eID: sprintwedstrijd met hindernissen

door: Peter Mom, 19 juli 2018

Overheidsorganisaties willen e-diensten leveren aan de juiste burgers. Wie online aanklopt maakt zich bekend met een elektronische identiteit. Behalve DigiD, uitgebreid naar hogere betrouwbaarheidsniveaus, kan dat straks met private authenticatiemiddelen. De stand van zaken in een complex dossier met knelpunten.

Tijd voor extra privacydebat eID

Beeld: Dreamstime

Dieter Hartmann gaat trouwen. Het Standesamt verlangt van hem een afschrift van zijn geboorteakte. Hij woont in Karlsruhe en is geboren in Nederland. Hartmann is een van de 55 miljoen Duitsers met een e-Personalausweis, waarvan 23 miljoen geactiveerd. Op de website van zijn Nederlandse geboorteplaats logt hij in door de knop eIDAS te selecteren en als land ‘Duitsland’ te kiezen. Een Duitse authenticatievoorziening checkt zijn identiteit en meldt de Nederlandse gemeente dat hij echt Dieter Hartmann uit Karlsruhe is. Dan vraagt hij zijn afschrift aan, dat hij enkele dagen later in zijn Briefkasten aantreft.

Per 29 september aanstaande moeten alle Nederlandse gemeenten overweg kunnen met zulke buitenlandse aanvragen. Nog niet uit alle 27 andere EU-lidstaten, maar – buiten Duitsland – over drie maanden mogelijk ook uit Estland, Italië, Kroatië, Luxemburg en Spanje. In juli 2014 stelde Brussel de eIDAS-verordening vast over ‘elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt’ en gunde lidstaten vier jaar voorbereidingstijd. Eind september gaat de acceptatieverplichting van buitenlandse authenticatiemiddelen dus in.

Yvonne Brink, eID-expert van VNG Realisatie, licht gemeenten voor over ontwikkelingen in het complexe identificatie- en authenticatiedomein, en signaleert enige knelpunten. Ze stelt dat 274 gemeenten (met voor bedrijven eHerkenning) in beginsel eID kunnen inzetten, maar dan wel moeten upgraden naar een nieuw koppelvlak en nog enkele andere aanpassingen moeten verrichten. 106 gemeenten hebben geen eHerkenningsaansluiting. Die kunnen er eentje voor rond 12.500 euro regelen, maar zullen zich afvragen of dat voor die ene Hochzeit wel moet. Voorts kunnen ze wachten op een routeringsvoorziening. BZK’s programmaleider eID Maarten Prinsen verwacht dat deze dit jaar gereed is. Als derde optie noemt Brink: alle e-formulieren offline halen. Rigoureus, maar voor zeer kleine gemeenten met maar enkele e-formulieren wellicht een acceptabele noodgreep. Niemand weet hoeveel grensoverschrijdende logins de eIDAS-verordening zal brengen, maar bij verordenen hoort naleven.

Substantieel

Er gaat meer veranderen. DigiD wordt geschikt gemaakt voor e-diensten die voor authenticatie een hoger betrouwbaarheidsniveau verlangen. Overeenkomstig de eIDAS-aanpak komen naast DigiD-basis (gebruikersnaam en wachtwoord) de niveaus ‘substantieel’ en ‘hoog’.

Voor DigiD-substantieel is een smartphone met app nodig. Gebruikers activeren het nieuwe authenticatiemiddel door eenmalig hun ID-gegevens op hun telefoon te laden vanaf de chip in hun paspoort, identiteitskaart (NIK) of rijbewijs (dat sinds november 2014 een chip bevat). Probleempje: in de telefoon moet daarvoor een werkende NFC-chip voor draadloze communicatie zitten. Niet alle Android-toestellen hebben die en Apple zet de NFC-chip in zijn iPhones (vooralsnog) niet open voor derden. Dat betekent dat maar 20 (VNG) tot 40 procent (BZK) op deze wijze DigiD-substantieel kan activeren. BZK onderzoekt daarom alternatieven, zegt Prinsen, waaronder zuilen in openbare gebouwen. Ook blijft DigiD-midden (gebruikersnaam, wachtwoord en sms-code of DigiD-app) voorlopig toegestaan voor wie nog geen substantieel heeft. Met substantieel inloggen voor een e-dienst per computer gebeurt door met de DigiD-app op de telefoon een QR-code op het beeldscherm te scannen.

De Belgen doen het eerder

België was vroeg met zijn elektronische identiteitskaart, waarmee digitale diensten zich online laten afnemen. Maar de ook benodigde kaartlezer (hoe die in 1001 huiselijke computerconfiguraties blijvend werkend te installeren?) kan de gebruiker nogal eens tot wanhoop drijven. Sinds mei vorig jaar is er ook een private authenticatiedienst, itsme®, aangeboden door Belgian Mobile ID, opgezet door banken en telecomproviders. Sedert begin dit jaar is itsme® ook door de Belgische overheid toegelaten voor gebruik in het publieke domein. Van de 1,2 miljoen transacties die de 350.000 gebruikers maandelijks verrichten, betreft circa een derde logins voor overheidstoepassingen. Die zijn benaderbaar via de centrale portal CSAM.

itsme® werkt met een app op de gsm. De digitale identiteit wordt daaraan gekoppeld vanuit de bank van de gebruiker dan wel vanaf de eID-kaart (via de kaartlezer, waardoor perikelen rond de NFC-chip zoals in Nederland zich niet voordoen). Behalve inloggen kan men er digitale handtekeningen mee zetten. Volgens CEO Kris De Ryck van Belgian Mobile ID voldoet het aan de eIDAS-eisen voor betrouwbaarheidsniveau ‘hoog’.
In mei kondigde de Belgische regering een voorziening aan met de naam BeApp, met op termijn verschillende inlogmechanismen. itsme® is de eerste die daarvoor is gekwalificeerd. BeApp moet eind dit jaar beschikbaar komen.

Na een eIDAS-audit van DigiD-substantieel en acceptatie door ‘Brussel’, momenteel in voorbereiding, moet de Nederlander met een stacaravan in de Ardennen daarmee online zijn Belgische formaliteiten kunnen regelen, zoals Dieter Hartmann hier terechtkan voor zijn akte-afschrift.

Vanwaar de keuze voor een aanpak die meer burgers uit- dan insluit? Prinsen spreekt van ‘een zeer goedkope self-service-oplossing’ en zegt verder: “We zoeken naar oplossingen voor de resterende 60 procent, bij voorkeur net zo makkelijk en goedkoop. Maar tot nu toe is de ideale oplossing niet gevonden. Intussen wachten we niet tot er iets is voor alles en iedereen, maar stellen beschikbaar wat nu mogelijk is.”
Voor gebruik van DigiD-substantieel (en hoog) is ook een Wet digitale overheid nodig, die overheden verplicht de nodige inlogvoorzieningen op hun website aan te bieden. Begin juni ging de ministerraad akkoord met het wetsvoorstel.

Om betrouwbaarheidsniveau hoog zit momenteel vooral de zorg te springen. Het werkt zoals substantieel, waarbij echter het inlezen van de ID-gegevens van identiteitskaart of rijbewijs (paspoort niet) noodzakelijk is voor elke inlog. Daarvoor biedt een zuil in bibliotheek of ziekenhuis geen soelaas. BZK broedt nog op een workaround om NFC-chips te omzeilen.

Behalve een bruikbare NFC-chip in de telefoon is ook een applet nodig in de smartcard. De RDW zou het rijbewijs met applet in oktober gereed moeten hebben, maar was er vroeg mee en inmiddels loopt met 200 deelnemers een ‘friends & family pilot’ annex ‘lerende uitrol’. De identiteitskaart moet de applet per begin 2019 ook hebben en wordt daarmee eNIK. Daarvoor is nog wel een wijziging nodig van de Paspoortwet. Het wetsvoorstel ligt bij de Raad van State.

Publiek: DigiD

“Spreek uit: ‘Diegiedee’.” Je kunt het nog op menige website tegenkomen, maar het gebruik is zo toegenomen, dat DigiD die toelichting nauwelijks meer behoeft. In de vijftien jaar sinds de introductie (eerst Nieuwe Authenticatie Voorziening of Burgerpin genoemd) is het aantal mensen met een persoonlijke inlogcode gegroeid tot 13.569.667 (per eind april 2018). Vorig jaar is 280.199.084 maal ingelogd bij 623 organisaties.

In bijna 90 procent gebeurde dat met gebruikersnaam en wachtwoord (zekerheidsniveau basis). Tweetrapsauthenticatie (zekerheidsniveau midden, dat is lager dan het eIDAS-niveau substantieel) gaat op twee manieren: gebruikersnaam, wachtwoord en sms-code (in 2017 26.110.699 keer, 9,3 procent) of via de DigiD-app (pincode via telefoon of tablet, QR-code scannen en pincode via computer, vorig jaar 2.581.170 maal, 0,9 procent). De cijfers komen van Logius.

Een hoger zekerheidsniveau wordt nog maar weinig gevraagd. Op 630 dienstverleners (half mei 2018) slechts door 64. De grootste groep dienstverleners die verlangen dat mensen met DigiD inloggen, zijn gemeenten en gemeentelijke samenwerkingsverbanden. Van deze 413 gemeentelijke organisaties controleren er maar 5 de identiteit extra met een sms-code. Van 56 pensioenfondsen slechts 1. Bij zorginstellingen meer: 24 van de 54. Ook zorgverzekeraars werken met extra sms-codes. Van de 36 noemt de website digid.nl er maar 2, maar volgens een Logius-woordvoerder vereist het ‘overgrote deel zeker’ tweefactorinloggen.

Het aantal van 630 dienstverleners zorgt overigens voor forse vertekening. Er zijn organisaties met een DigiD-aansluiting namens anderen. Digid.nl vermeldt er 14, functionerend voor in totaal 397 dienstverleners. Daarvan zitten er 316 bij één groep, allemaal apotheken, waarvoor softwareleverancier NControl de DigiD-aansluiting heeft.

Via DigiD kan men in totaal dus terecht bij 1013 dienstverleners. Logius is niet dol op groepsaansluitingen. Het bezorgt de organisatie een grotere beheerlast, staat op haar website, en leidt tot ‘afname van zichtbaarheid van de achterliggende dienstaanbieders voor gebruikers’. Daarom komen er geen nieuwe bij. Navraag leert dat dit al sinds begin 2014 geldt. Inmiddels wil men ook van bestaande groepsaansluitingen af, maar de wijze waarop is nog onbekend. Als Logius eruit is krijgen betrokken partijen een jaar om naar een eigen aansluiting te migreren.

Buiten de NFC-kwestie speelt voor hoog nog een dingetje. Rijbewijs en identiteitskaart zijn tien jaar geldig. Wie onlangs een nieuwe kreeg zou dus bijna tien jaar moeten wachten alvorens op het hoogste betrouwbaarheidsniveau transacties te kunnen doen, of over korte tijd weer geld uitgeven voor een (iets duurder, want met applet) e-rijbewijs of eNIK. Ook op dit punt zoekt BZK naar mogelijkheden om de dekking te verhogen.

De VNG vindt BZK’s aanpak van eID te veel gericht op alleen maar inloggen. Alle kanalen, ook telefoon en ‘fysiek’ moeten worden ondersteund. Ook moet naast authenticeren formeel bevestigen met een handtekening mogelijk worden. Prinsen neemt VNG’s position paper daarover serieus. Het inrichten van een eID-stelsel gebeurt stapsgewijs, stelt hij, waarbij genoemde punten zeker aandacht krijgen.

Privaat

Ter vermijding van een ‘single point of failure’ (DigiD eruit = overheidsdienstverlening plat) komen er ook private authenticatiemiddelen voor gebruik in het publieke domein. Het toelaten van private oplossingen kan ook het effect van DigiD’s NFC-perikelen verkleinen. Aanvankelijk zouden alle private initiatieven kunnen meedoen als ze aan de eisen voldeden, maar aangezien dat een kostbare beheer- en toezichtstructuur verlangt, is medio 2017 besloten ‘een of meer’ private middelen toe te laten. Deze en andere veranderingen leidden overigens tot een grondige ‘herijking’ van een business case uit 2016. “Samenvattend leidt de herijking tot een totaalbeeld van de kosten van 995 miljoen euro, ten opzichte van 659 miljoen uit de vorige business case van 2016”, schreef onderzoeks- en adviesbureau Ecorys in maart in het herijkte document. En omdat een aantal kostenposten ‘nog niet in beeld te brengen’ is, zal het totaal het miljard wel overschrijden. Intussen moest een recente marktconsultatie BZK inzichten bezorgen voor een effectieve aanbesteding van een of enkele private middelen. Prinsen verwacht de publicatie in juli of ‘mogelijk na de zomervakantie’. Logius koopt de authenticatiedienst dan voor de publieke sector in.

Banken gaven eerder aan de eisen te verwerpen en niet mee te doen als ze niet zouden veranderen. Ze zouden dezelfde beveiliging anders en goedkoper kunnen realiseren. De eisen waren volgens Prinsen inderdaad ‘helemaal dichtgetimmerd’, maar inmiddels is er ‘meer speelruimte om eraan te voldoen’. Behalve banken hebben ook andere partijen op de marktraadpleging gereageerd.

‘Speelruimte’ is ook Prinsens reactie op een bezwaar van de Nijmeegse hoogleraar Bart Jacobs die met zijn onderzoeksgroep IRMA ontwikkelde, een authenticatiedienst op basis van attributen, waarbij de dienstverlener alleen gegevens krijgt die strikt noodzakelijk zijn voor de betreffende dienst. Een recente consultatie over het ‘Controleprotocol eID 2018’, door Prinsen omschreven als ‘een leidraad voor de auditor omdat de eIDAS-uitvoeringsverordening veel interpretatieruimte biedt’, leverde een vijftal reacties op. In de zijne betoogt Jacobs dat Nederland in het protocol focust op gebruik van een smartcard (‘technologie van vijftien jaar geleden’) en innovatie belemmert. IRMA werkt met een smartphone-app. Volgens Prinsen biedt het protocol echter voldoende speelruimte. “Het is niet de bedoeling de techniek dicht te timmeren.”

Overigens is het concept van aanbesteden vreemd aan het wezen van IRMA (I Reveal My Attributes). Het is namelijk open source. Jacobs: “Het is vrij beschikbaar en iedereen kan ermee aan de gang.”

Deze stand van zaken leert dat zekerheid verschaffen over de identiteit van onlineklanten aan overheidsorganisaties nog wat bottlenecks kent. En hoe weet, omgekeerd, de burger dat de houder van een bezochte website de beoogde overheidsorganisatie is? Begin juni bezochten 400 mensen een conferentie, waar Steven Luitjens, BZK-directeur Informatiesamenleving en Overheid, hierover opmerkte: “Daarin wordt nog weinig geïnvesteerd.”

Privaat: iDIN

Met ruim tien jaar ervaring met de veilige afwikkeling van financiële internettransacties (op Koningsdag 2016 werd bij de online bestelling van een pizza voor de miljardste maal met iDEAL betaald) besloot Currence, in 2005 opgericht door acht banken voor het ontwikkelen van betaalproducten, de technologie breder in te zetten en het elektronische identificatiemiddel iDIN te lanceren. Waar een iDEAL-button op een website acceptanten direct profijt oplevert, namelijk betalingen, laat het voordeel van iDIN zich vooral indirect ervaren. Toch is Currence volgens een woordvoerder niet ontevreden met de groei. Sinds de start begin 2017 nam het aantal onlineaanbieders van producten en diensten waar men met iDIN kan inloggen toe tot 24.

De acceptant, waar men met iDIN wil inloggen, doet een check bij de bank van de inlogger, die gevalideerde persoonsgegevens heeft en de inlogger toont om welke gegevens de acceptant vraagt. De inlogger gaat al dan niet akkoord met deze gegevensverstrekking. iDIN is gecertificeerd voor eIDAS-niveau substantieel.

Evidente pre is dat men voor dat inloggen niets anders nodig heeft dan wat men al heeft voor internet- of mobiel bankieren. Currence mikt ook op overheidsdienstverleners en heeft reeds een pilot lopen met de Belastingdienst. Daarin zijn volgens de woordvoerder met iDIN 91.000 succesvolle inlogtransacties gepleegd.

Dit verhaal is te vinden in iBestuur magazine 27. Download hier

tags:

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.