Nieuws

Helse taak om partijen rond eID te verenigen

Ook de jongste brief aan de Tweede Kamer over het nieuwe eID-stelsel laat zien dat er nog steeds de nodige problemen en meningsverschillen bestaan. Drie stappen vooruit, twee achteruit. Het dossier vordert als de Processie van Echternach.

Dat blijkt uit de Voortgangsrapportage van het programma voor elektronische identificatie (eID), over de periode januari-juni 2017 die minister Plasterk naar de Tweede Kamer stuurde.

Er zijn verschillende onderzoeken uitgevoerd om de realiteit beter in het oog te krijgen. Zo is er marktonderzoek onder het publiek gedaan dat resulteerde in het rapport Communicatieonderzoek elektronische identificatie dat Plasterk meestuurt met zijn Voortgangsrapportage. Met als centrale vraag: wat zijn de beweegredenen en de informatiebehoefte rondom eID en welke communicatie is effectief? De vraag en subvragen zijn aan panels met verschillende opleidingsniveaus voorgelegd.

De uitbreiding met meer middelen wordt voor het publiek ‘Impuls eID’ genoemd. De burger wil het wel als het goed wordt uitgelegd, maar heeft vooralsnog genoeg aan DigiD. Het publiek vindt bovendien gemak belangrijker dan veiligheid. Maar bovenal: “Er is onbegrip voor de multimiddelenaanpak. Mensen begrijpen niet waarom er nieuwe inlogmiddelen bij komen en waarom er meerdere middelen naast elkaar bestaan.”

Wat de boer niet kent…

Ook na het tonen van filmpjes met uitleg begrijpen de meeste respondentern nog niet dat ze ‘meer keuze krijgen’ zoals inloggen met hun bankpas. Het woord keuzestress valt. Echter, bij nader inzien wordt iDIN als gemakkelijk gezien, net zoals het inloggen bij een bank. Het inloggen via iDIN bij de Belastingdienst wordt ook als logisch ervaren.

Wel is er enig wantrouwen jegens de samenwerking tussen overheid, banken en bedrijven. Men vermoedt dat er een mogelijk commercieel belang voor deze partijen is. Conclusie: “Men wacht af wat anderen doen (vrienden, bekenden) en wat er geadviseerd gaat worden (in de media, door een onafhankelijke partij zoals de Consumentenbond) voordat een overstap naar een ander inlogmiddel wordt overwogen.”

DigiD uitbreiden

In feite is de bekendheid met, en het vertrouwen in DigiD dus zo groot, concluderen Plasterk en BZK, dat publieke middelen met een hoger beveiligingsniveau voorrang moeten krijgen. Het rijbewijs met eID-chip zal beschikbaar zijn in de eerste helft van 2018. De identiteitskaart volgt eind 2018/begin 2019. Beiden hebben het niveau ‘hoog’ qua beveiliging.

Net daaronder, op het beveiligingsniveau ‘substantieel’ is een DigiD-app ontwikkeld voor de telefoon. Die is er enkel nog voor Android, voor andere besturingssystemen wordt ‘onderzoek gedaan’. De Belastingdienst testte het inloggen met private middelen, zoals iDIN van de banken, en dat ging goed. Dus worden de ondersteunende systemen voor definitieve invoering verder uitgewerkt. In februari 2018 moeten die klaar zijn. Privacyonderzoek voor de diverse onderdelen wordt binnenkort afgerond: de privacy impact analyse (PIA).

Tweede onderzoek

Het nieuwe stelsel moet gedragen worden door een nieuwe wet GDI. Over het wetsvoorstel is ook een brede consultatie uitgevoerd. Eerste uitkomst was dat het allemaal wat minder gecompliceerd moet om het stelsel uitvoerbaar te maken. Ook moeten kleine (semi-)publieke dienstverleners worden ‘ontzorgd’. Het moet makkelijker worden gemaakt in technisch opzicht en qua feitelijke uitvoering om aan te sluiten op het eID-stelsel, zonder juridisch en administratief te veel rompslomp.

Verder is algemeen gehoord dat maatwerk en uitzonderingen mogelijk moeten zijn, bijvoorbeeld op de regel dat uitsluitend toegang wordt verleend met erkende middelen.

Meningsverschil met banken

De banken – de Betaalvereniging Nederland, de betrokken (consumenten)banken en De Nederlandse Bank (DNB) – onderschrijven de doelen en uitgangspunten van de wet, maar vinden de huidige uitwerking van de wet en uniforme set van eisen te zwaar en ingrijpend. De banken wijzen de gekozen techniek van privacyborging in de architectuur van het stelsel – het gebruik van polymorfe pseudoniemen – van de hand. Dit behelst het volgende: gebruikers hebben voor iedere site waarop ze met het stelsel kunnen inloggen een apart pseudoniem. Verschillende pseudoniemen voor verschillende sites zijn niet herleidbaar tot één en dezelfde gebruiker. Dit voorkomt (in principe) dat sites gaan samenwerken om profielen over gebruikers samen te stellen.

Banken zien wel voldoende mogelijkheden om de uitwerking zodanig aan te passen dat de privacyborging op het desbetreffende betrouwbaarheidsniveau anders opgelost kan worden. “Dat betekent dat in termen van architectuur en de te stellen eisen maatwerk voor de banken zou moeten worden toegestaan”, concludeert minister Plasterk. Het is mogelijk om gelijkwaardige eisen te formuleren voor de authenticatiediensten en -middelen van de banken, terwijl controle zou kunnen plaatsvinden onder toezicht van DNB.

Echter, het Strategisch Beraad van het stelsel Elektronische Toegangsdiensten (ETD) onder leiding van Elly Plooij-van Gorsel ziet dit precies andersom. Het vindt dat de eisen uniform moeten worden opgelegd aan alle erkende leveranciers.

Oneerlijk speelveld dreigt

Dit beraad uit zorgen over het ontbreken van een gelijkwaardige uitgangspositie tussen DigiD, iDIN (van de banken) en andere private leveranciers. Zowel DigiD als iDIN hebben, onder andere door hun hoge penetratiegraad, een voorsprong die het voor concurrerende initiatieven moeilijk maakt om een rendabel marktaandeel te verwerven.

Ze eisen ook van de overheid op korte termijn duidelijkheid over de tarieven. KPN is van mening, schrijft Plasterk, dat de Wet GDI zonder bijstelling de toegang van private leveranciers tot het publieke domein onvoldoende borgt. Dus dan is de ‘multimiddelenstrategie’ (een concurrerende markt van aanbieders) onhaalbaar.

Derde onderzoek

Gelijktijdig met, en deels ook in aansluiting op de consultatie van de Wet GDI, is een verkenning uitgevoerd naar mogelijkheden om tot een financieel model te komen inzake de toe te laten private eID-middelen.

Ook hieruit blijkt dat er een ongelijk speelveld ontstaat tussen de partijen van de verschillende stelsels: het publieke middel (DigiD), de bankmiddelen (iDIN) en andere middelen, zoals Idensys. “Op een verhoogd betrouwbaarheidsniveau hebben de consumentenbanken in dit stadium gezamenlijk een dekkingsgraad van naar schatting meer dan 99 procent, terwijl de overige partijen samen een verwaarloosbare dekkingsgraad van minder dan 1 procent van de doelgroep hebben. Tot slot blijken de volumes in totaal en per middel onvoorspelbaar.”

Afgezien van iDIN zullen private eID-middelen alleen breed beschikbaar komen als maatregelen worden genomen om het commerciële perspectief te vergroten. Eigenlijk moeten de partijen die willen meedoen aan Idensys ontzien worden qua kosten

Bekostiging en tarifering

Ook over de kosten straks bestaat veel onzekerheid. Uitgangspunt is dat de kosten van aanschaf van het middel (kaart, app) door de burger worden gedragen door middel van doorbelasting via leges of een concrete prijs; en dat de dienstenaanbieders op basis van gebruik voor de kosten van dat gebruik worden doorbelast.

De stelselkosten, die zijn geraamd op 16 miljoen euro per jaar, worden daarnaast overeenkomstig een eerder besluit van de ministerraad gezamenlijk naar rato door de departementen gedragen.

Volgens betrokkenen vormen de koppelvlakken naar de centrale systemen, zoals van BSN-nummers, de kostendrijver. Die willen partijen liever ontwijken. Zo vragen branches zoals pensioenfondsen om niet verplicht te worden tot het gebruik van de erkende authenticatiemiddelen. Ook UWV en SVB hebben moeite met de niet beïnvloedbare financiële afspraken bij de acceptatieplicht volgens de wet.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren