De broncode van DigiD is gedeeltelijk beschikbaar op GitHub. Developers kunnen de code hergebruiken onder een ruime licentie.
Logius, onderdeel van de Rijksoverheid, is verantwoordelijk voor het beheer van DigiD. In juni 2022 ontving de organisatie een Wet open overheid (Woo)-verzoek over de broncode van DigiD. De wet bepaalt dat iedere Nederlander overheidsinformatie mag opvragen bij de Nederlandse overheid.
Openbare broncode kan cybercriminelen in staat stellen om exploits te ontwikkelen. Daarnaast bevatten veel applicaties sporen van de persoonsgegevens. Naar aanleiding van het Woo-verzoek onderzocht Logius wat er moest gebeuren om de broncode van DigiD veilig te openbaren.
Het systeem van DigiD heeft twee onderdelen: de broncode van de app voor eindgebruikers en de broncode van de software die bij Logius draait. Onderzoek wees uit dat de app vrijwel volledig openbaar gemaakt kon worden. De code is nu beschikbaar op GitHub. Developers kunnen de code hergebruiken onder de EUPL-licentie.
Een van de voordelen van open-source software is controleerbaarheid. De broncode van DigiD stelt onderzoekers in staat om de app te analyseren op kwetsbaarheden. Securitymeldingen zijn welkom bij het National Cyber Security Centrum (NCSC).
Incompleet
De code is niet actueel. Logius publiceerde een versie van DigiD uit september 2022. In een kamerbrief stelt staatssecretaris Alexandra van Huffelen (Digitalisering) dat de organisatie tijd nodig heeft om nieuwere versies veilig te openbaren.
Het is de bedoeling dat Logius de broncode van elke nieuwe versie mettertijd publiceert. De staatssecretaris gaf geen indicatie van het moment waarop de organisatie gereed is.
Sommige delen van de code zijn gekenmerkt als beveiligingsrisico. Deze delen verving Logius met de letter S (security). Andere delen zijn gekenmerkt als privacyrisico. Deze delen verving Logius met de letter P (privacy).
Twee onderdelen
De app is het eerste onderdeel van het tweeledige DigiD-systeem. De broncode geeft geen beeld van de volledige infrastructuur. Daarvoor heb je zicht nodig op de software die bij Logius draait. In de kamerbrief stelt Van Huffelen dat Logius “in de komende periode” onderzoekt of en hoe dit onderdeel geopenbaard kan worden.
Politieke aandacht voor transparante technologie neemt toe. In 2020 riep toenmalig staatssecretaris Raymond Knops overheden op om software waar mogelijk te publiceren. Daarnaast werkt het kabinet op dit moment aan een algoritmewet die overheidsinstellingen verplicht om algoritmes te openbaren.
4 uur geleden
