Het is de bedoeling dat iedereen die op MijnOverheid wil inloggen dat vanaf volgend jaar alleen maar via tweefactorauthenticatie - dus via de DigiD-app of sms-controle - kan doen. Momenteel volstaat in de meeste gevallen de combinatie van gebruikersnaam en wachtwoord, maar aanvullende beveiliging is een vereiste om privacygevoelige gegevens inzichtelijk te maken.
Dat meldt Logius, de digitale dienstverlener van de overheid, aan Security.nl. Logius is verantwoordelijk voor DigiD en biedt tevens MijnOverheid aan, het online overheidsportaal bestemd voor belangrijke communicatie tussen overheid en burger. Ongeveer 7,8 miljoen Nederlanders beschikken over een MijnOverheid-account.
Het is nog niet precies bekend wanneer de maatregel omtrent de verplichte tweefactorauthenticatie precies wordt doorgevoerd, al verwacht een woordvoerder van Logius dat dit in de loop van 2020 gebeurt. Deze week is een nieuwe versie van MijnOverheid gelanceerd en is men begonnen met de eerste stappen wat betreft de voorbereiding om inloggen via tweefactorauthenticatie te verplichten.
'Zorgvuldigheid van groot belang'
De woordvoerder van Logius stelt dat de invoering zorgvuldig moet gebeuren: 'Uiteraard moet het technisch goed werken, maar ook moeten gebruikers hier goed en tijdig over worden geïnformeerd. Het uitgangspunt is dat MijnOverheid toegankelijk blijft voor alle burgers. We kijken hiervoor natuurlijk ook naar ervaringen van andere organisaties die al over zijn gestapt naar verplicht tweefactor inloggen, zoals het UWV.'
Drie veiligheidsniveaus
De tweefactorauthenticatie gaat gelden voor heel MijnOverheid en dus ook voor alle berichten en gegevens die via dit portaal worden uitgewisseld. Momenteel maakt MijnOverheid voor inlogprocedures onderscheid tussen een drietal veiligheidsniveaus. Het totale aantal van 307 miljoen succesvolle inlogpogingen die in 2018 hebben plaatsgevonden, zijn als volgt over de drie niveaus onderverdeeld:
- Basis (260 miljoen): inloggen via een combinatie van gebruikersnaam en wachtwoord volstaat, er is een stijging van vijf procent waargenomen ten opzichte van 2017.
- Midden (37 miljoen): inloggen via tweefactorauthenticatie, dus via DigiD of via sms-controle, er is een stijging van dertig procent waargenomen ten opzichte van 2017.
- Substantieel (11 miljoen): hier is ook sprake van een éénmalige ID-check van paspoort, rijbewijs of identiteitskaart, deze variant is met name van toepassing wanneer er met extra privacygevoelige informatie zoals medische informatie wordt gewerkt. Waar deze methode in 2017 slechts 8.000 keer werd toegepast, gaat het over 2018 over zo'n 200.000 succesvolle inlogpogingen.
De impact van deze maatregel is dus behoorlijk groot, want feitelijk komt het niveau 'Basis' door de verplichte tweefactorauthenticatie te vervallen. Aangezien ruim 85 procent van de geslaagde inlogpogingen vorig jaar onder 'Basis' viel omdat een combinatie van gebruikersnaam met wachtwoord volstond, moet verreweg het grootste deel van de gebruikers wennen aan nieuwe inlogmethoden.
Bron: DigiD / Security.nl