Het is straks niet meer mogelijk om alleen met gebruikersnaam en wachtwoord in te loggen bij de Belastingdienst. De fiscus vereist per 1 oktober 2022 dat ondernemers of particulieren die inloggen met DigiD daarvoor de code-makende app gebruiken of met sms-verificatie inloggen.
Eenmanszaken en zzp’ers loggen bij de Belastingdienst in met DigiD en moeten aan deze extra stap, voor zover dat nog niet is gebeurd. Bedrijven met personeel moeten inloggen in met eHerkenning, dat een hoger beveiligingsniveau heeft. Ook blijft het mogelijk dat mensen telefonisch en schriftelijk zaken met de belasstingdienst regelen, zo meldt staatssecretaris van Rij in een Kamerbrief.
Oude inlog kwetsbaar
Inloggen met alleen gebruikersnaam en wachtwoord is al jaren erg onveilig. Omdat mensen wachtwoorden hergebruiken op meerdere sites, zorgt een lek bij één site ervoor dat accounts op andere sites waar dat wachtwoord en e-mailadres ook worden gebruikt ook kwetsbaar zijn. Criminelen hebben geleerd om buitgemaakte wachtwoorden geautomatiseerd uit te proberen op andere sites.
Verificatie met extra stap
Dat probleem is op te lossen met een extra stap. Een code op een telefoon van de legitieme gebruiker zorgt ervoor dat een crimineel niet met deze buitgemaakte gegevens kan inloggen. De legitieme gebruiker ontvangt namelijk een code per sms of DigiD die de crimineel niet heeft. Overigens wordt sms niet meer als veilig beschouwd, omdat deze onderschept kunnen worden, en diverse overheden stappen al af van dit systeem met een ge-sms’te code.
App in plaats van sms
Ook mikt de overheid op het uitrollen van een hoger niveau van verificatie, waar ook het identiteitsdocument digitaal gekoppeld is aan de app. De zet om gebruikers over te laten gaan naar het gebruiken van een DigiD-app is een tussenstap naar dat niveau. De overheid wil dat niet in één keer invoeren omdat dit leidt tot een te grote belemmering voor gebruik van de digitale dienstverlening. Maar dit is wel de kant dat het opgaat. Dus ook al biedt de Belastingdienst sms-verificatie, het is waarschijnlijk verstandiger om toekomstgerichter over te stappen op de DigiD-app.
Koppelen met app
Bij inloggen met de app, koppelt een gebruiker aan een overheidssite met een code, waarna de site een QR-code genereert op basis van deze gegevens. Deze code scant u met de app om te bevestigen dat u de legitieme gebruiker bent. De DigiD-app is hier te downloaden voor Android-apparaten en hier voor iPhones.
