Nieuws
image

Staatssecretaris: te weinig burgers hebben hogere DigiD-beveiliging geactiveerd

vrijdag 19 juni 2026, 12:27 door Redactie, 19 reacties

Te weinig Nederlanders hebben de hogere betrouwbaarheidsniveaus van DigiD ingeschakeld, waardoor er nog geen afscheid van de lagere niveaus kan worden genomen, zo stelt staatssecretaris Van der Burg van Binnenlandse Zaken. DigiD kent vier niveaus waarop een gebruiker zich kan authenticeren. "Het betrouwbaarheidsniveau bepaalt hoe zeker u kunt zijn over de identiteit van uw gebruiker", aldus DigiD-aanbieder Logius weten.

Bij DigiD Basis loggen gebruikers in via alleen een gebruikersnaam en wachtwoord. Bij het niveau DigiD Midden kan inloggen via gebruikersnaam en wachtwoord gecombineerd met een via sms verstuurde code. Een andere manier is dat de gebruiker zich identificeert via de DigiD-app op zijn smartphone. Naast DigiD Midden is er als derde het niveau DigiD Substantieel. Dit niveau is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Het kan dan bijvoorbeeld gaan om gegevens over de gezondheid. Om deze gegevens in te zien is er een eenmalige ID-check van de gebruiker nodig. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs.

Als laatste is er nog het niveau DigiD Hoog, waarbij de gebruiker inlogt via rijbewijs of identiteitskaart en een bijbehorende pincode. "Gebruikers moeten eerst de inlogfunctie van hun identiteitskaart of rijbewijs activeren in Mijn DigiD. Daarna kunnen zij met hun identiteitsbewijs inloggen bij alle online diensten die toegankelijk zijn via DigiD", laat Logius over dit betrouwbaarheidsniveau weten. De Europese eIDAS-verordening stelt eisen aan digitale identificatiemiddelen. Voor betrouwbaarheidsniveau laag is minimaal tweefactorauthenticatie vereist. DigiD Basis, dat alleen werkt met gebruikersnaam en wachtwoord, voldoet daar niet aan en zal worden uitgefaseerd, meldt Digitale Overheid.

Vorig jaar werd besloten om de overgangstermijn waarin overheden onlinediensten op betrouwbaarheidsniveau laag mogen aanbieden met drie jaar te verlengen. Overheden krijgen hiermee tot 1 juli 2028 de tijd om de hogere inlogniveaus substantieel' of hoog beschikbaar te maken. Steeds meer instanties vragen inmiddels om in te loggen met DigiD Midden. "Uiteindelijk zal DigiD Basis nergens meer gebruikt worden. Het betrouwbaarheidsniveau eIDAS-Laag komt dan uitsluitend overeen met DigiD Midden", laat Digitale Overheid verder weten.

Onvoldoende burgers

Tijdens een debat gisteren met de vaste commissie voor Digitale Zaken werd Van der Burg door JA21-Kamerlid Van den Berg bevraagd over het verlengen van de termijn voor de lagere betrouwbaarheidsniveaus. "Kan de staatssecretaris verduidelijken wat de praktische betekenis is van een wettelijke norm als de bepalingen die juist de veiligheid en betrouwbaarheid moeten waarborgen nog jarenlang in een overgangssituatie blijven verkeren? Kan de staatssecretaris toelichten hoe de verlenging van de overgangstermijn zich tot de gewijzigde eIDAS-verordening verhoudt, die van lidstaten verlangt dat zij al aanzienlijk eerder ondersteuning bieden voor een Europese digitale identiteit?"

"Een van de dingen die we nu zien bijvoorbeeld is dat als het gaat om DigiD substantieel of hoog activeren dat dit nog niet kan, omdat onvoldoende burgers dit hebben gedaan", reageerde de staatssecretaris. Die voegde toe dat zes miljoen burgers DigiD substantieel of hoog hebben geactiveerd. "Als dienstverleners nu per 1 juli 2026 inderdaad de stap naar dat hogere niveau hadden gezet, had je dus een grote groep mensen uitgesloten." Van der Burg noemde als voorbeeld de drie miljoen mensen die jaarlijks nog via sms inloggen. "Dat moeten we dus niet doen. Dus we werken er vooral aan om ervoor te zorgen dat de inlogmiddelen op een hoger betrouwbaarheidsniveau ruimer beschikbaar worden en verbreden de toegankelijkheid. En dan kunnen we de volgende stap zetten", aldus de bewindsman.

Reacties (19)
Reageer met quote
Vandaag, 12:36 door Anoniem
De beste beveiliging is géén digid.
Anders is het een proprietaire zwartedozen app of 2FA via SMS... (Zucht)
DigiD vervalt automatisch als je het drie jaar niet hebt gebruikt.
Reageer met quote
Vandaag, 12:41 door Anoniem
Van der Burg noemde als voorbeeld de drie miljoen mensen die jaarlijks nog via sms inloggen. "Dat moeten we dus niet doen. Dus we werken er vooral aan om ervoor te zorgen dat de inlogmiddelen op een hoger betrouwbaarheidsniveau ruimer beschikbaar worden en verbreden de toegankelijkheid. En dan kunnen we de volgende stap zetten", aldus de bewindsman.
Ik gebruik nu DigiD met SMS, niet omdat ik denk dat dat nou zo geweldig is maar omdat ik geen behoefte heb aan een smartphone en al helemaal niet aan het aanmaken van een account bij een big tech-bedrijf om het te kunnen gebruiken.

Overheid: kom eens met een hardwaretoken dat geschikt is voor hogere betrouwbaarheidsniveaus, bijvoorbeeld zoiets als de scanners die ING en Rabo gebruiken (en al jaren aan het afbouwen zijn omdat ook zij mensen liever richting smartphones duwen).
Reageer met quote
Vandaag, 12:44 door Anoniem
Wat ik weleens zou willen weten; neemt de Nederlandse sleepwet ook de informatie af van DigiD/Logius?
Immers zal deze informatie bijdragen aan mijn besluit digid op te zeggen.
Reageer met quote
Vandaag, 12:47 door Anoniem
Maak eerst je app open source en privacy vriendelijk voordat ik überhaupt overweeg die te installeren. Dat verbetert ook een beetje het vertrouwen in de overheid. Daarnaast zou de open standaard TOTP en hardware authenticatie (e.g. Yubikeys) als opties aanwezig moeten zijn. Waarom zou iemand bovendien de DigiD app nodig moeten hebben voor fatsoenlijke veiligheid? Het blijkt maar dat men in de tweede kamer incompetent is.

Ironisch dat Eric van der Burg (VVD) zich zogenaamd zorgen maakt om onze veiligheid, terwijl hij onze data wilde uit besteden aan de V.S. VVD is immers pro-VS. Het lijkt erop dat ze al aan het voorbereiden zijn voor de aankomende identiteitsverificatie. Uiteindelijk verplichten ze dan een rectum scan.
Reageer met quote
Vandaag, 12:47 door Anoniem
Het niveau dat je in kan loggen met een id-kaart of rijbewijs vind ik zelf nogal onveilig aangezien die ieder half jaar wel weer ergens gelekt worden. Dan heb je dus feitelijk je gegevens achter een pincode zitten.
Reageer met quote
Vandaag, 13:06 door Anoniem
Misschien moeten ze het onderscheid in die niveaus dan ook gewoon wat minder onduidelijk maken binnen DigiD. Heb hier toevallig recent eens naar gekeken, en je moet wel enige basiskennis (niet veel, maar toch) van privacy en accountveiligheid hebben om hier een ordening of prioritering in te herkennen.
Binnen DigiD zelf wordt dat in elk geval niet duidelijk.
Daar zal de gemiddelde inwoner van NL (als hij daar überhaupt wel eens inlogt) vooral denken ‘jah, een reservesleutel voor mijn huis is best handig, dus hier een 2e mogelijkheid zal dat ook wel zijn. Maar ook weer niet teveel, want hoe meer ik er heb hoe meer er kwijt kunnen raken’
Reageer met quote
Vandaag, 13:09 door Anoniem
De push naar het gebruik van de hogere betrouwbaarheidsniveaus van DigiD is hetzelfde als mensen vertrouwd maken met (normaliseren van) het idee dat je, eenmalig of permanent, je ID-bewijs moet gebruiken voor informatie van jezelf waarvoor dat nog niet zo heel lang geleden alleen o.b.v. goed vertrouwen ging. Het raadplegen van je declaraties voor je ziektekostenverzekering bijvoorbeeld.
Het is het mensen mentaal voorbereiden op de (permanent te gebruiken) Europese digitale identiteit.
Ik vind het belachelijk. Hoe vaak komt het voor dat iemand anders jouw inloggegevens jat en gaat kijken welke declaraties jij indient?
Ik vind het, kortom, niet nodig om dit allemaal zo zwaar te gaan bewaken alsof hier enorme privacyrisico's spelen.
Ik vind het moeten uploaden van mijn ID-bewijs vele malen riskanter en privacybedreigender dan met een DigiD met gebruikersnaam, wachtwoord en SMS-code in te loggen. Niks geen ID-bewijs.
Dit proces van je steeds zwaarder moeten gaan identificeren is gewoon voorwerk voor de digitale identiteit.
Straks moet je om je water- of energieverbruik bij je leverancier te mogen bekijken eerst je ID-bewijs laten zien want "gevoelige, persoonlijke gegevens"! "Want we moeten wel zeker weten dat U het bent die uw gegevens wil zien".
HOU TOCH OP.
Reageer met quote
Vandaag, 13:17 door Anoniem
Prima ik activeer gelijk TOTP of een security key, oh wacht... dat kan niet
Reageer met quote
Vandaag, 13:19 door Anoniem
Een groot probleem met DigiID is dat het voor alle digitale diensten voor minderjarigen ook noodzakelijk is. Als ouder ben je verantwoordelijk voor je kind maar mag je DigiID niet beheren. Ik vermoed dat veel ouders dit wel doen maar daarvoor dus ook de SMS controle gebruiken aangezien dit nog te behappen is.
Reageer met quote
Vandaag, 13:23 door Anoniem
> En dan kunnen we de volgende stap zetten
We weten allemaal wat dat betekent
Reageer met quote
Vandaag, 13:26 door Anoniem
Interessant hoe de afhankelijkheid van DigiD geforceerd wordt

https://radar.avrotros.nl/artikel/radar-onderzoekt-kun-je-leven-zonder-digid-62451
Reageer met quote
Vandaag, 13:33 door Anoniem
Door Anoniem: Het niveau dat je in kan loggen met een id-kaart of rijbewijs vind ik zelf nogal onveilig aangezien die ieder half jaar wel weer ergens gelekt worden. Dan heb je dus feitelijk je gegevens achter een pincode zitten.

Ik heb het niet aanstaan, maar volgens mij werkt dit door de NFC-chip uit te lezen. Die gegevens zitten (gelukkig) niet in de gelekte gegevens.
Reageer met quote
Vandaag, 13:38 door Anoniem
Door Anoniem:
Van der Burg noemde als voorbeeld de drie miljoen mensen die jaarlijks nog via sms inloggen. "Dat moeten we dus niet doen. Dus we werken er vooral aan om ervoor te zorgen dat de inlogmiddelen op een hoger betrouwbaarheidsniveau ruimer beschikbaar worden en verbreden de toegankelijkheid. En dan kunnen we de volgende stap zetten", aldus de bewindsman.
Ik gebruik nu DigiD met SMS, niet omdat ik denk dat dat nou zo geweldig is maar omdat ik geen behoefte heb aan een smartphone en al helemaal niet aan het aanmaken van een account bij een big tech-bedrijf om het te kunnen gebruiken.

Overheid: kom eens met een hardwaretoken dat geschikt is voor hogere betrouwbaarheidsniveaus, bijvoorbeeld zoiets als de scanners die ING en Rabo gebruiken (en al jaren aan het afbouwen zijn omdat ook zij mensen liever richting smartphones duwen).

Ja dat is een leuke!
Iedereen een FiDO authenticator of een YubiKey.
Reageer met quote
Vandaag, 13:40 door Anoniem
Door Anoniem: De beste beveiliging is géén digid.
Vooraf ben een groot voorstander om geen DigiD te gebruiken (het is niet verplicht en je kunt prima zonder), dit uit privacy en het verplichten van een onveilige telefoon is not done.
Echter je stelling klopt niet. Het aanvragen van DigiD voor 'n ander is relatief eenvoudig, je hoeft enkel de enveloppe te onderscheppen. Heb je al wel DigiD is dit net iets lastiger.
Reageer met quote
Vandaag, 13:41 door Anoniem
Door Anoniem: Het niveau dat je in kan loggen met een id-kaart of rijbewijs vind ik zelf nogal onveilig aangezien die ieder half jaar wel weer ergens gelekt worden. Dan heb je dus feitelijk je gegevens achter een pincode zitten.

Je denkt toch niet (hoop ik) dat het gebruik van ID kaart of rijbewijs in deze context ook maar iets te maken heeft met enkel (een kopie van) de gegevens op de kaart. Een ID kaart of rijbewijs kan niet gelekt worden, enkel gestolen (of verloren en gevonden). In de gevallen deze met een PIN functioneren is zelfs enkel het bezit ervan niet voldoende. Het gaat hier dan met name om de chip die hierin gebruikt wordt. Klonen zou ook onmogelijk moeten zijn overigens.
Reageer met quote
Vandaag, 13:44 door Anoniem
Nee, een smartphone is lekker veilig, daar heeft nog nooit een lek ingezeten. Voor degenen die moeite hebben met herkennen van sarcasme: het zijn er meer dan 4500 cve's.

https://app.opencve.io/cve/?product=android&vendor=google


Een smartphone neem je ook nergens mee naar toe en legt geen contact met allerlei apparaten van derden en het raakt nooit verloren. Gezichts en vingerauthenticatie is ook volledig veilig.
Reageer met quote
Vandaag, 13:46 door Anoniem
Hoe kan Logius garanderen dat Google, Apple en andere criminelen bij DigiD substantieel en hoog geen misbruik maken van data/persoonsgegevens van identiteitsbewijzen?
Reageer met quote
Vandaag, 13:49 door Anoniem
Het hele probleem van DigiD is dat ze de verantwoordelijkheid van beveiliging bij burgers leggen, en mensen hebben nou niet overal verstand van en tijd voor.
Dus je moet MFA afdwingen, of DigiD afschaffen en een alternatief regelen dat voor ieder mens te doen is.
Reageer met quote
Vandaag, 14:31 door meidoorn - Bijgewerkt: Vandaag, 14:32
Dan zouden ze ook moeten uitleggen hoe het komt, als je de ID-check uitvoert, er op de main pagina van je Digid-profiel nog steeds staat dat je ID-check niet uitgevoerd is. Ik kan mij voorstellen dat er dan gebruikers zijn die het aan de kant gooien.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Certified Secure GenAI Deep Dive Security Training