Alles over de elektronische identiteitskaart
Je elektronische identiteitskaart of eID werd naar voren geschoven als de spil van e-government (elektronische overheidsdiensten), dus het middel om op een veilige manier te communiceren met alle overheidsinstellingen en diensten van het land. Voor mensen die over een smartphone beschikken, is er ondertussen weliswaar nog een andere manier die door de Belgische overheid wordt erkend als een veilige manier om in te loggen, namelijk de app itsme (om die app te installeren heb je je eID nodig of je bankkaart). Maar de eID is en blijft een belangrijke tool die je toegang geeft tot de informatie die de overheid over je heeft verzameld. Je kunt die informatie corrigeren indien nodig.
Je kunt je eID echter ook voor andere doeleinden gebruiken, zoals om contracten te ondertekenen, iets aangetekend mee te verzenden enz.
Voor de verbinding werd een beveiligingssysteem uitgedokterd dat diverse digitale sleutels combineert. Bij ieder gebruik heb je daarom dit nodig: een computer waarop je de officiële eID-software hebt geïnstalleerd, een kaartlezer, je identiteitskaart en de pincode van die kaart.
Kostbare info
Het grote pijnpunt is dat je niet de enige bent die toegang heeft tot de informatie die zich bevindt op de chip van je eID, of op zijn minst tot een deel ervan. En bij bepaalde gegevens is dat niet zo evident. Je denkt dus beter na voordat je dit kostbaar goed aan iemand toevertrouwt. Meer bepaald wanneer men in een winkel je identiteitskaart vraagt om je getrouwheidspunten toe te kennen en ze in een kaartlezer stopt. Of wanneer men je kaart als onderpand wil wanneer je in een museum een audiogids uitleent. Niet dat ze zomaar alles mogen doen met je kaart. De handelaar mag je gegevens bijvoorbeeld niet bewaren. Maar je bent toch maar beter voorzichtig wanneer je je kaart aan iemand geeft.
Veel vragen
Is de toegang goed beveiligd? Wat staat er op de chip? Wie kan die info lezen? Is een elektronische handtekening even rechtsgeldig als een handgeschreven handtekening? In de rubriek Hoe veilig zijn je privégegevens? komen die vragen samen met nog enkele andere aan bod.
Vervolgens belichten we de elektronische toepassingen waar jij met je eID gebruik van kunt maken.
Het belang van je pincode
De pincode die men je via de post heeft toegestuurd op het ogenblik dat je je identiteitskaart hebt gekregen, is cruciaal in het beveiligingssysteem. Zodra de chip op je kaart werd herkend en je werd geïdentificeerd door de certificaten die erop staan, moet je je pincode inbrengen om toegang te hebben tot je persoonlijke gegevens. Geen toegang dus zonder die code.
Ben je die code kwijt of ben je ze vergeten ? Dan kun je een nieuwe vragen op de gemeente of rechtstreeks op de website van de FOD Binnenlandse Zaken. Je mag ze binnen drie weken verwachten.
Ben je je identiteitskaart kwijt of werd ze gestolen? Doe onmiddellijk aangifte op de gemeente of het dichtstbijzijnde politiebureau. Of bel naar DOCSTOP op 00800 2123 2123. Dat nummer is 24 uur per dag, 7 dagen per week beschikbaar, waar ter wereld je ook bent. Je kaart wordt dan geblokkeerd en je zult een nieuwe kaart moeten aanvragen.
We belichten de belangrijkste aspecten inzake de veiligheid van de elektronische identiteitskaart aan de hand van enkele vragen.
Elke Belg krijgt vanaf 12 jaar een identiteitskaart. Maar het is op dat ogenblik nog niet verplicht om de kaart permanent bij je te hebben zodat je ze bij een controle kunt tonen. Dat moet wel vanaf 15 jaar. En dat blijkt niet iedereen te beseffen … De boete is nochtans niet mis wanneer je je identiteitskaart niet bij je hebt, wanneer ze vervallen is of wanneer je weigert om ze te tonen: je riskeert tussen € 200 en € 4 000 te moeten ophoesten.
Er bestaat ook een zogenoemde Kids-ID, voor kinderen die nog geen 12 jaar oud zijn. Die is niet verplicht, maar ze is bijvoorbeeld nodig wanneer een jong kind naar een ander land op reis gaat. Het is aan de persoon die het ouderlijke gezag uitoefent op het kind (ouder, pleegouder …), om die kaart aan te vragen.
Op de identiteitskaart staat bij een volwassene een “Authentication” certificaat waarmee je je kunt aanmelden en waarmee kan worden vastgesteld dat jij de juiste persoon bent en een “Signature” certificaat dat je nodig hebt als je een document digitaal wilt ondertekenen. Bij een minderjarige of een juridisch onbekwame persoon is dat tweede certificaat niet geactiveerd.
De normale geldigheidsduur van een identiteitskaart is tien jaar. Als je eenmaal 75 bent bij de aanvraag van een nieuwe kaart, blijft de kaart dertig jaar geldig.
Ook het identificatie- en het tekencertificaat in de chip blijven tien jaar goed.
Er zijn diverse elementen nodig om de chip te laten werken:
- een “Authentication” certificaat waarmee je identiteit wordt bevestigd;
- een “Signature” certificaat waarmee de handtekening op een document of een mail wordt gevalideerd;
- digitale sleutels zoals een kaartlezer, je “token”, de app Itsme;
- je pincode.
De chip bevat in de eerste plaats alle informatie die zichtbaar is op je identiteitskaart: foto, naam, voornaam, geboorteplaats en -datum, nationaliteit en rijksregisternummer.
Daarnaast zijn er gegevens die alleen elektronisch kunnen worden gelezen: je adres alsook het identificatie- en het handtekeningencertificaat.
Op de kaarten die sinds april 2019 zijn aangemaakt, kunnen tot slot ook je zogenaamde biometrische gegevens staan, d.w.z. je digitale vingerafdrukken. Voorlopig is dat nog in de testfase, dus alleen in bepaalde gemeentes.
Neen, je zult ze er niet op zien staan, maar ze zullen wel in de chip zijn opgeslagen. Die nieuwe maatregel kadert in de strijd tegen terrorisme. Maar daar bestaat controverse over.
Er werd vanuit verschillende hoeken tegen geprotesteerd, onder meer door de Liga voor Mensenrechten, de Ligue des Droits humains en de Ligue des Droits de l’homme. Volgens die laatste vormt deze maatregel een disproportionele inbreuk op de privacy van de bevolking. Deze verenigingen delen allemaal dezelfde vrees: dat je vingerafdrukken - normaal maximaal drie maanden bewaard in afwachting van de aanmaak van je kaart - in een of andere database terechtkomen.
Ook de Gegevensbeschermingsautoriteit heeft een negatief advies uitgebracht. Ze vindt de maatregel overbodig omdat er op de huidige identiteitskaarten al een hologram staat waarmee vervalsing kan worden tegengegaan en omdat er ook een biometrische controle is door de foto van het gezicht. Bovendien wordt de GDPR, de nieuwe Europese privacywetgeving, niet gerespecteerd. Die staat de verwerking van biometrische gegevens alleen toe als er een reden van een aanzienlijk openbaar belang is, dus zeker niet systematisch. Verder moet het gebruik van de gegevens in verhouding staan tot het doel dat werd vooropgesteld en moeten er passende en specifieke beveiligingsregels gelden. Die laatste lijken momenteel onvoldoende, het risico op hacking en misbruik is dus onvoldoende uitgesloten.
Maar het Grondwettelijk Hof heeft de klachten die werden ingediend tegen de wet op de elektronische identiteitskaart en de mogelijkheid om er een digitaal beeld van de vingerafdrukken op te slaan, verworpen. In de wet wordt het opslaan van de vingerafdrukken immers slechts in heel specifieke voorwaarden toegestaan, bijvoorbeeld bij een grenscontrole, en alleen om veiligheidsredenen. Op het ogenblik dat een identiteitskaart wordt gemaakt, wordt helemaal geen toegang gegeven tot die info. Dus is er geen risico op schending van de privacy.
Alle gegevens beschreven onder de vraag “Welke info staat er op de chip?” kunnen worden gelezen zodra je eID in een geschikte kaartlezer wordt geplaatst. Bijvoorbeeld wanneer je je identiteitskaart aan een verkoper geeft om je klantenkaart aan te maken of om de garantie van een product dat je net hebt gekocht aan je naam te koppelen. Die handeling is dus niet zo onschuldig als het lijkt.
Maar de overheid beschikt nog over veel andere gegevens over jou (belastingen, strafrechtspraak, pensioen, gezondheid ...). Die info staat niet op de chip, maar op beveiligde portaalsites. De chip op je eID geeft echter toegang tot die portaalsites. Het zijn alleen de wettelijk daartoe bevoegde partijen die daar gebruik van mogen maken, en alleen binnen het kader van hun beroep: ambtenaren, politiediensten, artsen, enz. De Gegevensbeschermingsautoriteit moet de naleving van de privacy continu bewaken.
Ja. Het volstaat om je achter een computer te zetten waarop de officiële eID-software is gedownload, een kaartlezer te nemen en je identiteitskaart in te brengen.
Ja. Je identiteitskaart bevat immers een “Signature” certificaat dat aan de technische vereisten voldoet om “gekwalificeerde” handtekeningen af te leveren.
Dat betekent dat je met je identiteitskaart je digitale handtekening kunt zetten om iets te kopen of te verkopen, om een contract te sluiten, iets te bestellen enz.
Je kunt er ook een mail rechtsgeldig mee ondertekenen. En als je gebruik maakt van het onlineplatform Digiconnect, kun je er een mail aangetekend mee versturen.
De risico’s zijn klein omdat er diverse beveiligingselementen zijn (onder meer een hologram).
Maar je moet diefstal of verlies zo snel mogelijk melden zodat alle elektronische functies onmiddellijk kunnen worden uitgeschakeld.
De ultieme beveiliging is je pincode. Zolang je die geheim kunt houden, is identificatie of ondertekening niet mogelijk.
Het gebeurt dat men je identiteitskaart vraagt in een context die niets met je identificatie te maken heeft. Weet dat niet alles is toegestaan. Als je een verblijf in een hotel boekt, is de uitbater wettelijk verplicht je te identificeren. Hij kan daarom vragen om je kaart te tonen. Het is daarentegen overdreven als men je kaart als onderpand vraagt wanneer men je in een museum een audiogids te leen geeft, wij vinden dat men je een alternatief moet bieden.
Sommige handelaars vragen om je kaart te lezen om een klantenkaart aan te maken of om zo de garantie op het net aangekochte product aan je naam te koppelen. Dat is niet strikt verboden, maar de wet zegt dat je expliciet je goedkeuring moet geven. Besef dat het risico bestaat dat de verkoper gegevens van je kaart leest die niet zichtbaar zijn voor het blote oog (bijvoorbeeld je adres) en deze informatie verzamelt en vervolgens gebruikt om gerichte reclame te sturen. De verkoper mag die gegevens in geen geval in zijn systeem bewaren. Hij heeft ook niet het recht om je kaart te eisen om een klantenkaart te maken. Een handelaar die dat wel deed, werd onlangs door de Gegevensbeschermingsautoriteit bestraft met een boete.
De combinatie van je identiteitskaart, een kaartlezer, de juiste software en je pincode geeft je toegang tot een groot aantal diensten. We lichten er enkele uit, maar je vindt er nog meer op de portaalsite van de overheid.
Dat kan nodig zijn tegenover de politie.
Maar dat geldt ook wanneer je via internet contact neemt met een officiële instantie: je gemeente voor het verkrijgen van documenten, de FOD Financiën voor je belastingaangifte enz.
Je zult je ook bij je bank moeten identificeren met je eID wanneer je voor het eerst gebruik maakt van de app Itsme.
Soms moet je je kunnen identificeren om gebruik te kunnen maken van een bepaalde dienstverlening, bijvoorbeeld op sommige gemeentelijke containerparken.
Wanneer je gemeente over een e-loket beschikt op de website van je gemeente, kun je zo 7 dagen per week, 24 uur per dag documenten aanvragen en rechtstreeks documenten afdrukken: document met de gezinssamenstelling, bewijs van burgerlijke staat, een geboorteakte, een uittreksel uit het bevolkingsregister, enz. Die prints hebben dezelfde waarde als wanneer je ze bij de balie had opgehaald.
Maar ook de gewestelijke en federale overheden blijven niet achter. Je kunt online bijvoorbeeld een adreswijziging melden, een studietoelage voor je kinderen aanvragen, je pensioen aanvragen enz.
Er is in de eerste plaats de belastingaangifte die je rechtstreeks kunt invullen.
Maar zelfstandigen kunnen ook hun btw-aangifte doen (via Intervat).
Police-on-web is minder gekend. Daar kun je de installatie van een alarm of van camera’s melden, maar ook periodes waarin je afwezig bent en graag politiebewaking van je huis zou willen. Je kunt er ook online een klacht indienen voor kleine misdrijven (diefstal van een fiets of bromfiets, winkeldiefstal, schadegevallen, graffiti).
Je kunt niet alleen de gegevens raadplegen die op je eID zijn opgeslagen, maar ook alle info die over jou beschikbaar is op beveiligde portaalsites: informatie over jou in het Rijksregister van natuurlijke personen, je pensioengegevens), je loopbaangegevens), je socialezekerheids- of werkloosheidsdossier, je medisch dossier, enz.
Je kunt nagaan welke overheden, instellingen en mensen jouw gegevens de afgelopen zes maanden hebben geraadpleegd of bijgewerkt.
Wanneer je op een officiële portaalsite vaststelt dat de persoonsgegevens die zich in je persoonlijke dossiers bevinden, vaag, onvolledig of onjuist zijn, heb je het recht om te vragen ze aan te passen.
Je kunt met je eID een elektronische handtekening zetten om zaken te kopen, verkopen, factureren, bestellen, reserveren. Je kunt een document van een sociaal secretariaat goedkeuren. Verder kun je een contract sluiten met een uitzendkantoor, een lening sluiten bij de bank, een notariële akte ondertekenen, een huurcontract sluiten, een bod doen om een onroerend goed te kopen, de aankoop van een onroerend goed officieel maken, een aangetekende zending officieel aftekenen voor ontvangst enz. Precies alsof je met de hand zou hebben getekend.
Je kunt een mail aangetekend versturen via Digiconnect, met dezelfde wettelijke waarde als per post een aangetekende brief.
Elektronisch verstuurde aangetekende zendingen zijn wel alleen geldig als gebruik werd gemaakt van de diensten van een “gekwalificeerde dienstverlener”. De FOD Economie beschikt over een lijst van dienstverleners aan wie die titel werd verstrekt.
Er zijn sites en discussieruimtes waar je met je eID moet identificeren ten einde het surfen veiliger te maken. Zo kunnen netwerken zich beter beschermen tegen hacking dan wanneer je je alleen met je gebruikersnaam en je wachtwoord moet aanmelden. Op deze manier kun je bijvoorbeeld de toegang van je kinderen tot chatruimtes op het internet controleren.
Je kunt je eID gebruiken om de Itsme-app op je smartphone te installeren. Dat is heel makkelijk. Sommige consumenten kunnen de app ook installeren aan de hand van hun bankkaart. Voor meer info verwijzen we naar de website van Itsme.
Die app biedt je een veilige verbinding met sommige banken, telecomproviders (Orange, Proximus, Telenet …), ziekenfondsen, verzekeringsmaatschappijen, overheidsdiensten (Tax-on-Web, MyMinfin, MyPension, eHealth, je e-box …). Je vindt de lijst op de website van Itsme.
Sinds kort kun je met deze app ook mails en contracten elektronisch tekenen
Wij hebben ook een artikel aan de app gewijd in ons magazine Test Connect van mei 2019.