Het lijkt zo simpel. En in de analoge wereld is dat ook zo. De overheid verschaft mij een administratieve identiteit, waarmee ik in het maatschappelijke verkeer uit de voeten kan.
Het lijkt zo simpel. En in de analoge wereld is dat ook zo. De overheid verschaft mij een administratieve identiteit, waarmee ik in het maatschappelijke verkeer uit de voeten kan. Alleen speelt het maatschappelijke verkeer zich in toenemende mate online af.
Onze buurlanden kijken vol jaloezie naar het grote aantal mensen dat in Nederland gebruik maakt van DigiD en naar het grote aantal overheidsdienstverleners dat hierop is aangesloten. De bereidheid van de Nederlanders om digitaal te communiceren is erg groot.
En nu komt er natuurlijk een ‘maar’: onze digitale identiteit bestaat uit een veelheid aan gegevens die gekoppeld kunnen worden, daar mag niet zomaar iedereen bij komen. Het Burgerservicenummer (BSN) bijvoorbeeld is een bijzonder persoonsgegeven en moet volgens de huidige wetgeving goed beschermd worden. Het is de taak van de overheid om de veiligheid te waarborgen. Voor digitale authenticatie zijn er verschillende niveaus en het niveau van het huidige DigiD moet omhoog.
Daar wordt nu dan ook al een tijd over gesproken en aan gewerkt: het ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt aan de ontwikkeling van publieke eID-middelen, het ministerie van Economische Zaken is verantwoordelijk voor het afsprakenstelsel Idensys. Daarnaast is er door de Belastingdienst zojuist een pilot met inlogmethodes van banken aangekondigd. Dat lijken drie verschillende trajecten, maar allemaal met één gemeenschappelijk doel, namelijk het veiliger maken van digitale authenticatie voor mensen en bedrijven.
Om te testen wat wel of niet werkt zijn pilots aangekondigd voor al deze drie trajecten. Door de veelheid aan betrokken partijen is het makkelijk de draad kwijt te raken waar het hier nu om gaat. Wie pilot met wie en waarom? Idensys wordt straks dé standaard voor de toegang tot online dienstverlening. Die standaard bestaat uit verschillende elementen: juridisch, technisch en organisatorisch van aard. Om slim hergebruik te maken van wat er al is, wordt voor dit afsprakenstelsel voortgeborduurd op het afsprakenstelsel eHerkenning. Maar Idensys zou in de kern vloeibaar moeten zijn: de wereld verandert en dus ook de afspraken die je over die wereld maakt én de actoren die je nodig hebt om die afspraken te maken.
Pittige uitdaging
Een eerste stap is dat daar waar eerst marktpartijen de standaard voor eHerkenning vaststelden, nu het bedrijfsleven én de overheid samenwerken aan de standaard voor Idensys. Dat is mooi, maar soms ook lastig. De overheid redeneert enerzijds vanuit één van haar primaire taken, namelijk veiligheid waarborgen, maar het bedrijfsleven roept diezelfde overheid ook op om de economie te stimuleren. Dat levert een pittige uitdaging op, eentje waarbij niet automatisch alle partijen op één lijn zitten.
Het is goed dat daarom verschillende pilots gedaan worden, dat levert inzicht en vooruitgang op. Mits duidelijk is waar de pilots toe leiden. Op verzoek van de Tweede Kamer worden er SMART-criteria geformuleerd voor de eID pilots die op basis van de huidige versie van de Idensys standaard worden gedaan. Aan het einde van de looptijd (medio 2016) wordt op basis van die criteria geëvalueerd. Om mee te mogen doen aan de pilots met het afsprakenstelsel, zullen publieke en private partijen moeten voldoen aan de toetredingscriteria voor Idensys.
Om invulling te geven aan de primaire taak van de overheid om veiligheid te waarborgen, zal de overheid daarnaast ook eigen publieke eID-middelen ontwikkelen en daar pilots mee uitvoeren. Op termijn is het wel de bedoeling dat deze publieke eID-middelen ook aan de standaarden van Idensys voldoen. Er is nauwe afstemming en communicatie tussen beide trajecten en betrokken ministeries.
De Belastingdienst zit intussen ook niet stil en heeft een pilot aangekondigd met bankmiddelen. Fantastisch initiatief en wederom slim hergebruik van dingen die al bestaan, goed werken en die veel mensen al in hun bezit hebben. Die bankmiddelen kennen nu eigen standaarden en een eigen toezichtsregime. Om het op termijn echter ook mogelijk te maken voor mensen om hun bankmiddel bij andere overheidsorganisaties te gebruiken om in te loggen, is het van belang dat de banken tenminste betrokken worden bij de doorontwikkeling van Idensys.
Een goede stap zou zijn om alle pilots volgens dezelfde criteria te beoordelen. Het doel zou een heldere, samenhangende set van juridische, technische en organisatorische standaarden in Idensys moeten zijn. Immers, voor zowel de webwinkel als de bank en de overheidsdienstverlener geldt dat zij allemaal met zekerheid willen weten wie er aan hun ‘digitale deur’ klopt. En voor mensen geldt: als ik aan een ‘digitale deur’ klop, wil ik graag iets hebben waarmee ik kan bewijzen dat ik ik ben.
Zoals ik in mijn speech op 10 juni jl. al aangaf vind ik met name die samenhang zeer belangrijk; mensen en bedrijven zijn gebaat bij een samenhangend, duidelijk en logisch verhaal.
Eén van de taken van de digicommisaris lijkt mij om er voor te zorgen dat zo snel mogelijk uitgebreider digitaal verkeer mogelijk is met de overheid. 2017 nadert met rasse schreden. Daartoe zijn in mijn ogen eenduidigheid, veiligheid en gebruikersvriendelijkheid nodig. De bijdrage van de heer Eenhoorn dekt echter een nogal chaotisch landschap en dito aanpak toe. Van eenheid van overheidsbeleid is geen sprake. BZK wil DigiD oppimpen naar een hoger beveiligingsniveau, EZ bliijft onverminderd inzetten op een stelsel van publieke private samenwerking met een zeer brede ambitie en de Belastingdienst (Financiën) gaat, wellicht zoals eerder in het verleden, een eigen koersje varen met de banken. Ik las ook ergens dat de RDW een eigen toepassing heeft ontwikkeld voor een hoger DigiD-niveau. De bijdrage van de digicommisaris bestaat uit het opstellen van “smart-criteria” (sic) om diverse pilots te toetsen.
Vanuit het oogpunt van een specifieke “dienstverlener” , in case de rechtspraak, is de voortgang en aanpak rampzalig. Wij willen dat procespartijen veilig digitaal kunnen procederen en dat kan alleen als er algmeen geaccepteerde en goed ontwikkelde algemene digitale identititeitsmiddelen zijn. De regeringscommisaris die op de wettelijke vernieuwing (KEI) toeziet acht een authenticatie op niveau 3 noodzakelijk. Slechts het beroerde e-herkenning kent in zijn palet de verstrekking op dat niveau doch slechts een handvol gebruikers (en dan nog alleen bedrijven) beschikt over een dergelijk middel. Gelet op de praktijk dat burgers en bedrijven slechts zeer incidenteel met de rechtspraak in aanraking komen, met uitzondering van advocaten en enkele repeatplayers, zijn slechts twee wegen denkbaar. We maken gebruik van een zeer breed geaccepteerd middel waarover partijen eenvoudig kunnen beschikken, of we gaan zelf in een middel aan de partijen verstrekken. De chaos die opdoemt uit de bijdrage van de heer Eeenhoorn dwingt de rechtspraak ( en volgen we daarmee de Belastingdienst na?) tot een eigen koers. Zulks is kostbaar en doet de beoogde besparingen die met digitalisering worden beoogd en ingeboekt deels verdampen. Ik kan de positieve en optimistische toon van de bijdrage van Eenhoorn dan ook niet plaatsen.