Het begon met een haast ongeloofwaardig artikeltje in de Metro, het eindigde met sussende woorden van staatssecretaris Bijleveld: met de Digid kon de verkeerde persoon de gegevens van een ander lichten.
Het artikeltje in de Metro was om een paar redenen ongeloofwaardig. Het verhaal was dat iemand per ongeluk in de gegevens terecht kwam van iemand met dezelfde achternaam. Dat moet dan ook met dezelfde voornaam of voorletters zijn geweest, ander is het al onmogelijk.
Dan moet ook het wachtwoord hetzelfde zijn geweest en het bizarre was, dat de inlogger juist zijn wachtwoord vergeten was. Door gewoon wat te proberen zat hij plotseling op de verkeerde webpagina.
In de Metro zegt een woordvoerder van Binnenlandse Zaken dat toeval bestaat, maar dat zoiets nog nooit is voorgekomen. Dat zou Bijleveld later op de dag nader toelichten, maar daar kom ik zo nog op.
Eerst nog een andere ongeloofwaardigheid in het Metro-verhaaltje. De man die per toeval in een ander haar gegevens terecht kwam, zag dat een aangifte die hij een jaar eerder had gedaan ook in de gegevens van die mevrouw stonden. Had het toeval toen ook toegeslagen?
Een tankhouder in Castricum, die in het kader van zijn beroepsuitoefening een aangifte doet van illegaal tanken, komt door louter wat codes te proberen in de gegevens van een mevrouw, elders in het land. Je houdt het niet voor mogelijk.
Tsja, zegt die mevrouw, ik had ook geen uniek wachtwoord. Met andere woorden: die mevrouw heeft ooit een wachtwoord bedacht, dat makkelijk en per toeval door een ander kan worden ingetikt. Eén van de slordigheden waar internetgebruikers vaker voor worden gewaarschuwd.
Het betekent ook dat die tankhouder een jaar eerder hetzelfde, veel te makkelijke wachtwoord gebruikte.
Het berichtje werd opgepikt door een Kamerlid. Zoals gebruikelijk controleren Kamerleden de democratie door de krant te lezen. Een SP-kamerlid wilde in het wekelijkse vragenuurtje van staatssecretaris Bijleveld weten, hoe dat toch allemaal mogelijk was.
Ik dacht nog dat Bijleveld duidelijk ging maken dat het Metro-verhaal een verzinsel was, een canard, of een fantasietje van een publiciteitsbeluste tankhouder.
En dan lezen we dat het wel zes keer per jaar voorkomt!
Dat het in dit geval kon gebeuren, is volgens Bijleveld de schuld van de naïeve mevrouw. Verder laat ze heel alert een bericht op de overheidssite plaatsen, waarin wordt uitgelegd dat gebruikers een ‘sterk wachtwoord’ moeten gebruiken.
Bijleveld legt tevens uit dat het dichttimmeren van overheidssites tegen dit soort ongelukjes een kwestie van afweging is tussen gebruiksvriendelijkheid en veiligheid.
Nu is het al gek dat bij het gebruik van de Digid niet om meer verplichte gegevens wordt gevraagd, voor je in kan loggen. Je geboortedatum, je adres, je geslacht, om maar eens wat te noemen. Want dat er meer mensen met dezelfde naam rondlopen is ook bekend. Zo uniek zijn familienamen en zeker voornamen nu ook weer niet.
Nog vreemder is dat bij het de Digid juist je eigen naam moet worden gebruikt. Op andere sites, bijvoorbeeld bij banken, gebruik je je e-mail adres of een zelf te bedenken username. De overheid moet deze techniek maar rap toepassen bij het gebruik van de Digid.
Want het is ondoenlijk dat we allemaal onze naam bij de burgerlijke stand gaan veranderen in een wat uniekere versie, omdat de overheid onze digitale veiligheid niet kan garanderen.
Naamsverandering kost bijna 500 euro, maar je zou het er bijna voor over hebben omdat steeds meer overheidsdiensten op digitaal gaan en door bezuinigingen er straks amper meer een gewoon loket open is. Misschien moet ik er toch eens over nadenken de naam Peter te veranderen in P.J. Cokema. Daar zijn er niet zoveel van.
Dan moet je die nieuwe naam wel weer onthouden. En zoals eerder op dit weblog betoogd: dat leidt alleen maar tot het mahsro-effect.
Mahsro staat voor mijn arme harde schijf raakt overbelast. Een verschijnsel dat op de oude versie van dit blog werd geïntroduceerd en in het huidige weblog al eens in verband met de Digid werd gebracht en met de beperking van ons geheugen.
Mahsro is de term die wereldberoemd is gemaakt door een Belgische journalist.
Maar zover hoeft het niet te komen. Zoals hierboven al gezegd: met een paar simpele aanpassingen kan misbruik van de Digid worden voorkomen.