Op 7 november jl presenteerde de Cyber Security Raad (CSR), een publiek-private denktank met deelnemers uit verschillende sectoren in Nederland, het rapport ‘Naar een veilig eID-stelsel’. Het was een “Advies inzake een veilig, universeel en open digitaal eID-stelsel voor een open, veilige en welvarende samenleving”.
Het rapport is een moedige poging van de CSR om een complex probleem te benoemen en te komen met oplossingsrichtingen.
Het door de CSR geïdentificeerde complexe probleem is dat in de digitale wereld een brede infrastructuur ontbreekt voor de digitalisering van transactieprocessen. Volgens de CSR is een flexibele eID-infrastructuur voor zowel het publieke domein als het private domein noodzakelijk om de zekerheden te bieden ten aanzien van identiteiten, bezit en de machtigingen om deze transacties te mogen doen.
Een ‘moedige poging’, omdat er de afgelopen 15 jaren diverse initiatieven zijn ondernomen om te komen tot een ‘brede infrastructuur’ of een ‘stelsel’ rond uitgifte en beheer van digitale identiteiten. Het voorlaatste initiatief was Idensys, een door de overheid gelanceerd publiek-privaat samenwerkingsverband om een vervanger van het bekende DigiD te ontwikkelen. Idensys is een stille dood gestorven, mede doordat er, volgens de Algemene Rekenkamer die er een onderzoek naar had uitgevoerd, eigenlijk geen integrale business case voor het initiatief bestond en er ook nog eens onvoldoende waarborgen waren voor onder andere de privacy van burgers.
Het meest recente initiatief ontstond enkele maanden geleden; BZK publiceerde een mening over de mogelijkheid en/of noodzaak om identiteiten van private partijen toe te laten om toegang te bieden tot overheidsdiensten. En in dat kader is het recente advies van de CSR dan ook te bezien. Helaas stuurt in dit kader de CSR op diverse manieren niet de goede kant op.
Misschien wel de belangrijkste misvatting is dat de CSR vindt dat de overheid de regie moet nemen over eID, mede in het licht van de ontwikkelingen op Europees niveau.
Wij moeten namelijk ook makkelijk in kunnen loggen op buitenlandse websites. Natuurlijk is dat laatste wenselijk, maar daar wreekt zich het feit dat het concept Identiteit complexer is dan het CSR-voorstel doet vermoeden. Een van de misvattingen is, dat een betrouwbare (door de overheid geborgde) eID als oplossing wordt gezien voor zowel Identificatie, Authenticatie, Mandaten (autorisatie), als voor Versleuteling. Maar zo werkt ‘Identiteit’ niet.
Een identiteit bestaat binnen een Context en is alleen geldig binnen de Context waarbinnen die Identiteit is ontstaan en waar die Identiteit wordt beheerd: een eID voor Nederlandse burgers verstrekt door de Nederlandse overheid (DigiD) is alleen geldig voor gebruik van die eID binnen de context van de Nederlandse overheid. Een Facebook identiteit is alleen geldig binnen de Facebook context.
Je kunt wel identiteiten van een andere context vertrouwen, maar dat kan alleen onder bepaalde voorwaarden. De accepterende partij (bijvoorbeeld een website) moet dan de context waarbinnen die identiteit is ontstaan vertrouwen. Als website ben je dus verplicht om DigiD als eID van de Nederlandse burger te vertrouwen. Wanneer je dus met een eID op een (buitenlandse) website wilt inloggen, moet je eerst een identiteit hebben die de betreffende website vertrouwt. Sommige websites vertrouwen de Facebook identiteiten. Die nemen genoegen met de eID van de Facebook context. Met alle mitsen en maren – denk aan privacy – want die “gratis” Facebook identiteit moet wel door iemand worden bekostigd.
En daar wringt de schoen. Het leveren van betrouwbare identiteiten is een kostbare aangelegenheid.
Dat was een van de redenen voor het ontstaan van het Idensys initiatief: de politiek vond DigiD te duur, zelfs de huidige DigiD die niet voldoende betrouwbaar te noemen is. En dat is ook de reden waarom Idensys vervolgens mislukt is: Er is namelijk geen business case voor identity providers, identiteitenbeheer kost nu eenmaal geld. Als de CSR van mening is, dat de overheid een met het paspoort gelijkgestelde eID moet leveren, dan moet daarbij vermeld worden, dat die eID kostbaar zal worden (over dat kostenaspect heb ik hier veelvuldig geschreven). Zonder die conclusie, zal elk advies op dit gebied niet meer dan een goed idee blijven.
Dat Authenticatie een aan Identiteit gerelateerd begrip is, heeft de CSR wel terecht opgemerkt. Maar dat Mandaten en Versleuteling geborgd worden door een door de overheid verstrekte eID, is een misvatting. Ik ga daar in dit verband niet verder op in, het aspect Autorisaties vergt een verdergaande verdieping, waarvoor ik graag verwijs naar mijn whitepaper over Access Governance. En versleuteling kan ook zonder eID, maar ook dat aspect belicht ik hier verder niet.
Een tweede misvatting is het uitgangspunt van de CSR dat “het niet de bedoeling is van de raad om die scheiding [tussen het BSN domein en het private domein] ter discussie te stellen”. Hiermee duidt de CSR dat er sprake is van een privaat domein en van een publiek domein, einde verhaal. Nee, helemaal geen einde verhaal. Er zijn meer domeinen – omdat er namelijk meer Contexten zijn waarbinnen digitale identiteiten bestaan. Er is geen sprake van maar één publiek en één privaat domein. Er is een oneindig aantal contexten waarin identiteiten worden beheerd.
De Nederlandse overheid is verstrekker van de burger-identiteiten, die geldig zijn binnen de context Burger-Overheid. En het BSN is daar de drager van. De CSR wil hier dus liever niet aan tornen. Deed de raad dat maar wel. Want als de CSR bijvoorbeeld had gezegd, dat het mooi zou zijn als het BSN ook buiten de Overheid-Burger context toegepast zou moeten worden, dan ontstaat op dat moment de flexibele eID-infrastructuur die over contexten heen toegepast kan worden. En ontstaat opeens de kans om het Estlands model, waar al onze politici jaloers op zijn, toe te passen. Door voorzichtig om de politieke BSN-brij heen te draaien, ontstaat opnieuw een prachtig idee, maar wordt weggekeken van de voor de hand liggende oplossing voor het probleem. Waarom zouden we het BSN niet gewoon vrij maken? Er is geen enkele reden om het BSN niet te laten gebruiken door derden. De enige zorg is of derden, dus partijen buiten de overheid zelf, het BSN willen gebruiken zolang het via een onbetrouwbare eID als DigiD wordt geleverd. Waarom ik overigens vind, dat er geen enkele reden is om het BSN niet te gebruiken, heb ik uitvoerig beschreven op www.freethebsn.nl. En waarom DigiD niet betrouwbaar is, staat al meer dan 10 jaar op wikipedia
Dat de Nederlandse overheid ten aanzien van de eID de regie moet nemen, is naar mijn mening iets dat vooral niet moet gebeuren. Wat wel moet gebeuren, is dat elke Context-eigenaar zelf bepaalt welke identiteit acceptabel is en welke mandaten aan die verschillende soorten identiteiten kunnen worden verstrekt. Laat de overheid beperkingen stellen aan toegang tot het overheidsdomein en de verantwoordelijkheid beperken tot het verstrekken van toegang en het voorkomen van onwenselijke toegang. Dat is zeer waarschijnlijk al meer dan de overheid op dit moment aan kan.