Het Nederlandse identiteitssysteem heeft sinds eind mei verschillende beveiligingsniveaus, waaruit de gebruiker zelf kan kiezen. Die keuzevrijheid uit drie opties blijkt in de praktijk wat beperkt. Niet alleen is het hoogste niveau voorlopig nog niet beschikbaar, ook is het aan de dienstaanbieder om te bepalen wat het vereiste DigiD-zekerheidsniveau moet zijn.

'Aanbieder weet het beste'

“De dienstaanbieder bepaalt, kijkend naar de te ontsluiten dienst, welk zekerheidsniveau nodig is", zegt woordvoerder Michiel Groeneveld van DigiD-beheerder Logius. “De keuze ligt bij de dienstaanbieder omdat zij het meeste van hun webdienst en het achterliggende proces weten. In dat proces kunnen aanvullende maatregelen zijn getroffen. Bijvoorbeeld het sturen van een bevestigingsbrief of het uitvoeren van extra controles."

Er zijn op dit moment 790 webdiensten actief die DigiD gebruiken, laat de woordvoerder weten. “Hiervan zijn er 23 waarvan de eigenaar de sms-functie vereist. De Dienst Uitvoering Onderwijs (DUO) is een van de organisaties die de sms-functie gebruiken."

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), waar DigiD onder valt, is niet van plan om betere beveiliging af te dwingen door het middenniveau van inlog mét sms-code als standaard in te stellen. Van afschaffen of beperken van de relatief zwakke inlogoptie van gebruikersnaam plus wachtwoord is geen sprake.

Mobiele telefoon voor nodig

“Er zijn geen plannen om het Basisniveau te laten vervallen", antwoordt Groeneveld op vragen van Webwereld. “Voor veel diensten is het zekerheidsniveau Midden, dat een hogere mate van zekerheid over iemands identiteit biedt, niet per sé nodig. Bovendien is sms-authenticatie iets lastiger voor burgers, omdat het een extra handeling is en er een mobiele telefoon voor nodig is."

Gebruikers kunnen er wel zelf voor kiezen om standaard het middenniveau te gebruiken, wat momenteel dus de hoogste vorm van inlogbeveiliging is bij DigiD. “Dit kunnen gebruikers van DigiD voor hun eigen DigiD doen, door in Mijn DigiD als 'Voorkeur inlogmethode' de sms-functie te kiezen. Zij moeten dan altijd inloggen met gebruikersnaam, wachtwoord én sms-code."

Maximaal één 06-nummer

Hierbij kan er per gebruiker maar één telefoonnummer worden opgegeven bij DigiD. Dat nummer kan wel gewijzigd worden, legt de woordvoerder uit. “Als je het toestel met een oud nummer hebt kan dat direct (je krijgt op oude en nieuwe nummer een sms-code ter controle). Als je het oude nummer niet hebt, krijg je een activeringscode thuisgestuurd waarmee je het nieuwe nummer binnen DigiD kan activeren."