Tijd voor extra privacydebat eID
eID, de vervanging van DigiD voor identificatie bij overheidsdiensten die ook voor webwinkels zal gelden, vergt een debat van zeker een half jaar. Het project gaat technisch voort in afgeslankte vorm.
Het eID-stelsel is de vervanging van de DigiD, dat te verouderd en kwetsbaar is geworden. Het stelsel moet voorzien in technische standaarden en afspraken, waarna overheden commerciële tussenpersonen, burgers en bedrijven gaan voorzien van hun ‘online paspoort’. Dat zal, anders dan DigiD, maar net als bij banken nu, ook een fysieke component kennen: een kaart en kaartlezer. eID voorziet ook in de authenticatie – checken dat je bent wie je zegt te zijn – bij het kopen in webwinkels. Uiterlijk in 2017 moet dit stelsel, met de beoogde voltooiing van de ‘Digitale Overheid’, worden ingevoerd.
Tot nu toe zijn vooral ministeries en leveranciers van authenticatietechnologie bij de eID-vorming betrokken. De ondersteuning moet breder worden. Hans-Rob de Reus, projectleider, streeft naar eensgezindheid met bedrijven en burgers die het moeten gaan gebruiken. De publieke opinie is immers van doorslaggevend belang. De Reus: “Met onhandige PR ontstaat negatieve publiciteit bij organisaties als de Consumentenbond en programma’s als Radar en Kassa. Ook is samenwerking doorslaggevend om het goed op de rails te krijgen en het is prettiger dan elkaar de tent uit te vechten.”
De projectgroep neemt extra tijd voor maatschappelijk debat en het oppoetsen van het vertrouwen. De hoop is niettemin nog dat de eerste proeven met de nieuwe DigiD, bijvoorbeeld voor de aanvraag van toeslagen bij de Belastingdienst en enkele webdiensten, volgens schema over een jaar kunnen beginnen.
Met een ingewikkelde constructie krijg je een pseudoniem toebedeeld zodat je naam niet bekend hoeft te worden bij het webwinkelen. Sterker nog: kopers hebben voor iedere site waarop ze met hun eID kunnen inloggen een apart pseudoniem. Dit moet voorkomen dat op basis van koopgedrag op verschillende sites profilering van gebruikers mogelijk zal zijn.
Dus het eID-stelsel houdt al bij het systeemontwerp rekening met privacy, het vaak bepleite ‘privacy by design’. Dat moet een betere privacy garanderen dan met vele bestaande systemen. Er is wel een ‘maar’: het stuit op dezelfde grens – de noodzaak identiteit vast te stellen bij misdaad en fraude.
Justitie op het vinkentouw
Justitie moet bij transacties met inbreng van het eID tussen bedrijven, overheden en consumenten kunnen ‘inbreken’. Technisch is daarin wel voorzien, maar keuzes staan niet vast. Ook ontbreekt de wettelijke basis voor justitieel inbreken in de beveiliging van anonieme transacties. Nu er vanuit het departement van Veiligheid en Justitie eisen voor fraudedetectie in vroege stadia zijn neergelegd, ontstaat er direct kritiek.
Martijn Kaag, directeur van Connectis, dat technologie biedt voor identificatie: “De overheid heeft exclusief voor haarzelf de mogelijkheid gecreëerd om zonder tussenkomst van een identiteitsverstrekker de identiteit te achterhalen. Dát is het probleem. Er zijn geen checks en balances meer.”
Tot op heden heeft het debat over eID een technocratisch karakter. Deelnemers zijn in de eerste plaats de deskundigen van de verschillende overheden. Tegenover zich vinden ze de ICT-bedrijven die kennis inbrengen en hun belangen als mogelijke leveranciers verdedigen. De verwarring groeit nu en de kritiek zwelt aan, wat het hoogst noodzakelijke vertrouwen in het eID aanvreet. De Reus: “Het is dus belangrijker dat er eerst een grondig maatschappelijk debat komt waar we heen willen met het eID en meer in het algemeen veilig verkeer op internet.”
Eerste schoten op eID
Dus moeten nu burgers, wetenschappers, politiek en publieke en private dienstverleners en winkeliers aanschuiven. Zoals tijdens een recent debat in De Waag in Amsterdam onder leiding van Jaap-Henk Hoepman, onderzoeker privacy en beveiliging aan de Radboud Universiteit.
Veel vragen doemen op, wachtend op antwoord:
- Zeker de laatste jaren holt het vertrouwen in ID-aanbieders, ook in de overheid zelf, achteruit. Is het hoge vertrouwen, noodzakelijk vanwege de levering van een universele identiteitsverklaring haalbaar?
- Is een eID-stelsel economisch haalbaar? Gaat de gebruiker hiervoor betalen? Zo ja, hoeveel dan?
- Wat doen we als partijen als Google en Facebook een gratis authenticatiedienst voor het Nederlandse eID-stelsel willen inrichten en miljoenen Nederlanders die prefereren?
- Hoe breed moet je het maken? Moet je het ook niet invoeren voor transacties tussen burgers onderling, bijvoorbeeld op Marktplaats of bij Uber? Of moet je eID juist tot de overheid beperken, net als DigiD?
- Leidt één nationaal e-ID-stelsel tot ‘systeemdwang’, waarbij diensten die je nu nog eenvoudig zonder authenticatie kunt gebruiken dan ook maar moeilijke eisen gaan neerleggen en met persoonlijke gegevens gaan werken?
- Creëren we een zo grote afhankelijkheid van één systeem dat bij een verstoring, van welke aard dan ook, economie én overheid een te grote klap krijgen?
- Een onafhankelijke en krachtige toezichthouder is nodig, maar kan die marktpartijen én overheden voldoende hard aanpakken?