Recente DigiD-dreigingen tonen zwakke plek van centrale login: kan blockchain dit oplossen?

De recente DigiD-dreigingen leggen opnieuw een gevoelig punt bloot in de digitale overheid: wie miljoenen burgers via één centraal inlogsysteem laat inloggen, creëert ook een centraal aanvalspunt. Dat betekent niet dat DigiD zelf is gekraakt, maar wel dat het systeem kwetsbaar blijft voor verstoring, phishing en misbruik aan de randen van het netwerk.

Tweakers meldde op 23 maart 2026 dat grootschalige DDoS-aanvallen meerdere diensten, waaronder DigiD, tijdelijk onbereikbaar maakten. DigiD zelf waarschuwt daarnaast expliciet voor phishing, valse links en QR-codes waarmee criminelen inloggegevens proberen buit te maken.

Precies daarom schuift de discussie over digitale identiteit steeds vaker op richting alternatieven zoals digitale wallets en cryptografisch verifieerbare credentials. In Nederland speelt dat debat inmiddels ook officieel.

De overheid werkt aan de zogeheten EDI-wallet, waarmee burgers en bedrijven hun identiteit online moeten kunnen bewijzen en gegevens digitaal kunnen delen. De eerste wallets volgens die nieuwe regels worden eind 2026 verwacht.

De kern van het probleem is eenvoudig. Een centraal systeem als DigiD is efficiënt, herkenbaar en schaalbaar, maar concentreert ook risico.

Als een aanval niet op accounts zelf is gericht, kan die alsnog de beschikbaarheid raken, zoals bij een DDoS-aanval. En als criminelen gebruikers via phishing misleiden, blijft één inlogmiddel met toegang tot veel overheidsdiensten een aantrekkelijk doelwit. Bronnen benadrukken dat oplichters juist mikken op inloggegevens via nepberichten, links en QR-codes.

Dat maakt de vraag logisch of een minder centraal model bepaalde zwakke plekken kan verkleinen. Niet omdat blockchain een wondermiddel is, maar omdat de architectuur anders kan worden ingericht.

Blockchain lost niet alles op. Een blockchain voorkomt geen DDoS-aanval op een overheidsportaal. Ook houdt het niemand tegen die vrijwillig op een valse link klikt en gegevens afgeeft. DDoS gaat immers over bereikbaarheid, niet per se over datadiefstal. Dat onderscheid blijkt ook uit de manier waarop Logius de aanvallen op zijn diensten beschrijft.

Toch zit er wel degelijk een serieuze link met blockchain of, breder, met wallet-gebaseerde identiteit. In zo’n model hoeft niet één centrale partij voortdurend alle identiteitsclaims te beheren en valideren.

Een gebruiker kan digitale credentials ontvangen van vertrouwde instanties, zoals een overheid of gemeente, en die zelf bewaren in een wallet of app. De verificatie verloopt dan cryptografisch, terwijl een registerlaag alleen wordt gebruikt voor geldigheid, controle of intrekking. Dat sluit aan bij de richting waarin de Nederlandse overheid met de EDI-wallet beweegt, al wordt die in de officiële toelichtingen niet als publiek blockchainproject gepresenteerd.

Het veiligheidsvoordeel zit vooral in de opzet. Een meer gedecentraliseerd model verkleint de afhankelijkheid van één centraal punt dat altijd bereikbaar en onaantastbaar moet zijn. Bovendien maakt het selectieve verificatie mogelijk.

Niet de volledige identiteit hoeft te worden gedeeld, maar alleen wat nodig is voor een handeling, bijvoorbeeld dat iemand ouder is dan 18 of houder is van een bepaald credential. De overheid noemt bij de EDI-wallet expliciet dat burgers en bedrijven hun identiteit online moeten kunnen bewijzen en gegevens digitaal moeten kunnen delen. Daaruit volgt logisch dat gerichtere en herbruikbare digitale bewijzen een belangrijk onderdeel van die ontwikkeling zijn.

Voor crypto-investeerders is dat relevant omdat dit precies het type toepassing is waarmee blockchain zich buiten speculatie probeert te bewijzen. Niet als munt, maar als vertrouwenslaag voor verificatie, integriteit en eigenaarschap.

Daarmee is het probleem niet opgelost. In een wallet- of credentialmodel wordt de gebruiker zelf een belangrijker beveiligingspunt. Wie zijn toestel, toegang of herstelmethode kwijtraakt, kan in de problemen komen. Voor een overheid is dat geen detail, maar een hoofdvraag.

Burgers moeten toegang altijd kunnen herstellen. Ook privacy is niet automatisch geregeld. Gevoelige persoonsgegevens direct op een publieke blockchain zetten zou juist onwenselijk zijn. De meest verdedigbare route blijft daarom een hybride model, waarbij persoonsgegevens buiten de blockchain blijven en alleen verificatie, status of intrekking via een aparte controlelaag worden geregeld.

De recente DigiD-dreigingen bewijzen niet dat blockchain automatisch beter is. Ze laten wel zien waarom volledige afhankelijkheid van centrale logins een structureel risico blijft.

Blockchain of wallet-gebaseerde verificatie kan dat risico deels verkleinen, vooral als identiteit slimmer, selectiever en minder centraal wordt ingericht. Maar het vervangt goede beveiliging, gebruiksvriendelijke herstelopties en bescherming tegen phishing niet.

De scherpste conclusie is daarom niet dat DigiD “op de blockchain” moet. De echte les is dat digitale identiteit waarschijnlijk veiliger wordt zodra zij minder draait om één centraal loket en meer om cryptografisch verifieerbare bewijzen die de gebruiker zelf beheert. Juist daar ligt, mits goed toegepast, een geloofwaardige rol voor deze technologie.