Main content

De functionele beschrijving beschrijft op hoofdlijnen de functionele werking van de DigiD app. Deze pagina is bedoeld als naslagwerk voor huidige en toekomstige afnemers van DigiD. Na het lezen van deze pagina zal het voor de afnemer duidelijk zijn hoe de DigiD app past in de authenticatievoorziening DigiD en hoe burgers hem gebruiken.

Versiegegevens

Publicatiedatum: 18-11-2023
Versie: 5.0

1. Inleiding

Doel en scope

Voor functionele informatie over DigiD in het algemeen is de pagina Functionele beschrijving DigiD beschikbaar. Deze pagina is daar een uitbreiding op: al het daar beschrevene is ook van toepassing op de DigiD app. Die algemene informatie over DigiD wordt hier als bekend verondersteld.

Deze pagina is geen handleiding voor het aansluiten op DigiD en bevat geen technische details. Daarvoor dient de pagina Koppelvlakspecificatie SAML-DigiD.

De app2app-functionaliteit van de DigiD app - die ervoor zorgt dat burgers in de app van een afnemer kunnen inloggen met de DigiD app - stipt dit document slechts kort aan. Een uitgebreide beschrijving hiervan biedt de Functionele beschrijving DigiD: Inloggen met app2app.

DigiD app in het kort

Sinds 2017 kent DigiD naast gebruikersnaam en wachtwoord (eventueel aangevuld met sms-controle) nog een inlogmiddel: de DigiD app. Die app past bij de ontwikkeling dat steeds meer burgers hun zaken met de overheid op hun mobiele apparaat afhandelen. Bovendien willen meerdere afnemers hun gebruikers vanuit hun app laten inloggen met DigiD. De DigiD app biedt daartoe een gebruiksvriendelijke en uniforme manier.

De DigiD app voldoet qua veiligheidseisen, juridische en technische eisen aan dezelfde hoge standaarden als inloggen met DigiD via de browser. Hij geldt als gelijkwaardig alternatief voor de sms-controle. Bijkomend voordeel is dat toenemend gebruik van de app de sms-kosten doet dalen en daarmee de kosten van DigiD.
Daarnaast maakt de DigiD app hogere betrouwbaarheidsniveaus voor de publieke dienstverlening mogelijk, zoals gedefinieerd in de Europese eIDAS-verordening (naast niveau Laag zijn dat Substantieel en Hoog).

2. Het inlogmiddel DigiD app

Inleiding

DigiD kent naast gebruikersnaam en wachtwoord (eventueel aangevuld met sms-controle) nog een inlogmiddel: de DigiD app. Logius heeft de DigiD app ontwikkeld omdat steeds meer burgers hun zaken met de overheid op hun mobiele device afhandelen. Na activatie, waarbij de gebruiker een pincode kiest, is de app klaar om mee in te loggen. Dat gaat als volgt:

De gebruiker vraagt toegang tot afgeschermde gegevens op de website van een dienstaanbieder (webdienst). Die stuurt hem naar DigiD om in te loggen. De gebruiker kiest voor inloggen met de DigiD app en voert in de app zijn zelfgekozen pincode in. Als die correct blijkt, mag de dienstaanbieder de gebruiker toegang verlenen tot de gevraagde gegevens.

Inloggen met de DigiD app betreft een twee-factor-authenticatie. Het betrouwbaarheidsniveau is gelijk aan het andere twee-factor-middel van DigiD: gebruikersnaam en wachtwoord, aangevuld met sms-controle (Midden). Door een eenmalige ID-check aan te app toe te voegen maakt de gebruiker de DigiD app ook geschikt om mee in te loggen op niveau Substantieel.

Samenhang met DigiD

Met DigiD kunnen natuurlijke personen zich gemakkelijk, veilig en betrouwbaar authentiseren voor digitale dienstverlening in het publieke domein. Een van de inlogmiddelen van DigiD is de DigiD app. Een DigiD app moet gekoppeld zijn aan een DigiD account. Een gebruiker kan maximaal vijf DigiD apps activeren. Van elke app legt DigiD activatiegegevens vast, zodat altijd te herleiden is hoe en wanneer een app geactiveerd werd.

De DigiD app gebruikt een cryptografische sleutel als ‘op bezit gebaseerde authenticatiefactor’, die tijdens activatie gebonden wordt aan het mobiele apparaat van de gebruiker, zodanig dat kopiëren naar een ander mobiel apparaat niet mogelijk is. Hiervoor gebruikt de app de faciliteiten van het mobiele platform (system keystore/ keychain services/ secure element).

De gebruiker kiest zelf een 5-cijferige pincode, die dient als ‘op kennis gebaseerde authenticatiefactor’. Die pincode wordt in gemaskeerde vorm opgeslagen in de DigiD backend. Bij iedere authenticatie moet de gebruiker aan de DigiD authenticatiedienst beide authenticatiefactoren aantonen.

De DigiD app wisselt alleen berichten uit met de DigiD backend; communicatie met andere systemen, zoals BRP of CRB, loopt altijd via de DigiD backend.

Alle regelgeving en beveiligingseisen die gelden voor DigiD gelden ook voor de app, zoals:

  • Welke organisaties het is toegestaan aan te sluiten op DigiD;
  • Voorwaarden voor het aanvragen van DigiD;
  • Gebruik van digitale certificaten.

Informatie daarover is te vinden in het document Functionele beschrijving DigiD.

Downloaden en activeren

De app is beschikbaar op de twee meest gangbare besturingssystemen voor mobiele apparaten: iOS en Android. De gebruiker kan de app alleen downloaden via de officiële kanalen, resp. App Store en Google Play. Gebruikers worden daar gewezen op de werking en gebruiksvoorwaarden van de DigiD app.

Voordat een gebruiker ermee kan inloggen, moet hij de DigiD app eerst activeren. Daartoe authentiseert hij zich met een ander middel dat al actief is bij zijn account.

Voor verdere informatie zie hoofdstuk Activatie.

Betrouwbaarheidsniveau van de DigiD app

DigiD kent vier zekerheidsniveaus die de mate van zekerheid bepalen over de identiteit van de gebruiker.

In Europees verband hebben de lidstaten afspraken gemaakt over betrouwbaarheidsniveaus in de digitale identificatie van burgers: de zogenaamde eIDAS-verordening onderscheidt drie niveaus. Onderstaande tabel geeft de relatie tussen de niveaus van DigiD en eIDAS weer, gerangschikt naar oplopende betrouwbaarheid.

DigiD eIDAS
Basis Laag
Midden Laag
Substantieel Substantieel
Hoog Hoog

Afhankelijk van de aard van de te raadplegen gegevens of uit te voeren transacties kan een dienstaanbieder meer zekerheid wensen over de identiteit van de persoon die een dienst wil afnemen. In deze gevallen kan (of moet) hij authenticatie op betrouwbaarheidsniveau Substantieel vereisen.

Met de DigiD app kan de gebruiker twee van de niveaus bereiken: Midden en Substantieel. [Noot] Voor inloggen op niveau Hoog kan de DigiD app fungeren als ‘kaartlezer’. Het inlogmiddel zelf is een identiteitsbewijs.

Een proces gebaseerd op Remote Document Authentication (RDA) maakt de DigiD app geschikt voor gebruik op betrouwbaarheidsniveau Substantieel: De DigiD app scant de NFC-chip van een identiteitsdocument en stelt bezit, echtheid en geldigheid vast op basis van het bij het account al bekende BSN. Na deze eenmalige ID-check is elke authenticatie met de DigiD app er een op betrouwbaarheidsniveau Substantieel. De DigiD app op Substantieel voldoet geheel aan de in de eIDAS-verordening gestelde eisen voor dit niveau.

3. Processen in de DigiD app

Dit hoofdstuk beschrijft de meest relevante processen die een gebruiker met de DigiD app kan doorlopen.

De gebruiker van de DigiD app gebruikt de app primair om bij webdiensten in te loggen. Maar de app biedt de gebruiker meer functies:

  • Hij dient de app eerst te activeren, voordat hij ermee kan inloggen
  • Hij kan een ID-check uitvoeren, om een hoger betrouwbaarheidsniveau te verkrijgen
  • Hij kan via de app een DigiD account aanvragen en activeren
  • Hij kan de pincode van zijn app of identiteitsbewijs wijzigen
  • Hij kan informatie over zijn DigiD account inzien en wijzigen (bijv. bekijken gebruiksgeschiedenis of wijzigen e-mailadres).

Al deze functies, die leiden tot een wijziging aan het DigiD account, zijn alleen beschikbaar als de persoon van het betreffende account nog in leven is. Inloggen met de app van een overleden persoon kan nog wel.

Inloggen in de app

Zodra de gebruiker zijn geactiveerde app opent, vraagt die hem om zijn pincode (figuur 1 [1]). Voert de gebruiker de juiste pincode in, dan is hij ingelogd in de app, en komt hij terecht op het startscherm [2]. Dat scherm legt hem uit hoe te beginnen met inloggen bij een webdienst. Ook wijst het de gebruiker op instellingen om zijn account te versterken. Via het menu kan de gebruiker andere acties starten.

De inlog in de app is een beperkte tijd geldig. Binnen die tijd kan de gebruiker meerdere acties uitvoeren (inloggen bij meerdere webdiensten, zijn e-mailadres wijzigen, etc.) zonder steeds opnieuw zijn pincode te hoeven opgeven.

Figuur 1: inloggen in de DigiD app

Als de gebruiker een app opent die hij nog niet geactiveerd heeft, komt hij op het activatiestartscherm, want hij dient de app eerst te activeren (en daarbij een pincode in te stellen). Dat proces staat beschreven in hoofdstuk Activatie van de app.

Inloggen bij een webdienst

Het belangrijkste proces is het inloggen bij een webdienst.

Gebruikersperspectief

De gebruiker geeft op de website van een dienstaanbieder aan dat hij wil inloggen. De dienstaanbieder leidt hem naar het inlogscherm van DigiD. Dit kan op een desktop of op een mobiel apparaat. Beide mogelijkheden worden hier omschreven, omdat ze enigszins van elkaar afwijken. Mijn DigiD dient hier als voorbeeld van een webdienst.

Inloggen in een browser op een desktop

Figuur 2 geeft de webpagina’s weer die de gebruiker doorloopt tijdens het inloggen bij een webdienst in een browser op een desktop.

  • De gebruiker kiest eerst voor de inlogmethode ‘Met de DigiD app’ [1].
  • Vervolgens opent hij de DigiD app en logt meteen in met zijn pincode (zie figuur 1).
  • Daarna kan hij in de app een koppelcode oproepen. Die koppelcode voert de gebruiker in op de webpagina [2].
  • Die toont daarop een QR-code [3] die de gebruiker met de app moet scannen. Dit brengt de koppeling tussen de desktop en het mobiele toestel tot stand.
  • De app vraagt hem nu om het inloggen bij de betreffende dienst te bevestigen [4].
  • Daarna is de gebruiker ingelogd bij de webdienst [5].

Logt de gebruiker binnen korte tijd nog een keer in bij een (andere) webdienst, dan is het inloggen nog eenvoudiger: de koppeling tussen desktop en mobiel toestel is dan nog van kracht en de gebruiker kan de stappen met koppelcode en QR-code overslaan (Eenvoudige Herauthenticatie).

Figuur 2: Inloggen bij een webdienst op een desktop

Inloggen in een browser op een mobiel apparaat

Figuur 3 toont de webpagina’s die de gebruiker doorloopt tijdens het inloggen bij een webdienst in een mobiele browser.
De gebruiker kiest eerst voor de inlogmethode ‘Met de DigiD app’ [1], en vervolgens voor de optie die voor hem van toepassing is [2]:

  • Hij logt in bij een webdienst via een browser die op hetzelfde apparaat staat als de DigiD app. De app wordt automatisch geopend en de gebruiker logt in zoals weergegeven in figuur 4.
  • Hij logt in bij een webdienst in een browser en gebruikt de DigiD app die hij op een ander apparaat heeft geactiveerd. De gebruiker opent de app en logt in met zijn pincode. Dan voert hij een koppelcode in en scant hij een QR-code, en koppelt zo de twee apparaten aan elkaar, net als bij inloggen op een desktop (figuur 2).

Na succesvolle authenticatie komt hij terug bij de webdienst, ingelogd en wel [3].

Figuur 3: Inloggen bij een webdienst in een mobiele browser

Inlogstappen in de DigiD app

Als de app op hetzelfde apparaat staat als de browser waarin de gebruiker inlogt bij een webdienst, wordt de app vanzelf geopend. Figuur 4 toont dat de gebruiker in dat geval eerst zijn pincode invoert [1] en vervolgens het inloggen bevestigt [2]. Daarna komt de gebruiker ingelogd terug bij de webdienst.

Wanneer de DigiD app overigens niet op het toestel staat, toont DigiD een webpagina met een link naar de app store om de DigiD app te downloaden.

Figuur 4: Inloggen met de DigiD app op hetzelfde apparaat

Figuur 5 toont de andere optie: als de app op een ander apparaat staat dan de website van de dienstaanbieder.

De eerste keer dat de gebruiker bij een dienstaanbieder inlogt, moet hij dan, nadat hij in de app heeft ingelogd (figuur 1), de twee apparaten koppelen. Dat doet hij door de koppelcode uit de app [1] in te voeren op de website en vervolgens de QR-code te scannen met de app [2]. Vervolgens vraagt de app om bevestiging [3]. Op de website van de dienstaanbieder (op het andere apparaat) is de gebruiker nu ingelogd. Logt de gebruiker binnen 3 uur nog een keer in bij een dienstaanbieder, dan kan hij die koppelstappen overslaan, want de link tussen de twee apparaten is dan nog van kracht. Het inloggen bij meerdere dienstaanbieders achter elkaar is daarmee heel eenvoudig geworden.

Overigens, als de gebruiker driemaal een foute pincode invoert, wordt de DigiD app gedeactiveerd. De gebruiker moet de app dan opnieuw activeren om er weer mee in te kunnen loggen.


Figuur 5: Inloggen met de DigiD app op een ander apparaat

Bovenstaande scenario’s beschrijven de ‘happy flow’: de gebruiker had, voorafgaand aan het inloggen, de DigiD app al geactiveerd op het minimale betrouwbaarheidsniveau dat de dienstaanbieder vereist. Dat hoeft niet het geval te zijn:

  • Als hij de app nog niet geactiveerd heeft, zal de gebruiker de activatie tijdens de inlogflow doorlopen. Slaagt hij daarin, dan is hij daarna meteen ingelogd bij de dienstaanbieder. Voor de activatie van de app, zie hoofdstuk Activatie.
  • Als de dienstaanbieder niveau Substantieel vereist voor inzage in de gegevens, maar de gebruiker heeft de app geactiveerd op niveau ‘Midden’, dan moet hij tijdens het inloggen de ID-check uitvoeren om het niveau van de app op te hogen. Lukt dat, dan is de gebruiker daarna meteen ingelogd bij de dienstaanbieder. Voor het uitvoeren van de ID-check, zie hoofdstuk ID-check.
  • Als de dienstaanbieder nu nog niveau Midden vereist, maar binnenkort overgaat op niveau Substantieel, dan zal de DigiD app de gebruiker tijdens het inloggen bij die dienst alvast verleiden tot het uitvoeren van de ID-check.

Behalve op een website kan de gebruiker ook met de DigiD app inloggen in een app van een dienstaanbieder. Meer informatie over dit proces staat in een apart document: functionele beschrijving DigiD: Inloggen met app2app.

Bevestigen wijzigingen in Mijn DigiD

Behalve voor inloggen bij een webdienst kan een authenticatie met de DigiD app ook dienen om een wijziging in Mijn DigiD te bevestigen. Als de gebruiker bij Mijn DigiD inlogt met de DigiD app om zijn e-mailadres aan te passen bijvoorbeeld, dan moet hij die wijziging bevestigen door nogmaals in te loggen met de DigiD app.

Procesflow

Inloggen met de DigiD app op een webdienst van een dienstaanbieder is een samenspel tussen de dienstaanbieder, de browser, de DigiD app en de DigiD backend.

Figuur 6 - Authenticatieflow DigiD app
Figuur 6: Authenticatieflow DigiD app

Figuur 6 geeft weer hoe een authenticatie met de DigiD app verloopt:

  1. De gebruiker opent de website van een dienstaanbieder in een browser.
  2. De gebruiker vraagt toegang tot persoonlijke informatie op die website.
  3. De dienstaanbieder wil de identiteit van de gebruiker vaststellen: hij stuurt hem door naar DigiD en geeft daarbij  het vereiste betrouwbaarheidsniveau mee.
  4. De DigiD backend start het inlogproces in de browser.
  5. De gebruiker kiest voor inloggen met de DigiD app.
  6. De DigiD app wordt geopend. Dit kan op twee manieren:
    1. Staat de app op hetzelfde apparaat als de browser, dan opent DigiD de DigiD app automatisch middels een URL.
    2. Staat de app op een ander apparaat, dan opent de gebruiker de app handmatig.
  7. De gebruiker logt in in de DigiD app met zijn pincode. De app maskeert de pincode (#pincode).
  8. De DigiD app vraagt de DigiD backend de #pincode te controleren.
  9. Als de #pincode juist blijkt, wordt de inlogsessie bij de webdienst gekoppeld aan de inlogsessie in de app:
    1. Staat de app op hetzelfde apparaat als de browser, dan vraagt de app de benodigde gegevens op bij DigiD.
    2. Staat de app op een ander apparaat, en heeft de gebruiker niet net al bij een andere dienstaanbieder ingelogd, dan moeten beide apparaten eerst gekoppeld worden:
      1. De gebruiker voert in de browser de koppelcode in die de DigiD app hem toont.
      2. De DigiD backend genereert een QR-code met de sessiegegevens, en verwerkt daarin ook de koppelcode.
      3. De gebruiker scant de QR-code met de DigiD app. Als de app de koppelcode uit de QR-code herkent, accepteert hij de sessie en vraagt hij de benodigde gegevens op bij DigiD.
  10. De gebruiker bevestigt in de DigiD app dat hij wil inloggen bij de betreffende webdienst.
  11. De DigiD app stuurt die bevestiging door naar DigiD.
  12. DigiD leidt de gebruiker terug naar de website van de dienstaanbieder.
  13. De dienstaanbieder haalt bij DigiD het authenticatieresultaat op, waarin DigiD het BSN van de gebruiker heeft verwerkt (alleen bij succesvolle authenticatie).
  14. De dienstaanbieder geeft de gebruiker toegang tot de gegevens op de website.
  15. De gebruiker handelt de zaken met de dienstaanbieder af.

Zie voor een gedetailleerdere, technische beschrijving de koppelvlakspecificatie SAML-DigiD.

Inloggen App2App

Gebruikersperspectief

De gebruiker geeft in de app van een dienstaanbieder aan dat hij er wil inloggen met de DigiD app op hetzelfde mobiele apparaat. 

De app van een dienstaanbieder opent de DigiD app (op hetzelfde apparaat) op het moment dat authenticatie vereist is; de gebruiker voert in de DigiD app zijn pincode in die op de DigiD backend wordt gecontroleerd. Is de authenticatie succesvol, dan leidt de DigiD app de gebruiker terug naar de app van de dienstaanbieder, die hem toegang verleent tot de afgeschermde gegevens.

Schermflow

Figuur 1 toont de schermen die de gebruiker doorloopt als hij wil inloggen op de app van een dienstaanbieder. De Berichtenbox app dient hier als voorbeeld van zo’n app:

  1. Het inlogscherm in de app van de dienstaanbieder. Dit scherm verzoekt de gebruiker in te loggen met de DigiD app. Als de gebruiker hier gehoor aan geeft door op de DigiD-link of -knop te klikken, dan opent de DigiD app vanzelf.
  2. Het pincodescherm in de DigiD app. Dit scherm vraagt de gebruiker om zijn pincode. Zodra de gebruiker het laatste cijfer van zijn pincode intoetst, en die pincode is correct, toont de app het volgende scherm.
  3. Het bevestigingsscherm in de DigiD app. Hierop bevestigt de gebruiker dat hij bij de dienstaanbieder wil inloggen. Het scherm toont het icoon en de naam van de dienstaanbieder app. Zodra de gebruiker op ‘Inloggen’ klikt, schakelt de DigiD app terug naar app van de dienstaanbieder.
  4. Het informatiescherm in de app van de dienstaanbieder. De dienstaanbieder app heeft van DigiD vernomen dat de gebruiker zich succesvol heeft geauthentiseerd, en geeft die gebruiker toegang tot de gevraagde gegevens. Met andere woorden: de gebruiker is ingelogd in de app van de dienstaanbieder.

Figuur 1: Schermflow app2app

Bovenstaande sequentie beschrijft de ‘happy flow’: de gebruiker heeft, voordat hij begon met inloggen, de DigiD app minimaal geactiveerd op het betrouwbaarheidsniveau dat de dienstaanbieder vereist. Dat hoeft niet het geval te zijn:

  • Als hij zijn app nog niet geactiveerd heeft, kan hij toch vanuit de app van de dienstaanbieder inloggen met de DigiD app. Hij zal dan tijdens de inlogflow eerst de activatie moeten uitvoeren. Slaagt hij daarin, dan is hij daarna meteen ingelogd in de app van de dienstaanbieder.
  • Als de dienstaanbieder niveau ‘substantieel’ vereist voor inzage in de gegevens, maar de gebruiker heeft de ID-check nog niet aan zijn app toegevoegd, dan zal hij tijdens het inloggen zijn identiteitsbewijs moeten scannen. Lukt hem dat, dan is hij daarna meteen ingelogd.

Deze uitgebreidere flows behoren tot de standaard functionaliteit van de DigiD app en zijn niet specifiek voor app2app. Daarom worden ze in dit document niet verder belicht.

Als de gebruiker de DigiD app in het geheel nog niet op zijn toestel heeft staan, zal het operating systeem van zijn device hem niet kunnen openen. In dat geval zal een DigiD-pagina getoond worden in de browser, waarvandaan de gebruiker zelf verdere actie kan ondernemen. Dit zal later in dit document verder toegelicht worden.

Procesflow

Via het SAML-protocol

Het proces van app2app-inloggen via SAML verloopt als volgt (de stapnummers komen overeen met de nummers in figuur 2):

  1. De gebruiker heeft de app van de dienstaanbieder geopend, wil inzage in gegevens waarvoor een DigiD-authenticatie vereist is en is zodoende op de inlogpagina beland. Daar kiest hij voor inloggen met DigiD.
  2. De app van de dienstaanbieder vraagt aan zijn backend toegang tot de afgeschermde informatie. De backend van de dienstaanbieder geeft als antwoord een authenticatieverzoek (SAML) terug.
  3. De app van de dienstaanbieder stuurt dat authenticatieverzoek door naar de DigiD app via Android App link of iOS Universal link.
  4. De DigiD app vraagt met dat authenticatieverzoek een authenticatiesessie aan bij de DigiD backend.
  5. De DigiD app vraagt de gebruiker om zijn pincode.
  6. De DigiD app stuurt de pincode naar de DigiD backend ter controle. Die meldt het resultaat van de authenticatie terug.
  7. Als de authenticatie geslaagd is, vraagt de DigiD app aan de DigiD backend om een verwijzing naar het authenticatiebericht.
  8. De DigiD app stuurt die verwijzing via Android App link of iOS Universal link naar de app van de dienstaanbieder.
  9. De app van de dienstaanbieder stuurt de verwijzing door naar zijn backend.
  10. De backend van de dienstaanbieder vraagt met de verwijzing bij de DigiD backend het echte authenticatiebericht op (dat het BSN van de gebruiker bevat).
  11. De backend van de dienstaanbieder verstuurt de in stap 2 opgevraagde gegevens naar de dienstaanbieder app.
  12. De app van de dienstaanbieder toont de gegevens aan de gebruiker.

Figuur 2: Inlogflow app2app via SAML

Via het OIDC-protocol

Noot: Deze aansluitvorm is nog niet algemeen beschikbaar voor dienstaanbieders.

Het proces van app2app-inloggen via OIDC verloopt als volgt (de stapnummers komen overeen met de nummers in figuur 3):

  1. De gebruiker heeft de app van de dienstaanbieder geopend, wil inzage in gegevens waarvoor een DigiD-authenticatie vereist is en is zodoende op de inlogpagina beland. Daar kiest hij voor inloggen met DigiD.
  2. De dienstaanbieder doet een inlogverzoek bij DigiD.
  3. DigiD opent de DigiD app zodat de gebruiker zich kan authentiseren.
  4. De DigiD app vraagt de gebruiker om zijn pincode.
  5. De DigiD app stuurt de pincode naar de DigiD backend ter controle. Die meldt het resultaat van de authenticatie terug aan de app.
  6. DigiD leidt de gebruiker terug naar de dienstaanbieder app met een verwijzing naar de gelukte authenticatie.
  7. De dienstaanbieder wisselt die verwijzing bij DigiD in voor het BSN van de gebruiker.
  8. De app van de dienstaanbieder toont de gegevens aan de gebruiker.

Figuur 3: Inlogflow app2app via OIDC

Activatie van de app

Voordat een gebruiker met de DigiD app kan inloggen, moet hij de app eerst activeren.

Gebruikersperspectief

Tijdens de activatie van de app moet de gebruiker aantonen wie hij is door zich te identificeren met een geldig identiteitsbewijs (een paspoort, rijbewijs of identiteitskaart), oftewel door de ID-check uit te voeren.

Figuur 7 geeft de stappen weer die de gebruiker daarvoor doorloopt.

Het activatieproces begint met het invoeren van gebruikersnaam en wachtwoord [2]. Voert de gebruiker die correct in, dan vraagt de app hem een 5-cijferige pincode te kiezen [4]. Om fouten te voorkomen moet hij de pincode herhalen [5]. Daarna vraagt de app de gebruiker een geldig identiteitsbewijs erbij te pakken [8]. De gebruiker scant ter controle de chip op het identiteitsbewijs met de NFC-lezer van het toestel [9]. Slaagt hij daarin, vragen we daarna om de voorkeuren voor communicatie in te stellen [10] dan heeft hij de activatie afgerond [12]: De DigiD app is nu actief op betrouwbaarheidsniveau Substantieel.

Figuur 7: Activeren van de DigiD app met ID-check

Als blijkt dat de gebruiker niet in staat is de ID-check uit te voeren, omdat hij niet beschikt over een toestel met NFC-lezer, omdat hij geen geldig identiteitsbewijs heeft, of omdat het scannen hem niet lukt, biedt de app een alternatieve activatiemethode aan, zie figuur 8 [1]:

  • Met een sms-controle: Als de gebruiker een telefoonnummer in zijn DigiD account heeft geregistreerd, kan hij de ID-check vervangen door een sms-controle (figuur 8 [2]). De app heeft na activatie betrouwbaarheidsniveau Midden. In het volgende scherm [3] wordt getoond dat de ID-check mislukt is.
  • Met alleen gebruikersnaam en wachtwoord: Als de gebruiker geen telefoonnummer in zijn DigiD account heeft geregistreerd, mag hij de ID-check overslaan. Hij ontvangt dan na afloop wel een brief ter notificatie. De app heeft na activatie betrouwbaarheidsniveau Midden.

Figuur 8: Activeren van de DigiD app met sms-controle

Gebruikers die al een geactiveerde app hebben op een ander apparaat hebben nog een methode tot hun beschikking: zij kunnen een app activeren door zich te authentiseren met die ‘oude’ app. Zij hoeven dan niet hun gebruikersnaam en wachtwoord in te voeren; de pincode van de oude app volstaat. De nieuwe app neemt het betrouwbaarheidsniveau over van de oude app.

Procesflow

De app activeren met ID-check verdient de voorkeur, omdat de gebruiker daarmee meteen beschikt over inlogniveau Substantieel.


Figuur 9: Activatieflow met ID-check

Figuur 9 toont de stappen in geval van een activatie met ID-check:

  1. De gebruiker opent de nog niet geactiveerde DigiD app en start de activatie.
  2. De gebruiker voert zijn gebruikersnaam en wachtwoord in.
  3. De DigiD app vraagt de DigiD backend de gebruiker te authentiseren.
  4. Als de authenticatie slaagt, kiest de gebruiker een pincode. De app maskeert die pincode, om hem onherkenbaar te maken (#pincode).
  5. De DigiD app wisselt cryptografische gegevens uit met DigiD backend en versleutelt daarmee de #pincode.
  6. De DigiD app stuurt de versleutelde #pincode naar de DigiD backend. Die ontsleutelt de #pincode, maakt de app tijdelijk aan bij het account van de gebruiker, en slaat daarbij de #pincode op.
  7. De DigiD backend haalt op basis van het BSN de documentgegevens van de gebruiker op bij de registers BRP en CRB.
  8. De DigiD backend start met de documentgegevens een sessie bij de RDA-server. (rode ster)
  9. De DigiD backend stuurt de sessiegegevens door naar de DigiD app.
  10. De gebruiker scant zijn identiteitsbewijs met de NFC-lezer in het toestel.
  11. De DigiD app zet een tunnel op tussen identiteitsbewijs en RDA-server, waardoorheen hij de uitgelezen documentgegevens verstuurt, die de RDA-server controleert.
  12. Als de ID-controle slaagt, laat de RDA-server dat weten aan de DigiD backend.
  13. De DigiD backend activeert de DigiD app op niveau Substantieel en meldt dat aan de DigiD app.
  14. De DigiD app meldt de succesvolle activatie aan de gebruiker.

(rode ster) De RDA-server is een aparte component binnen het DigiD-landschap voor het uitvoeren van de Remote Document Authentication, oftewel de ID-check. Op basis van documentgegevens die DigiD met het BSN bij de BRP en het CRB ophaalt, kan deze server de sleutels genereren waarmee de DigiD app de chip op het identiteitsbewijs kan uitlezen. Heeft een gebruiker een identiteitsbewijs dat is uitgegeven door een ambassade, dan staat dit niet in de BRP. In dat geval kan de gebruiker de gegevens die de RDA-server nodig heeft om de chip uit te lezen (documentnummer, geldigheidsdatum, geboortedatum) handmatig in de DigiD app invoeren. 

ID-check

Gebruikersperspectief

Steeds meer dienstaanbieders vereisen niveau Substantieel bij het inloggen (bijvoorbeeld om meer privacygevoelige gegevens te raadplegen, zoals een patiëntendossier). Als de gebruiker de activatie van de DigiD app niet met ID-check heeft gedaan, staat het betrouwbaarheidsniveau van de DigiD app op Midden. Tijdens het inloggen bij zo’n dienst zal de gebruiker alsnog de ID-check moeten toevoegen aan de DigiD app. Dat kan op twee manieren: in de DigiD app zelf, of met behulp van een aparte app, de CheckID app.

ID-check uitvoeren in de DigiD app zelf

Heeft het toestel waarop de gebruiker de DigiD app heeft geactiveerd een geschikte NFC-lezer, dan kan hij de ID-check uitvoeren in de app zelf, zoals getoond in figuur 10.

Figuur 10: Uitvoeren van de ID-check in de DigiD app

De gebruiker start, nadat hij in de app is ingelogd, vanuit het startscherm het menu [1] en kiest daarin voor de optie ID-check. Het gele uitroepteken duidt erop dat de ID-check nog niet is uitgevoerd. De gebruiker bevestigt de keuze [2]. Vervolgens vraagt de app de gebruiker een identiteitsbewijs tegen het toestel te houden [3]. De gebruiker kan zelf kiezen met welk ID hij dat doet: paspoort, identiteitskaart of rijbewijs. De app detecteert het type document vanzelf. Er vindt nu op de achtergrond een controle plaats op de echtheid en geldigheid van het gescande ID, en of het wel toebehoort aan de gebruiker van de app. Als de ID-check geslaagd is, meldt de app dat aan de gebruiker [4]. In het menu geeft een groen vinkje bij de optie ID-check nu weer dat de DigiD app versterkt is met de ID-check.

ID-check uitvoeren met de CheckID app

Voor een gebruiker zonder bruikbare NFC-lezer in zijn toestel is er een alternatief. De gebruiker kan de CheckID app (laten) downloaden op een toestel dat wel geschikt is; dat mag ook op een toestel van een andere persoon zijn. De CheckID app fungeert als NFC-lezer tijdens de ID-check. De gebruiker logt in met de pincode in de geactiveerde DigiD app op toestel A en voert de ID-check uit met de CheckID app op toestel B. Daarmee verhoogt hij het inlogniveau op toestel A naar Substantieel.

Procesflow

Figuur 11: Flow voor het uitvoeren van de ID-check

Figuur 11 toont de flow van de ID-check vanuit de DigiD app zelf:

  1. De gebruiker logt in in zijn geactiveerde DigiD app met zijn pincode.
  2. De gebruiker opent het menu in de DigiD app en start de ID-check.
  3. De DigiD app start de ID-check bij de DigiD backend.
  4. De DigiD backend haalt op basis van het BSN de documentgegevens van de gebruiker op bij de registers BRP en CRB.
  5. De DigiD backend start met de documentgegevens een sessie bij de RDA-server.
  6. De DigiD backend stuurt de sessiegegevens door naar de DigiD app.
  7. De gebruiker scant zijn identiteitsbewijs met de NFC-lezer in zijn toestel.
  8. De DigiD app zet een tunnel op tussen identiteitsbewijs en RDA-server, waardoorheen hij de uitgelezen documentgegevens stuurt, die de RDA-server controleert.
  9. Als de ID-controle slaagt, laat de RDA-server dat weten aan de DigiD backend.
  10. De DigiD backend hoogt het betrouwbaarheidsniveau van de DigiD app op naar Substantieel en meldt dat aan de DigiD app.
  11. De DigiD app meldt aan de gebruiker dat de ID-check gelukt is.

Aanvragen en activeren DigiD account

Gebruikersperspectief

De DigiD app wordt een steeds belangrijker inlogmiddel van DigiD. Veel gebruikers loggen alleen nog in met de app. Een gebruiker die al zijn zaken mobiel regelt, kan een DigiD aanvragen via de DigiD app. Hij verkrijgt op die manier een DigiD account met als enige inlogmiddel de DigiD app, dus zonder gebruikersnaam en wachtwoord.

Uiteraard is het aanvragen van een account via de website van DigiD ook nog steeds mogelijk.

Aanvragen en activeren DigiD account via de app

Figuur 12 toont de schermen in de DigiD app voor het aanvragen van een account. De gebruiker geeft in een nog niet geactiveerde app aan dat hij geen DigiD account heeft [2]. Nadat hij heeft bevestigd dat hij een account wil aanvragen [2], vraagt de app hem om enkele identificerende gegevens (BSN, geboortedatum, postcode en huisnummer) [4+5]. De gebruiker voert die in, kiest vervolgens een pincode [7+8] en voert een ID-check uit [10+11+12]. Lukt de ID-check niet, dan kan de gebruiker die ook overslaan. Nu heeft de gebruiker een DigiD account én een app aangevraagd. Hij moet wachten op een brief met activatiecode [14], waarmee hij beide in een klap kan activeren.


Figuur 12: Aanvragen DigiD account in de DigiD app

Figuur 13 geeft het afronden van de activatie weer: Als de gebruiker de brief ontvangen heeft, opent hij de app en logt hij in met de pincode die hij tijdens de aanvraag heeft ingesteld [1]. Hij bevestigt dat wil activeren met de code uit de brief [2]. Vervolgens vraagt de app hem om de activatiecode die in de brief staat [3]. Als de gebruiker die juist invoert, activeert hij daarmee zijn DigiD account en zijn DigiD app.


Figuur 13: Activeren DigiD account na aanvraag in de DigiD app

Activeren DigiD account aangevraagd via de website

Ook als een gebruiker een account heeft aangevraagd via de website van DigiD, moet hij wachten op een brief met activatiecode. Met die code kan de gebruiker de activatie van zijn DigiD account afronden via diezelfde website, maar hij kan dat ook doen in de DigiD app. Dat heeft als voordeel dat hij daarbij meteen zijn app activeert.

Kiest de gebruiker voor activeren via de app, dan logt hij eerst in met gebruikersnaam en wachtwoord die hij tijdens de aanvraag heeft gekozen. Als de gebruiker tijdens de aanvraag van zijn DigiD een telefoonnummer heeft opgegeven, volgt nu een sms-controle: hij ontvangt een sms-code, die hij in de DigiD app moet invoeren. Vervolgens vult hij de activatiecode in uit de brief. Tot slot kiest hij een pincode.

Slaagt de activatie op deze manier, dan heeft de gebruiker naast gebruikersnaam en wachtwoord (eventueel aangevuld met sms-controle), ook een DigiD app als inlogmiddel geactiveerd bij zijn DigiD account.

Procesflow

Figuur 14: Flow voor het aanvragen van een DigiD account in de DigiD app

Figuur 14 toont de stappen voor het aanvragen van een DigiD account in de app:

  1. De gebruiker opent de nog niet geactiveerde DigiD app en start de aanvraag.
  2. De gebruiker voert zijn BSN, geboortedatum, postcode en huisnummer in.
  3. De DigiD app vraagt de DigiD backend de aanvraag te starten.
  4. De DigiD backend haalt met het BSN de persoonslijst op bij de BRP. Als de persoonslijst in orde is, maakt de DigiD backend een account in aanvraag aan.
  5. Nu kiest de gebruiker een pincode in de app. De app maskeert die pincode, om hem onherkenbaar te maken (#pincode).
  6. De DigiD app wisselt cryptografische gegevens uit met DigiD backend en versleutelt daarmee de #pincode.
  7. De DigiD app stuurt de versleutelde #pincode naar de DigiD backend. Die ontsleutelt de #pincode, maakt de app aan bij het account in aanvraag, en slaat daarbij de gemaskeerde #pincode op. Het niveau van de app in aanvraag is nu nog Midden.
  8. De DigiD backend maakt een activatiecode aan en stuurt die in een brief naar de gebruiker.
  9. De DigiD app vraagt de DigiD backend te starten met de ID-check.
  10. De DigiD backend haalt op basis van het BSN de documentgegevens van de gebruiker op bij het CRB.
  11. De DigiD backend start met de BRP- en CRB-gegevens een sessie bij de RDA-server.
  12. De DigiD backend stuurt die sessiegegevens door naar de DigiD app.
  13. De gebruiker scant zijn Nederlandse identiteitsbewijs (paspoort, identiteitskaart of rijbewijs met de NFC-lezer in zijn toestel.
  14. De DigiD app zet een tunnel op tussen identiteitsbewijs en RDA-server, waardoorheen hij de uitgelezen documentgegevens stuurt, die de RDA-server controleert.
  15. Als de ID-controle geslaagd is, laat de RDA-server dat weten aan de DigiD backend.
  16. De DigiD backend hoogt het betrouwbaarheidsniveau van de DigiD app op naar niveau Substantieel en meldt dat aan de DigiD app.
  17. De DigiD app meldt aan de gebruiker dat de aanvraag van DigiD account en app gelukt is, en dat hij nu moet wachten op de brief.

Figuur 15: Flow voor het activeren van een DigiD account na aanvraag in de DigiD app

Figuur 15 toont de stappen voor het activeren van een DigiD account na aanvraag in de app:

  1. De gebruiker opent de DigiD app en logt in met zijn pincode.
  2. De gebruiker bevestigt dat hij de activatie van zijn app wil afmaken.
  3. De DigiD app vraagt de DigiD backend de activatie te starten.
  4. De gebruiker voert nu de activatiecode uit de brief in.
  5. De DigiD app vraagt aan de DigiD backend de activatiecode te controleren.
  6. Als de activatiecode juist is, activeert de DigiD backend het account en de app, en meldt dat aan de DigiD app.
  7. De DigiD app meldt de succesvolle activatie aan de gebruiker.

 

Inloggen met identiteitskaart of rijbewijs

Gebruikersperspectief

Naast inlogmiddel van een DigiD account, kan de DigiD app ook fungeren als ‘hulpmiddel’ voor een ander inlogmiddel: de Nederlandse identiteitskaart. Een identiteitskaart, uitgegeven op of na 13 maart 2021 en een rijbewijs, uitgegeven na 26 mei 2018 zijn uitgerust met een DigiD inlogfunctie die de gebruiker toegang verschaft tot gegevens die inlogniveau Hoog vereisen.

Als de gebruiker inlogt met zijn identiteitskaart of rijbewijs via de DigiD app, dient de app slechts als NFC-kaartlezer en als user interface waarmee de gebruiker de pincode van zijn identiteitskaart of rijbewijs (blauwe ster) kan invoeren. Een applet die in de identiteitskaart of rijbewijs is ingebouwd voert de logica uit. De DigiD app helpt bij het opzetten van een beveiligde verbinding tussen de applet en de DigiD backend, maar is daarna blind voor de dataoverdracht zelf.

Voordat een burger met zijn identiteitskaart of rijbewijs kan inloggen, moet hij die eerst activeren. Tijdens de activatie leest hij met de NFC-lezer in zijn toestel de applet op de identiteitskaart of rijbewijs uit en vervangt hij de initiële pincode op de kaart door een pincode die hij zelf kiest.

Nu is de identiteitskaart of rijbewijs geschikt om mee in te loggen. Dat gaat als volgt in zijn werk: De gebruiker start op de website van een webdienst en kiest voor inloggen met DigiD. De webdienst leidt de gebruiker naar de website van DigiD, waar hij de optie ‘Inloggen met mijn identiteitskaart’ of ‘Inloggen met mijn rijbewijs’ kiest. Staat de app op hetzelfde apparaat dan opent de DigiD app vanzelf, anders moet de gebruiker de verbinding middels koppelcode en QR-code tot stand brengen. Zie voor een uitvoerige beschrijving hiervan paragraaf Inloggen bij een webdienst.

In de DigiD app bevestigt de gebruiker dat hij wil inloggen bij de webdienst, en scant de identiteitskaart of rijbewijs. Hij voert de pincode in en scant nogmaals de identiteitskaart of rijbewijs, zodat de pincode gecontroleerd kan worden. Is die controle succesvol, dan wordt de gebruiker ingelogd bij de webdienst op niveau Hoog. Een identiteitskaart, uitgegeven op of na 13 maart 2021, is uitgerust met een DigiD inlogfunctie die de gebruiker toegang verschaft tot gegevens die inlogniveau Hoog vereisen.

Als de gebruiker inlogt met zijn identiteitskaart via de DigiD app, dient de app slechts als NFC-kaartlezer en als user interface waarmee de gebruiker de pincode van zijn identiteitskaart (Noot) kan invoeren. Een applet die in de identiteitskaart is ingebouwd voert de logica uit. De DigiD app helpt bij het opzetten van een beveiligde verbinding tussen de applet en de DigiD backend, maar is daarna blind voor de dataoverdracht zelf.

(Noot) De identiteitskaart of rijbewijs heeft een eigen pincode, die niets van doen heeft met de pincode van de DigiD app. De gebruiker moet deze pincode zelf instellen. Hij mag daarvoor dezelfde pincode gebruiken als voor de DigiD app, maar dat hoeft niet.

Voordat een burger met zijn identiteitskaart of rijbewijs kan inloggen, moet hij die eerst activeren. Tijdens de activatie leest hij met de NFC-lezer in zijn toestel de applet op de identiteitskaart uit en vervangt hij de initiële pincode op de kaart door een pincode die hij zelf kiest.

Nu is de identiteitskaart of rijbewijs geschikt om mee in te loggen. Dat gaat als volgt in zijn werk: De gebruiker start op de website van een webdienst en kiest voor inloggen met DigiD. De webdienst leidt de gebruiker naar de website van DigiD, waar hij de optie ‘Inloggen met mijn identiteitskaart'of ‘Inloggen met mijn rijbewijs' kiest. Staat de app op hetzelfde apparaat dan opent de DigiD app vanzelf, anders moet de gebruiker de verbinding middels koppelcode en QR-code tot stand brengen. Zie voor een uitvoerige beschrijving hiervan de paragraaf Authenticatie.

In de DigiD app bevestigt de gebruiker dat hij wil inloggen bij de webdienst, en scant de identiteitskaart of rijbewijs. Hij voert de pincode in en scant nogmaals de identiteitskaart of rijbewijs, zodat de pincode gecontroleerd kan worden. Is die controle succesvol, dan wordt de gebruiker ingelogd bij de webdienst op niveau Hoog.

4. Beheer en rapportage

Een gebruiker kan zijn DigiD beheren in Mijn DigiD. Hij of zij kan bijvoorbeeld de historie van authenticaties inzien, middelen aanvragen, activeren of herroepen, en notificatiekanalen toevoegen. Voor meer informatie, zie de Functionele beschrijving DigiD.

Notificaties

Bij wijzigingen aan het DigiD account, stelt DigiD de gebruiker daarvan op de hoogte, zodat die kan ingrijpen als hij de wijziging niet zelf heeft uitgevoerd. Dat kan via sms, maar bij voorkeur gebruikt DigiD daarvoor e-mail. Daarom vraagt de DigiD app om het e-mailadres tijdens activatie, en eens in de zoveel tijd ook tijdens authenticaties, aan gebruikers die dat nog niet geregistreerd hebben (zie figuur 16). Zij kunnen dan in de activatie- of authenticatieflow hun e-mailadres invoeren in de app [1], en het meteen valideren met de controlecode die DigiD naar dat adres stuurt [2].

Aan gebruikers die wel al een e-mailadres hebben geregistreerd vraagt de DigiD app om de zoveel tijd of het nog klopt, om er zeker van te zijn dat eventuele notificaties bij de juiste persoon aankomen.


Figuur 16: Registreren en valideren e-mailadres tijdens activatie of authenticatie in de app

DigiD heeft, naast e-mail en sms, nóg een notificatiekanaal: pushnotificaties via de app, zie figuur 17. De DigiD app vraagt de gebruiker tijdens de activatie van de app om toestemming voor het versturen van pushnotificaties [1]. Geeft hij die toestemming, dan zal hij in het vervolg pushnotificaties van DigiD ontvangen. Hoewel de pushnotificatie zelf vluchtig van aard is, kan de gebruiker het verstuurde bericht op een later moment nog naslaan via het menu in de DigiD app [2].

 

Figuur 17: Flow voor het activeren van een DigiD account na aanvraag in de DigiD app

Beheerfuncties in de DigiD app

De DigiD app heeft ook enkele eigen beheerfuncties, die de gebruiker kan bereiken via het menu in de app. Hij kan hier bijvoorbeeld de app deactiveren. Overigens heeft het verwijderen van de DigiD app van het apparaat hetzelfde effect als deactiveren.

Ook kan een gebruiker de pincode wijzigen, mits hij de huidige pincode nog kent. Als hij die niet meer weet, zal hij de app opnieuw moeten activeren.

Enkele functies die de gebruiker in Mijn DigiD kan uitvoeren, zijn ook direct beschikbaar via het menu in de DigiD app. Zo kan hij zijn e-mailadres toevoegen of wijzigen, de gebruiksgeschiedenis raadplegen, of instellen dat hij altijd in twee stappen wil inloggen.

Ook overige functies zijn makkelijk vanuit de app uit te voeren: De gebruiker kan vanuit het menu inloggen bij Mijn DigiD. De app opent Mijn DigiD dan in een browser.

Via het menu in de app kan de gebruiker ook enkele app-instellingen wijzigen:

  • De taal in de app instellen op Engels of Nederlands (Na downloaden staat de taal op Nederlands; als de gebruiker kiest voor Engels blijft die instelling voortaan behouden).
  • Switchen tussen lichte en donkere modus.
  • De lettergrootte aanpassen
  • Dyslexie-lettertype aan of uit zetten
  • Toestemming voor verzamelen gegevens voor statistieken geven of intrekken

DigiD app in Mijn DigiD

De gebruiker kan op maximaal 5 apparaten de DigiD app activeren (elke app heeft een eigen pincode). In Mijn DigiD kunnen de gegevens van alle geactiveerde DigiD apps ingezien worden, zie figuur 18. Aan iedere DigiD app dient apart een ID-check toegevoegd te worden.
De gebruiker kan de DigiD app in de app zelf, maar ook in Mijn DigiD deactiveren.

Figuur 18 - Overzicht van geactiveerde app in Mijn DigiD_
Figuur 18: Overzicht van geactiveerde app in Mijn DigiD

Rapportage over authenticaties

Logius levert maandelijks rapportages op die inzicht geven in het aantal authenticaties bij een dienstaanbieder. De authenticaties met de DigiD app zijn daarin opgenomen.

5. Storingen

Dit hoofdstuk beschrijft de mogelijke storingen/incidenten die het gebruik van de DigiD app kunnen belemmeren.

Deelfunctionaliteiten uitgeschakeld

In geval van calamiteiten/veiligheidsincidenten kan Logius op de DigiD backend deelfunctionaliteiten uitschakelen. Hier worden alleen de gevallen genoemd die van invloed zijn op de werking van de DigiD app.

Koppeling met DigiD app uitgeschakeld

Het gebruik van de DigiD app kan in zijn geheel worden uitgeschakeld. In dat geval kan geen enkele gebruiker nog met de DigiD app inloggen bij een dienstaanbieder; er zal een ander inlogmiddel gebruikt moeten worden. Het activeren van een app of het uitvoeren van een ID-check is op dat moment ook niet mogelijk.

Koppeling met RDA-server uitgeschakeld

De koppeling met de RDA-server kan worden uitgezet. Het uitvoeren van de ID-check is dan niet mogelijk, inloggen met de app nog wel.

Koppeling met CheckID app

Het gebruik van de CheckID app kan worden uitgezet. Gebruikers kunnen de ID-check dan niet aan de DigiD app toevoegen met behulp van de CheckID app. Op andere manieren kan dat nog wel.

Eenvoudige Herauthenticatie uitgeschakeld

De polling voor de Eenvoudige Herauthenticatie kan worden uitgezet. Gewoon authenticeren kan dan nog wel.

Storing bij externe afhankelijkheden

BRP

Als er een storing is bij de BRP zijn de volgende processen in de DigiD app niet beschikbaar:

  • Het uitvoeren van de ID-check;
  • Het aanvragen van een activeringscode per brief.

CRB

Als er een storing is bij de CRB is het uitvoeren van de ID-check niet mogelijk.

Sms-dienst

Bij een storing van de sms-dienst is het activeren van de app met sms-controle niet mogelijk.

Technische storing

Er kan een technische storing optreden in de koppeling tussen DigiD en de dienstaanbieder, of intern bij DigiD, waardoor inloggen in het geheel niet mogelijk is, dus ook niet met de app.

Gepland Onderhoud

Als er gepland onderhoud is aan DigiD waardoor de app (tijdelijk) niet gebruikt kan worden wordt er een melding getoond aan de gebruiker.

Woordenlijst

Woord/afkorting Betekenis
Android App link

Mechanisme om op Android-apparaten vanuit een website of app rechtstreeks naar content binnen een andere app te linken. Staat de te openen app niet op het apparaat, dan wordt de corresponderende webpagina geopend in de browser.

Android controleert het eigenaarschap van het betreffende domein waartoe de  App links behoren.
Afnemer De organisatie die is aangesloten op DigiD, zodat gebruikers daarmee kunnen inloggen in hun webdienst.
Betrouwbaarheidsniveau

Het niveau van het middel waarmee de gebruiker inlogt. DigiD kent de volgende betrouwbaarheidsniveaus:

  • Basis: Gebruikersnaam & wachtwoord,
  • Midden: Gebruikersnaam, wachtwoord en sms-controle, of DigiD app zonder ID-check,
  • Substantieel: DigiD app met uitgevoerde
  • ID-check,
  • Hoog: Applet op een identiteitsdocument
BRP Basisregistratie Personen; Register beheerd door de RvIG dat persoonsgegevens bevat van inwoners van Nederland (ingezetenen) en van personen die Nederland hebben verlaten (niet ingezetenen).
CRB Centraal Rijbewijzen- en Bromfietscertificatenregister; Register beheerd door de RDW met daarin gegevens over rijbewijs, rijvaardigheid en rijgeschiktheid van burgers.
Dienstaanbieder

De aanbieder van de webdienst waarbij een gebruiker inlogt met DigiD. Voorbeelden van dienstaanbieders zijn de Belastingdienst, de gemeente Amsterdam en Achmea.

Ook wel: Afnemer.
DigiD Authenticatiedienst die authenticatieverzoeken van burgers afhandelt voor aangesloten dienstverleners.
DigiD app Inlogmiddel van DigiD met betrouwbaarheidsniveau Midden of Substantieel; het is een applicatie voor een mobiel apparaat (telefoon, tablet, etc.) waarmee gebruikers zich identificeren met een pincode.
eIDAS

Electronic Identities And Trust Services;

Europese verordening waarin de lidstaten afspraken hebben gemaakt om bij de digitale identificatie van burgers dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen.
Gebruiker De burger die zich met zijn DigiD (app) authentiseert.
ID-check Eenmalige controle van paspoort, identiteitskaart of rijbewijs van de gebruiker, door het document uit te lezen met behulp van een NFC-lezer. Na de ID-check is de DigiD app geactiveerd op betrouwbaarheidsniveau Substantieel.
iOS Universal link

Mechanisme om op Apple-apparaten vanuit een website of app rechtstreeks naar content binnen een andere app te linken. Staat de te openen app niet op het apparaat, dan wordt de corresponderende webpagina geopend in de browser.

iOS controleert of een Universal link geregistreerd is voor het betreffende domein; het is daarom veiliger dan het gebruik van een URL-schema.
Logius De beheerorganisatie van DigiD.
Oauth 2.0 Open Autorization; Autorisatiestandaard voor web applicaties. op basis van tokens, die toegang geven tot specifieke gegevens van één toepassing voor een bepaalde duur.
OIDC OpenID Connect; Verificatieprotocol op basis van OAuth 2.0 waarmee een gebruiker zich veilig kan aanmelden bij een toepassing. 
RDA Remote Document Authentication, zie RDA-server.
RDA-server Een aparte component binnen het DigiD-landschap voor het uitvoeren van de Remote Document Authentication, oftewel de ID-check. Op basis van documentgegevens die met het BSN bij de BRP en het CRB zijn opgehaald, kan deze server de sleutels genereren waarmee de DigiD app de chip op het identiteitsbewijs kan uitlezen.
RvIG Rijksdienst voor Identiteitsgegevens; organisatie die onder meer de BRP beheert.
SAML Security Assertion Markup Language; Standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen domeinen.
URL-schema

Mechanisme om naar een app te linken middels een omleiding via de browser. Staat de app niet op het apparaat, dan wordt de gebruiker doorgestuurd naar de app store.

Een URL-schema is minder veilig dan een iOS Universal link: het biedt niet de garantie dat de bedoelde app wordt geopend, vanwege minder strikte controle op de registratie van de schema’s.
Webdienst Dienst van een (semi-)publiekrechtelijke of privaatrechtelijke instelling met een publieke taak, die via het internet ontsloten wordt.

Documentbeheer

Datum Versie Auteur Opmerkingen
10-06-2020 1.0 Laura van Well Eerste versie t.b.v. publicatie op de website van Logius. Versie correspondeert met DigiD app versie 5.16.
18-06-2021 2.0 Laura van Well Uitgebreid met nieuwe functies, o.m. ‘aanvragen account’ en ‘inloggen met identiteitskaart’. Versie correspondeert met DigiD app versie 5.20/6.1.
21-10-2021 2.1 Laura van Well Uitbreiding met ‘blokkeren acties voor overledenen’. Versie correspondeert met DigiD app versie 6.1
13-07-2022 3.0 Laura van Well Gewijzigde volgorde inlogflow. Versie correspondeert met DigiD app versie 6.4.
18-10-2023 5.0 Erwin Heida Versie correspondeert met DigiD app versie 6.9.