eID | voortgangsrapportage

Geplaatst op 28 juli 2018 door Ellen Timmer

Op 16 juli jl. stuurde de minister van binnenlandse zaken een voortgangsrapportage over het project over veilige communicatie tussen burger en overheid, het ‘eID’ project.

Onveilig inloggen bij overheid en ziektekostenverzekeraars c.s.
Na de constatering dat veel overheden en gelieerde partijen (‘dienstverleners in het BSN-domein’) op dit moment onveilig toegang verlenen, namelijk door middel van gebruikersnaam en wachtwoord (in plaats van op zijn minst tweefactorauthenticatie), geeft de minister aan dat voor veel elektronische communicatie tussen overheid en burger een beter beveiligde wijze van inloggen nodig is. Inmiddels zouden hier methoden voor ontwikkeld zijn:

Het programma eID heeft daarvoor “DigiD Substantieel” en “DigiD Hoog” ontwikkeld. Kernwaarden hierbij zijn veiligheid van inloggen, voldoende waarborgen voor de privacy en het borgen van gebruiksgemak.

Inlogmethoden met hogere betrouwbaarheidsniveaus maken tegelijkertijd nieuwe vormen van elektronische dienstverlening mogelijk (innovatie), zoals bijvoorbeeld de ontwikkeling van persoonlijke gezondheidsomgevingen en patiëntportalen.

Inclusie
Ook de mensen die digitaal minder vaardig zijn (ik schat ongeveer negentig procent van de Nederlandse bevolking) krijgen aandacht, door middel van een ‘inclusie’ project van de rijksoverheid, daarover zal nadere informatie volgen. Ik ben benieuwd.

Rijbewijs met DigiD Hoog
Nieuwe rijbewijzen zijn geschikt voor een veilige communicatie, het zogenaamde ‘DigiD Hoog’, aldus de brief. Dat klinkt goed, maar dan zijn we er nog niet.

De brief spreekt over het gebruik van NFC, Near Field Communication, dat het Google operating system (OS) android wel mogelijk maakt en het Apple OS, iOS, nog niet. Dat dit bij Apple niet mag, zal veiligheidsredenen hebben.
Uit de brief begrijp ik dat bij het gebruik van het nieuwe rijbewijs alleen mogelijk is in combinatie met een apparaat dat met NFC werkt. Vraag is dan: waarom kan er niet met een aparte NFC-lezer worden gewerkt (in plaats van een android- of iOS-apparaat).

Verificatie en ontkoppeling
De grote vraag bij het gebruik van apparaten (zoals smartphones en tablets) is of het apparaat wel aan de betreffende burger toe behoort en hoe het in zijn werk gaat als het apparaat is gestolen of wordt verkocht: kan de burger dan de koppeling van het apparaat aan het overheidsaccount makkelijk beëindigen?

Self service kiosk
In de brief wordt aan de orde gesteld dat inloggen ook mogelijk kan worden via “een selfservice kiosk op nader te bepalen punten in steden en dorpen“. Daarbij vraag ik me af hoe veilig zoiets gaat zijn of het niet eens tijd wordt om bijvoorbeeld het notariaat bij dit soort functies te betrekken.

Private authenticatiediensten
Vanaf het begin had het ministerie (te) grote verwachtingen van private partijen rondom authenticatie. In deze brief wordt er over gesproken en wordt een Europese aanbesteding aangekondigd. Ik blijf met de vraag zitten hoe het zit met de integriteit van dit soort partijen. Tot nu kwam ik alleen documenten tegen waarin over de technische eisen wordt gesproken. Ook de organisatie, de beleidsbepalers en de medewerkers met hoge toegangsrechten horen integer te zijn. Ook hier hoor ik daar niets over.

Dat ook grote partijen de fout in gaan, wordt door Post NL geïllustreerd, die in het nieuws kwam vanwege het illegaal ‘delen’ van gegevens met commerciële partijen.

Gemiste kansen
Wat ik mis in deze brief:

  • Speciale aandacht voor het complete identiteitsmanagement van burger en organisatie, met flexibele mogelijkheden voor iedereen, afhankelijk van het gemak dat men wil (“alle eieren in één mandje”) respectievelijk het risico dat men bereid is te lopen.
  • Mogelijkheden om authenticatiemethoden te beperken tot bepaalde omgevingen. Bijvoorbeeld: gebruik DigiD Hoog alleen voor de  belastingaangifte, verder niet.
  • Automatische digitale vaardigheden tests, als onderdeel van de digitale overheidsomgevingen.
  • Verificatie van apparaten en van telefoonnummers.

PS Bij Logius blijven ze vrolijk, ‘Weg met de papierwinkel’ schrijft de organisatie. Dus die lekken die andere beroepsregisters in het verleden hadden zullen hier niet voorkomen. En de private partijen die mee doen, zijn volkomen integer.

Aanvulling 2 augustus 2018
Zie over de digitale overheid ook het NL DIGIbeter document, dat in juli 2018 is bekend gemaakt. Daarin worden plannen over de digitale overheid ontvouwd.

Aanvulling 28 november 2018 
De ontwikkelingen gaan verder. Op iBestuur leverde hoogleraar Jacobs kritiek op het eID project, “Het dossier waarop achtereenvolgende bewindslieden op het ministerie van Binnenlandse Zaken (BZK) het minste voortgang hebben geboekt is waarschijnlijk dat van de elektronische identiteit (eID)”.

Aanvulling 6 februari 2019
Op 29 januari 2019 stuurde BZK een brief aan de Tweede Kamer over de voortgang. Het ministerie belooft wendbaar en flexibel te zijn (het toverwoord ‘agile‘) en overal aan te denken:

IJkpunten voor de implementatie zijn de waarden gebruiksvriendelijkheid, veiligheid en betrouwbaarheid uit de agenda NL DIGIbeter, alsmede digitale inclusie.

Mooi woord, dat ‘digitale inclusie‘. Het ministerie schrijft moeilijke zinnen over het onderwerp, het is te hopen dat de uitvoering van het eID programma leidt tot een hoge kwaliteit van de communicatie overheid-burger, dus niet met moeilijke woorden. Veiliger zal het ook worden. Ik ben benieuwd.

Over Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

Gravatar
WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Annuleren

Verbinden met %s