De overheid onderzoekt op dit moment of de broncode van de DigiD-app openbaar kan worden gemaakt, zo meldt staatssecretaris Van Huffelen van Digitalisering, die tevens erkent dat de app trackers van Google en Microsoft bevat. Het openbaar maken van de broncode brengt echter het risico met zich mee dat de app kan worden gekloond om via die weg gegevens van gebruikers te stelen. Dat laat de bewindsvrouw weten op vragen van SP-Kamerlid Leijten.

Het Kamerlid wilde onder andere weten waarom de DigiD-app niet als opensourcesoftware is ontwikkeld, zodat het in de F-Droid appstore kan worden aangeboden. Op dit moment is de app alleen in de App Store en Play Store aanwezig, waardoor de DigiD-app alleen is te gebruiken wanneer Nederlandse burgers een account bij de Amerikaanse techreuzen Apple en Google aanmaken. F-Droid is een alternatieve appstore voor Androidgebruikers die alleen vrije en open source applicaties aanbiedt. Aangeboden apps worden op security- en privacyproblemen gecontroleerd en bevatten volgens de appstore geen trackers.

Volgens Van Huffelen zijn de redenen voor het aanbieden van de DigiD-app via de Apple App Store en Google Play Store praktisch en niet principieel van aard. Zo zijn beide appstores volgens haar betrouwbaar. "Er moet voldoende vertrouwen zijn in de app store; zo moet de software bijvoorbeeld deugdelijk zijn en voldoen aan de standaarden van de store. Ondeugdelijke apps in de stores van iOS en Android worden verwijderd", zo laat de bewindsvrouw weten.

Verder noemt ze de bezitfactor. "Bij een digitale authenticatie moet er zekerheid bestaan over de identiteit van de gebruiker, dit vraagt bepaalde technologie die op dit moment alleen door Apple in iOS en door Google in Android wordt aangeboden."

Open source

Van Leijten had de staatssecretaris ook gevraagd of de overheid van plan is om de DigiD-app open source te maken. "DigiD gebruikt open source componenten, maar publiceert de broncode van de app (nog) niet. Een verkenning of het mogelijk is om de broncode van DigiD open source te publiceren is gaande, maar het publiceren van de broncode moet wel op een verantwoordelijke en veilige manier mogelijk zijn", reageert de staatssecretaris.

Ze voegt toe dat de veiligheid en bescherming van gegevens van gebruikers in de doorontwikkeling altijd een factor blijven. Daarnaast stelt Van Huffelen dat het risico bestaat dat de broncode gebruikt wordt om de app te klonen om via die weg gegevens van gebruikers te stelen.

Aanwezigheid trackers

De staatssecretaris erkent dat de DigiD-app ook trackers van Google en Microsoft bevat. Dit is volgens haar nodig voor de ondersteunings- en beheerfunctionaliteit van de applicatie. De twee Microsoft-trackers zorgen ervoor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht. Deze gegevens worden niet naar Microsoft gezonden, maar alleen naar het ontwikkelplatform van DigiD. Het betreft geen persoonlijke gegevens en de trackers hebben ook niet als doel om het gedrag van de gebruiker te volgen.

De tracker van Google is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit in Android. Een push-notificatie kan vanuit een applicatie een bericht sturen naar de gebruiker dat er een bericht klaar staat in de applicatie. Bij DigiD gebeurt dit alleen in uitzonderlijke gevallen en nooit met persoonsgegevens, aldus Van Huffelen. Voor het versturen van een push-notificatie wordt expliciet toestemming gevraagd aan de gebruiker om deze functionaliteit al dan niet toe te staan.