Radar onderzoekt: kun je leven zonder DigiD?
DigiD is de laatste tijd veel in het nieuws door een mogelijke Amerikaanse overname. Je hebt deze extra beveiligde inlogmethode bij al je overheidszaken nodig om in te loggen. In hoeverre is het nog mogelijk om zonder DigiD te leven? Dat onderzoekt Radar.
Overgrote meerderheid bezorgd om Amerikaanse overname
DigiD is een extra beveiligde inlogmethode die je gebruikt om in te loggen bij overheidsinstanties. Je hebt het onder andere nodig om je belastingaangifte te doen, je pensioenoverzicht in te zien en je zorgdeclaraties te declareren.
Via het Radar Panel ondervroegen we ruim 28.000 mensen, waarvan 99 procent DigiD gebruikt. 87 procent van hen zou DigiD liever niet meer gebruiken als het in Amerikaanse handen komt.
Radar probeert overheidszaken te regelen zonder DigiD
Is dat mogelijk? Siri Beerends, promovenda techniekfilosofie, gaat het experiment met Radar aan. Ze probeert haar belastingaangifte, parkeervergunning en toeslagen te regelen zonder DigiD.
In de praktijk blijkt DigiD noodzakelijk en het alternatief niet altijd even realistisch. Zo kun je toeslagen schriftelijk aanvragen en worden de formulieren naar je huisadres verzonden. Vervolgens dien je de formulieren in te vullen en terug te sturen. De Dienst Toeslagen beoordeelt dan of de aanvraag gegrond is. De verwerkingstijd kan echter tot 13 weken duren.
Waarom zou een Amerikaanse overname zorgelijk zijn?
DigiD wordt beheerd door de Nederlandse overheidsorganisatie Logius. Het bedrijf Solvinity levert het platform waarop DigiD draait en dit bedrijf wordt mogelijk overgenomen door het Amerikaanse Kyndryl. Dit is dan ook de reden waarom er veel maatschappelijke commotie is ontstaan.
Tech advocaat en onderzoeker bij het Instituut voor Informatierecht Ot van Daalen legt uit waarom een mogelijke Amerikaanse overname zorgelijk is. Dat heeft te maken met de Amerikaanse Cloud Act.
Dat is een wet die Amerikaanse aanbieders van elektronische communicatiediensten verplicht om alle gegevens die via hun diensten worden verstuurd te bewaren en te verstrekken op verzoek van de Amerikaanse overheid. De servers, waar de data opgeslagen staan, hoeven niet eens in Amerika te staan. Sterker nog; het maakt niet uit waar ter wereld de servers staan. De Amerikaanse overheid kan toegang tot die gegevens krijgen als zij daar om vraagt.
Als Solvinity wordt overgenomen door het Amerikaanse Kyndryl, dan valt DigiD binnen het bereik van de Cloud Act. Dat zou zeer zorgelijk zijn, zegt Ot van Daalen, omdat de Amerikaanse overheid tegenwoordig niet meer zo’n betrouwbare partner is. President Trump zou het misschien zelfs als pressiemiddel kunnen gebruiken om zijn zinnen door te drukken.
Nog meer overheidsdiensten
Tijdens het onderzoek van Radar bleek dat Solvinity diensten levert aan veel meer overheidsinstanties dan alleen DigiD. Ook het ministerie van Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, Volksgezondheid Welzijn en Sport en Financiën nemen diensten af van Solvinity.
Verder gebruiken ook Politie Nederland en het Zorginstituut Solvinity. Welke diensten precies worden afgenomen is niet gespecificeerd, maar dat zou betekenen dat de werking van de Cloud Act ook voor deze overheidsinstanties geldt.
Is er dan geen oplossing?
De gemeente Nijmegen biedt al een alternatief aan naast DigiD: inloggen met Yivi. Met deze app bepaalt de gebruiker zelf welke persoonlijke gegevens worden gedeeld en met wie. Bovendien worden de gegevens niet opgeslagen op een server, maar werkt het decentraal. Dat betekent dat de gegevens alleen staan opgeslagen op de telefoon van de gebruiker. Verder heeft niemand toegang.
De gemeente Nijmegen is hiermee alvast aan het voorsorteren op de invoering van de European Digital Identity Wallet (EUDI-wallet). Het is als het ware een digitale portefeuille met persoonsgegevens, maar dan beveiligd en alleen de gebruiker bepaalt welke gegevens worden gedeeld en met wie. De data wordt niet opgeslagen op een server, maar werkt decentraal. Dat betekent dat alleen de gebruiker inzicht heeft in de persoonsgegevens en niemand anders.
Daarnaast is het breder inzetbaar dan alleen als inlogmiddel bij overheidsinstanties. Als je bijvoorbeeld moet aantonen dat je ouder bent dan 18 jaar om online alcohol te kopen, dan kan dat met een EUDI-wallet zonder gelijk je geboortedatum te delen. Eind 2026 moet elke lidstaat minstens één gecertificeerde EUDI-wallet aanbieden.
Eind 2026 moet elke Europese lidstaat minstens één gecertificeerde EUDI-wallet aanbieden. Radar heeft gevraagd aan het ministerie van Binnenlandse Zaken of Nederland deze deadline gaat halen. Daarop werd geantwoord dat Nederland niet gereed zal zijn in 2026 en dus de deadline niet zal halen.