The challenges for a Dutch eID

eid-stelsel-nl-bzk

My colleague Wolfgang Ebbers is a blogger for iBestuur. iBestuur is an independent platform for i-government (the i stands for information). In his latest blogpost he discusses a recent letter from the minister of Internal Affairs on the minister’s vision on digitale government 2017. Wolfgang zooms in on the role of an eID solution in this vision, and interviews me on what I consider are important challenges for the Dutch eID framework that the Dutch government is working on. I basically try to make five points.  I start with that (i) it is good that there is now an eID framework vision that is broadly supported by different parts of the Dutch government, and that it also extends to consumer-2-business. Then I make the point that the unclarity/uncertainty on how this vision will be implemented causes initiatives for eID solutions to wait. Then I discuss some major challenges:  (iii)  the business model (who is paying, private sector vs government vs consumer, market entry), (iv) the privacy aspects, including the trade-off between privacy, costs, security and convenience and (v) redundancy in the framework (e.g., authentication means) including that it is difficult to create the desired level-playing field between government and private sector.

The complete blogpost can be found here (in Dutch). For your convenience, I also copied the text below:

Denk niet te lichtvaardig over eID

door:  Wolfgang Ebbers ,  6 juni 2013

Het elektronisch contact met de overheid moet beter beveiligd worden, aldus Plasterk in zijn visiebrief digitale overheid  2017. Daarom werkt hij nu aan het eID-stelsel. Het idee is goed, maar de duivel staat al schaterlachend klaar achter de coulissen van het Theater der Details.

Waarschijnlijk net als u zat ik de afgelopen dagen te lezen in Plasterk’s visiebrief van de digitale overheid 2017. Een must-read voor de iBestuurgemeenschap.  Voor ieder wat wils om ergens iets van te vinden.  Zo vind ik als communicatiewetenschapper natuurlijk iets van de passage op pagina 3: “het gebruik van het digitale kanaal door burgers zal krachtig worden gestimuleerd”.  Het hoe blijft onduidelijk, maar de hoop lijkt gevestigd te zijn op ondermeer het ICT-doorbraakproject ‘massaal digitaal’. Bij nadere bestudering constateer ik dat noch dat doorbraakproject noch de visiebrief verhalen van kanaalsturing. Bij mij rijst daardoor het bange vermoeden dat deze voor de invulling van de ambities in 2017 strikt noodzakelijke activiteit volledig over het hoofd is gezien.

Ineens krijg ik koudwatervrees. Wat zou er nog meer over het hoofd zijn gezien? Onrustig flitsen mijn ogen over het scherm op zoek naar wat ons allen raakt. Daar! Het eID stelsel! Hoe moeten we naar die ambities kijken? Hiervoor ben ik gaan praten met mijn collega Maarten Wegdam, gespecialiseerd in privacy, identity en trust vraagstukken. Maarten heeft gewerkt aan het Europese eID project STORK en aan het R&D project cidSafe (safe Consumer Identity), waarin hij samen met partijen als Rabobank en APG werkte aan een  gemakkelijke digitale sleutel voor algemeen gebruik door consumenten op het internet.

Maarten: “Het idee achter het eID-stelsel is goed. Met DigiD was het veiligheidsvraagstuk een feestje van de publieke sector, maar door het eID stelsel krijgt ook de private sector een oplossing aangedragen. Dat doet recht aan de omvang van het probleemgebied, als consumenten gebruiken we immers veel vaker e-commerce-diensten dan e-overheidsdiensten (zie bijvoorbeeld pag. 43 van het Trendrapport Internetgebruik). Ook goed: de eID-stelselvisie wordt veel breder gedragen dan de DigiD-visie een paar jaar geleden, of recenter eHerkenning. Toen hadden verschillende overheidsorganisatie verschillende visies.”

Mooi, maar tussen droom en daad  staan wetten in de weg en praktische bezwaren. Wat zijn nou typische eID vraagstukken waar we niet lichtvaardig over mogen denken? Maarten: “Overall is het probleem dat er veel onduidelijkheid is over wat er allemaal gaat gebeuren. Er moeten enorm veel keuzes worden gemaakt, dat is nog niet gebeurd. Dat werkt weer verlammend op initiatieven vanuit de private sector om  een rol te spelen binnen het eID-stelsel, gebruik te maken van het eID-stelsel of om diensten te ontwikkelen complementair aan dit stelsel.”

Waar moeten we zoal aan denken? Maarten benoemt drie onderwerpen:

  • De kosten voor een middel met hoge beveiliging zijn ongeveer 250 miljoen euro. Wie gaat dat in deze tijd betalen? Het zal er waarschijnlijk op neer komen dat de overheid een groot deel hiervan door anderen laat betalen. Wie zijn dat? De consument? Dat is slecht voor de adoptie en een middel dat niemand gebruikt, is per definitie geen succes. Consumenten betalen alleen als ze echt moeten. Maar bedrijven zijn gek als ze het eID-gebruik verplicht stellen. Verzekeraars geven bijvoorbeeld aan dat als ze dat doen, de klant naar de concurrent gaat of andere, duurdere kanalen gebruikt. Verplichtstelling opgelegd door de overheid is lastig, want daarmee creëer je weer een drempel om geld te vragen voor een eID.  De dienstenaanbieders zelf dan? Maarten is daar een voorstander van. Daar liggen immers de besparingen, consumenten zullen meer elektronisch doen en dat is in het voordeel van de aanbieders. Maar ook hier zijn beren op de weg. eID moet je zien als een kostbare marktintroductie van een infrastructuur. Het aanbod roept niet zomaar de vraag op. Neem België en Duitsland, ondanks de massale beschikbaarheid van passen daar valt het tegen bij hoeveel grote dienstverleners je kunt inloggen met je eID-pas.
  • Dan zijn er typische privacyvraagstukken op te lossen. Werken aan een veiliger internet is altijd schipperen tussen kosten, security, privacy en gebruikersgemak. Verhoog je het één, verlaag je het ander. Hoe veiliger je iets wil maken, hoe meer je vraagt van iemands digitale vaardigheden. Hoe gebruikersvriendelijker je wilt zijn, hoe meer je het gevaar loopt van de overheid een big brother te maken. Wat is het juiste evenwicht? Er zijn onderzoekers die dat allemaal proberen te combineren, maar dat is op dit moment technologie die zich nog niet op grote schaal heeft bewezen. Er moet dus over dat evenwicht worden nagedacht en bij de keuzes moet de politiek betroken worden: immers geld versus gebruikersgemak versus privacy versus security. Zonder die betrokkenheid bestaat het gevaar dat keuzes niet goed onderbouwd worden of dat beslissingen zonder maatschappelijk draagvlak genomen worden.
  • Doel en kritieke succesfactor van eID-stelsel is dat er redundantie in eID-middelen komt en dat dit zowel publieke als private middelen zijn. We willen af van de huidige digitale sleutelbos, slechts één eID-middel is wel erg kwetsbaar. Daarmee zouden we een situatie creëren waarin onze digitale samenleving voor langere tijd tot stilstand kan worden gebracht door een enkele onverlaat. Hiervoor is echter wel een zogenaamd level playing field tussen publieke en private partijen nodig die allebei eID-diensten aanbieden, aldus de beleidsgedachten. Maar hoe gaat dat werken? Gaan private partijen op prijs concurreren met de overheid in de uitgifte van eID-middelen? Wat als het eID-middel van de overheid goedkoper is? Gaan private partijen dan alsnog afhaken? Met name over het level playing field wordt veel te gemakkelijk gedacht.

Wel beschouwd dus nog een paar beste hobbels te nemen met het eID-stelsel. Het zou mooi zijn als alle betrokkenen hier de tijd voor krijgen en de ruimte voor nemen. Want de duivel staat al weer schaterlachend klaar achter de coulissen van het Theater der Details.

 

3 Responses to The challenges for a Dutch eID

  1. […] dat er momenteel simpelweg geen STORK 3  authenticatieoplossing is die het LSP redelijkerwijs zou kunnen gebruiken. Een breed beschikbare STORK 3 of 4 oplossing komt er hopelijk wel snel aan, zie DigiD Hoog en eID stelsel NL plannen. […]

  2. […] wel tempo gemaakt worden met een opvolger. Ik heb al het nodige geblogd over deze opvolger: het eID stelsel NL en een DigiD smartcard, dat ga ik hier niet herhalen. Wel vind ik het opvallend dat ook nu, in bijvoorbeeld de Volkskant, […]

  3. […] wel tempo gemaakt worden met een opvolger. Ik heb al het nodige geblogd over deze opvolger: het eID stelsel NL en een DigiD smartcard, dat ga ik hier niet herhalen. Wel vind ik het opvallend dat ook nu, in bijvoorbeeld de Volkskant, […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s