In de hele eID-historie wil het maar niet doordringen tot het centralistisch ingestelde ministerie dat met een decentrale architectuur veel problemen verdwijnen.
Het dossier waarop achtereenvolgende bewindslieden op het ministerie van Binnenlandse Zaken (BZK) het minste voortgang hebben geboekt is waarschijnlijk dat van de elektronische identiteit (eID)
De Tweede Kamer behandelt op dit moment het wetsvoorstel Digitale Overheid (DO), dat een aanpassing is van een reeds tweemaal voorgestelde Wet Generieke Digitale Infrastructuur (GDI). Ook de nieuwste incarnatie van deze wet blijft hardnekkig vasthouden aan een achterhaalde, dure visie waarin alles draait om de overheid zelf.
De administratieve identiteit van een burger is in veel gevallen terug te voeren op basisregistraties van de overheid. Op grond daarvan wordt bijvoorbeeld een paspoort, rijbewijs of ID-kaart uitgegeven, waarmee een burger een bankrekening kan openen of een betrekking aan kan gaan. Dit wordt ook wel omschreven als: de overheid is de verschaffer van de ʻbron-identiteit’ van burgers. Deze rol van de overheid is onomstreden en vormt de basis voor vertrouwen in het maatschappelijke verkeer.
De overheid is zich echter zeer gaan vereenzelvigen met deze rol waardoor een centralistisch zelfbeeld is ontstaan. Wij van de overheid geven een burger een identiteit, en wanneer het ons niet bevalt, nemen wij die identiteit ook weer af. Dat laatste gebeurt bijvoorbeeld wanneer een paspoort ingetrokken wordt.
Identiteiten, rollen en attributen
In het dagelijks leven hebben mensen veel verschillende rollen en daarmee veel verschillende ʻidentiteiten’, bijvoorbeeld als werknemer ten opzichte van een werkgever, als klant ten opzichte van een (web)winkel, als lid ten opzichte van een sportclub, of als stemgerechtigde / belastingplichtige / et cetera ten opzichte van de overheid. Deze rollen lopen makkelijk in elkaar over. Zeker in de digitale wereld is er behoefte aan identiteitsmiddelen die recht doen aan deze verschillende rollen, en zogeheten contextuele authenticatie mogelijk maken. Dat wil zeggen dat je in verschillende situaties verschillende aspecten van jezelf (attributen) kunt aantonen, namelijk alleen die aspecten die op dat moment relevant zijn.
In de digitale wereld hebben mensen velerlei identiteiten voor velerlei toepassingen. Het centralistische idee dat enkel een door de overheid verschafte – en te herroepen – identiteit in alle situaties bruikbaar is, is volstrekt achterhaald. Over de noodzaak van een meer gedifferentieerde aanpak zijn uitstekende stukken geschreven, bijvoorbeeld door de VNG en door PBLQ. Zo zien veel gemeenten in dat inloggen met DigiD een overkill is – ook in de zin van de Algemene Verordening Gegevensbescherming (AVG) – voor het melden van een losliggende tegel in de eigen straat. Daarvoor is het voldoende als de melder aan kan tonen in de betreffende straat, wijk of stad te wonen.
Publiek of privaat, burger of bedrijf
In de Wet Digitale Overheid (DO) is van deze verscheidenheid aan rollen niks terug te vinden. In plaats daarvan maakt de wet een kunstmatig onderscheid tussen ʻpubliek’ en ʻprivaat’ en tussen ʻburger’ en ʻbedrijf’. Deze onderscheidingen komen niet voort uit hoe mensen hun identiteiten gebruiken, maar uit de manier waarop de overheid haar zaken zelf georganiseerd heeft. In het publieke domein mag het burgerservicenummer (BSN) wel gebruikt worden, maar niet in het private domein; een bedrijf moet eHerkenning gebruiken, maar een burger niet. Door dergelijke kunstmatige opsplitsingen (denk aan eenmanszaken) is de Wet DO omstreden, en wordt bijvoorbeeld ook door ondernemers stevig bekritiseerd. Hun afwijzing van DigiD is overigens ongefundeerd: het lijkt mij volkomen gerechtvaardigd dat de overheid voor eigen organisaties een eigen inlogmiddel heeft.
De opsplitsing tussen ʻpubliek’ en ʻprivaat’ heeft een zekere interne logica, gebaseerd op (terechte) beperkingen aan het gebruik van het BSN. De gedachte is dat een privaat identiteitsmiddel het BSN in principe niet mag bevatten en daarom maar een beperkte rol kan vervullen, alleen in het niet-publieke domein. De wet voorziet overigens wel dat sommige private middelen, op termijn, onder nader te bepalen voorwaarden, toegelaten kunnen worden voor publiek gebruik, maar alleen onder curatele van de overheid.
Decentrale doorbraak
In de hele eID-historie wil het maar niet doordringen tot het centralistisch ingestelde ministerie van BZK dat met een decentrale architectuur veel problemen verdwijnen. Zo’n decentrale architectuur wordt bepleit door internetpionier Tim Berners-Lee en wordt in Nederland gerealiseerd door het identiteitsplatform IRMA (I Reveal My Attributes), waar ik zelf nauw bij betrokken ben. IRMA gebruikers hebben een app op hun telefoon waarin attributen over hen zelf decentraal, alleen op de telefoon, opgeslagen kunnen worden. Deze attributen worden beveiligd opgeslagen, voorzien van een handtekening van de uitgever van de attributen. In september 2018 heeft de gemeente Nijmegen een koppeling gerealiseerd tussen de Basisregistratie Personen (BRP) en IRMA en deze opengesteld voor alle Nederlanders. Hiermee kan iedereen eigen authentieke BRP attributen (inclusief BSN) online ophalen en in de eigen IRMA-app laten plaatsen. Deze, en andere IRMA attributen, kunnen vervolgens selectief gebruikt worden voor contextuele authenticatie.
Deze BRP–IRMA koppeling is juridisch getoetst, onder andere door de Rijksdienst voor Identiteitsgegevens (RvIG). Juist het decentrale karakter maakt de koppeling wettelijk mogelijk: de gemeente Nijmegen geeft de attributen rechtstreeks aan de betreffende burger, na inloggen met DigiD plus SMS, in lijn met het programma Regie op Gegevens. De beheer-stichting achter IRMA wil deze uitgiften niet zien, maar belangrijker, kan ze ook helemaal niet zien vanwege de decentrale architectuur. Deze stichting is daarom helemaal geen verwerker van de BRP-attributen (in het bijzonder niet van het BSN). Op deze decentrale wijze kan een niet-publiek middel toch met het BSN omgaan. De onderliggende assumpties van de Wet DO zijn daarmee achterhaald. Ik ben een groot voorstander van een overheid die reguleert omwille van welbegrepen publieke belangen, maar niet om de eigen, burocratische realiteiten dwingend aan de samenleving op te leggen.
In het veld
Met een decentrale attribuut-gebaseerde aanpak zijn de kunstmatige en belemmerende onderscheidingen publiek/privaat en burger/bedrijf uit de Wet DO niet langer nodig. Dit wordt ʻin het veld’ begrepen. Voor nieuwe persoonlijke gezondheidsomgevingen (PGO’s) had MedMij last van het onderscheid publiek/privaat, waardoor twee verschillende inlogmiddelen nodig leken: een privaat middel voor toegang tot de PGO en een publiek middel voor toegang tot de achterliggende zorgaanbieder (op grond van de wet BSN in de zorg). Nu ziet MedMij dat IRMA als enkel inlogmiddel volstaat, door verschillende attributen voor verschillende rollen te gebruiken. MedMij wil deze nieuwe aanpak verder onderzoeken en via een pilot testen. Zorgverzekeraar VGZ is al een eigen pilot gestart waarbij een machtiging voor online toegang bij VGZ namens een machtiginggever eenvoudig decentraal geregeld kan worden: de gemachtigde krijgt een speciaal inlog-attribuut in zijn/haar IRMA-app, dat het betreffende mandaat beschrijft. Hier is geen (duur) centraal machtigingsregister voor nodig. Het bedrijf Nedap, marktleider voor ICT in de thuiszorg, heeft een nieuw artsenportaal Helder in ontwikkeling waarop (exclusief!) met IRMA ingelogd kan worden. Deze ontwikkelingen worden gezamenlijk verder vormgegeven via de stichting Nuts.nl. Webwinkels hebben jarenlang bij de overheid gelobbyd voor toegang tot de BRP om adresgegevens van klanten te kunnen checken voor bezorging. De overheid heeft dit steeds geweigerd, op goede gronden. Ook hier geeft de decentrale aanpak een doorbraak: BRP-gegevens worden, nu reeds, aan de burger zelf verschaft, in de IRMA app; ze kunnen vervolgens, selectief, door diezelfde burger aan een webwinkel of andere instelling getoond worden, zonder dat de overheid zulke authenticaties kan volgen. Zulke nieuwe verankeringen vergroten het vertrouwen en vormen de basis voor innovaties.
Benen op de grond
Het adviesburo Ecorys becijferde in maart 2018 de totale kosten van de eID-plannen van BZK op 995 miljoen euro! Dit betreft een periode van 10 jaar, waarin iets minder dan de helft van dit bedrag bestemd is voor DigiD. Ecorys beveelt aan ook naar goedkopere alternatieven te kijken. IRMA is up-and-running, is gratis beschikbaar zonder winstoogmerk, is gebaseerd op open source software, is privacy-vriendelijk en kan direct, zonder aanbesteding, door de Rijksoverheid en door vele anderen gebruikt en mee uitgebouwd worden. BZK lijkt de aanbeveling van Ecorys nog niet heel serieus te nemen. Mogelijk kan de Tweede Kamer niet alleen een porretje in die richting geven, maar vooral ook de misplaatste dwangmatigheid van de Wet DO afwijzen.
Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Zie voor meer informatie zijn persoonlijke webpagina.
Dezelfde Nedap die ook betrokken was bij stemmachines en ov-chip kaart?