DigiD schakelt snelle herauthenticatiefunctie tijdelijk uit vanwege problemen

Logius heeft de Eenvoudige herauthenticatie-functie tijdelijk uitgeschakeld vanwege problemen met de functie. De functie laat gebruikers na een DigiD-inlog eenvoudiger inloggen bij een andere dienst, zonder opnieuw een QR-code te scannen.

Eenvoudige herauthenticatie is een DigiD-appfunctie die gebruikers sneller laat inloggen bij extra diensten. Die gebruikers hoeven dan niet opnieuw de koppelcode en QR-code te gebruiken van de DigiD-app, mits ze binnen 'korte tijd' eerder hebben ingelogd bij een andere dienst die DigiD-vereist. Logius meldt op maandag dat die functie op 17 februari is uitgeschakeld, omdat deze problemen opleverde bij het online switchen tussen eindgebruikers.

Het gaat dan bijvoorbeeld om gebruikers die moesten switchen tussen DigiD-accounts als ze belastingaangiftes wilden indienen. DigiD-gebruikers moeten daarom nu altijd de QR-code scannen. Het is niet duidelijk wat Logius aan de app wil aanpassen om de problemen op te lossen en wanneer de problemen naar verwachting klaar zijn.

Door Hayte Hugo

Redacteur

Feedback • 24-02-2025 17:32 35

24-02-2025 • 17:32

35

Lees meer

DigiD is opnieuw 'beperkt beschikbaar' door ddos-aanvallen
DigiD is opnieuw 'beperkt beschikbaar' door ddos-aanvallen Nieuws van 9 april 2025
Logius wil nieuwe aanpak voor 'slimmere en minder voorspelbare' ddos-aanvallen
Logius wil nieuwe aanpak voor 'slimmere en minder voorspelbare' ddos-aanvallen Nieuws van 28 maart 2025
Overheid stelt verplichte DigiD ID-Check drie jaar uit wegens weinig gebruik
Overheid stelt verplichte DigiD ID-Check drie jaar uit wegens weinig gebruik Nieuws van 19 maart 2025
Logius sluit 14 dienstverleners af van DigiD na veiligheidsaudit
Logius sluit 14 dienstverleners af van DigiD na veiligheidsaudit Nieuws van 13 maart 2025
DigiD heeft last van storing door 'terugkerende ddos-aanvallen' - update
DigiD heeft last van storing door 'terugkerende ddos-aanvallen' - update Nieuws van 3 maart 2025
DigiD-storing van dinsdag kwam door ddos-aanval
DigiD-storing van dinsdag kwam door ddos-aanval Nieuws van 15 januari 2025
DigiD was niet bereikbaar door storing - update
DigiD was niet bereikbaar door storing - update Nieuws van 14 januari 2025
DigiD telt ruim zeventien miljoen gebruikers bij 20-jarig bestaan
DigiD telt ruim zeventien miljoen gebruikers bij 20-jarig bestaan Nieuws van 14 oktober 2024
DigiD-app voegt in september biometrisch inloggen op Android en iOS toe - Update
DigiD-app voegt in september biometrisch inloggen op Android en iOS toe - Update Nieuws van 28 augustus 2024
DigiD is weer beschikbaar na storing - update
DigiD is weer beschikbaar na storing - update Nieuws van 18 juli 2024
Logius maakt tweede deel van broncode DigiD opensource
Logius maakt tweede deel van broncode DigiD opensource Nieuws van 16 mei 2024
Logius: DigiD vereist steeds vaker tweetrapsauthenticatie
Logius: DigiD vereist steeds vaker tweetrapsauthenticatie Nieuws van 22 februari 2024
Logius start pilot voor chatondersteuning bij DigiD
Logius start pilot voor chatondersteuning bij DigiD Nieuws van 12 januari 2024
Inloggen op DigiD-app kan voortaan ook op telefoons zonder Googles QR-scanner
Inloggen op DigiD-app kan voortaan ook op telefoons zonder Googles QR-scanner Nieuws van 2 november 2023
Logius verwijdert 3154 DigiD-accounts die werden verhandeld op Genesis Market
Logius verwijdert 3154 DigiD-accounts die werden verhandeld op Genesis Market Nieuws van 26 juli 2023
Meer producten en artikelen
Software Digid Logius

Reacties (35)

-Moderatie-faq
35
34
23
3
0
6
Wijzig sortering
moonlander 24 februari 2025 18:02
Ik vind de app ook niet heel logisch. Waarom eerst je pincode invullen, koppelcode invullen en qr code scannen? Waarom niet eerst koppelcode invullen, qr code scannen en dan de actie bevestigen met pincode? Net als bij de bank. Actie -> verifiëren ipv verifiëren en dan pas actie.
lenwar
@moonlander24 februari 2025 20:42
- Je logt in, in de app, met een PIN. (dit is een online-login!! - zie verderop)
- Je hebt de app op jouw BSN (of wat voor ID dan ook) ontsloten in de servers van DigiD.
- Pas als de app op 'jouw geregistreerde toestel' is ontsloten kan er een 4-letterige code worden gegenereerd voor jou. (n.b. De DigiD-installatie werkt echt alleen op jouw telefoon. Je kunt niet een dump van de app maken en die op iemand anders z'n toestel opstarten. Dan heb je er niks aan.)
- De combinatie van jouw telefoon en de servers van DigiD maken een 4ltetterige code. (wie er het voortouw neemt weet ik niet om eerlijk te zijn)

Ofwel. De code 'kan' pas gegeneerd worden, als de app is ontsloten door een PIN.
eazyq @moonlander24 februari 2025 19:02
De pincode is om de app te kunnen gebruiken. als je dat achteraf wilt doen werkt de app dus al en dat zou niet moeten.
barbarbar @eazyq24 februari 2025 19:13
Bij een ideal betaling krijg ik na het scannen van de qr code, alleen een vraag om te bevestigen met pincode. Zou niet weten waarom dat bij digid omslachtiger moet zijn. Vaak werkt dat qr code scannen ook voor geen meter bij digid, zit je tien keer te scannen voordat ie het pakt. Ligt echt aan de implementatie, want heb een gangbare telefoon met goede camera, en verder nooit ergens problemen met qr codes of barcodes.

[Reactie gewijzigd door barbarbar op 24 februari 2025 19:23]

eazyq @barbarbar24 februari 2025 19:17
Maar die qr code scan je dan toch de bankieren app die ook opgestart moet worden? ING bankieren in ieder geval wel
barbarbar @eazyq24 februari 2025 19:22
De app opent vaak automatisch als je de juiste bank hebt gekozen. En als ik het direct via de app doe, hoef ik niet eerst in te loggen. In ieder geval bij SNS, Triodos en Knab.
Transportman @barbarbar24 februari 2025 19:53
Bij DigiD gaat het ook om het doorgeven van wie je bent en bevestigen dat jij bent wie je zegt dat je bent. Bij Ideal betalingen hoeft er niet doorgegeven te worden wie je bent aan de andere partij, en bij andere inlogs kan je dat zelf opgeven (je Google/Facebook/username/etc account), maar bij DigiD doet de app dat op een of andere manier en ik vermoed dat daar het spelletje koppelcode-QR code een rol spelen zodat de app en waar je in wilt loggen weten hoe ze jouw identiteitsgegevens moeten versleutelen en ontsleutelen. Of dan de pincode vooraf of achteraf moet maakt eigenlijk weinig uit, tenzij zoals in een andere reactie is aangegeven het gaat om inloggen bij meerdere organisaties. Maar ergens is het ook wel bizar dat er niet simpel te vinden is hoe de DigiD uitwisseling aan de achterkant werkt, want er zal vast wel een goede reden zijn om het op deze manier in te richten.

Waarom de camera dan zo ruk is, geen idee, mijn bankapp kan bijvoorbeeld prima inzoomen maar de DigiD app kan dat niet.
Eboeker @barbarbar24 februari 2025 20:38
Een belangrijk verschil is dat een bank app een validatie doet op de getoonde QR (misschien wel domein validatie obv het TLS cert, dat weet ik niet zeker). Daarom raden banken ook aan qr codes alleen met een bank app te scannen, en niet met je generieke camera app ( https://www.betaalverenig...met-qr-codes-in-het-kort/ )
Voor de overheid is dat omslachtig, omdat er teveel pagina's zijn waar DigiD aangeboden kan worden (en dan ook nog bij semi overheid zoals zorgpartijen en pensioenfondsen).
De koppelcode wordt gebruikt om 'schouder-surfen' lastiger te maken (waarbij iemand snel jouw QR scanned).
Met een DigiD sessie kun je makkelijk rechtshandelingen uitvoeren (belastingaangifte, bezwaar maken, vergunning aanvragen), wat authenticatie is dus wel prettig.

@Transportman DigiD geeft altijd op dezelfde manier door wie je bent, het resultaat van een geslaagde authenticatie is altijd een BSN. Daarnaast wordt ook een betrouwbaarheids niveau meegeven naar de ontvangende partij. Dat niveau zegt iets over de manier waarop je je hebt geauthenticeerd tegen de DigiD app (alleen mfa, eenmalig je identiteit gevalideerd met een ID bewijs via NFC, of bij deze specifieke sessie ook gevalideerd met een ID bewijs). Bij die laatste variant is veel zekerder dat jij inderdaad jij bent dan bij de alleen mfa variant. Eigenlijk mag voor de toegang tot bv medische gegevens alleen die laatste variant gebruikt worden, maar omdat nog bijna niemand een geschikt ID bewijs heeft ziet iedereen, inclusief de AP, dat maar door de vingers.
De sessie wordt dus niet veiliger van andere manieren van authenticatie, alles blijft over dezelfde TLS verbindingen lopen, alleen de zekerheid waarmee je kunt vaststellen dat het idd Jan is die de sessie aangaat neemt toe.
PolarBear @barbarbar25 februari 2025 08:43
Ligt echt aan de implementatie, want heb een gangbare telefoon met goede camera, en verder nooit ergens problemen met qr codes of barcodes.
Is dat zo? Ik herken dit namelijk totaal niet en log vaak in met DigID.
JerX @moonlander24 februari 2025 18:06
Vind de flow wel logisch, als je de pin achteraf doet dan word het een automatische OK. De koppelcode lijkt mij nodig om zo de QR code te gegeneren.
moonlander @JerX24 februari 2025 18:09
Maar de pincode doe je vooraf, dus die pincode wordt nu al een automatisch iets, anders kom je niet eens verder.
LostInNight @moonlander24 februari 2025 19:16
Eén van de reden dat ze de pincode naar voren hebben verplaatst is zodat je maar 1x je pincode hoeft in te vullen als je over meerdere diensten wilt inloggen.
Ultraman Moderator VB 24 februari 2025 19:00
Ik zie liever dat men een keer een gangbare 2FA toevoegt i.p.v. een eigen wiel uit te vinden en te onderhouden in een eigen app. We hebben OATH-TOTP, WebAuthn en FIDO2 als uitstekende standaarden maar DigiD ondersteunt tot op de dag van vandaag geen van beide...
JeroenB89 @Ultraman24 februari 2025 20:27
Helemaal eens, de DigiD app ondersteunt ook slechts 1 account dus voor het DigiD account van mijn zoontje (een baby) die ik nodig heb om bijvoorbeeld afspraken bij het ziekenhuis in te zien moet ik inloggen met wachtwoord en 2FA via SMS.

Op zich nog tot daar aan toe, maar als mijn vriendin hetzelfde wil doen dan kan ze dat niet zonder mijn hulp omdat de SMS naar mijn nummer gaat.

Hetzelfde geldt voor het op afstand helpen van mijn moeder met belastingzaken, en noem maar op.
lenwar
@JeroenB8924 februari 2025 21:36
Wat je beschrijft is inderdaad een lastige.
Je kunt overigens overwegen om jezelf te machtigen met DigiD. Dan kun je in elk geval een idiote gebruikersnaam en een idioot wachtwoord maken voor het account van je kind. (dus beiden 50 karakters maken ofzo)

https://machtigen.digid.nl/

Dat maakt de situatie niet vreemder, maar je hebt in elk geval veel meer gemak ervan.
N.B. Je moet dit 'per instantie' regelen dacht ik. (dus per overheidsorgaan/gemeente/ziekenhuis/enz.)
JeroenB89 @lenwar24 februari 2025 21:42
Dat is een hele goede tip!

Ergens vervelend dat het per instantie moet en dat de machtiging ook weer verloopt, maar ook volkomen begrijpelijk in het kader van veiligheid natuurlijk.

Ik ga dit eens proberen om te kijken of dit bevalt, dankjewel! :)

Update: Tot dusver alleen nog maar een minpuntje kunnen vinden, ik kan het ziekenhuis waarvoor ik wil inloggen namelijk helemaal niet vinden in de lijst van instanties.
Er wordt voor zover ik kan vinden op de site ook nergens uitgelegd waar deze lijst op gebaseerd is, of een instantie ervoor kan kiezen om machtigingen niet te ondersteunen, of op basis van welke naam je zou moeten zoeken.
Ik probeerde eerst gewoon te zoeken op de naam die je ziet als je via de app inlogt, maar daar krijg ik alleen maar ongerelateerde resultaten voor. Vervolgens ben ik maar gewoon op alfabetische volgorde door de hele lijst heen gegaan (gaat sneller dan je zou denken) en het lijkt er gewoon niet tussen te zitten.
Jammer.

[Reactie gewijzigd door JeroenB89 op 24 februari 2025 21:59]

Eboeker @JeroenB8925 februari 2025 11:34
een organisatie moet inderdaad zelf besluiten of ze voor een proces DigiD machtigen wil gebruiken, het kan bij 1 organisatie ook nog verschillen per proces. Voor zover ik weet is er geen centraal overzicht van alle diensten waar DigiD machtigen beschikbaar is.
lenwar
@JeroenB8924 februari 2025 23:00
Oh, dat is zonde! En lastig. Het hele idee van die machtigingen is echt heel fijn. Maar je hebt er dus mogelijk wel iets aan voor de belastingzaken van je moeder. Dat is in elk geval iets.

https://www.digid.nl/contactformulier/
Ik zou denk ik gewoon een berichtje sturen. Dan weet je gelijk hoe en wat. Mogelijk is het betreffende ziekenhuis er nog mee bezig? Of is er iets aan de hand met de lijst? (Ik noem maar wat stoms)

Het is sowieso een vreemde situatie met kinderen en DigiD. Een DigiD is een persoonlijk iets. Eigenlijk zou je voor je kleine kind standaard alles moeten kunnen regelen. (Gezien je 100% verantwoordelijk bent en verantwoordelijkheid hebt, en je kind zelfs geen beslissingen kan en mag nemen.)
Maar goed. Dat is een andere discussie 😊
Littlemarc @JeroenB8924 februari 2025 20:48
Ik heb ook altijd bizar gevonden dat ze een eigen authenticatie app hebben gemaakt die ook nog moet onderhouden worden terwijl er zat open source alternatieven waren die gratis zijn,

Meestal als je iets niet begrijpt of onlogisch vindt moet je om het te begrijpen “follow the money” toepassen. Welk bedrijf wordt goed geld betaald om hier het wiel opnieuw uit te vinden? Daar is je antwoord.
PolarBear @Littlemarc25 februari 2025 08:45
DigID is ook open source: https://github.com/MinBZK/woo-besluit-broncode-digid
Eparox @JeroenB8924 februari 2025 23:16
Op zich nog tot daar aan toe, maar als mijn vriendin hetzelfde wil doen dan kan ze dat niet zonder mijn hulp omdat de SMS naar mijn nummer gaat.
Herkenbaar, hier precies hetzelfde euvel! Wij hebben het voor nu opgelost door middel van een Shortcut (iOS) die de betreffende sms doorstuurt. Maar het is inderdaad irritant dat het niet met een andere methode kan.
Teun! @Ultraman24 februari 2025 19:47
Dit kan ik alleen maar be-amen.
Raymond Deen @Teun!24 februari 2025 20:15
Nee, de overheid moet geen software gebruiken van grote Amerikaanse bedrijven, want niet open source, etc. Maar ze mogen ook geen eigen, volgens mij veilige, manier bedenken?
Hopelijk krijgen ze niet meer te maken te overbelaste infra; verder een prima applicatie.
Teun! @Raymond Deen25 februari 2025 00:13
Wat mis ik hier? Er zijn toch gewoon goede open source implementaties van de genoemde technieken? Dit kost een hoop geld en voegt mijn inziens niet echt iets toe. Sterker nog, het zorgt ervoor dat sommige (zoals ik) mensen slechtere 2FA methoden zoals SMS zullen gebruiken. Daarbij zouden ze dit natuurlijk ook als extra optie kunnen implementeren.

En ik zou niet weten hoe men kan controleren of de huidige manier veilig is, aangezien er voor zover ik weet geen volledige up to date en complete broncode beschikbaar is.
Als dit wel zo is zou dit fantastisch zijn.
Raymond Deen @Teun!25 februari 2025 07:15
Het is het imho gezeur van mensen dat je het ene niet mag gebruiken, maar het andere ook niet. Het is gewoon nooit goed.
De DigiD app is trouwens gewoon open source: https://www.rijksoverheid...rzoek-over-broncode-digid
Ik durf te zeggen dat je er waarschijnlijk echt wel verbeterpunten in kunt aanwijzen, maar je écht van hele goede huize moet komen om in staat te zijn er kritieke fouten in te vinden.
SMS wordt overigens wel een keer uitgefaseerd, maar wordt door een heleboel anderen ook nog gebruikt, ondanks de onveiligheid.
Teun! @Raymond Deen25 februari 2025 09:41
Je moet wat mij betreft als overheid goed nadenken over deze vertrouwenskwesties, aangezien vertrouwen eigenlijk het enige is dat je hebt (of had, afhankelijk van je perspectief). Dus transparantie biedt mijn inziens zeker meerwaarde.

Voor zover ik weet is de Digid app maar 1x gesnapshot en daarbij ook niet volledig, dwz ik zou hem niet zelf kunnen bouwen en installeren (naast dat het dus een oude versie is).

Mocht sms uitgefaseerd worden (inderdaad aannemelijk) dan zou ik graag een fysiek apparaat zien wat deze rol overneemt, of in het ergste geval zou ik een oude telefoon moeten wipen en daar dan de app op zetten. Tot dat ze integrity checking doen (als dat al niet zo is) in elk geval.
Ultraman Moderator VB @Raymond Deen25 februari 2025 13:19
De code waar je het over hebt zou dat deze moeten zijn? https://github.com/MinBZK/woo-besluit-broncode-digid-app
Deze code is 3 jaar oud, is gearchiveerd en bevat geen instructies om zelf de applicatie te kunnen bouwen. De broncode is volgens mij niet 100% compleet. Daar ben ik niet verder ingedoken, maar ik meen gelezen te hebben dat niet alles geopenbaard kon worden. Het is iets... maar kan zoveel beter.

Wat ik roerend met je eens ben is dat we minder, of zelfs niet, zouden moeten bouwen op grote Amerikaanse bedrijven voor dit soort infra. De DigiD applicatie is daarentegen enkel beschikbaar voor telefoons van die Amerikaanse bedrijven. Als je wilt inloggen op iets met DigiD gebruikmakend van (voornamelijk) publiek beschikbare code ben je afhankelijk van de SMS 2FA. Terwijl er betere middelen, zoals OATH-TOTP, zijn die publiek en gemakkelijk te implementeren zijn. Legio websites maken van die techniek gebruik. Is bewezen, is niet complex om te implementeren en een groot publiek is er bekend mee. Waarom zou je het niet gebruiken als overheid is mij een raadsel. Dat zou ik wel eens weten.
Ultraman Moderator VB @Raymond Deen25 februari 2025 08:16
Waar zou onze overheid dan software van grote Amerikaanse bedrijven gaan gebruiken bij het implementeren van één van de gangbare protocollen die ik noem?

De 2FA technieken die ik noem zijn standaarden en specificaties, open standaarden zelfs. Voor de implementatie kun je zelf de code schrijven volgens de spec. Daarom zijn er ook tig 2FA OATH-TOTP applicaties, ook van Nederlandse makelij. Daarom heb je ook maar één zo'n applicatie nodig ipv drie verschillende.

[Reactie gewijzigd door Ultraman op 25 februari 2025 17:55]

Martijntjeh @Ultraman25 februari 2025 16:46
Helemaal mee eens.
Will_M 24 februari 2025 23:48
Verklaart dit misschien ook het 'actief' blijven tonen van het notification symbol in de 'Mijn Berichten' APP terwijl er geen nieuwe / ongelezen berichten aanwezig zijn (iOS APP's)?

HELL... Log je juist nú hiervoor weer in met je Dig-ID om het te checken, verdwijnt dat onnodige notificatie-symbooltje (eindelijk) :+

[Reactie gewijzigd door Will_M op 24 februari 2025 23:57]

curkey @Will_M25 februari 2025 07:47
Kan dat niet powersave zijn van je telefoon? Dat je app pas weer wakker wordt als je hem opent, en de app er dus pas dan achter komt dat er geen berichten meer zijn?
Bongoarnhem 24 februari 2025 17:41
Klinkt als we hebben van te voren niet goed nagedacht over mogelijke user cases.

Het lijkt me dat je dit van te voren had kunnen weten.
roanstrik @Bongoarnhem24 februari 2025 17:43
het lijkt me ook vrij eenvoudig op te lossen door simpelweg te vragen of de gebruiker weer met dezelfde account wil inloggen.
Frame164 @Bongoarnhem24 februari 2025 18:01
Achteraf zou je alles vooraf kunnen weten....

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq