Bedrijfsleven en overheid krijgen een digitaal kind: Idensys (eID)

Bedrijfsleven en overheid krijgen een digitaal kind: Idensys (eID)

Digitaal zaken doen met de overheid kan alleen als je jezelf kunt authentiseren. Ben je echt wie je zegt dat je bent? Om dat te bewijzen gebruiken 12 miljoen Nederlanders gemiddeld zo’n 160 miljoen keer per jaar hun DigiD. Maar het rommelt al enige tijd rondom DigiD. Het mechanisme zou onvoldoende veilig zijn. Bovendien zou DigiD onvoldoende passen bij de eisen van de moderne samenleving: het wordt als een probleem gezien dat burgers inmiddels tientallen verschillende inlognamen en wachtwoorden hebben voor alle overige online diensten van banken, verzekeraars en winkels. Al enkele jaren wordt er daarom gewerkt aan een nieuw stelsel voor digitale identificatie: eID, sinds kort Idensys genoemd. In dit stelsel wordt online authenticatie voor al die verschillende overheden, bedrijven en instellingen vervangen door een platform met verschillende beveilingsniveaus. Dient dit alleen ons gebruiksgemak of zijn er ook andere zaken waar we naar moeten kijken?

In potentie kan een organisatie over al jouw gegevens beschikken

Het idee achter Idensys is dat er aan organisaties (overheden, winkels, verzekeraars, zorginstellingen, banken) inzage kan worden gegeven in jouw persoonlijke gegevens. Dankzij die inzage kan de organisatie die een dienst aanbiedt er zeker van zijn dat je die ook mag afnemen (aankoop alcohol, online gokken), dat je voldoet aan criteria voor een aanvraag(huurtoeslag) of simpelweg dat de aanbieder zeker weet dat je bent wie je zegt dat je bent. Die inzage geschiedt nadat jij daarvoor online toestemming hebt gegeven. Het geven van die toestemming gaat aan de hand van verschillende beveiligingsniveaus; het laagste is een app op je telefoon (zoals met internetbankieren zonder pinpas), het hoogste is met een smartcard en een reader (zoals internetbankieren met een reader) en eventueel sms-authenticatie. Welke informatie je wilt afgeven aan welke instantie kun je dus beïnvloeden en is in de basis dus veilig. Maar toch roept het de vraag op in hoeverre burgers digitaal bewust zijn om bij de eerste de beste verleidelijke kortingsactie van bol.com niet via het vinkje van de ‘actievoorwaarden’ veel meer gegevens weg te geven dan zij eigenlijk willen. Het feit dat de overheid zo’n centrale database gaat ontsluiten, maakt zaken makkelijker maar introduceert ook een hele andere set aan risico’s.

De impact van een hack is aanzienlijk groter

Naast het idee dat Idensys online authenticatie en gegevensverstrekking makkelijker moet maken, wil de overheid bovendien ook veel diensten primair online gaan aanbieden. Dit blijkt uit de digitale agenda 2020 en digitaal 2017. Een bestaand voorbeeld hiervan is de jaarlijkse aangifte inkomstenbelasting. Dit in combinatie met de verwachting dat het eID ook door banken, (zorg)verzekeraars en bedrijven gebruikt gaat worden, maakt de impact van een hack aanzienlijk groter. Iemand die zijn smartcard en ‘pincode’ verliest loopt het gevaar dat iemand anders daar verregaande fraude mee kan plegen. In een extreem scenario heb je die middag online mega aankopen gedaan, ben je verhuisd en is jouw auto overgeschreven. Dus laten we aannemen dat het eID stelsel in beginsel veiliger is dan DigiD en daarmee het risico op fraude kleiner. Toch is de impact van fraude, indien het zich toch voordoet, in potentie aanzienlijk hoger.

Waar ligt de aansprakelijkheid?

Voor Idensys ontwikkelt de overheid een aantal centrale voorzieningen voor gegevensontsluiting, maar de ontsluiting van die gegevens zelf wordt aan marktpartijen overgelaten. De partijen worden ‘makelaars’ genoemd. Deze makelaars hebben het uiteindelijke contract met het bedrijf of de instelling waar de burger online zaken mee doet. Dit zouden partijen als KPN kunnen zijn. Toch maakt dit erg obscuur waar de aansprakelijkheid ligt in het geval van fraude. Bij de burger? Het bedrijf? De makelaar? De overheid? Hoe voorkomen we dat burgers in het geval van fraude een jarenlange juridische strijd voor compensatie moeten voeren?

De overheid investeert al sinds de jaren negentig in een goede digitale infrastructuur. Het fundament van deze infrastructuur is grotendeels af en biedt grote mogelijkheden. Zoals de mogelijkheden die hier rondom Idensys zijn beschreven. Het lijkt erop dat deze ontwikkelingen steeds meer technisch gedreven zijn; we doen het omdat het kan. Toch is het enerzijds een totaal andere vraag dan of we het willen. Die vraag over wenselijkheid rondom Idensys is een maatschappelijk vraagstuk wat in een maatschappelijk debat aan de orde moet worden gesteld. Dat maatschappelijke debat lijkt nu volledig te ontbreken.

 

Tweet about this on TwitterShare on LinkedInShare on FacebookEmail this to someoneShare on Google+
Daniel de Klerk

Daniel de Klerk

alles bekijken
Leave a comment

Wees beleefd. Dat stellen wij zeer op prijs.

By Daniele Zedda • 18 February

← PREV POST

By Daniele Zedda • 18 February

NEXT POST → 34
Share on