Wat is iDIN en wat kun je ermee?

Wellicht heb je het blauwe logootje van iDIN al weleens voorbij zien komen. iDIN is een online identificatieprogramma dat is bedoeld om inloggen bij bedrijven en organisaties te versimpelen. De iD staat voor identificeren en IN voor inloggen. Het online hulpmiddel is in 2016 door Betaalvereniging Nederland geïntroduceerd en is in samenwerking met Nederlandse banken ontwikkeld. Inmiddels is iDIN in handen van Currence. Dit bedrijf is ook eigenaar van het merk iDEAL.

Vaak moet je een account aanmaken om bijvoorbeeld toegang te krijgen tot de privéomgeving van je verzekeraar of om een bestelling te plaatsen bij een webshop. iDIN probeert ons dit makkelijker te maken door jou via de beveiligde omgeving van je eigen bank in te loggen, waardoor je geen extra gebruikersnamen of wachtwoorden hoeft te onthouden. Je hoeft alleen de inloggegevens van je bank te onthouden.  

De bankomgeving is beveiligd, vaak door middel van dubbele verificatie. Dat kan door middel van een app op je telefoon, of via een klein apparaatje dat alleen aan jouw account gekoppeld is, zoals een cardreader.

Je kunt iDIN op verschillende manieren gebruiken. Je kunt ermee inloggen, identificeren of je leeftijd bevestigen. Dit doet iDIN met behulp van jouw bankgegevens. Wanneer je kiest voor iDIN als identificatie- of inlogmethode, selecteer je je eigen bank en word je naar het iDIN-startscherm geleid. Je logt in zoals je dat gewend bent van je bank.

Wanneer je je online identificeert met iDIN, krijgt een website gegevens als je naam en adres in te zien via jouw bank. Deze gegevens krijg jij ook te zien voordat je toestemming geeft om deze te delen. Inloggen met behulp van iDIN gaat ongeveer hetzelfde, maar dan hoef je geen persoonlijke gegevens te gebruiken. Je gebruikt dan gewoon de inloggegevens van je bank, die je weer doorverwijst naar de website waar je wilt eindigen.

Als je bijvoorbeeld naar je persoonlijke omgeving van je verzekeraar wilt, kan dat ook via iDIN, mits deze organisatie iDIN op haar website aanbiedt. Daarnaast kun je door middel van iDIN ook online identificeren voor het afsluiten van een verzekering, hypotheek of een telefoonabonnement en kun je bij een online slijterij met iDIN aantonen dat je ouder bent dan 18 jaar, zonder je exacte leeftijd of geboortedatum prijs te geven.

Op dit moment kun je via ABN AMRO, ASN Bank, bunq, ING, Rabobank, RegioBank, SNS en Triodos Bank gebruik maken van iDIN. Hier vind je enkele bedrijven en organisaties die de mogelijkheid bieden om iDIN te gebruiken.

Inloggen of identificeren via iDIN kan veiliger zijn dan overal een ander account aanmaken, omdat je minder inloggegevens hoeft te onthouden. Kassa deed in 2018 al onderzoek naar online privacy en ontdekte dat Nederlanders gemiddeld 25 accounts op zijn naam heeft staan. Daarbij komt dat bij deze accounts vaak dezelfde wachtwoorden worden gebruikt, wat niet bepaald veilig is. Als een hacker één wachtwoord van jou weet, kunnen ze zo ook andere accounts van jou binnenkomen. Daarnaast zegt iDIN zelf de informatie die gedeeld wordt te versleutelen, zodat Jan en alleman er niet zomaar bij kan.

Als je iDIN gebruikt, kun je altijd zien welke gegevens er precies met andere bedrijven of organisaties worden gedeeld. Het gaat in de meeste gevallen om je naam en adres, maar soms kan er naar je telefoonnummer of e-mailadres gevraagd worden. Hiervoor geef je altijd nadrukkelijk toestemming. Daarnaast krijgen bedrijven geen inzicht in jouw banksaldo of andere financiële gegevens.

Op het forum van Kassa vroeg gebruiker FERRYLIN zich af hoe veilig de communicatie tussen de bank en de website is wanneer je inlogt met iDIN.

iDIN werkt met een herkenningsnummer dat per bedrijf verschilt. “Als je via iDIN inlogt bij een bedrijf, wordt er eerst nadrukkelijk toestemming gevraagd om bepaalde gegevens te delen”, legt Berend Jan Beugel uit, woordvoerder van iDIN. “Je ziet ook gelijk welke gegevens er precies gedeeld worden. Als je in het vervolg vaker bij dit bedrijf inlogt, wordt er vanuit de bank alleen nog maar een versleutelde herkenningsnummer verstuurd. Dan ziet het bedrijf aan het nummer dat jij het bent.”

Overigens stelt forumgebruiker FERRYLIN dat bedrijven je BSN opvragen bij de bank, maar dat is niet zo, benadrukt Beugel. “Een bank mag via iDIN geen BSN verstrekken, aan niemand. Als het ooit wel mag, dan kan dat alleen via een systeem van de overheid dat heel streng controleert of de ontvanger van het BSN daar wel recht op heeft.”

Zowel banken als bedrijven verzamelen gegevens wanneer je inlogt met iDIN. “Je kunt in je eigen bankafschriften terugkijken om te zien waar jij zoal bent ingelogd. De bank bewaart deze gegevens, maar kan zelf nooit zien wat jij hebt gedaan nadat je bent ingelogd. Mocht het zo zijn dat er twijfel bestaat over wanneer en waar er precies gebruik is gemaakt van iDIN, kan dat worden opgezocht. Websites waar jij inlogt, verzamelen gegevens over jou. Onder andere je gegevens die ze via iDIN krijgen. Zij moeten altijd kunnen verantwoorden waarom en hoe lang ze jouw informatie bewaren, omdat ze moeten voldoen aan de AGV-wet. Daar is ook toezicht op.”

Wil je je gegevens inzien die een bedrijf van jou bewaart? Dan kan dat volgens de Wet bescherming persoonsgegevens (Wbp). Volgens deze wet heb je ook het recht om te vragen of de verzamelde gegevens van jou verwijderd kunnen worden. Lees hier meer over jouw inzagerechten.

Als bedrijven gebruik willen maken van iDIN, sluiten ze een contract af. Het bedrijf wordt door de iDIN-leverancier getoetst. In de meeste gevallen is het een bank of een ander gecertificeerde niet-bancaire leverancier die de toetsing uitvoert. “Er wordt onder andere gekeken of het bedrijf is ingeschreven bij de KvK en er wordt nagekeken of je niet in het register van malafide websites staat. Pas als men aan alle regels voldoet, wordt een aanvraag voor iDIN goedgekeurd. Daarna blijven organisaties onder toezicht en wordt er steekproefsgewijs en door middel van signalen gekeurd of alles veilig en volgens de regels verloopt”, aldus de woordvoerder.

Mocht het voorkomen dat een bedrijf zich niet aan de regels houdt, kan er een waarschuwing worden gegeven of het contract met iDIN wordt verbroken.