De kogel lijkt door de kerk, idensys is niet meer en de overheid heeft na een lange tijd van bezinning gekozen voor een betere manier om mensen toegang te verlenen tot overheidssites. Naast DigiD gaat de overheid ook andere leveranciers van inlogfaciliteiten toelaten.

Ik ben hier heel blij mee, want deze koersverandering is volkomen in lijn met wat ik in mijn vorige digidem blog schreef:

“Zie je dan een alternatief voor Idensys? Ja natuurlijk, plenty:
Federeren maar… Laat de overheid gewoon vanaf nu de bank-identiteiten accepteren om mee in te loggen en meteen ook maar een stel andere providers, zoals Facebook en Twitter. Prima, lekker makkelijk en heel snel te regelen.”

Hoe moeten we dat nou voor ons zien, want hoe weet de overheid nou welke identiteit betrouwbaar is?

Zoals ik al aangaf wordt uitgegaan van het fenomeen van Federatie. Federatie betekent feitelijk dat een leverancier van diensten niet zelf identiteiten, accounts en wachtwoorden uitgeeft en beheert, maar dat er wordt vertrouwd op identiteiten van derde partijen. DigiD is zelf een mooi voorbeeld. Als je DigiD gebruikt om toegang te krijgen bij je pensioenverzekeraar, dan log je niet in bij je pensioenverzekeraar, je hebt daar namelijk helemaal geen account. Je hebt misschien wel een pensioenverzekering, maar dat gaat over de polis, de betalingen en uitkeringen, dat is geen account op de website van de verzekereaar. De verzekeraar beheert jouw ‘objectgegevens’, niet je account, je bent geen ‘subject’ of ‘actor’. In plaats daarvan zegt de verzekeraar dat identiteiten van Identity Provider (IdP) DigiD voldoende betrouwbaar zijn om toegang te krijgen. Dat is geen onbeperkte toegang, maar uitsluitend toegang tot de polis- en uitkeringsgegevens van de betreffende eigenaar van de identiteit. En de koppeling tussen toegang vragend subject en de relevante objectgegevens gebeurt op basis van het BSN, dat DigiD als attribuut levert aan de verzekeraar. DigiD beheert de digitale identiteit, dus het DigiD-account en het bijbehorende wachtwoord en registreert eventueel een telefoonnummer als er aanvullende SMS authenticatie vereist wordt. Als je geen toegang krijgt, omdat je je wachtwoord niet meer weet, dan moet je dat regelen bij de Identity Provider, bij DigiD dus en niet bij je pensioenverzekeraar.

Dit federatieve principe kent veel voordelen:

Service Providers hebben geen accountgegevens, dus ook geen wachtwoorden. De Service Providers hoeft die dus niet te bewaren of beveiligen en die gegevens kunnen dan ook niet uitlekken bij de Service Providers.

Voor de gebruiker is hergebruik van de identiteit waardevol. Je hoeft maar 1 account en wachtwoord te onthouden om bij heel veel sites toegang te krijgen (momenteel zijn er meer dan 1300 sites waar je met DigiD kunt inloggen!). Natuurlijk moet de IdP, DigiD dus, de gegevens goed beheren, maar dat is dan ook alles.

Een aandachtspunt is dat het beheren en beveiligen van identiteiten, accounts en wachtwoorden kostbaar is, dat schreef ik in mijn vorige blogs al. En mede om die reden zijn er nauwelijks partijen die specifiek of uitsluitend als IdP op die markt bestaan, er is gewoonweg geen business case, het levert geen geld op om IdP te zijn, alleen maar risico’s en kosten. Er zijn wel Service Providers die ook identiteiten beheren en die in staat zijn om die identiteiten als IdP ook federatief te leveren. Denk aan de banken met iDIN en denk aan social media service providers als Facebook en Twitter.

En dan nu de beleidswijziging van het ministerie. Er bestond al lang weerstand tegen het monopolie van DigiD. Een enkele aanbieder van identiteiten die door de overheid worden geaccepteerd, een single point of failure en een onduidelijke kostenstructuur. Idensys was een halfbakken idee om van dat monopolie af te komen, maar, gelukkig, bleek dat niet levensvatbaar. Het zou een nieuw ‘stelsel’ moeten worden, terwijl er, in mijn optiek, een prima standaardoplossing beschikbaar is, namelijk Federatie, gebruik makend van open standaarden en open protocollen.

Maar federatie vergt wel nadenkwerk. Met name is de vraag: welke Identity Provider je vertrouwt  om toegang te verlenen tot jouw diensten. Maar dat betekent ook meteen dat je keuzevrijheid hebt. Niet elke IdP is even betrouwbaar, dus niet elke identiteit van een IdP moet dezelfde mogelijkheden (autorisaties) hebben. Dergelijke ‘policies’ kan een Service Providers zelf bepalen. Dus: als je met facebook toegang wilt krijgen (jawel, een privacydingetje speelt natuurlijk) dan mag je bijvoorbeeld alleen het vestigingsadres van de pensioenverzekeraar en de route ernaartoe zien, maar als je met iDIN inlogt krijgt je toegang tot je verzekeringsdossier. Dat is heel transparant allemaal. En daar heb je geen nieuw stelsel voor nodig, alleen beleid.

Privacy issues? Daar moet je je niet heel druk om maken, daar hebben we immers de GDRP/AVG voor en daar hebben we de toezichthouder voor om te handhaven. En dat BSN dan, het attribuut dat DigiD als sleutel meegeeft? Laat toch lekker, dat is helemaal niet spannend als we het maar waardeloos maken:

Dus wat mij betreft zet de minister hier een grote stap door standaardisatie af te dwingen, waardoor de digitale overheid schaalbaar en toekomstvast wordt.

Mijn complimenten aan stas Knops, blijf vooral deze blogs lezen!

post author image

Over admin

Matthijs is director bij PwC’s Forensic Technology Solutions. Zijn specialismen zijn threat intelligence en incident response. Daarnaast creëert hij cybersecurity awareness bij bedrijven door het inzetten van de Game of Threats die door PwC is...

Meer over admin

    Leave A Comment