| Naam | Omschrijving |
| Buitenlandse certificaten niet bruikbaar voor authenticatie | PKI certificaten van buitenlandse leveranciers van (gekwalificeerde) certificaten kunnen in Nederland niet zomaar voor authenticatie gebruikt worden, ondermeer omdat er geen OIN in staat. Een OIN wordt vooralsnog alleen aan Nederlandse rechtspersonen toegekend. Daarmee sluiten Nederlandse voorzieningen het gebruik van dit soort certificaten standaard uit. Formeel moeten we als Nederland gekwalificeerde certificaten uit andere Europese lidstaten accepteren. Het ontbreekt echter in Europa aan voldoende afspraken over organisatie-identificaties om dit praktisch uit te kunnen voeren. |
| DigiD alleen voor gebruik met BSN | Er is wettelijk bepaald dat DigiD alleen gebruikt mag worden voor diensten waarvoor BSN gebruikt moet worden. Dat beperkt het inzetgebied van DigiD. Er is bij verschillende overheidsorganisaties behoefte aan een betrouwbaar identificatiemiddel dan ook inloggen mogelijk maakt voor diensten waarvoor het BSN niet verwerkt mag worden. |
| Gebruik verouderde standaarden | De toegangsinfrastructuur is voor een belangrijk deel gebaseerd op de SAML standaard, die inmiddels verouderd is. Meer recente standaarden zoals OAuth en OIDC worden niet of nauwelijks ondersteund. |
| Gebruikers moeten vaak opnieuw inloggen | Er blijkt dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Dit is gebruiksonvriendelijk. DigiD ondersteunde single sign-on maar dit is destijds om beveiligingsredenen niet meer toegestaan. Er is inmiddels wel een herbevestiging in DigiD beschikbaar, waardoor volledig opnieuw inloggen in DigiD niet hoeft. |
| Geen betrouwbaarheidsniveau bij DigiD machtigen | DigiD machtigen weet niet of een gebruiker inlogt met een middel op laag, substantieel of hoog en legt dat dus ook niet vast. Hierdoor is het strikt genomen ook niet mogelijk om een vertegenwoordiger een hoger betrouwbaarheidsniveau dan laag te geven bij authenticatie. De keten is immers zo sterk als de zwakste schakel. Dit bied een sterke beperking van het inzetgebied van DigiD machtigen en levert in de praktijk beveiligingsrisico's op als dienstverleners zich dit niet beseffen. |
| Geen centraal onderzoek en meldpunt fraude voor eHerkenning | Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat er voor eHerkenning geen overkoepelende organisatie bestaat die fraudegevallen oppakt en dat er ook geen centraal fraudemeldpunt is. Het melden van en reageren op specifieke signalen en meldingen ligt decentraal: bij de organisaties zelf, bij de leverancier en/of dienstverlener. Hierdoor ontbreekt er een goed kwalitatief en kwantitatief beeld. Dit heeft als risico dat zaken langs elkaar heen lopen en fraude minder effectief wordt voorkomen dan wanneer dit beeld er wel zou zijn. Dit probleem wordt relevanter als er meer authenticatiediensten beschikbaar komen. |
| Geen eHerkenning machtigen met buitenlands middel | Het is niet mogelijk om met een buitenlands identificatiemiddel een machtiging te verstrekken of ontvangen binnen eHerkenning, omdat dit alleen werkt met eHerkenning middelen. |
| Geen pin reset mogelijk met DigiD hoog | Het is op dit moment niet mogelijk om een pin reset uit te voeren met DigiD hoog. Als een gebruiker zijn pincode vergeten is dat moet deze een nieuw identiteitsbewijs aanvragen. Het belang van DigiD hoog en het goed functioneren ervan is belangrijk in de context van de EDI wallet, omdat deze nodig is om de persoonsidentificatiegegevens te kunnen laden in de EDI wallet. |
| Geen uniforme gebruikservaring | Er is geen uniforme gebruikservaring voor het verkrijgen van toegang bij verschillende dienstverleners, ongeacht het betrouwbaarheidsniveau. Er zijn veel verschillende processen met verschillende mogelijkheden. Hierdoor is het voor gebruikers niet altijd intuïtief hoe toegang wordt verkregen. |
| Machtigingen verspreid over meerdere systemen | Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen van eHerkenning zijn er ook op andere plaatsen machtigingen geadministreerd zoals in het Handelsregister, in Digipoort en in het Digitaal Stelsel Omgevingswet. Dit komt deels doordat er beperkte machtigingsfunctionaliteit aanwezig is in DigiD machtigen en eHerkenning (keten)machtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke informatie-objecten. Hierdoor moeten overheidsorganisaties op meerdere machtigingsregisters aansluiten en gebruikers op allerlei plaatsen machtigingen verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is na bestuurlijke afweging met beperkingen geïmplementeerd. |
| Restgroepen worden niet goed ondersteund | Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Daarnaast kunnen burgers zonder Nederlands identiteitsdocument hun DigiD niet op hogere betrouwbaarheidsniveaus activeren. Overheidsorganisaties kunnen restgroepen bedienen door hiervoor zelf een registratie te voeren, de wettelijke basis daarvoor te borgen, en een identificatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning. |
| Schaalbaarheid en fijnmazigheid van dienstencatalogi | De huidige toegangsinfrastructuur is gebaseerd op toegang tot diensten. Deze diensten zijn echter niet gestandaardiseerd over organisaties, waardoor er een grote hoeveelheid van (deels soortgelijke) diensten in de dienstencatalogi staan, wat een grote administratieve lasten, onderhoudslasten en doorlooptijden levert. Dit maakt het lastig schaalbaar. Daarbij komt dat er behoefte is aan meer fijnmaziger vormen van machtiging om ervoor te zorgen dat alleen strikt noodzakelijke toegang wordt verstrekt. De enige manier om hier in de huidige voorzieningen mee om te gaan is door hier extra diensten voor te definiëren, wat tot een explosie aan diensten leidt. Er zijn ook partijen die graag een verzameling diensten als geheel machtigbaar zouden willen maken. Het is echter ook niet mogelijk om diensten gelaagd te definiëren. |
| Toegankelijkheid voor minder digitaal vaardigen | Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat DigiD en eHerkenning identificatiemiddelen niet optimaal werken voor minder digitaal vaardigen. Ook het aanvragen van DigiD machtigen blijkt lastig voor minder digitaal vaardigen. Ze kunnen wel door een beoogd gemachtigde een machtiging laten aanvragen of de machtiging via andere kanalen aanvragen. De betrouwbaarheid van die andere kanalen is wel lager en deze betrouwbaarheid wordt ook niet expliciet vastgelegd. |
| Vertegenwoordigen werkt nog niet voor iedereen | Professionele dienstverleners zoals bewindvoerders kunnen in veel gevallen niet overal digitaal als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en mensen die ouderlijk gezag hebben. Dit probleem wordt verergerd doordat steeds meer diensten om hogere betrouwbaarheidsniveaus vragen, waardoor identificatiemiddelen niet meer eenvoudig kunnen worden gedeeld met vertegenwoordigers. Het vertegenwoordigen van en door buitenlandse organisaties werkt ook niet, als deze organisaties niet in het Handelsregister zijn opgenomen. |