Spanning overheid en bedrijfsleven over eID

Eén standaard voor digitale sleutels moet een einde maken aan de wirwar aan wachtwoorden die Nederlandse burgers moeten onthouden voor overheid en bedrijven. Dit jaar staat in het teken van de voorbereidingen voor het eID Stelsel. Niet alle partijen staan te trappelen.

DigiD, de inlogcode waarmee Nederlanders inloggen op webdiensten van de overheid, heeft z’n langste tijd gehad. Er is een groeiende behoefte aan een DigiD met een hoger betrouwbaarheidsniveau, een DigiD in de vorm van een bankpas. Er komt een nieuwe nationale en uitgebreide standaard, waarmee burgers zowel als bedrijven zich kenbaar kunnen maken bij overheden, en ook burgers bij bedrijven. Het lijkt op de manier waarop iDeal, het systeem van banken, nu werkt.
Met het eID Stelsel kan iedere Nederlander zich op dezelfde manier identificeren: één of enkele – als het goed is veilige – login(s) voor verschillende sites en apps. Dit jaar beginnen de eerste proeven en in 2015 al moet de invoering volgen. Markt en overheid hebben grote behoefte aan een veilige en betrouwbare authenticatie, zeggen de ministers Henk Kamp van Economische Zaken en Ronald Plasterk van Binnenlandse Zaken. Het eID Stelsel is de belangrijkste stap naar de digitale overheid in 2017.

Onoverzichtelijk en onveilig

Ondanks overkoepelende systemen als DigiD en iDeal moeten surfers nu nog veel wachtwoorden en identificatiemethoden gebruiken. Tezamen is die inlogbrij onoverzichtelijk en onveilig, gezien het gebruik van dezelfde wachtwoorden op veel sites en apps. Soms kun je volstaan met het telefonisch noemen van een geboortedatum en slingeren overal kopieën van rijbewijs en paspoort rond.
“Elke website verschaft een eigen digitale sleutel, dus weer een sleutel erbij aan mijn digitale sleutelbos. Dat gaan we omdraaien. Online aanbieders maken hun sites en apps toegankelijk met sleutels die voldoen aan de standaarden van het eID Stelsel”, zegt Hans-Rob de Reus van de Belastingdienst, een architect van het stelsel.

eID mag geen alomvattende profilering van personen mogelijk maken. Burgerservicenummers blijven in het eID Stelsel dan ook verborgen voor bedrijven, want die nummers zijn vrijwel uitsluitend voor overheden bedoeld. Wel moeten bedrijven inloggende klanten kunnen koppelen aan klantnummers.
Dat online privacy en beveiliging zo onder vuur liggen legt geen extra druk op de initiatiefnemers. De Reus: “De Europese normen liggen zeer hoog. Duitsland volgt hetzelfde traject als wij. Het is belangrijk dat je burgers heel goed voorlicht over het veilig omgaan met middelen.”

Dans om de DigiD-kaart

Het systeem moet vaststellen: wie ben je? Wat mag je? Namens wie of wat handel je? De voorwaarden voor veiligheid en privacy zijn complex. Er komt niet één overkoepelend eID-wachtwoord – dat zou te makkelijk te omzeilen zijn. In plaats daarvan mikt de overheid op een elektronische kaart met een chiplezer. Die kunnen marktpartijen als PostNL en KPN gaan uitgeven, maar ook onderzoekt de overheid het uitgeven van een publieke DigiD-kaart en -lezers. Het parlement moet dan wel akkoord gaan. De kaart is het heikele punt. Deze moet beschikbaar zijn vanaf het eerste kwartaal van 2015 en ‘massaal uitgegeven worden’ eind 2017.

Bij de plannen voor eID wordt veel gekeken naar betaalsysteem iDeal, een samenwerkingsverband tussen banken en webwinkels, als verlengstuk van het internetbankieren. Als de banken meedoen aan het eID-stelsel, dan zou je straks met één kaart bij banken, webwinkels en overheden kunnen inloggen.
“Het eID moet de hele mikmak gaan regelen, voor overheden, maar ook voor bedrijven onderling en met consumenten. Een apart systeem erop na blijven houden voor banken is niet goed”, zegt Elly Plooij, voorzitter van de Stelselraad eHerkenning, het authenticatie- en autorisatiesysteem dat al in gebruik is tussen bedrijven en overheden.

Maar meedoen is ingrijpend voor de banken. Ze moeten hun eigen stelsels en kaarten aanpassen, terwijl met een generiek systeem hun eigen veiligheidsrisico’s kunnen toenemen. Ze zouden bovendien vergoed moeten worden, een bedrag van naar schatting tientallen miljoenen euro’s – plus jaarlijkse kosten.
De banken staan daarbij niet te trappelen. De Rabobank laat weten ondersteuning te willen bieden aan een eID Stelsel, maar vooralsnog louter met ‘kennis en expertise’. ING oriënteert zich, maar ziet kansen om voor eenvoudige functies, zoals het inschrijven van nieuwe rekeninghouders, met eID te gaan werken.

Alleen ABN Amro, nog altijd staatsbank, is een stap verder: “We kijken inderdaad naar de mogelijkheden van participatie in het eID Stelsel, in overleg met de Belastingdienst. Dat zijn constructieve gesprekken.”
Maar de partijen hebben elkaar nodig. Thuiswinkel.org, de belangenvereniging voor webwinkels in Nederland, vindt het essentieel dat de authenticatie bij de entree van een webwinkel en de betaling van een aankoop in die winkel op elkaar aansluiten.
De gemeenten zien een volgende bui hangen bij invoering van eID. Ze pleiten voor een ‘realistisch’ tijdpad voor de invoering van een DigiD-kaart. Een ‘dubbele kaart’, dus een DigiD-kaart naast de huidige (W)ID-kaart vindt de meerderheid niet wenselijk, onder andere vanwege de kosten en het ongemak voor de burger.

eID – Update
De Tweede Kamer toonde zich tijdens overleg op 5 maart positief kritisch over het voorstel voor een eID-stelsel. De Kamer bepleitte bij monde van het CDA geduld en goed overleg met de markt. De PvdA vindt het belangrijk dat de overheid de leiding houdt, open standaarden hanteert en MijnOverheid uitbreidt tot een volwaardig portaal. De VVD vreest voor ‘weggegooid geld’ als de overheid zelf investeert in een kaart en wil dit aan het bedrijfsleven overlaten. Minister Plasterk wil gebruik maken van innovaties van het Nederlandse edrijfs- leven. Dat wordt mogelijk met het te vormen eID platform dat nog vóór de zomer de voornemens voor het stelsel onder de loep zal nemen.

Verzet van bedrijven

Voor authenticatie van bedrijven gebruikt de overheid al een ander systeem, eHerkenning. Bedrijven die eHerkenning bouwden en leveren willen dit uitbreiden tot eID. Martijn Kaag van leverancier Connectis vindt dat eHerkenning leidend moet zijn en kan worden uitgebreid tot eID: “We zijn in 2009 met eHerkenning gestart. De Belastingdienst en KvK waren de eerste klanten, maar trokken zich terug omdat zij zich niet gehoord voelden door EZ. Jaren later blijken een nieuwe naam en een nieuw project noodzakelijk om overheden op één lijn te krijgen. Er worden miljoenen aan overheidsgeld verspild.”
De Reus: “Onzin. Het eID Stelsel kan niet als ICT-project gezien worden, het is meer een documentatieset met daarin standaarden. Het stelsel eHerkenning kostte evenmin tientallen miljoenen.”

In de jongste versie van eHerkenning kunnen ook consumenten worden geauthenticeerd. “De vraag is wel hoeveel consumenten hier gebruik van maken. eHerkenning wordt niet direct breed geadopteerd zoals eID naar verwachting wel”, zegt Paul Alfing van Thuiswinkel.org. De organisatie van inmiddels 2000 webwinkeliers pleitte krachtig voor de invoering van serviceproviders voor eID, net als winkels voor alle betalingsvormen één tussenpersoon kunnen kiezen. Die tussenpersoon staat in de plannen nu opgenomen als ‘eID-makelaar’.

Thuiswinkel.org is daarbij voorstander van softwareoplossingen en niet van een kostbaar en kwetsbaar token ofwel kaartsysteem. “Onze wens is te komen tot one-click-buy waarbij identificatie, betalen en bezorgen met één keer aanmelden geregeld zijn. Mobiel iDeal is een goed uitgangspunt. Consumenten registreren eenmalig met eID en kunnen vervolgens betalen met vijfcijfer-pincodes”, aldus Paul Alfing.

Overheid of markt

Mocht die kaart er toch komen, dan met een leidende markt, aldus Alfing: “Als de markt voorziet in voldoende werkbare ID-middelen voor een stelsel, kan de overheid volstaan als toezichthouder. Als de overheid zelf middelen gaat uitgeven zoals een eID-kaart, dan moeten deze complementair zijn aan wat de markt biedt.”

De markt vreest overigens dat de overheid die zelf (net als nu met Logius) het heft in handen neemt met eigen, gesubsidieerde eID-kaarten en hoge (keurings)eisen stelt, een gezonde concurrentie frustreert. De Reus spreekt dit tegen: “Dit klopt niet. De infrastructuur ontwikkelt de markt als geheel, te weten het authenticatielandschap in Nederland. Een eventuele DigiD-kaart is daar een onderdeel van.”
Tijdens een recent PIMN-seminar over ID-fraude, gehouden bij Capgemini in Utrecht, was Carel Mackenbach van Digidentity in Den Haag zeer kritisch over het ID-beleid en de fraudebestrijding van de regering. Hij stelde de Britse overheid ten voorbeeld, die de authenticatie aan de markt overlaat, binnen centrale kaders die de overheid samen met het bedrijfsleven opstelt. Zo neemt Digidentity deel in een consortium van onder andere de Post Office, dat het Britse ‘DigiD-platform’ levert.
Mackenbach ziet wel verbetering met het eID-plan en juicht de dialoog die De Reus met het bedrijfsleven voert van harte toe. “Simpel gezegd is DigiD 1.0, de UK heeft eID 2.0 en Nederland gaat richting eID 3.0 met de specificaties, vooral de beveiliging en brede acceptatie.”

Tussen 2004 en iPhone Touch ID

VVD-kamerlid Zsolt Szabo diende in 2004 een motie in voor een stelsel. De regering beloofde dit uiterlijk 1 januari 2007 te effectueren, maar er komt tien jaar bij.
De markt ging door. Apple presenteerde een iPhone met herkenning van vingerafdrukken, Touch ID, bedoeld om toegang te verschaffen tot de telefoon en later wellicht ook voor authenticatie bij aankopen in de iTunes-winkel. Ook derden zullen er straks gebruik van kunnen maken. Microsoft (met Nokia) en Sony (telefoons en spelcomputer) komen er ook mee.
Reinier van der Drift van het bedrijf Authasas gelooft dat de Nederlandse overheid geen eID Stelsel met eigen infrastructuur moet opzetten: “Het is zot dat we als samenleving een dure infrastructuur optuigen met een technologie die en oud en failliet is.”
Jaap Kuipers, initiatiefnemer voor het Platform Identity Management (PIMN) spreekt het tegen: “De nationale overheid als verschaffer en bewaker van identiteit moet voor deze belangrijke functie wel de regie houden. Zeker waar het om standaardisatie gaat.”
De Reus: “Het probleem bij de commerciële initiatieven is dat ze niet uitwisselbaar zijn met elkaar. Het eID Stelsel wil dit oplossen door een standaard te creëren. Kern daarvan vormen privacy en security by design. We moeten een balans vinden tussen drie tegenstrijdige ontwerpeisen: gebruikersgemak, privacybescherming en opsporingsmogelijkheid bij fraude.”

Betrokken partijen

De implementatie van het eID Stelsel in Nederland raakt vele onderdelen van de overheid en de private sector:

In de ontwerpfase:

  • Ministeries van BZK, EZ, Financiën (Belastingdienst) en V&J
  • Universiteiten
  • Adviesbureaus
  • Consumentenbond
  • College Bescherming Persoonsgegevens (CBP)
  • Bits of Freedom (BOF)
  • Autoriteit Consument en Markt (ACM)
  • Nationaal Bureau voor Verbindingsveiligheid (NBV)
  • Agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR)
  • Manifestgroep (uitvoeringsorganisaties overheid)

Bij de uitvoering:

  • Logius
  • eHerkenning-partijen
  • Vereniging van Nederlandse Gemeenten (VNG)
  • Nederlandse Vereniging Voor Burgerzaken (NVVB)
  • Uitvoeringsinstituut Werknemersverzekeringen (UWV)
  • Sociale Verzekeringsbank (SVB)
  • Bureau Kredietregistratie (BKR)
  • Bond van Verzekeraars
  • (ICT-)Leveranciers
  • Banken
  • Thuiswinkel.org
  • Internetproviders

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren