Op dinsdag 31 oktober heeft Logius het seminar Governmental Identification and Authorization Services georganiseerd in Madurodam. Maar liefst 38 personen waren aanwezig, waarvan de helft vertegenwoordigers waren van publieke ICT-organisaties uit België, Engeland, Oostenrijk, Duitsland, Letland, Denemarken en Zweden. Logius collega’s deelden het podium met internationale experts en bespraken onder andere de aanpak, de architectuur, de uitdagingen en de lessons learned over de uitvoering van ICT-voorzieningen en regelgeving in hun land. De sessies zorgden voor veel interactie met het publiek en tijdens de netwerkmomenten werd de kennisuitwisseling voortgezet. In dit artikel bieden we een terugblik op de sessies en de opgedane kennis.

Meerdere inlogmiddelen (eID’s) in het publieke domein

Tijdens de eerste sessie Enabling multiple digital identities for citizens deelden Mariska Volkmaars (business consultant, Logius) en Jon Shamah (eID expert, EEMA – Verenigd Koninkrijk) kennis met elkaar én met het publiek over eID’s. Verschillende landen in Europa lijken vanuit een andere startsituatie langzaam naar een vergelijkbare situatie te groeien wat betreft inlogmiddelen in het publieke domein. Er is vaak een inlogmiddel beschikbaar dat is uitgegeven door de overheid (zoals DigiD in Nederland), alsmede private inlogmiddelen (bijvoorbeeld het Nederlandse Idensys). In het buitenland worden private inlogmiddelen meestal uitgegeven door de bankensector. Opvallend is dat deze combinatie van meerdere inlogmiddelen in het publieke domein meestal niet centraal wordt aangestuurd. In Engeland heet het inlogmiddel in het publieke domein Gov UK Verify. Dit inlogmiddel wordt geleverd door verschillende private partijen. Het grote succes van dit inlogmiddel blijft tot nu toe uit. Zo zijn er weinig diensten beschikbaar en blijkt een groot deel van de potentiele gebruikers af te haken tijdens het aanvraagproces. Dit heeft diverse redenen, zoals te weinig politieke steun, het gebrek aan basisregistraties en cultuur. Landen die beschikken over een bevolkingsregister en Burgerservicenummers (BSN) zijn in het voordeel om de betrouwbaarheid van inlogmiddelen op hogere betrouwbaarheidsniveaus te kunnen garanderen.

"Verschillende Europese landen lijken vanuit diverse startsituaties langzaam naar een vergelijkbare situatie te groeien."

Tegelijkertijd wordt een grote afname van inlogmiddelen door burgers weerhouden vanwege het gebrek aan gebruikersgemak. Dit geldt met name voor inlogmiddelen op betrouwbaarheidsniveau hoog, maar ook substantieel. Deze vereisen extra stappen tijdens het inlogproces, waar gebruikers niet op zitten te wachten. Dergelijke stappen zijn echter nodig om extra veiligheid en betrouwbaarheid te kunnen garanderen.

Opvallend was dat in vrijwel alle landen de Belastingdienst een belangrijke rol speelt in het speelveld van eID’s. Dit komt waarschijnlijk doordat de Belastingdienst het meest gebaat is bij elektronische dienstverlening. Daarnaast kan de Belastingdienst de impasse tussen vraag en aanbod (geen online dienst, geen inlogmiddel en geen inlogmiddel, geen online dienst) doorbreken.

BSN en centraal bevolkingsregister essentieel voor machtigen

Tijdens de tweede sessie Growing need for (digital) mandates bespraken Sierd Westerfield (product manager, Logius) en Thomas Rössler (directeur, PrimeSign/ plaatsvervangend directeur, CRYPTAS – Oostenrijk) machtigen. In Nederland werken we met DigiD Machtigen. Hiermee kunnen mensen die zelf hun online zaken met de overheid niet willen of kunnen regelen, uitbesteden aan iemand anders (de gemachtigde). Deze machtigingsvoorziening zou echter ook gebruikt kunnen worden door andere diensten dan DigiD. Om te voorkomen dat er meerdere voorzieningen worden gemaakt, werkt Logius eraan om de machtigingsvoorziening generiek te maken. Hier komen wel de nodige uitdagingen bij kijken. Verder blijkt Nederland vrij uniek te zijn in het voorzien van machtigingen tussen burgers onderling. Andere landen passen machtigen vooral toe van burger naar organisatie, denk bijvoorbeeld aan een pensioenuitvoerder die pensioenzaken regelt voor een burger.

"Nederland blijkt uniek te zijn dat burgers elkaar onderling kunnen machtigen."

Oostenrijk is met machtigen gestart door machtigingen te registreren in de chip op iemands identiteitskaart. Hiermee worden analoge processen ondersteund. Zo kan bijvoorbeeld iemand op vertoon zijn van identiteitskaart aan de balie van een gemeente, fysiek zaken regelen voor iemand anders. In Oostenrijk wordt langzamerhand wel steeds meer gebruik gemaakt van eenzelfde soort oplossing als DigiD Machtigen, zodat machtigen ook online mogelijk wordt. Hiervoor was in het verleden weinig steun, omdat een centraal bevolkingsregister nodig is voor online machtigen. In landen als Duitsland en Oostenrijk ligt het invoeren van een centraal bevolkingsregister gevoelig gezien de geschiedenis. Machtigen is daarmee vooral een wettelijk traject en niet zozeer technisch. Landen die niet over een dergelijk register beschikken, blijken geen machtigingsvoorziening te hebben. Volgens de meeste aanwezigen ligt machtigen niet hoog op de prioriteitenlijst van andere landen. Voor niet-digitaal vaardigen is machtigen echter wel van groot belang om niet tussen wal en schip te vallen met de steeds verdergaande digitalisering van de overheid.

Inloggen over de grens straks overal mogelijk

Marije Jurriëns (business consultant, Logius) en Stephan Klein (directeur Governikus – Duitsland) discussieerden in de laatste sessie Implementation of eIDAS over de voortgang van eIDAS. De Europese eIDAS-verordening verplicht overheidsorganisaties binnen de Europese Unie (EU) om vanaf september 2018 nationale inlogmiddelen van andere EU-lidstaten toe te staan in hun online dienstverlening. Dat houdt in dat het mogelijk moet zijn om bijvoorbeeld als Nederlandse student in te schrijven voor de universiteit van Barcelona met DigiD. In Nederland is de architectuur voor eIDAS ontwikkeld, waarbij gebruik is gemaakt van het bestaande koppelvlak van eHerkenning en Idensys. Wanneer organisaties aansluiten op eHerkenning|Idensys voldoen zij volgend jaar aan de verordening. Organisaties zijn hierover geïnformeerd. Nederland lijkt tot zover goed voorbereid te zijn op de eIDAS verordening.

"Dankzij de Europese eIDAS-verordening kunnen Nederlandse studenten met DigiD inloggen op een buitenlandse universiteit."

Duitsland distribueert software (componenten) in plaats van een koppelvlak. Governikus raadt de aanwezigen aan om de Duitse POS-eIDAS module, dat gratis open software is, toe te passen in het eIDAS koppelpunt, zodat Duitse burgers toegang kunnen krijgen tot andere EU-lidstaten. Duitsland heeft verder als eerste land zijn nationale inlogmiddel genotificeerd bij de EU. Dat houdt in dat het is goedgekeurd door de EU om ermee in te kunnen loggen over de grens. Het Duitse inlogmiddel is een identiteitsbewijs dat kan worden uitgelezen met een app. Het voldoet daarmee aan betrouwbaarheidsniveau hoog. In principe zijn landen niet verplicht hun eID’s te laten notificeren, maar het is wel een logisch gevolg van het verplichte deel van de verordening. Het is alleen een zorgpunt dat eID’s met mindere specificaties eventueel ook genotificeerd kunnen worden als een inlogmiddel op betrouwbaarheidsniveau hoog.

Deelnemers zijn doorgaans positief over de planning om per september 2018 aan eIDAS te voldoen. De verordening stimuleert de verbetering en versterking van online dienstverlening.

Internationale kennisuitwisseling blijft belangrijk

Concluderend doet Nederland het nog zo slecht niet. Een aantal andere Europese landen ziet Nederland als koploper en een voorbeeld voor digitale overheidsdienstverlening. Tegelijkertijd leert Logius veel van haar buitenlandse collega’s. Wij hebben de ambitie kennisuitwisseling met publieke ICT organisaties in EU-lidstaten te intensiveren om internationale aansluiting van Logius producten en diensten te bewaken. Vanwege het succes van het event zal in 2018 opnieuw een internationaal seminar georganiseerd worden over een ander onderwerp.