NL Wallet, de digitale identiteitsapp die DigiD op termijn moet opvolgen, is alleen bruikbaar voor mensen met een Apple ID of Google-account. Dat blijkt uit onderzoek van Follow the Money.

 

NL Wallet maakt gebruik van de zogenoemde Play Integrity-software van Google en de vergelijkbare iOS App Attest van Apple. Die controlesoftware verifieert of een telefoon en de erop geïnstalleerde apps “betrouwbaar” zijn. Handig voor de ontwikkelaar, maar het betekent in de praktijk dat wie geen account heeft bij een van deze twee Amerikaanse techbedrijven, de app simpelweg niet kan gebruiken, zo concludeert FTM.

DigiD, de huidige standaard voor toegang tot digitale overheidsdiensten, werkt al sinds 2023 op Android-toestellen waarop geen Google-account aanwezig is. Logius, de beheerder van DigiD, stelt dat dit de veiligheid van de app niet aantast. De vraag is dan ook waarom de opvolger een stap terug doet op het gebied van digitale soevereiniteit.

Toegankelijkheid

De afhankelijkheid van Google- en Apple-accounts heeft implicaties voor de toegankelijkheid van verschillende instanties en organisaties. Zorgaanbieders worden straks verplicht NL Wallet als inlogmethode aan te bieden, naast DigiD. Dat geldt ook voor andere overheidsorganisaties en naar verwachting voor meer sectoren die te maken hebben met gereguleerde digitale toegang, zoals verzekeraars en pensioenfondsen. Personen die geen smartphone hebben of een bewuste keuze hebben gemaakt om geen Apple- of Google-account te hebben, hebben een toegangsprobleem, aldus FTM.

“Identiteitsdocumenten zijn overheidstaak”

Privacy-experts en beveiligingsonderzoekers zijn kritisch. Jaap-Henk Hoepman (Radboud Universiteit) wijst erop dat het uitgeven van identiteitsdocumenten een overheidstaak is die je niet moet uitbesteden aan commerciële partijen. Bart Jacobs, hoogleraar en voorzitter van stichting Privacy By Design, bouwde met Yivi al een alternatieve wallet die zonder Google-software werkt en waarmee inwoners van Nijmegen al kunnen inloggen. Hij hoopt dat ook de officiële NL Wallet uiteindelijk buiten het Apple/Google-ecosysteem functioneert. Overigens is Yivi op de site van gemeente Nijmegen alleen te downloaden via downloadknoppen voor de App Store én Google Play. De alternatieve route, geheel vrij van Google software (bijvoorbeeld via F-Droid), wordt niet aangeboden als officieel installatiepad.

Geen concrete plannen voor aanpassingen

Het ministerie van Digitale Zaken erkent de afhankelijkheid maar zegt de situatie te “bestuderen”, aldus FTM. Er wordt momenteel niet actief gewerkt aan een versie zonder Apple of Google.

Overigens behoeft de ‘verplichte integratie’ met Apple of Google een kanttekening: de developers hebben in de softwaredocumentatie aangegeven dat ze werken aan de architectuurprincipes. Daarnaast zou een actief Google-account mogelijk overbodig zijn als Google Play Services geïnstalleerd is.

Follow the Money stelt vast dat de Nederlandse overheid enerzijds de overname van DigiD-beheerder Solvinity door het Amerikaanse Kyndryl nog blokkeert wegens soevereiniteitsoverwegingen, en anderzijds via NL Wallet een nieuwe afhankelijkheid van Amerikaanse tech creëert.

(FTM, Ziptone)

Technologie