Als na de pilots met Idensys een landelijke uitrol wordt gestart, moeten alle partijen voldoen aan de eenduidige toelatingseisen. Dat geldt dus ook voor de inlogs bij de Belastingdienst en straks andere overheidsdiensten met ING, Rabo, ABN Amro.
BZK neemt de regie met de regulering van het publieke domein van Idensys (eID). Banken blijven straks voor hun inlogs onder toezicht van De Nederlandsche Bank. Voor het publieke domein gaat het departement een eenduidig Toelatingsstelsel beschrijven, normen waaraan alle aanbieders van authenticatiemiddelen moeten voldoen. Dit stelsel geldt ook voor de banken, voor zover de inlog wordt gebruikt voor toegang tot het publieke domein.
Er komt een eenduidige verantwoordelijkheid voor toegang tot het publieke domein bij BZK, in plaats van gedeelde verantwoordelijkheid van BZK en EZ. Om als private leverancier toegang te krijgen tot het publieke domein hoeft zo’n partij niet meer toe te treden tot een privaat-publiek stelsel, maar is er sprake van toelaten op basis van door BZK vastgestelde toelatingseisen.
Dat blijkt uit een brief van minister Plasterk aan de Tweede Kamer, met antwoorden op vragen en moties van de Vaste Kamercommissie van BZK van 25 november en van 8 december 2015. Er was de nodige verwarring bij Kamerleden over de verschillende mogelijkheden die het komende halfjaar getest gaan worden.
Er vinden immers in feite drie testen plaats die los van elkaar staan, met publieke middelen – zoals DigiD dat nu is – met private middelen in het publieke domein onder Idensys en met inlogs van het internetbankieren: 1) pilots met publieke middelen met regelgeving vanuit BZK; 2) pilots met private middelen in het publieke domein op basis van het afsprakenstelsel Idensys; 3) pilots met bank-inlogs die zich louter aan toezicht van De Nederlandsche Bank hoeven houden.
Eigen feestje
Die laatste test is een exclusieve afspraak van de Belastingdienst met de banken, tot stand gebracht na twee jaar vruchteloos pogen om de banken in het eID-stelsel van overheden en bedrijfsleven te betrekken. ‘Banken vieren hun eigen feestje’, stond boven dat iBestuur-stuk en dat wordt bevestigd door minister Plasterk in zijn jongste brief.
Betrokkenen spraken de hoop uit dat de verschillende manieren van inloggen wel ‘naar elkaar toe zouden groeien’, tegen beter weten in. De vraag wordt in hoeverre de overheidsvereisten de banken noodzaken tot aanpassingen, of dat hun huidige niveaus van beveiliging en privacy volstaan.
Hans-Rob de Reus, adviseur eOverheid van de Belastingdienst, suggereerde al alleen toegang tot het publieke domein te reguleren. BZK maakt een wet met de normen en een technische standaard, zonder vereiste goedkeurende afstemmimg met het bedrijfsleven in overlegstructuren. Dat laatste pad zet Plasterk nu uit.
‘Multimiddelen-benadering’
In overleg met Economische Zaken en Financiën is hiertoe besloten. BZK neemt de verantwoordelijkheid voor burger-authenticatie in het publieke domein (BSN-domein) met een wet en vereisten en bemoeit zich niet met de andere manieren van inloggen bij overheden en bedrijfsleven in deze ‘multimiddelen-benadering’. BZK komt daartoe met een Wet generieke digitale infrastructuur (Wet GDI), die eerder is aangekondigd. Vanzelfsprekend worden bij de totstandkoming van de eisen – zoals gebruikelijk is bij de voorbereiding van wetgeving – belanghebbende partijen, waaronder middelenleveranciers en dienstverleners, betrokken.
Daarmee worden de vereisten voor de pilots ook beperkt tot het publieke domein, met normen voor:
– de registratie en uitgifte van een authenticatiemiddel, bijvoorbeeld met fysiek contact (face-to-face) bij de eerste uitgave;
– beveiliging (en privacy), bijvoorbeeld verplichte versleuteling, eisen aan opslag van persoonsgegevens en dataminimalisatie;
– privacybescherming, zoals voor dataverzamelingen, met Privacy Impact Analyses (PIA) voor de pilots en definitieve invoering;
– technische eisen: de specificatie van de technische koppelvlakken om te kunnen inloggen in het publieke domein;
– een ‘uniform toelatingsstelsel’ voor het publieke domein waar een eenduidig certificeringsstelsel en toezicht onderdeel van uitmaken.
Evaluatie
Zowel de pilots met publieke middelen als met private middelen zijn voor wat het gebruik van BSN betreft wettelijk ingekaderd. Kern van de pilots is dat wanneer partijen aantoonbaar aan de gestelde eisen voldoen, de betreffende middelen worden geaccepteerd in het publieke domein. De pilots met private middelen (Idensys en banken) hebben gemeen dat ze gebruik maken van een publieke, reeds gereguleerde voorziening, het BSN-koppelregister, waardoor authenticatiemiddelen in het publieke domein kunnen worden gebruikt.
Alle pilots worden door een commissie onder voorzitterschap van Peter Veld geëvalueerd en daarbij worden dezelfde evaluatiecriteria gehanteerd. Ook wordt een BIT-toets uitgevoerd aan het begin van de pilots, conform de eis van de Kamer. Medio 2016 zullen de uitkomsten van de pilots, van de BIT-toets en van de evaluatie door de Commissie Veld – nu BZK – door het kabinet worden besproken. Tevens zal dan één set van toelatingseisen voor het publieke domein van toepassing zijn.
