Artikel

Identiteit is geen statisch gegeven

Paspoort, BSN, DigiD, toegangspas, creditcard; het beheer van onze identiteiten moet de ‘wie mag wat-vraag’ efficiënt en gebruikersvriendelijk regelen. Hoe belangrijk is identity management eigenlijk en hoe is het aan het veranderen? Op de partnerpresentatie van Centric op het iBestuur-congres probeerde Jaap Kuijpers wat antwoorden te geven.

Jaap Kuipers (Platform Identity Management Nederland): “Er zitten heel veel pijnpunten in de medewerkersadministraties, vooral bij lokale overheden, ziekenhuizen en dergelijke.”

Wie mag er wát met welke gegevens? Het is het terrein van Identity & Access Management, een terrein waarop veel gebeurt. Tenminste, als we Jaap Kuipers, initiatiefnemer van het Platform Identity Management Nederland, mogen geloven. “Thuis heb ik geen grip op digitale identiteiten”, geeft hij toe. “Kerstkaarten schrijven vind ik vreselijk omdat al die adressen niet kloppen.” Gelukkig helpt een smartphone inmiddels enigszins.

In de meeste organisaties en bij de overheid gaat het er inmiddels redelijk professioneel aan toe; jezelf voor iemand anders uitgeven is niet makkelijk. Maar het is nog verre van perfect. “Dus de vraag is aan ons allen, gemeenten, BZK en andere organisaties: hoe brengen we de wie-administratie op orde.” Kuijpers ziet bijvoorbeeld hoe weerbarstig het kan zijn om een interne medewerkersadministratie – ook bij de overheid – op orde te brengen. Stel dat iemand even wat komt verbouwen, of wordt ingehuurd voor een opdracht; hoe hou je nu bij wie er op een ministerie intern, van een andere ministerie of extern zijn? Mijn stelling is dat er heel veel pijnpunten zitten in die administratie, vooral bij lokale overheden, ziekenhuizen en dergelijke.” Zoiets op orde brengen kost geld, maar het moet. Gelukkig zijn er steeds meer technische hulpmiddelen.

Aspecten

Identiteitsbeheer heeft verschillende aspecten. Ten eerste moet een identiteit geregistreerd worden. Daarnaast is er het synchroniseren van verschillende registraties. Wat in de ene registratie verandert, moet vervolgens immers ook kloppen met gerelateerde bestanden. “Zo is er het lopende adresonderzoek bij gemeenten; dat gaat om opschonen en terugmelden aan andere partijen binnen de overheid.” En dan zijn er nog de audits en controles die geregeld moeten plaatsvinden.

Kuijpers schetst een belangrijke ontwikkeling in identiteitsbeheer: externalisatie, als het ware in de vorm van een nutsvoorziening die door een gespecialiseerde partij wordt uitgevoerd. Bij de automatisering zelf gebeurt zoiets al met bestanden en met ‘software as a service’. De cloud is inmiddels de computer. “En de tendens die we bij identiteitenadministraties zien is dat ze uit de applicaties worden gehaald.” De nieuwe BRP is een voorbeeld.

Levenscyclus

Maar dat alleen is niet genoeg. Het besef moet ook doordringen dat identiteiten een levenscyclus hebben. Iemand wordt geboren en aangegeven op het gemeentehuis, er wordt een geboorteakte gemaakt. Een identiteit wordt aangemaakt in de vorm van een BSN en een paspoort. Een identiteit kan worden geactiveerd of ingetrokken (creditcard) er kunnen attributen bij, en uiteindelijk wordt een identiteit beëindigd. “In die hele cyclus kan het ook fout gaan”, zegt Kuijpers, die het probleem bij zijn toehoorders legt: Met welk onderdeel van de levenscyclus hebt u te maken?”
Hij gaat verder: “Stel dat we bezig zijn met een identiteit – paspoort, rijbewijs, bsn – daar kun je statisch mee omgaan, maar de werkelijkheid is anders. Als ik op mijn hofje een auto zie binnenkomen die ik niet ken, dan valt mij dat op. De DigiD-beheerder zag dat er op één adres 107 DigiD’s waren geregistreerd. Dat bleek te maken hebben met een bejaardentehuis en hulp bij aangifte. Die gezonde achterdocht is één van de middelen om je identiteitenbeheer op orde te krijgen. Dat doen de banken en creditcardmaatschappijen ook.”

eID-stelsel

Na aansporing uit de zaal brengt dat Kuijpers uiteindelijk ook bij het op het iBestuur-congres veelal aangesneden eID-stelsel. “We kunnen nog verder gaan dan die nutsvoorziening. Met DigiD kan één burger naar 600 diensten. Stel nu dat mensen in een keten willen werken, bijvoorbeeld in een samenwerking van gemeente, school en jeugdzorg; drie mensen die willen inloggen op één systeem. Dan kun je afspreken met elkaar dat jouw medewerker bij mijn jeugdzorgdossier naar binnen mag. Want we weten dat je je zaken op orde hebt, je hebt beveiliging en we hebben een contract. Het eID-stelsel gaat dat federatieve model faciliteren. Het stelsel is een paraplubegrip voor wat nu DigiD is – en wat aan zijn grens zit volgens Digicommissaris Bas Eenhoorn. Voor sommige dingen is een hogere beveiligingsgraad nodig. Het is de weg van de toekomst.”

Maar het is niet bepaald vrijblijvend, waarschuwt hij. “Als je in dat federatieve systeem wilt meespelen, dan moet je zorgen dat je je eigen beveiliging echt op orde hebt, én dat je kunt koppelen in die architectuur, dat je de sleuteltjes van de anderen kunt ontvangen.”

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren