Hoe ver zijn we in Nederland met het ontwikkelen van een digitale identiteit voor alle burgers? En wat kunnen we van Europa verwachten? Michiel van der Veen van de Rijksdienst voor Identiteitsgegevens (RvIG) en Wouter Welling van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) scheppen duidelijkheid.
Beeld: Dreamstime
Het idee dat de overheid haar functie als ‘uitgever’ en erkenner van identiteiten zou moeten uitbreiden naar het digitale domein bestaat al heel lang. Toch zal de behoefte aan een manier om online vertrouwen te bevorderen voor veel mensen pas echt zijn gegroeid tijdens de coronacrisis. Wie opeens alle zaken vanachter een scherm moest regelen, heeft zich vast al eens achter de oren gekrabd: hoe weet ik of de persoon aan de andere kant ook echt is wie zij zegt te zijn? Wat vertrouw ik haar toe?
Bijna existentiële vragen zijn het, waar onder andere banken en verzekeringsmaatschappijen al veel langer mee worstelen. Om witwassen tegen te gaan, moeten zij hun klanten kunnen identificeren, een ingewikkelde verplichting die handenvol geld kost. Michiel van der Veen, directeur Innovatie & Ontwikkeling bij de Rijksdienst voor Identiteitsgegevens (RvIG), krijgt uit de markt regelmatig het verzoek of de overheid hen daarbij kan ondersteunen. “Er bestaan echt hulpvragen op dit vlak”, zegt hij. “Marktpartijen zouden dit het liefst gisteren geregeld zien.”
Tegelijkertijd is het onderwerp digitale identiteit een ingewikkelde. Ook in ons omringende landen zijn ze er nog niet uit. Nederland heeft onlangs een nieuwe, belangrijke stap gezet met het publiceren van een visie op digitale identiteit en de bijbehorende infrastructuur. De Visiebrief die staatssecretaris Raymond Knops van BZK in februari naar de Tweede Kamer stuurde, dient als een fundament om het digitale vertrouwen op te bouwen.
“De echte waarde zit in gegevensuitwisseling”
Digitale bronidentiteit
De kamerbrief beschrijft de maatschappelijke uitdagingen en kansen rondom de digitale identiteit. De brief schetst een toekomstbeeld waarin de overheid vier activiteiten op zich neemt dan wel uitbreidt: het (mogelijk maken van het) delen van betrouwbare gegevens; het organiseren van toegang tot digitale dienstverlening; het uitgeven van een erkende digitale bronidentiteit en het organiseren van de bijbehorende wet- en regelgeving rond digitaal vertrouwen.
Eerst maar een misverstand uit de weg ruimen. “Veel mensen denken dat inloggen, het verkrijgen van toegang, de belangrijkste functie is van een digitale identiteit”, zegt Wouter Welling, coördinerend beleidsmedewerker digitale identiteit bij BKZ. “Maar net als in een fysieke winkel is de stap over de drempel slechts een onderdeel van het proces. Uiteindelijk wil je zaken met elkaar doen. De echte waarde zit in gegevensuitwisseling, zoals het kunnen ondertekenen van een digitaal contract.”
Volgens de visie kunnen burgers in de toekomst zelf geverifieerde gegevens delen met partijen die ze vertrouwen. De overheid werkt voor dit doel aan een gezaghebbende bron: de digitale bronidentiteit. Dit is een digitale versie van de identiteitsgegevens die de overheid van burgers heeft geregistreerd. Burgers zelf krijgen de beschikking over hun gegevens via toegelaten identiteitsmiddelen. Ze gebruiken dus niet zozeer de digitale bronidentiteit, maar afgeleide identiteiten. Deze toegelaten middelen gebruiken de digitale bronidentiteit om hun betrouwbaarheid te baseren op de ‘gezaghebbende bron’ van de overheid.
De overheid heeft de plicht om mensen te informeren bij misbruik
“Vergelijk het met een paspoort”, verduidelijkt Welling. “Je paspoort is het meest gezaghebbende identiteitsbewijs, maar je neemt het meestal niet mee naar de winkel om jezelf te identificeren. Op basis van je paspoort ontvang je afgeleide middelen, zoals bank- en verzekeringspasjes.” Welke partijen digitale afgeleide identiteiten mogen uitgeven en wie hier toezicht op houdt, wordt uitgewerkt. Er zullen uiteraard toelatingseisen aan verbonden zijn.
Hoge verwachtingen
Dat Van der Veen en Welling opgetogen zijn over deze stap, heeft alles te maken met de verwachtingen die bestaan over de digitale bronidentiteit en de bijbehorende infrastructuur. “Door als overheid een bronidentiteit uit te geven, bouwen we aan vertrouwen in de digitale wereld”, zegt Van der Veen. “Met een bronidentiteit kun je uitgangspunten neerleggen voor privacy, zoals privacy by design. Het zal de online veiligheid, transparantie en inclusiviteit bevorderen. Want waar een commerciële partij mogelijk bepaalde groepen uitsluit, omdat ze commercieel niet zo interessant zijn, moet een overheid gewoon zorgen dat het voor iedereen toegankelijk is.”
Voor de groep mensen voor wie ‘zelfbeschikking over de digitale identiteit’ vooral een schrikbeeld is, omdat ze bijvoorbeeld niet zo digitaal vaardig zijn, is ‘de menselijke maat’ in de uitgangspunten vastgelegd. Zo moeten zij hulp krijgen bij het uitgeven en gebruik van hun digitale identiteit. Ook heeft de overheid de plicht om mensen te informeren als er misbruik wordt gemaakt van hun digitale identiteit en wellicht ook een zorgplicht. Van der Veen: “In mijn persoonlijke visie heeft alles wat digitaliseert een optie nodig voor persoonlijk contact. Een inclusief vraagstuk oplossen met digitale middelen is een contradictio in terminis.”
“De grote kansen liggen in het openstellen van de identiteitsinfrastructuren naar het private domein”
Tegenover de mensen voor wie het digitale niet zo nodig hoeft, staat de grote groep Nederlanders die al veel digitaal zakendoet. Uit prognoses blijkt dat het aantal transacties in de digitale economie met de komst van een digitale bronidentiteit sterk zal toenemen. Een rapport van McKinsey rekent globaal gezien op 3 tot 13 procent bruto binnenlands productgroei per jaar wanneer een digitale identiteitsinfrastructuur in een land goed wordt georganiseerd. Daarbij geldt wel de kanttekening dat de grootste winst valt te behalen in landen die minder goed zijn georganiseerd dan Nederland.”
Over grenzen heen
Wat gebeurt er in Europa op dit vlak? De Nederlandse visie op digitale identiteit raakt aan de digitale strategie van de Europese Commissie. De zogeheten eIDAS-verordening, die gaat over identificatie, authenticatie en digitale handtekeningen, is in september 2018 in werking getreden en wordt door Europa gezien als een kans om grensoverschrijdend verkeer beter vorm te geven. In het voorjaar van 2021 komt de Europese Commissie met voorstellen voor een revisie van deze verordening. Er wordt gewerkt aan een stelsel waarin Europese landen afspreken onder welke voorwaarden eID-middelen worden toegelaten, waarbij de basis is dat men elkaars middelen erkent.
In de huidige verordening staat, simpel gezegd, dat een Europeaan met een eID-middel (in Nederland DigiD) moet kunnen inloggen bij de overheid van een andere Europese lidstaat. Dat is bijvoorbeeld handig als je als Nederlander in Italië een bedrijf wil beginnen of in Frankrijk wil gaan studeren. In diverse lidstaten wordt hieraan gewerkt, maar de commissie constateert ook dat het niet snel genoeg gaat, zegt Welling. “De grote kansen liggen in het openstellen van de identiteitsinfrastructuren naar het private domein. De meeste burgers doen online veel vaker zaken met private instellingen dan met overheden. Als je het gebruik van toegelaten eID-middelen uitbreidt over grenzen heen én naar de private sector, kun je echt meters maken.”
In Nederland stelt de Wet digitale overheid dat op termijn ook (semi)private middelen kunnen worden toegelaten tot het stelsel, naast DigiD. Dat zou betekenen dat je met een privaat middel kunt inloggen bij zowel een webwinkel als de gemeente en misschien zelfs bij de overheid van een ander EU-land. Maar of een Facebook-account daar ook geschikt voor is?
Ode aan de saaiheid
Tijdens de conferentie Nederlandse Digitaal 2021 spraken diverse experts, onder meer uit de Europese Commissie, hun bewondering uit voor de stappen die Nederland met de visie zet. “Dat is een fijne terugkoppeling”, erkent Van der Veen. “We zijn best ver.”
Het is goed mogelijk dat banken en verzekeringsmaatschappijen daar anders over denken. Voordat iedereen echt gebruik kan maken van afgeleide identiteiten van zijn of haar eigen digitale bronidentiteit, zijn we weer jaren verder. En het hééft al lang geduurd om hier te komen.
“Voorlopers in de technologie zullen altijd roepen dat het sneller en technisch beter kan, maar dat moet worden afgezet tegen wat er maatschappelijk-politiek mogelijk is”, zegt Welling. En dat naast het gegeven dat je bij innovatie ook altijd aanloopt tegen de ‘traagheid’ van de wetgeving. “Digitale identiteit is in heel veel sectoren onderwerp van gesprek, van de zorg tot mobiliteit en tot smart energy. Wat we nu hebben, is nog geen antwoord op wat zij vragen. Wat wij neerzetten, is generiek. De uitgangspunten voor de infrastructuur moeten voor al die sectoren hanteerbaar zijn, zodat zij er een specifiekere invulling aan kunnen geven.” Mijmerend: “Ik zou bijna een ode aan de saaiheid willen brengen. Het is niet sexy, maar wel heel constructief.”
Mooie slotzin Wouter :) Nooit gedacht dat traagheid en saaiheid in deze context nog eens een glimlach op mijn gezicht zouden toveren. Keep up the good work.
Dank Ineke. Sta er nog steeds achter. Je kunt dit beter grondig en goed doen dan te snel en met vergissingen.
Als DigiD gebruikt gaat worden voor webwinkels moet er wel voor gezorgd worden voor een goede afscherming van gegevens, dat de webwinkel alleen die gegevens krijgt die zij nodig heeft voor het afwikkelen van de transactie, dus niet bijv mijn ziektekostenverzekering. En ook de rijksoverheid moet niet kunnen inzien op wat voor manier dan ook wat ik bestel bij webwinkels.