Bij digitale transacties zijn in de publieke domein alleen inlogmiddelen toegestaan die door de overheid op veiligheid en betrouwbaarheid zijn gecontroleerd en toegelaten. De Wet digitale overheid (Wdo) moet zorgen voor veiligheid en betrouwbaarheid.
Niveau 3, ‘hoog’, biedt de hoogste mate van zekerheid over de identiteit van de inlogger. Hier wordt bij élke inlog een ID-check uitgevoerd. Dit niveau is verplicht bij de verwerking van gegevens die onder het medisch beroepsgeheim vallen.
Negen jaar aan gewerkt en sinds 21 maart van dit jaar een feit. Op die dag werd de Wet digitale overheid (Wdo) aangenomen door de Eerste Kamer. Op 1 juli treedt de wet gefaseerd in werking. In eerste instantie gaat het dan over veilig inloggen op de dienstverlening bij (semi-)overheidsinstanties. De Wdo legt de basis voor digitalisering van de overheid. Uitgangspunt is dat er bij digitale transacties veilig en overzichtelijk kan worden samengewerkt, met regels over veiligheid, de controle daarop en met het zoveel mogelijk werken met standaarden.
Veilig inloggen
De Wdo is een zogeheten kaderwet. Zoals het door de overheid wordt omschreven: ‘De wet regelt algemene principes, verantwoordelijkheden en procedures, maar geen gedetailleerde regels. De wet zorgt zo voor flexibiliteit bij nieuwe ontwikkelingen. Maar ook dat belangrijke waarden en zekerheden voor burgers, zoals gebruikersvriendelijkheid, betrouwbaarheid, veiligheid, privacy en digitale inclusie altijd geborgd zijn.’
Bij digitale transacties en inloggen zijn alleen middelen in het publieke domein toegestaan die door de overheid op veiligheid en betrouwbaarheid zijn gecontroleerd en toegelaten. Private partijen mogen dus ook inlogmiddelen maken – wat voor burgers en bedrijven betekent dat ze een keuze krijgen náást DigiD.
Grensoverschrijdend gebruik
Wat veilige en betrouwbare inlogmiddelen zijn bepaalt overigens niet alleen de Wdo, maar ook de Europese verordening eIDAS, de ‘Electronic Identities And Trust Services’. Onderdeel van die verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dienstverleners die digitaal toegang verlenen, wordt geadviseerd niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen. In eIDAS zijn ook afspraken van Europese lidstaten vastgelegd over onder andere verschillende betrouwbaarheidsniveau’s voor authenticatiemiddelen voor het inloggen: laag, substantieel en hoog. Die geven een oplopende zekerheid over identiteit: is de inlogger daadwerkelijk de persoon die hij/zij zegt te zijn? Bij ‘laag’ gaat het om inlogmiddelen die die zekerheid maar beperkt geven. Vaak gaat het hier om inloggen met een gebruikersnaam en een wachtwoord (de zogenaamde één-factor-authenticatie), eventueel gecombineerd met een sms- of QR-code (twee-factor-authenticatie). Van een ID-check is geen sprake. Die vindt wel, eenmalig, plaats bij niveau ‘substantieel’. De DigiD-app is er een goed voorbeeld van. Inlogmiddelen van dit niveau zijn nodig bij het uitwisselen van privacygevoelige gegevens, denk aan persoonsgegevens of gevoelige bedrijfsinformatie.
