The updated vision of the Dutch government on our digital identity

overzicht-digid-idin-idensys

The Ministry of Internal Affairs in the Netherlands informed the Dutch parlement recently on its updated vision on the national eID solution. It combines an evolution of the existing DigiD solution for citizen-2-government (to make this more trustworthy) with allowing private parties to provide citizen-2-government identity services. Those private parties have to conform to either the iDIN (new name for the Dutch BankID) or the Idensys (all non-bank identity providers) trust framework.

DigiD currently provides two flavours: simple username-password, or username-password with a SMS one-time-token as second factor. Issuing is done through an activation letter to the official home address. Needless to say this is not sufficiently trustwothy for, e.g., eHealth services. Also with eIDAS around the corner there is pressure to have something more trustworthy. Besides this level of assurance being too low, a huge dependency of the Dutch e-government service on DigiD is also a major issue: what if DigiD is hacked at a large scale or for whatever reasons is down for a longer period of time?  Something thus needs to be done. After a couple of years of confusion, there is now at least some clarity.

DigiD will stay, but will become more trustworthy by introducing first a DigiD Substantial level of assurance that uses the chips in ePassports, identity cards and e-driving licences as second factor (instead of SMS OTP). After this, DigiD will evolve to DigiD High, by issuing new identity cards and e-driving licences to every Dutch citizens that, similar to Belgium and Germany, include a pincode. This makes DigiD more trustworthy, but we stay too dependent on one single authentication solution. And that’s the main motivation for private identity providers being allowed to provide citizin-2-government authentication via iDIN and Idensys. All three, i.e., DigiD, Idensys and iDIN, will have to adhere to a new law with high-level requirements on their trustworthiness etc.

Is everything now clear? No, unfortunately not. Some IMHO major choices with respect to business model, level playing field and privacy still have to be made. In addition, private service providers were, contrary to earlier plans, declared out of scope. DigiD can’t, with some exceptions, be used for consumer-2-business. But no doubt iDIN and Idensys will provide their services in the consumer-2-business authentication market. But it is not clear what they’ll charge for this, and I’m also somewhat puzzled on how the governance and trust frameworks will work with citizen-2-government being covered by a law, and the consumer-2-business as a kind of addendum.

There is much more to tell, which I did in Dutch as a blogpost on the InnoValor website, copied below for convenience.


Van eID naar GDI – de schuivende kabinetsvisie op onze digitale identiteit

Het was een flink aantal pagina’s dat het Ministerie van Binnenlandse Zaken de Tweede Kamer 25 augustus toestuurde over “Impuls ID”: een kamerbrief, toelichting hierop, het advies van de Commissie Kuipers met de evaluaties van de diverse pilots en nog wat extra bijlagen.

Voor de ongeduldigen, de kort-door-de-bocht samenvatting: het kabinet stelt voor dat er publieke identiteitsmiddelen voor het BSN domein (overheid, zorg, pensioenen) blijven onder de naam DigiD, naast private middelen vanuit de banken (iDIN) en anderen (Idensys). Volgend jaar komt er een DigiD Substantieel (ook RDA genoemd) met paspoort, ID kaart en elektronisch rijbewijs als tweede factor, en daarna DigiD Hoog op basis van toevoegingen aan het elektronisch rijbewijs en ID kaart. Via de wet Generieke Digitale Infrastructuur wordt geregeld dat DigiD, iDIN en Idensys alle drie betrouwbare middelen leveren. Onduidelijk blijft helaas hoe een level playing field te creëren voor alle aanbieders van middelen (business model, vergoedingen etc). Ook moeten private dienstaanbieders (e-retail, verzekeringssector etc.) het zelf maar uitzoeken; het kabinet beperkt de rol van overheid in tegenstelling tot de oorspronkelijk eID Stelsel NL visie tot het BSN domein.

In de rest van dit stuk ga ik meer de diepte in door eerst te schetsen wat er afgelopen jaren rondom eID is gebeurd in Nederland, de essentie van de kamerbrief toe te lichten en dan mijn perspectief hierop te geven.

De voorgeschiedenis


DigiD is weliswaar succesvol, maar in haar huidige vorm niet betrouwbaar genoeg, zeker niet DigiD Basis (gebruikersnaam/wachtwoord) maar ook niet DigiD Midden (met aanvullend een eenmalige code via SMS als tweede authenticatiefactor). Daarover is iedereen het inmiddels wel eens. Dat kan opgelost worden door DigiD betrouwbaarder te maken (met name betere registratie, maar ook betere tweede authenticatiefactoren), maar dat lost een tweede probleem niet op, namelijk dat door de verdergaande digitalisering van de overheidsdienstverlening de afhankelijkheid van de Nederlandse e-overheid van DigiD erg groot is. De oplossing hiervoor moet gezocht worden in een “multi-middelen strategie”: elke Nederlander zou diverse digitale identiteiten moeten hebben om bij de overheid te kunnen inloggen (citizin-2-government, C2G). Een goed idee, maar wel duur en complex! Naast DigiD hebben we ook eHerkenning, een afsprakenstelsel waarin private identiteitsproviders het mogelijk maken voor bedrijven om in te loggen bij de overheid (business-2-government, B2G). Voor consumenten die willen inloggen bij bedrijven is er in Nederland weinig geregeld, oftewel, geen herbruikbare identiteiten voor consumer-2-business (C2B). Dit alles werd in de oorspronkelijk eID Stelsel NL visie  uit 2012 samengenomen tot één afsprakenstelsel voor publieke en private middelen die heel breed hergebruikt zouden kunnen worden: C2G, B2G, C2B en B2B . Het eID Stelsel is altijd gevisualiseerd door het bijgevoegde figuur, dus het eID Stelsel ‘to rule them all’.

Het eID stelsel was een grote uitdaging die door een combinatie van securityeisen, privacyzorgen, onduidelijke business modellen, politiek geharrewar en belangentegenstellingen te ambitieus bleek.  Belangrijk hierbij te noemen zijn de rol van de banken en de EU eIDAS verordening. De banken zijn met hun internetbankieren gedoodverfde kandidaten om als private partijen digitale identiteiten te leveren, maar ze konden of wilden (ligt eraan aan wie je het vraagt) zich niet conformeren aan de eisen van het inmiddels tot Idensys omgedoopte eID Stelsel. De banken zijn, zoals ook bijvoorbeeld in Scandinavië al jaren geleden is gebeurd, vorig jaar hun eigen afsprakenstelsel voor digitale identiteiten begonnen genaamd iDIN (voorheen BankID). De EU zat ook niet stil en heeft parallel aan bovenstaande ontwikkelen een EU-verordening  voor elektronische identiteiten ontwikkeld, genaamd eIDAS. Dit is natuurlijk weer anders dan eHerkenning/Idensys; we hebben dus al een legacy probleem voordat we goed en wel op weg zijn.

Pilots in eerste helft van dit jaar, als voorbereiding voor besluitvorming

In de eerste helft van dit jaar zijn er pilots gedaan met zowel Idensys als iDIN (met name voor C2G). Ook zijn er pilots gedaan hoe DigiD betrouwbaarder te maken: DigiD Substantieel op de kortere en DigiD Hoog op de langere termijn. Bij DigiD Substantieel (ook wel Remote Document Authentication, RDA) wordt het bestaande paspoort, identiteitskaart of electronische gebruikt als tweede authenticatiefactor voor DigiD. Dit wordt getrokken door RDW. Bij DigiD Hoog wordt van een eRijbewijs of een Nederlandse ID kaart (eNIK) een smartcard-based inlogmiddel gemaakt, inclusief een pincode. DigiD Hoog vereist, in tegenstelling tot RDA, vervanging van bestaande eRijbewijzen en ID kaarten. Aangezien die 10 jaar geldig zijn, hebben we het inclusief wetgeving etc al snel over 2028 voordat heel Nederland dit heeft.

Deze pilots zijn onder coördinatie van Commissie Kuipers geëvalueerd. Zie bijlage 3 bij de kamerbrief voor hun, mijn inziens enigszins milde, advies. Ook is er voor de vakantie nog een kritisch rapport verschenen van het Bureau ICT Toetsing (BIT). Op basis van de evaluatie en het BIT-rapport heeft het kabinet nu geformuleerd hoe het verder wil. Wat ons brengt bij de kamerbrief van vorige week met de vele bijlagen.

Het kabinetsbeleid en de Commissie Kuipers

De belangrijkste punten in het voorgestelde kabinetsbeleid zijn:

  1. Alleen BSN domein – De overheid beperkt haar rol tot BSN domein, waarin C2G en B2G vallen, om de complexiteit beperkt te houden.
  2. DigiD blijft, naast iDIN en Idensys – De overheid blijft publieke middelen aanbieden, onder de noemer van DigiD. DigiD blijft dus bestaan en wordt doorontwikkeld (DigiD Substantieel, eNIK etc). Daarnaast komen er oplossingen uit de markt die onder de namen iDIN (banken) en Idensys worden aangeboden. En natuurlijk eHerkenning voor business-2-government.
  3. Overkoepelend wettelijk kader – Er komt een overkoepelend wettelijk kader (wet Generieke Digitale Infrastructuur) waar zowel DigiD als publiek inlogmiddel als de private inlogmiddelen van iDIN en Idensys aan moeten voldoen.

Dit moet eerst nog door de Tweede Kamer overigens voordat er echte stappen gezet kunnen worden.

Uit het rapport van de Commissie Kuipers (en de onderliggende evaluaties van de pilots) zijn ook een paar andere punten naar voren gekomen die ik even wil toelichten:

  • De Commissie heeft een overwegend positief oordeel van de pilots; met name Idensys heeft het opvallend goed gedaan bij gebruikers.
  • De Commissie dringt aan niveau Hoog (eIDAS High, grofweg het oude STORK level 4) niet als eerste stap te zetten. Een goed punt wat mij betreft. Maar blijkbaar wel omstreden aangezien het rapport dat VWS over patiëntauthenticatie heeft laten maken wel aandringt op niveau hoog. Mijn inziens zonder dit goed te onderbouwen, en zonder aan te sluiten bij eerder werk op dit gebied (van Nictiz en anderen, inclusief ikzelf). Of directer geformuleerd: als voor patiëntauthenticatie het niveau Hoog de eis wordt, wordt de-facto patiëntauthenticatie en dus digitale patient empowerment de komende 5 a 10 jaar onmogelijk gemaakt, wat denk ik niet nodig is.
  • Denk in stappen, waarbij ze pleiten voor DigiD Substantieel, dus met Remote Document Authentication (RDA), als een korte-termijn stap.
  • De Commissie concludeert dat zowel DigiD RDA als DigiD Hoog/eNIK soepeler werken via een smartphone-met-NFC i.p.v. een losse NFC lezer gekoppeld aan een PC. Niet verbazingwekkend overigens, de combinatie van extra hardware, drivers en diversiteit in OSen/browser is een erg lastige.

Mijn perspectief

One to rule them all

Opvallend is dat i.p.v. één eID Stelsel to rule them all,  er nu één wet to rule them all lijkt te ontstaan.  Hierin is het eID Stelsel/Idensys ‘gedegradeerd’ tot één van stelsels i.p.v. overkoepeld te zijn. Vergelijk het oorspronkelijke eID Stelsel plaatje uit 2012 maar het onderstaande plaatje zoals gepresenteerd door Steven Luijtjens (DG Binnenlandse Zaken) afgelopen juni. Of een wet of een afsprakenstelsel beter is heb ik geen sterke mening over, beiden hebben voordelen: een wet is beter afdwingbaar, is democratisch gecontroleerd en geld voor iedereen, maar een afsprakenstelsel kan makkelijker meebewegen met de vele veranderingen in onder andere technologie.

Private dienstverleners in de kou

De beslissing om de rol van de overheid te beperken tot het BSN-domein, dus om consumer-2-business buiten beschouwing te laten, is eigenlijk al eind 2015 genomen door het Ministerie van Binnenlandse Zaken. De bevestiging hiervan komt niet als een verrassing. Hoewel ik zeker wel een zeker begrip heb voor het complexiteitsargument, kan ik me voorstellen dat de diverse private dienstverleners die jaren lang in het eID Stelsel/Idensys hebben meegedaan zich wel in de kou voelen staan. Als iDIN en Idensys grootschalig worden uitgerold voor het BSN-domein, zullen ze ook wel beschikbaar komen voor private dienstverleners, maar hoe zit het de aspecten die anders zijn voor private dienstverleners zoals

  • het gebruik van attributen – attributen zoals naam en geboortedatum zijn niet relevant voor BSN domein, overheidsdienstverleners gebruiken de-facto alleen het BSNnummer
  • privacy – in private domein zijn mogelijkheden van pseudoniemen belangrijker
  • het business model voor verrekening
  • en wie gaat toezicht houden op deze niet-BSN-domein aspecten?

Kortom, nog veel onduidelijkheid voor consumer-2-business.

DigiD blijft bestaan, maar geen level playing field?

Een tweede spanningsveld tussen publiek en privaat is de beslissing DigiD door te ontwikkelen. Weliswaar blijft het zo dat DigiD alleen in het BSN-domein  ingezet mag worden, maar hoe werkt dan in dit BSN-domein de concurrentie met de private middelen van iDIN en Idensys? En is er wel genoeg markt over voor private middelen? Dit zijn heikele punten die, weer, vooruitgeschoven zijn. Er is geen duidelijkheid te vinden in het kabinetsstandpunt over hoe het business model gaat werken, dus hoe een level playing field te creëren voor aanbieders en welke vergoedingen er komen richting de private partijen die middelen willen gaan aanbieden. De Commissie Kuipers lijkt dit ook te constateren overigens, maar komt niet met een oplossing.

ZZP-ers zijn burgers en geen bedrijven

In een klein zinnetje in de toelichting van het kabinet staat nog een heikel punt uit verleden over of ZZP-ers als bedrijf (eHerkenning) of als burger (DigiD) behandeld worden als het om inloggen gaat: “ZZP-ers (de eenmanszaken) kunnen inloggen met dezelfde inlogmiddelen die beschikbaar komen voor het BSN‐domein.” Dit lijkt misschien niet erg spannend, maar gezien het grote aantal ZZP-ers dat door dit kabinetsstandpunt geen eHerkenningsmiddel hoeft aan te schaffen, is dit voor de eHerkenningsaanbieders het grootste deel van hun potentiële markt voor business-2-government. Maar ik denk dat de ZZP-ers erg blij dat ze hun DigiD kunnen gaan gebruiken bij de belastingdienst.

Weinig aandacht privacy, Tweede Kamer aan zet?

Privacy is erg belangrijk bij dit soort systemen en hier is ook al het nodige aandacht voor geweest (bijvoorbeeld door Bart Jacobs). Mijn inziens is met name belangrijk om te voorkomen dat de identiteitsproviders (of andere rollen zoals BSN-koppelregisters of makelaars) een soort big brother worden, waar alle informatie bij elkaar komt. Hier kan een mix van Privacy-enhancing Technologies (zoals anonymous credentials, of polymorfe pseudoniemen), Privacy-by-design (user in control, transparantie), wetten en afsprakenstelsels worden ingezet. Elk met voor- en nadelen. Door de focus op BSN-domein is privacy weliswaar iets minder gevoelig dan als consumer-2-business ook nog in focus was geweest, maar ik vind dat er te weinig aandacht is voor privacy in de kamerbrief. Lijkt me overigens ook een goed punt voor de Tweede Kamer bespreking: uiteindelijk zijn er allerlei belangenafwegingen hier die typisch beslissingen zijn die democratisch genomen moeten worden. Ik vind het in ieder geval te belangrijk om het aan de juristen over te laten.

DigiD Basis/Midden/Substantieel/Hoog, iDIN, Idensys 2/2+/3/4, wie snapt het nog?

Het wordt nog een hele communicatie uitdaging om de verschillende stelsels duidelijk te maken aan de Nederlandse burger, of zelfs aan de gemiddelde dienstverlener. De beslissing het DigiD merk te behouden helpt wel richting burger, maar DigiD komt er in verschillende varianten, iDIN met allerlei banken en Idensys met andere private identiteitsproviders, met wisselende betrouwbaarheidsniveaus… Dit moeten we goed gaan uitleggen aan de Nederlandse burger, niet alleen hoe dit werkt maar ook waarom het zo ingewikkeld is.

Gaan we met alle oplossingen Europa in?

Richting de eIDAS verordening zie ik ook nog wel wat uitdagingen, bijvoorbeeld welke inlogmiddelen kunnen Nederlandse burgers straks elders in de EU gebruiken? In eIDAS terminologie heet dit notificeren. Ons er in één keer vanaf maken door het wettelijke kader te notificeren en daarmee alle oplossingen die daar binnen vallen lijkt me niet te kunnen binnen de eIDAS regels, maar op welke granulariteit dan wel? Bijvoorbeeld iDIN als geheel, of elke bank apart? Of misschien ligt het wel voor de hand alleen de publieke middelen te notificeren, maar welke dan? DigiD Basis en Midden zijn eigenlijk te laag, want een inlogmiddel doet pas echt mee op niveau Substantieel in eIDAS. Dus DigiD Substantieel (RDA) is mogelijk de eerste die in aanmerking komt, maar die hebben we dus nu nog niet.

Concluderend: nu uitvoeren, en niet de heikele punten vooruitschuiven

Rondom inloggen op het overheidsdomein zijn urgent stappen nodig om de afhankelijkheid van DigiD te verlagen, en DigiD betrouwbaarder te maken. Gewoon doen wat mij betreft. Dus in 2017 een combinatie van DigiD Substantieel, iDIN en Idensys voor inloggen bij overheid. En op langere termijn DigiD Hoog. Maar om iDIN en Idensys te laten vliegen, is het wel belangrijk om niet langer de heikele punten rondom publiek-vs-privaat vooruit te schuiven. Dat in de keuzes hierin niet iedereen gelukkig zal worden, is dan jammer, maar geen keuzes maken is erger. En hopelijk gaan iDIN en Idensys, ook zonder dat de overheid hier een rol neemt, wel leiden tot herbruikbare identiteiten voor consumer-2-business.

Vanzelfsprekend zijn het uiteindelijk niet de Tweede Kamer, beleidsambtenaren of de identityproviders die bepalen wat er wel of niet een succes wordt. De gebruikers en de dienstaanbieders zijn uiteindelijk doorslaggevend. Gebruikersgemak, betaalbaarheid, transparantie en veiligheid zullen door hen gewogen worden. In ieder geval maakt een succesvolle identiteitsoplossing een nieuwe generatie digitale diensten mogelijk, zoals in de zorg, rondom persoonlijke data en financieel advies.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s