‘Mijmeringen’ is een wekelijkse column van Dongenaar Rinus Krijnen.
€ Herkenning
Ik doe vrijwilligerswerk bij een aantal stichtingen. Als je eenmaal in een bestuur zit, dan krijg je uiteraard taken. Één van die taken kan zijn dat je met belastingen, pensioenfondsen, verzekeraars en subsidieverstrekkers aan de slag moet.
En tegenwoordig gaat alles zowat digitaal. Dat heeft voor- en nadelen. Elke organisatie heeft een eigen manier van werken. Zo stuurt bijvoorbeeld een pensioenfonds de maandelijkse nota via een bijlage in de mail. Je kunt ook via een digitaal portaal inloggen met gebruikersnaam en password en dan de nota downloaden. Nadeel hierbij is dat je dus eerst moet inloggen. Hoe langer hoe vaker dwingen ze je hierbij gebruik te maken van twee factor authenticatie. Een gebruikersnaam en paswoord is namelijk eenvoudig door derden te hergebruiken en wordt daarom niet als veilig gezien.
Twee factor authenticatie kan met een speciale authenticatie-app van bijvoorbeeld Microsoft of Google of via SMS. Op een authenticatie-app op je smartphone of tablet voeg je de instantie toe en genereert de app om de 30 seconden een ander nummer van 6 posities. De website vraagt dan bij het inloggen om dit nummer in te toetsen. Bij het selecteren in de app wordt het gekozen nummer bij het bedrijf al direct naar je klembord gekopieerd. Beetje omslachtig, maar het is gratis en tot op heden nog best veilig.
De tweede optie is om het via SMS te regelen. Dit is zowat de enige functionaliteit die is overgebleven van deze berichtendienst. De website stuurt een code naar je telefoon en je moet dit via de smartphone dan bevestigen. Aangezien de smartphone persoonlijk is, is dit ook nog wel veilig.
Zomaar inloggen is er hoe langer hoe minder bij.
Als je met de overheid te maken krijgt is het echter anders. De overheid heeft iedere burger een digitale sleutel gegeven: de DigID. En deze sleutel bleek ook veel te simpel overdraagbaar, dus ook hier ben je nu gedwongen om twee factor authenticatie toe te passen. Dat kan met de DigID app op een smartphone of tablet, maar ook via SMS. Tot zover nog wel te overzien. Het is een klassieke methode van persoonlijke beveiliging van zaken: je moet iets weten ( paswoord en gebruikersnaam) en je moet iets persoonlijks hebben (smartphone of tablet).
Maar nu ben je bijvoorbeeld penningmeester. Dan moet je ook in contact komen met de overheid en sommige verzekeraars. Als je niets doet krijg je alles op papier, en met een beetje geluk online via een (functionele) mailbox. Dan krijg je dus in een bijlage de nota of aanslag en kun je hierbij de informatie verifiëren en eventueel de kosten betalen. Maar er zijn overheidsinstanties die hardnekkig alles op papier blijven sturen. Dat gaat goed totdat het fout gaat. Als bijvoorbeeld het postadres niet het adres is waar de penningmeester woont, kan het zomaar gebeuren dat documenten totaal over het hoofd worden gezien. Gevolg kan zijn dat aanslagen buiten het gezichtsveld blijven en er uiteindelijk boetes worden opgelegd. Als penningmeester heb je geen idee wat er aan de hand is en waarvoor je moet betalen.
Zo’n situatie had ik dus ook met de belastingdienst die verantwoordelijk is voor het innen van gemeentelijke belastingen. Nu wil ik aanpassen, dat de informatie voortaan digitaal wordt aangeleverd via de functionele mailbox en wellicht daarbij ook een directe incasso afspreken.
Even mailen zou je zeggen. Omdat het naar de functionele mailbox moet van de stichting sta ik er als natuurlijk persoon buiten en dat wil ik ook zo laten.
Zo simpel is dat echter niet. Want ik moet wel aantonen dat ik gemachtigd ben om deze wijziging door te voeren, vindt de belastingdienst. Communiceren met de belastingdienst kan op twee manieren: persoonlijk via je DigID of als organisatie via Eherkenning. Dat laatste is een persoonlijke digitale sleutel voor organisaties. Die kun je alleen kopen via een aantal door de overheid erkende leveranciers, de markt dus.
Kopen wil dus zeggen dat het geld kost en je hebt uiteraard geen idee hoe betrouwbaar de makelaars in deze digitale sleutels zijn. 12 jaar geleden is één van dit soort bedrijven -DigiNotar- omgevallen, nadat er een enorm datalek was gecreëerd. Allemaal achteraf geconstateerd met grote beveiligingslekken tot gevolg. De overheid besteedt dus de digitale sleutels uit aan de markt. De vraag is of de betrouwbaarheid wel gegarandeerd is en de controle wel klopt? En o ja, je moet wel een abonnement nemen van minimaal 30 euro per jaar om bij je eigen spullen te kunnen. Als organisatie heb je geen idee wat je eigenlijk moet regelen. Er zijn diverse niveaus – en prijzen- van deze sleutels en de vraag is of de sleutel die jij afneemt wel past bij de dienstverleners waarmee jij wil communiceren. Bovendien is de sleutel wel persoonsgebonden en moet de organisatie jou machtigen om een sleutel te krijgen. Daarvoor moet er ook een machtigingenbeheerder zijn. Het duizelt me. Een advies is uiteraard wel te krijgen, maar daarvoor moet je betalen. De enige ‘goedkope’ oplossing is je te wenden tot één van de uitgevers en daar dan maar in zee meegaan. Op hoop van zegen.
Erkende uitgevers van de digitale sleutels zijn KPN (?), we-id, Reconi, Digidentity, QuoVadis en Z-login. Nog nooit van deze bedrijven gehoord, behalve van KPN, die zich in mijn ogen met andere zaken moet bezighouden. Wie garandeert mij dat met deze bedrijven niet hetzelfde kan gebeuren als met DigiNotar? En wie springt dan voor mij in de bres? Ze adviseren allemaal om minimaal niveau 3 te nemen. Wat mis ik als ik niveau 2 neem wat een tientje per jaar goedkoper is, of moet ik binnenkort niet over op niveau 4 -van 72 euro- omdat het allemaal nog veiliger moet?
En dit allemaal omdat je gewoon geïnformeerd wilt worden over je eigen situatie.
Waarom is er niet gekozen om je DigID uit te breiden met organisaties, zodat je maar één digitale sleutel hebt? Dat kan dus niet, want voor DigID hoef je niets te betalen. Alles draait om geld. Het gemak van de mens telt niet.
