Veiliger inloggen wordt steeds belangrijker; bij meer online overheidsdienstverlening worden gevoelige persoonsgegevens verwerkt. De Wet digitale overheid (Wdo) verplicht dienstverleners hun systemen hierop aan te passen: hoe groter het risico van de dienst, hoe hoger het betrouwbaarheidsniveau.
DigiD ondersteunt hiervoor verschillende niveaus van authenticatie. Deze pagina geeft een overzicht van deze niveaus, de wettelijke kaders en de samenhang met het Stelsel Toegang van het publieke middel DigiD.
Betrouwbaarheidsniveaus
De Wdo gaat uit van de volgende betrouwbaarheidsniveaus:
| DigiD-niveau | eIDAS-niveau | Omschrijving | Status |
|---|---|---|---|
| Basis | Laag | 1-factor-authenticatie met gebruikersnaam en wachtwoord | Wordt uitgefaseerd |
| Midden | Laag | 2-factor-authenticatie met sms of app | Blijft beschikbaar |
| Substantieel | Substantieel | Eenmalige ID-check in de app | Wordt gestimuleerd |
| Hoog | Hoog | ID-check bij elke inlog via de app | Wordt doorontwikkeld; nog niet toegepast door dienstverleners |
Uitfasering DigiD Basis
De Europese eIDAS-verordening stelt eisen aan digitale identificatiemiddelen. Voor betrouwbaarheidsniveau laag is minimaal 2-factorauthenticatie vereist. DigiD Basis, dat alleen werkt met gebruikersnaam en wachtwoord (1-factor), voldoet daar niet aan en wordt daarom uitgefaseerd. Steeds meer dienstverleners vragen inmiddels om inloggen met DigiD Midden (2-factor), zoals de Belastingdienst, MijnOverheid, Toeslagen, SVB, DUO en veel zorgaanbieders. Uiteindelijk zal DigiD Basis nergens meer gebruikt worden. Het betrouwbaarheidsniveau eIDAS-Laag komt dan uitsluitend overeen met DigiD Midden.
Overgangsregeling niveaus substantieel en hoog
Publieke dienstverleners bepalen per online dienst het betrouwbaarheidsniveau waarop gebruikers moeten inloggen. Dit doen zij op basis van de ministeriële regeling Betrouwbaarheidsniveaus. Voor de beoordeling kunnen zij gebruikmaken van de Regelhulp Betrouwbaarheidsniveaus. Voor diensten die worden geclassificeerd als substantieel of hoog geldt dat er alleen nog op dat niveau ingelogd mag worden.
Om te voorkomen dat burgers te vroeg worden uitgesloten van digitale overheidsdienstverlening geldt er een overgangsregeling. Deze was aanvankelijk vastgesteld op 2 jaar, tot juli 2025. Omdat de betrouwbaarheidsniveaus substantieel en hoog toen onvoldoende beschikbaar waren voor brede toepassing, is de regeling met 3 jaar verlengd tot 1 juli 2028. Tot die datum mogen diensten die als substantieel of hoog zijn geclassificeerd ook toegankelijk zijn via een middel van 1 niveau lager, mits deze ten minste 2-factorauthenticatie ondersteunt (bijvoorbeeld DigiD Midden).
Diensten die als laag zijn geclassificeerd blijven toegankelijk met eIDAS Laag. Denk aan diensten waarvoor geen gevoelige gegevens nodig zijn, zoals het maken van een afspraak.
DigiD en het Stelsel Toegang
De Wdo is alleen van toepassing op betrouwbaarheidsniveaus substantieel en hoog. Het Stelsel Toegang zorgt ervoor dat dienstverleners makkelijk kunnen aansluiten op alle toegelaten middelen op de niveaus substantieel en hoog. En van de voorzieningen voor vrijwillig machtigen en wettelijk vertegenwoordigen. Het betrouwbaarheidsniveau laag valt buiten de reikwijdte van de Wdo. Om het voor dienstverleners zo gemakkelijk mogelijk te maken, blijft het gebruik van DigiD Laag wel beschikbaar binnen het Stelsel Toegang.
