image

CBS: Dertig procent DigiD-gebruikers logt in met wachtwoord en sms-code

vrijdag 17 juli 2026, 09:31 door Redactie, 31 reacties

In 2024 logde dertig procent van de DigiD-gebruikers in met een wachtwoord en sms-code, zo laat het Centraal Bureau voor de Statistiek (CBS) vandaag weten. Dat jaar werd er in totaal ruim 550 miljoen keer met DigiD ingelogd en maakten 14,4 miljoen Nederlanders gebruik van de inlogdienst. DigiD kent vier verschillende niveaus waarop een gebruiker zich kan authenticeren.

Bij DigiD Basis loggen gebruikers in via alleen een gebruikersnaam en wachtwoord. Bij het niveau DigiD Midden kan inloggen via gebruikersnaam en wachtwoord gecombineerd met een via sms verstuurde code. Een andere manier is dat de gebruiker zich identificeert via de DigiD-app op zijn smartphone. Naast DigiD Midden is er als derde het niveau DigiD Substantieel. Dit niveau is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Het kan dan bijvoorbeeld gaan om gegevens over de gezondheid. Om deze gegevens in te zien is er een eenmalige ID-check van de gebruiker nodig. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs.

Als laatste is er nog het niveau DigiD Hoog, waarbij de gebruiker inlogt via rijbewijs of identiteitskaart en een bijbehorende pincode. Volgens het CBS maakten de meeste DigiD-gebruikers in 2024 gebruik van de DigiD-app met eenmalige ID-check. Het ging om zo'n 38 procent van de gebruikers. Inloggen met wachtwoord en sms-code volgt met dertig procent. Deze inlogmethode is vooral populair bij DigiD-gebruikers van 65 jaar en ouder. Onder de groep van 80 jaar en ouder is dit zelfs meer dan 56 procent, tegenover 12,8 procent voor de DigiD-app met eenmalige id-check.

Ruim 14 procent van de Nederlanders heeft geen voorkeur voor één specifieke inlogmanier, zij maken gebruik van meerdere methoden. Eén procent logt alleen in met een gebruikersnaam en wachtwoord. Veel organisaties ondersteunen deze inlogmethode niet meer waardoor het gebruik van alleen gebruikersnaam en wachtwoord lager is dan andere manieren van inloggen. Het gebruik van alleen wachtwoord en gebruikersnaam vindt vooral plaats bij 'institutionele huishoudens'.

Reacties (31)
Vandaag, 09:44 door Anoniem
Ja, mijn telefoon ontvangt geen security updates meer , dus Digid app eraf gehaald net als bankieren app. Volgens ING kan het wel maar dat begrijp ik als niet-tech onderlegd iemand niet zo goed.Heb dan gekozen voor inlog met sms omdat dat mij veiliger lijkt . lijkt.....dan wat ze willen
Vandaag, 10:12 door Named
Ik zit bij die 30%, is daar wat mis mee dan?
Vandaag, 10:14 door Bitje-scheef
WW + SMS is prima.
Vandaag, 10:20 door Anoniem
Niks mis mee.
Vandaag, 10:20 door Anoniem
Wat ik het in artikel mis, is waarom SMS niet als veilig wordt beschouwd. Dat had ik wel verwacht van een site als security.nl. Voor wie nog steeds SMS gebruikt, is dit een goede pagina om te lezen: https://en.wikipedia.org/wiki/SMS_spoofing

---- Ook even de assistent om uitleg gevraagd:

SMS spoofing is een techniek waarbij een aanvaller de afzenderinformatie van een SMS-bericht vervalst. Hierdoor lijkt het alsof het bericht van een betrouwbare bron komt — zoals je bank, de Belastingdienst, PostNL, of zelfs een bekende uit je contactenlijst — terwijl het in werkelijkheid van een crimineel komt.

Het venijnige is dat je telefoon deze vervalste afzender vaak niet kan onderscheiden van de echte.

---- En ook niet onbelangrijk:

SMS is niet versleuteld

SMS is een oude technologie uit de jaren 80 die nooit is ontworpen met moderne beveiliging in het achterhoofd. SMS-berichten worden onversleuteld over het mobiele netwerk verstuurd.
- SS7-kwetsbaarheden: Kwaadwillenden met geavanceerde apparatuur kunnen via zwakheden in het wereldwijde telecom-routeringsprotocol (SS7) SMS-verkeer in de lucht onderscheppen.
- Spyware: Simpele malware op een telefoon kan vaak ongemerkt meelezen met inkomende SMS-berichten.
Vandaag, 10:24 door Anoniem
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?

Ik hoor er ook bij. Geen zin om voor die 2-3 keer per jaar dat het nodig is een app te installeren die data door kan sturen. Een app gemaakt in opdracht van de overheid dus dan weet je ongeveer wat je kan verwachten.

De kans dat een kwaadwillende mijn inloggegevens kan bemachtigen, en mijn SIM kan swappen om de SMS te ontvangen zijn klein. Ik ben dus zeker niet van plan een extra app te installeren zolang dit werkt.
Vandaag, 10:26 door Anoniem
zolang de SMS op een ander apparaat binnenkomt is het veilig genoeg.

Daarentegen vertrouw ik secure apps (zoals bijvoorbeeld banking apps) niet
wanneer daarbij alle autenticatie binnen éen device plaatsvindt.
Vandaag, 10:27 door Anoniem
SMS kun je gemakkelijker intercepten; alsnog een stuk veiliger dan geen SMS of geen WW, maargoed het kan beter.
Vandaag, 10:32 door Anoniem
Toch apart dat DigiD niet MFA implementeert wat vele andere sites wel hebben, inclusief de backup codes voorzien aan de gebruiker.
Ik behoor ook tot de 30% maar weet ook dat SMS niet veilig is.
Vandaag, 10:42 door Anoniem
geen apps voor mij aub, ik wil geen en heb geen smartphone en ik ben alles behalve een digibeet of een oudje! ik ben niet alleen ookal zeggen sommige van wel om mij proberen te overtuigen dmv peer preasure me te conformeren aan een systeem dat niet ten bate van de burger opgezet is maar ten baten van winst belang van bigtech en banken.
Vandaag, 10:44 door Anoniem
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?

Weet ik ook niet. Kennelijk zijn alle vier de inlogmethodes even veilig want anders zou je het inloggen op DigiD tot hooguit twee methodes beperken lijkt mij.
Ik gebruik alleen de app op mijn mobiel en ik heb mij eenmalig aangemeld met mijn ID-kaart.
Vandaag, 10:46 door Anoniem
De beveiligingsniveaus substantieel en hoog zijn volgens de beschrijving ervan van Logius gekoppeld aan de DigiD-app, en die is volgens de beschrijving daarvan gekoppeld aan gebruik van iOS of Android, onder verwijzing naar de app-stores van Apple en Google. De overheid is ervan doordrongen geraakt dat afhankelijkheid van Amerikaanse big tech-bedrijven problematisch is, maar dat besef lijkt nogal selectief door te dringen: als de afhankelijkheid niet in de eigen infrastructuur van de overheid zit maar via apparaten die burgers gebruiken loopt dan ontbreekt het besef opeens. Alsof dat niet net zo goed onderdeel van het systeem in zijn totaal is.

Dat er al vele jaren overeenkomsten voor de rechter sneuvelen die proberen de VS als veilig voor Europese data te bestempelen had natuurlijk ook al vele jaren tot de gedachte hebben kunnen leiden dat je een alternatief nodig hebt voor dergelijke afhankelijkheden, en dus iets nodig hebt dat niet uitsluitend via OS'en van en met accounts bij Amerikaanse techbedrijven werkt. Wat dat betreft lijkt de Nederlandse overheid zich te gedragen alsof het lang niet alleen Hugo de Jonge is die niet in plan B gelooft. Alleen: als het zo loopt dat plan A niet meer werkt dan heb je wel degelijk iets nodig dat nog wel werkt. Dat is wat met plan B bedoeld wordt. In mijn ogen is het onbehoorlijk bestuur dat dat voor zulke belangrijke dingen wordt overgeslagen.

Als voor DigiD wel een plan B had bestaan had ik als Linux-gebruiker zonder smartphone alle DigiD-beveiligingsniveaus tot mijn beschikking gehad, en hadden alle internetgebruikers die qua wat ze daarvoor gebruiken niet binnen de grootste marktaandelen van de commerciële sector vallen die mogelijkheid ook gehad. De overheid moet niet op marktaandeel gebaseerd zijn, die hoort geen burgers van de grootste marktpartijen afhankelijk te maken. En ik wil best bij het loket burgerzaken leges betalen voor een overheidsequivalent van de Rabo-scanner waar ik mijn ID-kaart in moet steken of tegenaan moet houden (als het even kan niet propriëtair maar gebaseerd op open standaards), ik snap dat het wat kost.
Vandaag, 10:55 door Anoniem
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?

Ja nog even genieten, zolang het nog kan van DigiD met SMS.

Straks komt die EU ID met rijbewijs, paspoort en de digitale portemonnee.
Vandaag, 10:58 door Anoniem
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?
Het komt voor dat met wat social engineering criminelen er bij telecomproviders in slagen om een telefoonabonnement van een ander aan hun toestel te koppelen. Dan kunnen ze dus ook die SMS'jes van DigiD kapen. De kans dat het je overkomt is op zich maar heel klein, voor zover ik weet, maar ook de overheid heeft al jaren geleden geconstateerd dat SMS eigenlijk niet meer voldoet. Het wordt in stand gehouden omdat nou eenmaal niet iedereen een smartphone heeft (met Android of iOS), en op de een of andere manier wordt uiterst hardnekkig vooral niet gekozen voor iets dat degelijker is dan een SMS dat niet afhankelijk is van een smartphone en daarmee van die twee Amerikaanse techbedrijven.
Vandaag, 11:04 door Anoniem
Geef ons dan een mogelijkheid die de privacy in stand houdt. Bijvoorbeeld een hardwarematige authenticatordie tevens je paspoort kan lezen voor beveiligingsniveau Hoog o.i.d.
Vandaag, 11:09 door Anoniem
ww + sms vs google je chip van je id laten lezen...

en op de browsers werkt het natuurlijk niet want je telefoon is SUPER belangrijk...

wanneer krijgen we gewoon een OTP app ondersteuning?
Vandaag, 11:13 door Anoniem
Dertig procent heeft geen Smartphone en gebruikt daarom de App niet die Logius pusht? De afgelopen twee jaar was DigiD een doolhof (dark pattern) om door te komen met wachtwoord en SMS. Als ik het mij goed herinner. Ik doe maar een keer per jaar belastingaangifte en verder heb ik het niet nodig.

Vragen of ik de App niet wil gebruiken. En daarna of ik niet de App niet wil gebruiken.
Vandaag, 11:22 door Anoniem
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?

Veel
Vandaag, 11:25 door Anoniem
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?

Dat je net als ik geen Digid app gebruikt en misschien net als ik ook geen smartphone hebt; maar dat laatste is een veronderstelling.

Algemeen: Niet alleen is misschien wel 85% van de Nederlanders verslaafd aan die telefoon. Die verslaving wordt ook misbruikt door de producenten Apple, Google en Samsung en bedrijven, banken, overheidsinstellingen, etc. door de alternatieven voor apps te beperken of dat willen gaan doen.

Smartphonebezitters zijn misbruikslachtoffers, en zij realiseren het zich te weinig tot grote vreugde van Big Tech.
Vandaag, 11:47 door Anoniem
Tja, ik doe zaken voor mijn ouders, en hun digid is aan mijn 06 gekoppeld omdat ze zelf er geen hebben.... Denk niet dat dat met de app kan....
Vandaag, 11:50 door Anoniem
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?

Staatssecretaris: te weinig burgers hebben hogere DigiD-beveiliging geactiveerd
vrijdag 19 juni 2026, 12:27 door Redactie

https://www.security.nl/posting/941180/Tte+weinig+burgers+hebben+hogere+DigiD-beveiliging
Vandaag, 12:00 door Anoniem
Door Anoniem: SMS kun je gemakkelijker intercepten; alsnog een stuk veiliger dan geen SMS of geen WW, maargoed het kan beter.

Je bedoelt 'onderscheppen'? Schrijf dat dan.
Vandaag, 12:11 door Anoniem
Door Anoniem: geen apps voor mij aub, ik wil geen en heb geen smartphone en ik ben alles behalve een digibeet of een oudje! ik ben niet alleen ookal zeggen sommige van wel om mij proberen te overtuigen dmv peer preasure me te conformeren aan een systeem dat niet ten bate van de burger opgezet is maar ten baten van winst belang van bigtech en banken.

Nou het hele idee van het internet is niet gebouwd met de gedachte die jij nu schetst. Daarmee doe je de grondleggers echt te kort. Helaas zag Big Tech ook mogelijkheden en is het internet zoals het is vandaag de dag helaas.
Het begon met het idee van een open en eerlijk informatiedeling voor ieder individu. Nu is het meer een gesloten propaganda systeem waarbij je alleen nieuws voorgeschoteld krijgt wat de grote achter het internet nodig achten.
Vandaag, 12:21 door Anoniem
Door Anoniem:
Door Named: Ik zit bij die 30%, is daar wat mis mee dan?

Veel

Inderdaad. DigiD zou TOTP en hardware sleutels (zoals yubikey of een raboscanner) moeten moeten accepteren. Alleen worden we helaas bestuurd door incompetente mensen en zal dat niet gebeuren. SMS zou ideaal gezien uitgefaseerd kunnen met die nieuwe opties als men echt om veiligheid geeft.
Vandaag, 12:25 door Anoniem
12,8 procent voor de DigiD-app met eenmalige id-check

We zijn gekookt.
Vandaag, 12:38 door Anoniem
Eh... Waarom zou ik zo'n digid gebruiken dan?? Waar is dat goed voor?
Vandaag, 12:40 door Anoniem
Heel veilig, inloggen op mijn Linux PC en de sms code naar mijn mobiel die niet gekoppeld is aan mijn pc.
Totaal niets mis mee en daar zal ik vrijwillig geen verandering in brengen.
Vandaag, 12:49 door Anoniem
SMS is gewoon niet echt veilig de app wel en het werkt erg gemakkelijk. Tja je moet met je tijd mee om veilig te blijven. Vroeger kon je een touwtje uit de brievenbus laten hangen maar nu niet meer,
Vandaag, 12:51 door Anoniem
Je inlognaam en wachtwoord op je computer bewaren, of erger nog
op de computer van een bedrijf (eufemistisch de `cloud` genoemd),
dat is pas gevaarlijk!
Vandaag, 12:55 door Anoniem
Door Anoniem: Eh... Waarom zou ik zo'n digid gebruiken dan?? Waar is dat goed voor?

Voor als je niet meer bij je ouders woont en zelf je zaken (belasting, of uitkering, ziekenhuis,, zorgverzekering) moet regelen.
Vandaag, 12:58 door Anoniem
Door Anoniem: Tja, ik doe zaken voor mijn ouders, en hun digid is aan mijn 06 gekoppeld omdat ze zelf er geen hebben.... Denk niet dat dat met de app kan....

Je kunt met een digid machtiging werken (hoewel niet alle instanties , inclusief sommige gemeenten) dat ondersteunen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.