Plasterk werkt nu aan het eID-stelsel. Het idee is goed, maar de duivel staat al schaterlachend klaar achter de coulissen van het Theater der Details.
Het elektronisch contact met de overheid moet beter beveiligd worden, aldus Plasterk in zijn visiebrief digitale overheid 2017. Daarom werkt hij nu aan het eID-stelsel. Het idee is goed, maar de duivel staat al schaterlachend klaar achter de coulissen van het Theater der Details.
Waarschijnlijk net als u zat ik de afgelopen dagen te lezen in Plasterk’s visiebrief van de digitale overheid 2017. Een must-read voor de iBestuurgemeenschap. Voor ieder wat wils om ergens iets van te vinden. Zo vind ik als communicatiewetenschapper natuurlijk iets van de passage op pagina 3: “het gebruik van het digitale kanaal door burgers zal krachtig worden gestimuleerd”. Het hoe blijft onduidelijk, maar de hoop lijkt gevestigd te zijn op ondermeer het ICT-doorbraakproject ‘massaal digitaal’. Bij nadere bestudering constateer ik dat noch dat doorbraakproject noch de visiebrief verhalen van kanaalsturing. Bij mij rijst daardoor het bange vermoeden dat deze voor de invulling van de ambities in 2017 strikt noodzakelijke activiteit volledig over het hoofd is gezien.
Ineens krijg ik koudwatervrees. Wat zou er nog meer over het hoofd zijn gezien? Onrustig flitsen mijn ogen over het scherm op zoek naar wat ons allen raakt. Daar! Het eID stelsel! Hoe moeten we naar die ambities kijken? Hiervoor ben ik gaan praten met mijn collega Maarten Wegdam, gespecialiseerd in privacy, identity en trust vraagstukken. Maarten heeft gewerkt aan het Europese eID project STORK en aan het R&D project cidSafe (safe Consumer Identity), waarin hij samen met partijen als Rabobank en APG werkte aan een gemakkelijke digitale sleutel voor algemeen gebruik door consumenten op het internet.
Maarten: “Het idee achter het eID-stelsel is goed. Met DigiD was het veiligheidsvraagstuk een feestje van de publieke sector, maar door het eID stelsel krijgt ook de private sector een oplossing aangedragen. Dat doet recht aan de omvang van het probleemgebied, als consumenten gebruiken we immers veel vaker e-commerce-diensten dan e-overheidsdiensten (zie bijvoorbeeld pag. 43 van het Trendrapport Internetgebruik). Ook goed: de eID-stelselvisie wordt veel breder gedragen dan de DigiD-visie een paar jaar geleden, of recenter eHerkenning. Toen hadden verschillende overheidsorganisatie verschillende visies.”
Mooi, maar tussen droom en daad staan wetten in de weg en praktische bezwaren. Wat zijn nou typische eID vraagstukken waar we niet lichtvaardig over mogen denken? Maarten: “Overall is het probleem dat er veel onduidelijkheid is over wat er allemaal gaat gebeuren. Er moeten enorm veel keuzes worden gemaakt, dat is nog niet gebeurd. Dat werkt weer verlammend op initiatieven vanuit de private sector om een rol te spelen binnen het eID-stelsel, gebruik te maken van het eID-stelsel of om diensten te ontwikkelen complementair aan dit stelsel.”
Waar moeten we zoal aan denken? Maarten benoemt drie onderwerpen:
- De kosten voor een middel met hoge beveiliging zijn ongeveer 250 miljoen euro. Wie gaat dat in deze tijd betalen? Het zal er waarschijnlijk op neer komen dat de overheid een groot deel hiervan door anderen laat betalen. Wie zijn dat? De consument? Dat is slecht voor de adoptie en een middel dat niemand gebruikt, is per definitie geen succes. Consumenten betalen alleen als ze echt moeten. Maar bedrijven zijn gek als ze het eID-gebruik verplicht stellen. Verzekeraars geven bijvoorbeeld aan dat als ze dat doen, de klant naar de concurrent gaat of andere, duurdere kanalen gebruikt. Verplichtstelling opgelegd door de overheid is lastig, want daarmee creëer je weer een drempel om geld te vragen voor een eID. De dienstenaanbieders zelf dan? Maarten is daar een voorstander van. Daar liggen immers de besparingen, consumenten zullen meer elektronisch doen en dat is in het voordeel van de aanbieders. Maar ook hier zijn beren op de weg. eID moet je zien als een kostbare marktintroductie van een infrastructuur. Het aanbod roept niet zomaar de vraag op. Neem België en Duitsland, ondanks de massale beschikbaarheid van passen daar valt het tegen bij hoeveel grote dienstverleners je kunt inloggen met je eID-pas.
- Dan zijn er typische privacyvraagstukken op te lossen. Werken aan een veiliger internet is altijd schipperen tussen kosten, security, privacy en gebruikersgemak. Verhoog je het één, verlaag je het ander. Hoe veiliger je iets wil maken, hoe meer je vraagt van iemands digitale vaardigheden. Hoe gebruikersvriendelijker je wilt zijn, hoe meer je het gevaar loopt van de overheid een big brother te maken. Wat is het juiste evenwicht? Er zijn onderzoekers die dat allemaal proberen te combineren, maar dat is op dit moment technologie die zich nog niet op grote schaal heeft bewezen. Er moet dus over dat evenwicht worden nagedacht en bij de keuzes moet de politiek betroken worden: immers geld versus gebruikersgemak versus privacy versus security. Zonder die betrokkenheid bestaat het gevaar dat keuzes niet goed onderbouwd worden of dat beslissingen zonder maatschappelijk draagvlak genomen worden.
- Doel en kritieke succesfactor van eID-stelsel is dat er redundantie in eID-middelen komt en dat dit zowel publieke als private middelen zijn. We willen af van de huidige digitale sleutelbos, slechts één eID-middel is wel erg kwetsbaar. Daarmee zouden we een situatie creëren waarin onze digitale samenleving voor langere tijd tot stilstand kan worden gebracht door een enkele onverlaat. Hiervoor is echter wel een zogenaamd level playing field tussen publieke en private partijen nodig die allebei eID-diensten aanbieden, aldus de beleidsgedachten. Maar hoe gaat dat werken? Gaan private partijen op prijs concurreren met de overheid in de uitgifte van eID-middelen? Wat als het eID-middel van de overheid goedkoper is? Gaan private partijen dan alsnog afhaken? Met name over het level playing field wordt veel te gemakkelijk gedacht.
Wel beschouwd dus nog een paar beste hobbels te nemen met het eID-stelsel. Het zou mooi zijn als alle betrokkenen hier de tijd voor krijgen en de ruimte voor nemen. Want de duivel staat al weer schaterlachend klaar achter de coulissen van het Theater der Details.
Meer weten? Kijk dan op de website van cidSafe of neem contact op met Maarten.Wegdam@novay.nl
Beste Wolfgang,
Ik verwacht om twee redenen dat we als overheid c.q. als samenleving niet om eID heen kunnen. Ten eerste is de steeds groter wordende sociale tweedeling als gevolg van de verdergaande digitalisering niet acceptabel. Grote groepen in de samenleving (de oudere generatie senioren, verstandelijk gehandicapten, kinderen, etc.) worden buitengesloten van elektronische dienstverlening. Huidige suboptimalisaties zoals een machtigingenvoorziening is moeilijk stand te houden voor generieke toegangscontrole of maatwerk dienstverlening, zoals beschikbaarstellen medische gegevens, of toegangscontrole bij een concert.
De tweede reden is waarschijnlijk de oorzaak waarom eID snel een succes wordt. Het gaat levert juist erg veel besparingen op. De volgende generatie toegangssystemen kan beter en eenvoudiger gebruik maken van zintuigen. Beeld en geluid zijn tegen steeds lagere kosten te vertalen naar een unieke herleiding naar de persoon. Deze herkenning door de bijvoorbeeld een iPad met wat hulpprogramma’s is al vele malen veiliger dan een userid en een vaak simpel wachtwoord. My body is my paspoort, gaat er voor zorgen dat we patiënten herkennen, passagiers herkennen, belastingbetalers herkennen, stemmers herkennen, druggebruikers herkennen, kortom al die verschillende complexe toegangscontroles kunnen vervangen worden door een camera, een microfoon, en een herkenningsalgoritme. Een beetje rekenen geeft snel besparingen in de tientallen miljarden, vooral in internationaal verband. Dus vergeet al die pasjes, plastic is zo 2012.
Ooit gekeken naar de realiteit in België ? eid.belgium.be/nl/
Hoezo wielen opnieuw willen uitvinden ?