Banken vieren eigen feestje

Idensys is de nieuwe naam voor eID, het stelsel in opbouw voor het inloggen bij overheden (en als zodanig ‘opvolger’ van DigiD) en webwinkels en -diensten. Burgers/consumenten kunnen achter één Idensys-knop straks kiezen uit publieke en private logins, net zoals je nu kiest tussen betaalwijzen bij online kopen. Maar eerst volgen er pilots.
Vanaf de jaarwisseling gaan maximaal 30.000 personen, deels medewerkers van bedrijven en ambtenaren, Idensys testen bij zo’n twintig overheden en bedrijven. Ze loggen in met inlogmiddelen van private leveranciers. Ook start begin volgend jaar, nog los van Idensys, een pilot om het inloggen met de Nederlandse Identiteitskaart (NIK) en het rijbewijs met toegevoegde chip te testen. Dit publieke inlogmiddel komt op termijn binnen Idensys beschikbaar.
In samenwerking met de Betaalvereniging Nederland zet de Belastingdienst nog een andere, eigen test op met banken. Zo’n 65.000 klanten van ABN AMRO, ING, Rabo, SNS en Triodos testen de belastingaangifte met een bankpas, app, scanner of inlogcode.

Idensys in een notendop

Idensys, dat begon onder de naam eID, is meer een stelsel van standaardisatieafspraken dan een nieuw systeem, zei minister Plasterk al bij de introductie twee jaar geleden. Binnen Idensys moet er één standaard voor authenticatie (ben je wie je zegt te zijn) en autorisatie (mag je wat je wilt) ontstaan voor publieke én private dienstverlening – bij overheden, webwinkels, banken en andere online diensten. Dat moet veiliger dan nu met bijvoorbeeld DigiD mogelijk is. Burgers, consumenten en ondernemers zullen zelf kunnen kiezen uit de beschikbare middelen waarmee ze bij organisaties inloggen. Gebruikers kunnen hun uitdijende ‘digitale sleutelbos’ daarbij een stuk kleiner maken. Organisaties zullen wel eisen stellen aan het betrouwbaarheidsniveau van het gebruikte publieke of private inlogmiddel.
Het stelsel werkt met zogeheten pseudo-identiteiten die in de Idensys-keten worden gegenereerd en bijgehouden, onder andere in zogeheten koppelregisters. Belangrijk is dat de gebruiker zeggenschap houdt over wat hij met welke partij deelt. Soms hoeft bijvoorbeeld alleen duidelijk te zijn dat hij boven de 18 is, niet wíe hij is.
Vanaf nu vinden er pilots plaats met een uitgeklede versie van het beoogde stelsel. Daarbij zullen zowel publieke – identiteitsdocumenten met een chip – als private authenticatiemiddelen worden getest.

‘De koers van de Belastingdienst is om in de toekomst altijd ten minste twee manieren van inloggen te bieden’, luidde een verrassend zinnetje in het persbericht. Krijgen we twee aparte systemen, BankID versus Idensys?
“We hebben wel een doorbraak bereikt, maar toetreding tot Idensys lukt banken nu niet”, zegt Hans-Rob de Reus, adviseur eOverheid van de Belastingdienst. “Ze vallen onder DNB, Idensys onder EZ. Banken vrezen ook de invloed van kleine bedrijven op Idensys-voorwaarden en zijn bang verstrikt te raken in publiek-privaat partnerschap met een kerstboom aan complexe governancestructuur.”

Eenvoud voorop

Is convergentie dus niet domweg onhaalbaar? Idensys’ programmamanager Gerrit Jan van ’t Eind is pragmatisch: “De banken hebben inderdaad gezegd niet in Idensys te stappen. De Belastingdienst heeft uitgesproken dat de banken moeten convergeren met Idensys. Dit is een momentopname. Eerst de pilots, dan de volgende stap.” Liever pragmatisch dan principieel, vindt hij: “We schakelen het zo veel mogelijk parallel.” De Reus: “We nemen tijd om banken en Idensys naar elkaar toe te praten.” De woordvoerder van de Betaalvereniging namens de banken: “We sluiten niet uit dat we aan Idensys-voorwaarden zullen voldoen, maar het is geen doel op zich. Banken hebben jarenlange ervaring met veilig inloggen, met een hoge graad van betrouwbaarheid.”

We nemen tijd om banken en Idensys naar elkaar toe te praten

Wettelijk ligt het moeilijk. De Belastingdienst wil ook dat traject vereenvoudigen. De Reus: “Je zou alleen toegang tot het publieke domein kunnen reguleren. BZK maakt een wet met de normen en een technische standaard. Zonder afstemming met het bedrijfsleven in overlegstructuren.”

Politiek verdedigt MKB

Ingrid de Caluwé, het VVD-Kamerlid dat het meest intensief naar Idensys kijkt, wil één uniform stel pilots onder dezelfde voorwaarden. “Het is niet goed als de banken een eigen feestje gaan vieren, via een omweg weer aanhaken en ondertussen eigen voorwaarden bepalen.”
De overheid moet tevoren voorwaarden en evaluatiecriteria stellen voor elke testende partij, eiste ze in een recent Kamerdebat. In afwachting van nadere invulling door minister Plasterk hield ze een motie daarover in. Er komt weer een Kamerbrief, ook met een antwoord op de eis van De Caluwé voor een oordeel van Bureau ICT-Toetsing. Plasterk voelt weinig voor vertraging van de pilots.

Vermorzeld kleinbedrijf?

Banken hebben grote budgetten, maar voor kleine partijen is ontwikkeling relatief duur. “Dus moeten ze wel gelijke kansen hebben, anders dreigen ze vermorzeld te worden onder het geweld van de banken”, vindt De Caluwé.
Ze weet dit van Martijn Kaag die met Connectis in Rotterdam eHerkenning-diensten biedt voor veilig inloggen door bedrijven. eHerkenning gaat met providers op in Idensys. “Voor eerlijk concurreren met banken ben ik niet bang. Banken moeten ook inlogs met concurrerende ID-middelen accepteren.” Van ’t Eind van Idensys kan daar ver in meegaan: “Je zult met elk Idensys-middel bij banken als ING en ABN AMRO moeten kunnen inloggen.” Kaag vreest echter nog meer de overheid als concurrent in Idensys met ID-middelen als rijbewijs en ID-kaart.
Niet onterecht, want Van ’t Eind zegt: “Ik denk dat webwinkels kiezen voor Idensys indien dat de goedkoopste en/of effectiefste oplossing biedt. Want er ontstaat een markt.”

Simpel beginnen

Het afsprakenstelsel van 2014 was een te grote stap voor alle partijen, dus voor de proeven is een eenvoudiger Introductieplateau Idensys ontwikkeld. Van ’t Eind: “Voor de pilots zijn er voldoende maatregelen getroffen, terwijl de stuurgroep ervan doordrongen is dat verdere privacybescherming nodig is.”
Vanuit privacyzorgen moet de pilotfase klein blijven, maar is dat het geval met 30.000 of met de gewenste doorgroei naar 500.000 deelnemers, zo vraagt de programmamanager zich af: “Wij willen geleidelijk overgaan naar het definitieve stelsel zonder remmingen. Als we medio 2016 na een positief besluit alles tegelijkertijd moeten doen, weet je zeker dat het misgaat.”

Buitenlandse aanpak

Estland is voorloper met de ‘ID-kaart’, ingezet voor authenticatie bij overheden, banken en andere bedrijven, maar ook voor virtuele ov-tickets en verkiezingen. Japan neemt het Estse systeem nu als voorbeeld.
Scandinavië werkt al jaren met modellen waarin overheid, banken en telecomproviders in wisselende samenstelling de ID-belangen bundelen.
In Finland fungeert het digitaal authenticeren via de banken al jaren naar volle tevredenheid. Finland heeft de fysieke en digitale identificatie geïntegreerd met persoonlijke nummers.
In Denemarken is het juist andersom: NemID is een overheidssysteem voor authenticatie waarmee je ook kunt inloggen bij banken, die geen eigen inlogsysteem hebben. Ook in Noorwegen functioneert een ‘BankID’ om bij overheidsdiensten te kunnen inloggen, eveneens voor belastingaangifte. Bovendien is er een simkaart met ID van het nationale telecombedrijf Telenor. Die genereert een code.
Opvallend is de huidige opbouw van het Britse ID-stelsel met twee Nederlandse bedrijven als ‘identity providers’: Digidentity In Den Haag en Morpho in Haarlem. Die gaan de concurrentie aan met onder meer Barclays, PayPal Royal Mail en datagigant Experian.
Voorbeelden voor ons? Van ’t Eind: “Elk land is anders en je moet je aanpassen aan de cultuur, administratieve mogelijkheden en ontwikkelingen. Engeland en Duitsland hebben bijvoorbeeld geen landelijke basisregistratie. Scandinavië heeft andere privacyregels. Banksystemen verschillen.”

Private ID-aanbieders mogen officieel geen burgerservicenummer (BSN) gebruiken, maar kunnen via het ‘BSN-koppelregister’ een identiteit controleren zonder het BSN en de persoon in beeld te krijgen. Ook de banken stellen via het BSN-koppelregister voor de Belastingdienst de identiteit van de aangever vast.
Ook webwinkels zouden dit mogen eisen. De woordvoeder: “Voor e-commerce verwachten we dat er niet direct behoefte aan zal zijn. Winkels hebben meestal genoeg aan naam en adres die bekend zijn of worden ingevuld bij een bestelling.”

Privacygebreken

Wat hoogleraar Bart Jacobs betreft is het Idensys-schip al gezonken voor het uitgevaren is. In een keiharde blogpost klaagde hij over de privacygebreken van het stelsel. De overheid levert volgens hem privacy uit aan leveranciers van middelen, die straks ongebreideld data verzamelen. Hij gelooft niet in gegarandeerde anonimiteit met het BSN-koppelregister. Bovendien worden binnen Idensys data zeven jaar lang bewaard. Van ’t Eind vindt de angst van Jacobs onterecht en voorbarig.

Deur open voor biometrie

Stemherkenning, vingerafdruk, irisherkenning, celmateriaal; ze kunnen allemaal ingezet worden met Idensys.

“Als bedrijven een ID met biometrie willen inbrengen, is dat geen bezwaar, mits het aan de eisen van het afsprakenstelsel voldoet. Biometrie is uiteindelijk ook een algoritme. Voorwaarde is wel dat de informatie alleen in Nederland/Europa mag worden opgeslagen”, zegt programmamanager Gerrit van ’t Eind.
Tegen biometrie heeft VVD-Kamerlid Ingrid de Caluwé geen a-priori bezwaren: “De irisscan op Schiphol werkt al lang naar tevredenheid en biometrie wint internationaal terrein. Kun je je daaraan onttrekken? Je moet mee en je niet blindstaren op technologie van gisteren of vandaag.”

Volgens Liesbet van Zoonen, hoogleraar Sociologie aan de Erasmus Universiteit, ID-onderzoeker en adviseur van de Nederlandse en Britse overheid, is biometrie minder fraudegevoelig en nemen bezwaren af: “Tot voor kort was de publieke opinie erg anti-biometrie, door nare films en enge scenario’s. De markt brengt gewenning mee. Biometrie komt op de telefoon en mensen vertrouwen die als onderdeel van hun identiteit. Ook Windows 10 met ‘log in met een smile’ verlaagt de drempel.”
De nadruk, vindt Van Zoonen, moet minder komen te liggen op het middel van authenticatie, maar meer op bescherming van datagebruik daarna, in privacydesign. “Aan de voorkant is privacybescherming een illusie. Je zit in 250 databanken en profilering vindt op allerlei oncontroleerbare manieren plaats.”

De overheid heeft vooral foutenherstel met identiteiten verwaarloosd, zo schreef ze in een advies aan BZK. “Banken waarschuwen klanten direct bij mogelijk misbruik van creditcards, maar overheden veel te laat. De Ombudsman en schrijfster Maria Genova publiceerden vreselijke ID-fouten en -misdaad, zoals in de basisadministratie. De overheid reageerde nauwelijks, met soms grote en te lang aanhoudende nadelen.”
Justitie gebruikt al een Basisvoorziening Biometrie (BVB) voor boeven en vluchtelingen. “Ik begrijp wel dat Justitie zo’n biometrische wasstraat niet twee keer apart optuigt. Maar vluchtelingen worden zo op dezelfde manier als criminelen behandeld. Ik vind het ook niet prettig als de Amerikaanse douane me als potentiële terrorist behandelt en 86 keer mijn hand- en vingerafdrukken controleert.”