Verkeerd DigiD-advies leidt tot wantrouwen
NRC - 7 april 2007
Rotterdam, 7 april
Het officiële advies om de DigiD van de buurman te lenen was
knullig, zeggen deskundigen. Je kunt dan zijn gegevens van de
Sociale Verzekeringsbank wijzigen.
Toen ze hoorden van het advies dat het ministerie van
Binnenlandse Zaken en de Belastingdienst over de DigiD hadden
verstrekt, konden ze het bijna niet geloven. "Van een
ongekende knulligheid", zegt advocaat Joost Linnemann,
specialist in digitale beveiliging. "Volstrekt
onaanvaardbaar", zegt Matt Poelmans, de voorzitter van het
forum Burger@Overheid. Zelfs de woordvoerder van het ministerie van
Binnenlandse Zaken is er nog enigszins beduusd van: "Echt
ongelooflijk".
Afgelopen vrijdag had de belastingaangifte van 2006 moeten zijn
ingediend. Wie dat elektronisch wilde doen, moest daar dit jaar
voor het eerst de DigiD voor gebruiken. DigiD spreek uit:
'diegiedee' werd vorig jaar ingevoerd en is een strikt
persoonsgebonden 'pincode' die burgers moeten gaan
gebruiken bij hun elektronische communicatie met de overheid,
bijvoorbeeld met de Belastingdienst of de Informatie Beheer Groep
(IBG). Maar ondanks een intensieve voorlichtingscampagne bleken
veel burgers deze week de DigiD nog niet te hebben aangevraagd.
Een probleem? Niet voor de Belastingdienst, zo bleek afgelopen
donderdag. Ongeruste burgers die belden met de Belastingtelefoon en
vertelden dat ze nog niet over een DigiD beschikten , kregen een
simpel advies: gebruik gewoon de DigiD van iemand anders.
Op het ministerie van Binnenlandse Zaken, verantwoordelijk voor
de invoering van de inlogcode, vielen ze bijna van hun stoel toen
het nieuws naar buiten kwam ook de medewerkers van hun eigen
DigiD-helpdesk raadden burgers aan dit te doen. "We hebben
onmiddellijk ingegrepen", zegt een woordvoerder. Volgens hem
wordt dit advies inmiddels niet meer gegeven ook niet bij de
Belastingdienst.
Wie op het idee gekomen is om burgers te adviseren elkaars DigiD
te gebruiken, is niet helemaal duidelijk. Een woordvoerder van het
ministerie van Financiën wil niet op het onderwerp ingaan, omdat
Kamerleden schriftelijke vragen hebben gesteld. Die gaan voor.
Hoeveel burgers hun belastingaangifte met de DigiD van hun buurman
hebben ondertekend, is om die reden ook onduidelijk.
Het incident roept meer vragen op. Of DigiD wel veilig is,
bijvoorbeeld. De persoonsgebonden pincode is gebaseerd op twee
gegevens: het 'burgerservicenummer' voorheen sofinummer
genoemd en de inschrijving in de GBA, de Gemeentelijke Basis
Administratie. Wie een DigiD aanvraagt, krijgt een inlogcode
opgestuurd naar zijn thuisadres. Een tweede wachtwoord kan naar de
mobiele telefoon worden gestuurd.
"Een betrekkelijk eenvoudig systeem", zegt advocaat
Joost Linnemann van advocatenkantoor Kennedy Van der Laan uit
Amsterdam. Maar daarmee is het systeem nog niet per se onveilig
mits je er prudent mee omspringt. Heb je eenmaal de DigiD van je
buurman in handen, dan kun je 'spoofen', oftewel de
identiteit van iemand anders aannemen. Want met de DigiD van je
buurman kun je meer doen dan een belastingaangifte. Je kunt ook
zijn gegevens bij de Sociale Verzekeringsbank veranderen, of een
bouwvergunning aanvragen bij de gemeente. Met ingewikkeldere, meer
beveiligde systemen kan dat net zo goed, zegt Linnemann.
"Totdat er overal biometrische kenmerken worden gebruikt,
zoals bij de irisscan op Schiphol".
Wat zijn de juridische gevolgen? Heeft de belastingdienst niet
opgeroepen tot het plegen van fraude, vraagt Tweede-Kamerlid Ineke
Dezentjé Hamming-Bluemink (VVD) zich op haar weblog af. Dat valt
mee, zo zeggen de experts. "Als je aan mij vraagt: leidt dit
tot grote problemen, dan zeg ik nee'', zegt Linnemann.
"En als er al problemen komen, dan liggen die vooral bij de
Belastingdienst. Stel: de Belastingdienst komt er achter dat jij je
huis in Frankrijk niet hebt opgegeven. Dan zou jij kunnen beweren
dat de valse aangifte niet door jou is verstuurd, maar door je
buurman".
Niettemin kunnen de gevolgen op de lange termijn groot zijn. De
afgelopen jaren is het 'elektronische loket' van de
overheid steeds belangrijker geworden. Overheidsinstanties als de
Belastingdienst kunnen doelmatiger en efficiënter werken. DigiD is
zeker niet enige systeem dat daarbij een rol gaat spelen. Zo is er
het project PKIoverheid, waarbij PKI staat voor 'Public Key
Infrastructure'. Met PKI kan veilig worden gecommuniceerd met
burgers, maar ook tussen overheden zelf. Met een PKI kunnen
contracten worden ondertekend. "Een PKI heeft dezelfde
rechtsgevolgen als een handgeschreven handtekening", meldt de
website www.pkioverheid.nl.
Voorwaarde is wel dat de burger vertrouwen heeft in dergelijke
systemen. Dat vertrouwen is nu met één ondoordachte actie grondig
ondergraven, zegt Matt Poelmans van Burger@Overheid. Zijn forum,
waarin onder meer de Consumentenbond en de Nationale ombudsman
zitting hebben, heeft besloten de 'Webflop 2007' toe te
kennen aan de Belastingdienst. De Belastingdienst is door de
digitale ontwikkelingen in staat om grote hoeveelheden
standaardgevallen goed af te wikkelen, zegt Poelmans. "Maar in
bijzondere gevallen raakt men in paniek. Dat leidt tot rare
adviezen."
Belastingconsulenten vormen zo'n bijzonder geval. Ineke
Vermeulen heeft een adminstratiekantoor in Kortenhoef en gebruikt
speciale software om de belastingzaken van haar cliënten af te
handelen. Maar voor het aanvragen van zorgtoeslag of voorlopige
teruggave werkt die niet. "Dus moet je je klanten om hun DigiD
vragen."
Steven Derix
publicatiedatum
:
zaterdag 7 april 2007