Bij het nieuwe DigiD zijn bedrijven de eigenaar van je gegevens
DigiD, de tool om je online te identificeren, geeft storingen en is onveilig. Reden voor de overheid om een nieuw systeem op te laten tuigen: Idensys. De totstandkoming laat zien hoe de verschillende eisen met elkaar botsen. Want hoe veilig zijn onze data als we straks via bedrijven moeten inloggen?
Je doet er je belastingaangifte mee, schrijft je ermee in aan de universiteit, wijzigt er je adres mee bij de gemeente. Je kunt er je tandartsrekening mee indienen bij je zorgverzekeraar, de hoogte van je pensioen bekijken bij je pensioenfonds en er zelfs mee aangeven of je na je dood je lichaam wilt doneren of niet.
Ik heb het over je DigiD - de in 2005 ingevoerde tool waarmee je je burgerservicenummer (BSN) aan een inlogcode koppelt. Hierdoor hoef je je niet meer met een paspoort aan de balie te identificeren, maar kun je vanachter je computer zakendoen met de overheid. Per jaar sluiten zo’n twintig nieuwe instanties zich erbij aan. Inmiddels hebben 11,5 miljoen Nederlanders een DigiD, worden er drie miljoen keer per jaar nieuwe wachtwoorden aangevraagd en werd het middel in 2014 158 miljoen keer gebruikt. De jaarlijkse onderhoudskosten bedragen 17,5 miljoen euro.
Met je DigiD kun je op het internet bewijzen wie je bent. Maar dat gaat niet vlekkeloos. Zo vonden er alleen al dit jaar twaalf storingen plaats binnen het systeem van DigiD, waarvan sommigen zelfs meerdere dagen aanhielden. In 2014 moest de jaarlijkse belastingaangifte twee dagen worden uitgesteld door storingen bij DigiD en de Belastingdienst zelf. Het kostte miljoenen, maar de systemen waren simpelweg overvraagd.
En dan is er de onveilige webomgeving van het DigiD. In 2013 en 2014 verschenen rapporten die aantoonden dat die niet voldeed aan de standaarden van het Nationaal Cyber Security Center. Fraude plegen met DigiD blijkt relatief eenvoudig - zoals vorig jaar werd bewezen door een stel uit Roosendaal dat twee jaar lang onrechtmatig toeslagen had ontvangen door 180 DigiD-accounts te wijzigen. Kosten voor de overheid: vijftigduizend euro.
De geboorte van Idensys
De almaar stijgende onderhouds- en beveiligingskosten, de storingen, de fraude: dat moest anders. Daarom werd twee jaar geleden een plan gemaakt. In 2017, wanneer de overheid al haar diensten digitaal gaat aanbieden, moet er een nieuw DigiD liggen. Er werd een zogenoemde stuurgroep ingericht - een samenwerking tussen de ministeries van Binnenlandse Zaken, Financiën en Justitie - die vier jaar de tijd kreeg om dat nieuwe middel te ontwikkelen.
Inmiddels is de stuurgroep halverwege. Begin 2015 werd besloten hoe het toekomstige systeem eruit gaat zien: onder de naam Idensys - voorheen heette het eID - wordt het systeem gebouwd op eHerkenning. Dat is een digitaal inlogsysteem dat bedrijven sinds 2010 gebruiken om zich bij de overheid te identificeren. De stuurgroep richtte het afgelopen half jaar een afsprakenstelsel in met de betrokken partijen en in december gaan de pilots met Idensys van start. Maar ondertussen maakte de stuurgroep buiten de Tweede Kamer om een ingrijpende beslissing. In het nieuwe systeem zijn persoonsgegevens namelijk niet meer enkel in handen van de overheid, maar ook in die van bedrijven.
We kunnen niet iedereen tevreden stellen
Om te begrijpen hoe dat kan en aan welke eisen het systeem moet voldoen, bezocht ik afgelopen zomer twee openbare bijeenkomsten over Idensys in Amsterdam. Leden van de stuurgroep en andere experts kwamen daar samen om met behulp van viltstiften, memorykaarten en ander knutselmateriaal die eisen te bespreken.
Veelzeggend was daarbij het praatje van Gerrit Jan van ‘t Eind, een van de twee eindverantwoordelijke programmamanagers van de stuurgroep. De druk vanuit het ministerie van Binnenlandse Zaken op de stuurgroep is hoog, vertelde hij. En: de eisen waaraan het nieuwe DigiD moet voldoen zijn talrijk en vaak in tegenspraak met elkaar. Kies je voor het een, dan stel je een ander teleur. ‘We kunnen niet iedereen tevreden stellen,’ besloot hij.
Dat blijkt uit het feit dat bedrijven straks kunnen zien welke zaken je met de overheid doet. Én uit de verdere totstandkoming van het systeem. Idensys moet betrouwbaar, privacyvriendelijk, veilig én gebruiksvriendelijk zijn. Dat klinkt gemakkelijker dan het is. Hoe gaat de stuurgroep om met al deze eisen?
Eis 1: Idensys moet betrouwbaar zijn
Een van de grootste problemen van het huidige DigiD is dat het maar één server heeft. Die server behoort toe aan Logius, onderdeel van het ministerie van Binnenlandse Zaken. Wanneer miljoenen mensen tegelijk hun belastingaangifte indienen en de server van Logius overbelast raakt, is DigiD zodoende compleet onbruikbaar.
Daarom moesten er bij Idensys meerdere servers komen. Mocht er dan toch een storing plaatsvinden, dan kun je op een andere server opnieuw je belastingaangifte indienen. Die servers behoren toe aan zogenoemde identiteitsproviders. Zie ze als de persoon achter de digitale balie: ze hebben de macht om vast te stellen dat jij bent wie je zegt te zijn - zoals een echte persoon achter een echte balie dat zou doen wanneer hij kijkt of je op de foto in je paspoort lijkt. Vanaf 2017 heeft de overheid hier niet meer het alleenrecht op, maar mogen ook bedrijven je identiteit op het internet vaststellen.
Hoe dat gaat werken? Kijk maar eens naar onderstaande infographic. Stel dat ik het nieuwe boek van Jonathan Franzen wil bestellen bij Bol.com. Nu zou ik inloggen met mijn gebruikersnaam en wachtwoord van Bol zelf, maar vanaf 2017 wordt het mogelijk om hiervoor mijn inlogmiddel van Idensys te gebruiken. Dat werkt zo: voordat ik Zuiverheid afreken, wil Bol.com eerst weten of ik wel een betrouwbare koper ben. Om dat te bevestigen, gebruik ik een inlogmiddel dat ik eerder bij een bedrijf heb gekocht - zeg, KPN. KPN heeft toen ik het middel kocht eenmalig mijn burgerservicenummer verwerkt - iets wat nu nog verboden is, maar waarvoor de stuurgroep een wetswijziging wil indienen. Van mijn BSN is vervolgens een pseudoniem gemaakt.
Voor ik het boek afreken, laat ik me eerst identificeren door KPN. Ik log in, waarbij KPN mijn pseudoniem ziet. Ze sturen dat pseudoniem door naar een digitale makelaar, ertussen gezet voor de extra betrouwbaarheid en neutraliteit. De makelaar controleert nogmaals of mijn pseudoniem geldig is en waar het precies vandaan komt. Vervolgens stuurt de makelaar een bericht naar Bol.com: de koper is betrouwbaar - KPN herkent immers mijn pseudoniem en de digitale makelaar herkent dat het pseudoniem door KPN is goedgekeurd. Nu de webwinkel dat weet, kan ik betalen en ligt het boek Zuiverheid de volgende dag op mijn deurmat.
Zie die identiteitsprovider dus als een telecomprovider: zoals je KPN nu betaalt om toegang te krijgen tot het telefoonnetwerk, betaal je ze straks om toegang te krijgen tot overheidsdiensten en het doen van aankopen bij webwinkels. Alleen: zoals je provider nu kan zien welk abonnement je hebt en welke belkosten je maakt, kan hij straks zien welke aankopen je doet met Idensys. Hij ziet dat je belastingaangifte doet, helpt je om in te loggen bij je zorgverzekeraar en kan zodoende zelfs zien of jij donor bent of niet. Hoewel je een pseudoniem gebruikt, kan je identiteitsprovider alsnog gemakkelijk reconstrueren wie jij bent, simpelweg door te volgen wat je allemaal doet met Idensys.
Eis 2: Idensys moet je privacy garanderen
Dat is het grootste bezwaar tegen het inzetten van bedrijven als identiteitsprovider. En hoewel KPN heeft beloofd niets met de gegevens achter het pseudoniem te doen, wil de stuurgroep in volgende pilots de pseudoniemen van klanten nog extra versleutelen. Zo kunnen bedrijven niet zien welke digitale aankopen en overheidsgerelateerde handelingen een pseudoniem doet.
Om de pseudoniemen van klanten te versleutelen, moeten de bedrijven zelf investeren in de technologie die dat mogelijk maakt
Maar dat is lastig te realiseren. Want de bedrijven die zich bij Idensys als identiteitsprovider beschikbaar stellen, krijgen daar weinig voor terug. Sterker: om de pseudoniemen van klanten met een inlogmiddel te versleutelen, moeten de bedrijven zelf investeren in de technologie die dat mogelijk maakt. Terwijl het voor het bedrijf zelf juist voordeliger is om wél te kunnen zien wat de pseudoniemen online allemaal uitvoeren. Aangezien bedrijven zelf mogen kiezen of ze binnen Idensys zo’n identiteitsprovider willen zijn, vreest de stuurgroep dat bedrijven zullen afhaken als er te veel regelgeving vanuit de overheid wordt opgelegd. De betrouwbaarheid van Idensys valt of staat echter met de hoeveelheid bedrijven die zich aanbieden als identiteitsprovider.
Eis 3: Idensys moet veilig zijn
En dan zijn we er nog niet: ook voor de overheid zelf kan het, in bepaalde gevallen, handig zijn om inzicht te hebben in wat jij met Idensys doet. Zoals wanneer er sprake is van fraude, of wanneer inlichtingendiensten een verdacht persoon willen volgen. De vraag is: in hoeverre mogen zij toegang krijgen tot wat er met je pseudoniem gebeurt? En: hoe kan iemand van buitenaf zien wat jij op internet uitvoert als die gegevens op verschillende plekken zijn opgeslagen? In hoeverre mag iemand anders dan jijzelf zien wat je met Idensys doet?
Dat is een van de discussies waar de stuurgroep zich de komende twee jaar nog over moet buigen. Het is er een die de tegenspraak tussen de verschillende eisen aan Idensys goed laat zien: aan de ene kant wil je het pseudoniem binnen Idensys zo goed mogelijk versleutelen om de privacy van de gebruiker te garanderen. Aan de andere kant willen zowel de deelnemende bedrijven als - in bepaalde gevallen - de overheid gebruikmaken van de informatie die je bij hen opslaat wanneer ze jouw identiteit op het internet bevestigen.
Nog zo’n discussie ligt verscholen in de vraag of de overheid zelf ook een inlogmiddel mag ontwikkelen binnen het Idensysstelsel. Het is vanuit het oogpunt van veiligheid begrijpelijk dat je je in sommige gevallen, zoals het indienen van je belastingaangifte of het aanvragen van een uitkering, het liefst digitaal laat identificeren door de overheid zelf. De vraag waar de stuurgroep nu mee worstelt is of ze daarmee geen oneerlijke concurrentie voert met de deelnemende bedrijven.
Überhaupt kun je je afvragen of mensen een inlogmiddel van een bedrijf verkiezen boven dat van de overheid. Als de persoon achter de balie van het stadsdeelkantoor zou zeggen dat hij voor KPN werkte, zou je hem je paspoort toch minder snel toevertrouwen.
Vooral dit laatste vormt een lastig punt binnen het Idensysstelsel. Want: als gebruikers het inlogmiddel van de overheid prefereren boven een inlogmiddel van de deelnemende bedrijven, valt de spreiding over verschillende servers weg. Als heel Nederland zijn jaarlijkse belastingaangifte alsnog ondertekent met het inlogmiddel van de overheid zelf, is de kans op een storing niet veel kleiner dan bij het huidige DigiD. De belangrijkste reden om bedrijven de mogelijkheid te geven identiteitsprovider te zijn, valt daarmee weg.
Eis 4: Idensys moet gebruiksvriendelijk zijn
Bovenstaande zaken spelen zich achter de schermen af - achter je oranje DigiD-inlogscherm en vanaf 2017 achter het scherm van je inlogmiddel van Idensys. Maar voor de schermen ligt nog een laatste, belangrijke eis: Idensys moet gebruikersvriendelijk zijn. Je wilt immers, als je dat boek koopt of je adres wijzigt, binnen een paar klikken klaar zijn. Maar hoe veiliger je Idensys maakt, hoe meer je het moet versleutelen. Zo kun je voorkomen dat bedrijven als KPN zien wat jij met je pseudoniem uitvoert. Alleen: hoe meer versleuteling, hoe onvriendelijker Idensys wordt in zijn gebruik. Ook hier moet de stuurgroep een afweging maken tussen twee elkaar tegensprekende eisen.
Ook hier moet de stuurgroep een afweging maken tussen twee elkaar tegensprekende eisen
Tijdens de twee beleidsbijeenkomsten over Idensys worden meerdere malen groepjes gevormd. Ik leer er Hans-Rob de Reus kennen, tot voor kort inhoudelijk eindverantwoordelijk voor het ontwerp van het Afsprakenstelsel Idensys. Enkele weken na de bijeenkomst besluit ik hem nog eens te bellen, om te vragen wat hij nu het moeilijkste vindt aan het ontwerpen van Idensys.
‘Het allermoeilijkst is de samenwerking,’ zegt hij. ‘Je werkt vanuit de overheid met een twintigtal aan bedrijven samen, die allemaal hun voorwaarden en eisen hebben. Maar ondertussen moet je er ook voor zorgen dat Idensys voldoet aan bepaalde privacy- en veiligheidseisen. En het inlogmiddel moet ook nog makkelijk te gebruiken zijn. Om schipperend tussen al die belangen tot een afsprakenstelsel te komen waar iedereen enigszins tevreden mee is, is de grootste uitdaging van Idensys.’