlei narigheid, zoals phishing of malafide apps. "Daarom zei ik ook, voor de grap: Woo tot hier en niet verder. Dit soort dingen moeten we niet doen." Volgens Van Huffelen zijn de zorgen onterecht. "Onze strategie bij open source is om broncodes te delen om daarmee de kwetsbaarheid van overheidssystemen te verminderen, door ervoor te zorgen dat partijen, al dan niet door onszelf daartoe uitgenodigd, mee kunnen kijken naar hoe onze programmatuur eruitziet. Daarmee kunnen ze fouten eruit halen en aangeven of er zwaktes in die programma's zitten. Dat wil niet zeggen dat je daarmee de beveiligingssleutels ook openbaar maakt. Dat hebben we bij DigiD ook niet gedaan. Dat zou namelijk kunnen leiden tot veiligheidsrisico's."

De staatssecretaris voegde toe dat het idee is om open source te gebruiken om daarmee programma's veiliger te maken. "Opensourcesoftware of combinaties van verschillende opensourceprogrammatuur is overigens ook iets wat heel veel partijen gebruiken. Maar we doen dat vanuit veiligheid en natuurlijk op een manier die verantwoord is, door ervoor te zorgen dat informatie die afbreuk doet aan de veiligheid van systemen, zoals versleutelingsmechanismes, wachtwoorden, verwijzingen naar technische infrastructuur enzovoorts, natuurlijk niet wordt gedeeld."