The government develops all kind of identifcation and authentification applications such as DigD, BSN. The study adressed the question to which extend these application should be supplied to the private sector. What are benefits and risks? The private sector could use these application to improve services or reduce costs. But privacy risks are at stake.
Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek / Netherlands Organisation for Applied Scientific Research
Eemsgolaan 3 Postbus 1416 9701 BK Groningen www.tno.nl T +31 50 585 70 00 F +31 50 585 77 57 [email protected]
TNO-rapport E-dienstverlening aan de burger: kansen en bedreigingen van publiek private samenwerking
Datum 16-04-2010
Auteur(s) A. Huygen, L. Kool, J.H. Hoepman
Opdrachtgever Alliantie Vitaal Bestuur
Aantal pagina's 46 (incl. bijlagen)
Aantal bijlagen
Alle rechten voorbehouden. Niets uit dit rapport mag worden vermenigvuldigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande schriftelijke toestemming van TNO.
Indien dit rapport in opdracht werd uitgebracht, wordt voor de rechten en verplichtingen van opdrachtgever en opdrachtnemer verwezen naar de Algemene Voorwaarden voor onderzoeksopdrachten aan TNO, dan wel de betreffende terzake tussen de partijen gesloten overeenkomst.
1 Inleiding .......................................................................................................................... 4 1.1 Achtergrond en probleemstelling..................................................................................... 4 1.2 Doel en verloop van het onderzoek ................................................................................. 5 1.3 Opzet en methoden van het onderzoek ............................................................................ 6 1.4 Toelichting begrippen ...................................................................................................... 7 1.5 Leeswijzer...................................................................................................................... 10
2 Wensen van het bedrijfsleven ..................................................................................... 11 2.1 Intermezzo: regels rondom het gebruik van het BSN .................................................... 11 2.2 Wensen van het bedrijfsleven ........................................................................................ 14
3 Analyse van wensen van het ruimer gebruik BSN.................................................... 20 3.1 Wens 1: BSN als intern ordeningsinstrument ................................................................ 20 3.2 Wens 2: BSN voor gegevensverkeer tussen partijen in een keten/sector ...................... 22 3.3 Wens 3 en 4: Gebruik van de beheervoorziening BSN (o.a. voor nakomen publieke
taken) ............................................................................................................................. 23 3.4 Wens 5: Permanente toegang tot het GBA .................................................................... 24 3.5 Wens 6: Eenvoudige en betrouwbare manieren van online identificatie en authenticatie
4 Alternatieve vormen van publiek private samenwerking bij identiteitsmanagement....................................................................................................................................... 27
Tabel 1: Identificerende gegevens BV BSN.................................................................. 13 Figuur 1: Sectoraal gebruik DigiD................................................................................. 29 Tabel 2: Overzicht penetratie en daadwerkelijk gebruik van 3 typen implementaties, op
basis van IDABC (2009) .......................................................................... 34 Figuur 2: Oostenrijkse "citizen card"............................................................................. 35 Figuur 3: Het 4 partijen model voor IdM....................................................................... 38
Figuren
TNO-rapport | 4 / 46
1 Inleiding
1.1 Achtergrond en probleemstelling
De opkomst van de informatiesamenleving, en daarmee samenhangend de toenemende digitalisering van dienstverlening, maakt elektronische herkenning van burgers, klanten en gebruikers steeds belangrijker. Boeken bestellen, kleding kopen, het aanvragen van een vergunning bij de gemeente – en vele andere transacties – gebeuren steeds vaker via het internet. Voor het verlenen van al deze online diensten speelt het vaststellen van de identiteit van de burger of klant een belangrijke rol: wordt een uitkering aan de juiste persoon verstrekt? Wordt in een bepaalde situatie alcohol verstrekt aan een persoon die de vereiste leeftijd heeft? Online identificatie en authenticatie kan de dienstverlening en handel via internet vergemakkelijken1. De invoering van veilige, gemakkelijke en effectieve (publieke) elektronische identiteitsmanagement (eIDM) oplossingen zijn daarom belangrijke doelstellingen van zowel de Europese Commissie en in de Nederlandse (ICT) beleidsagenda. In Nederland wordt in dit kader sinds november 2007 gebruik gemaakt van het burgerservicenummer (BSN) en, al eerder, van DigiD (Digitale Identiteit) als vorm van publieke eIDM-oplossing. Met DigiD kan de identiteit van de burger elektronisch worden vastgesteld en hoeft men niet meer gebruik te maken van een paspoort, rijbewijs of andere fysieke identiteitskaart. Op die manier kunnen burgers via internet zaken doen met de overheid, bijvoorbeeld het aanvragen van een uittreksel uit het Gemeentelijke Basis Administratie (GBA), maar bijvoorbeeld ook zaken rondom studiefinanciering, vergunningen e.d. DigiD kan worden gebruikt bij alle overheidsinstellingen waaronder de Belastingdienst, de douane, Informatie Beheer Groep, Centrum voor Werk en Inkomen en het UWV. Inmiddels maken 8 miljoen Nederlanders gebruik van DigiD2. DigiD geeft hierbij het burgerservicenummer (BSN) – een uniek persoonsnummer – af. DigiD en BSN worden niet alleen gebruikt voor identificatie van burgers, maar ook als hulpmiddel om gegevens tussen verschillende overheidsinstanties uit te wisselen. Dit heeft mogelijke voordelen zoals een verbetering in de kwaliteit van de dienstverlening (meer personalisatie en maatwerk), vermindering van administratieve lasten, vergemakkelijking van het opsporen van (sociale verzekerings-) fraude. Aan de andere kant wordt het lastiger voor burgers om het overzicht te behouden over welke gegevens over hen worden verzameld en of deze gegevens ook correct zijn. Voor hen is het daarom van belang dat het systeem transparant is (o.a. door een goede regeling van zaken als inzage- en correctierecht en het informeren van burgers) en dat de persoonsgegevens zorgvuldig worden beheerd.
1 Voor definitie van begrippen, zie paragraaf 1.4 2 http://www.minbzk.nl/actueel/kamerstukken/@125524/antwoorden-op_e
TNO-rapport | 5 / 46
DigiD mag op dit moment alleen worden gebruikt voor identificatie en gegevensuitwisseling met de overheid. De Wet algemene bepalingen burgerservicenummer (BSN) regelt het gebruik van het BSN door overheidsorganen voor het uitvoeren van hun taak. Niet-overheidsorganen kunnen op dit moment gebruik maken van het BSN als daar een wettelijke taak voor is. Er moet een wettelijke grondslag zijn die gebaseerd wordt op een maatschappelijk belang. Private partijen hebben de wens geuit om gebruik te maken van DigiD en om ruimer gebruik te maken van het BSN. Dit potentieel medegebruik voor online identificatie en authenticatie is het onderwerp van dit onderzoek. Het onderzoek is uitgegeven naar aanleiding van de BOTS-sessie bij de Alliantie Vitaal Bestuur op 13 februari 2008, waar het ingediende voorstel van TNO Informatie- en Communicatietechnologie is goedgekeurd. Het onderzoek is uitgevoerd in 2008 en 2009.
1.2 Doel en verloop van het onderzoek
De kennisvraag betrof de potentiële inzet van BSN, DigiD en PIP (Persoonlijke Internet Pagina) als instrumenten van e-dienstverlening naar bedrijven en burgers3. Met deze stap zouden private instanties toegang krijgen tot de gegevens die aan deze instrumenten ten grondslag liggen (en ze mogelijkerwijs ook kunnen aanvullen). Op dit moment is dat niet, of slechts in beperkte mate, mogelijk. De veronderstelling bij aanvang van het onderzoek was dat bedrijven behoefte hebben aan het gebruik van deze instrumenten om online identificatie en authenticatie van hun klanten te vergemakkelijken. Tevens was de gedachte dat van deze toegang een economische impuls uitging. Het oorspronkelijke doel van het onderzoek viel in twee delen uiteen: 1) het in kaart brengen van de onderliggende wensen en behoeften van het bedrijfsleven naar het medegebruik van deze instrumenten, en de economische effecten en mogelijke risico’s met het oog op privacybescherming hiervan te onderzoeken en 2) om op basis van deze behoeften mogelijke alternatieven van publiek private samenwerking op het gebied van online identificatie en authenticatie te schetsen voor het medegebruik van BSN, DigiD en PIP. In de loop van het onderzoek hebben de onderzoekers vanwege de gevonden resultaten een aantal wijzigingen in het onderzoek moeten doorvoeren. Deze wijzingen, de oorzaken hiervan en gemaakte keuzes worden hieronder uiteen gezet. Uit de desk research en interviews met partijen uit het bedrijfsleven (zie volgende paragraaf) blijkt dat vooral partijen uit de financiële sector de behoefte uiten aan medegebruik van BSN. De behoefte van deze partijen is vooral gericht op de interne bedrijfsvoering en bestaat uit (ruimere) toegang tot en gebruik van het BSN en toegang tot NAW-gegevens zoals opgeslagen in het Gemeentelijk Bevolkingsregister (GBA). Behoefte aan het medegebruik van DigiD en PIP is niet gevonden. De veronderstelling dat private partijen de overheidsinstrumenten BSN, DigiD en PIP mede willen 3 Alliantie Vitaal Bestuur (2008) Kennisvragen aan de Alliantie Vitaal Bestuur 2008. Door: BZK, EZ en de Belastingdienst
TNO-rapport | 6 / 46
gebruiken om online identificatie en authenticatie van klanten te vergemakkelijken – in ieder geval voor de financiële sector – bleek dus maar deels te kloppen. Het onderwerp van de studie is het vergemakkelijken van online identificatie en authenticatie als hulpmiddel voor ondernemingen, e-dienstverleners en burgers om veilig een identiteit te bepalen en te valideren.. Uit ons onderzoek blijkt dat gevestigde partijen zoals de financiële sector behoefte hebben aan medegebruik van voorzieningen voor identificatie en authenticatie.. Om de behoefte bij ondernemingen, die online handelen goed te verkennen zijn er twee aanvullende interviews houden (zie volgende paragraaf), met één gevestigde partij en één nieuwe partij. Volgens de economische theorie is een eenvoudig systeem van identificatie en authenticatie vooral belangrijk voor nieuwkomers. Dat voorkomt een significante investering in een eigen systeem, dat een belemmering kan vormen om toe te treden tot de markt. Een economische impuls zou te verwachten zijn als deze nieuwe partijen gemakkelijker kunnen toetreden tot de markt van online handel (door middel van online identificatie en authenticatie) en hierdoor nieuwe diensten kunnen aanbieden. Partijen, die online handelen, hebben behoefte aan eenvoudige en efficiënte vormen van online identificatie en authenticatie van klanten. Er is daarom besloten om het tweede deel van het onderzoek te richten op alternatieve manieren van publiek private samenwerking om online identificatie en authenticatie te vergemakkelijken (zie hoofdstuk vier).
1.3 Opzet en methoden van het onderzoek
Deel een van het onderzoek bestaat uit de inventarisatie van de behoeften van het bedrijfsleven. De inventarisatie is uitgevoerd op basis van desk research interviews. Ook is een analyse uitgevoerd naar de economische effecten en de gevolgen voor de bescherming van privacy van de wensen. Op basis van de desk research zijn partijen geïdentificeerd met de grootste behoefte aan medegebruik van voorzieningen voor identificatie en authenticatie. De onderzoekers hebben een beperkt aantal partijen gevonden die deze behoefte hebben geuit: het bankwezen, het verzekeringswezen en VNO-NCW. De onderzoekers hebben de branche-organisaties van het bank- en verzekeringswezen en VNO-NCW uitgenodigd voor interviews, maar het bleek lastig om hun mondelinge inbreng te verkrijgen. Uiteindelijk hebben de onderzoekers gesproken met één vertegenwoordiger van een branchevereniging van de financiële c.q. /verzekeringssector.. Er is gesproken met het Ministerie van Financiën. In de aanvullende interviews is gesproken met Wehkamp en met een online dienstaanbieder in de telecommunicatiesector, die ook anoniem wil blijven.4. Deel twee bestaat uit een beschrijving van verschillende alternatieven van publieke private samenwerking om online identificatie en authenticatie te vergemakkelijken. De
4 De resultaten van het onderzoek zijn gebaseerd op een beperkt aantal interviews. Bij de interpretatie van het onderzoek dient dit in acht te worden genomen.
TNO-rapport | 7 / 46
alternatieven worden beoordeeld aan de hand vooraf vastgestelde beoordelingscriteria. Deze zijn:
o Functionaliteit: Hier beoordelen we het algemene functioneren van het systeem, en wordt beschreven in hoeverre aan de wensen van het bedrijfsleven tegemoet komt.
o Veiligheid en Privacy: Hier beoordelen we de veiligheid en de privacy bescherming van het systeem.
o Haalbaarheid: Hier beoordelen we de technisch en juridische haalbaarheid van het systeem. Is het systeem gebaseerd op bestaande standaarden, sluit het aan op marktontwikkelingen, zijn er vergelijkbare system elders in gebruik. Wordt voldaan aan bestaande wet en regelgeving?
o Overige afwegingen: Hier beoordelen we overige aspecten die van belang kunnen zijn, zoals gebruikte standaarden.
1.4 Toelichting begrippen
Deze paragraaf licht de belangrijkste begrippen met betrekking tot online identificatie en authenticatie toe.
1.4.1 Identiteit Identiteit is een containerbegrip. De literatuur kent verschillende uitwerkingen en stromingen rondom het begrip identiteit, zoals cultureel, antropologisch, sociaal, psychologisch of filosofisch. Een psychologische opvatting van identiteit relateert bijvoorbeeld aan het zelfbeeld van een individu, het zelfvertrouwen en individualiteit. Bij sociale wetenschappen wordt identiteit in een sociale context gezien, en kan identiteit ook relateren aan unieke karakteristieken van een bepaald groep individuen (zoals natie, sociale klasse e.d.). In relatie tot (online) identiteitsmanagement wordt vaak een meer instrumentele, of technische opvatting van het begrip identiteit gehanteerd5. Identiteit wordt dan verstaan als: “alle kenmerken (attributen) van een individu, of te wel alle feiten, die het individu beschrijven”6. Voorbeelden van kenmerken van een individu zijn: de naam, geslacht, woonplaats, leeftijd, opleiding, BSN, nummer van het paspoort/rijbewijs, maar ook aankopen bij postorderbedrijf, inkopen bij de supermarkt, nummer bij de verzekering, pseudoniemen op internet, haarkleur, huidskleur enzovoort. Naam, adres en woonplaats (NAW-gegevens) zijn belangrijke identificerende gegevens. Daarnaast is, in ieder geval in de
5 Voor meer informatie over verschillende opvattingen over identiteit, zie bijvoorbeeld Cofta, P. (2009) Towards a better citizen identification system; Identity in the Information Society 6 Cameron, K. The laws of identity, http://www.identityblog.com/?p=352/
TNO-rapport | 8 / 46
communicatie met de overheid, het BSN belangrijk. Het is een uniek kenmerk dat één bepaald persoon identificeert. Door andere identificerende gegevens aan een dergelijke unieke identifier te koppelen zijn ze eenvoudiger terug te vinden en te combineren. Dit is één van de redenen waarom de overheid het BSN heeft geïntroduceerd voor de communicatie met burgers, en communicatie over een burger tussen verschillende overheidsinstanties. Als bedrijven met overheden willen communiceren over een burger, dan gaat dat in sommige gevallen ook via het BSN. Maar het kan ook aan de hand van de NAW-gegevens (bijvoorbeeld als een deurwaarder of een advocaat wil weten of een persoon is ingeschreven op een bepaald adres). Een digitale identiteit is een “verzameling uitspraken - claims genoemd – door een digitaal subject over zichzelf of over een ander digitaal subject”7. De claims koppelen (een verzameling van) attributen aan een individu, waarmee deze kan worden geïdentificeerd. In relatie tot digitale identiteit wordt ook vaak het begrip partiële identiteit8 gehanteerd9. Per context of situatie (bijvoorbeeld vrije tijd, op het werk of anders) kan een andere verzameling aan attributen volstaan om een individu te identificeren. De benodigde mate van identificatie en authenticatie verschilt daarom per context. Onderscheid maken tussen verschillende vormen en contexten speelt een belangrijke rol bij het waarborgen van privacy van gebruikers, klanten of burgers. Met het oog op privacybescherming van klanten en burgers, is het onwenselijk als er meer informatie (attributen) verstrekt moet worden dan strikt noodzakelijk10. De vraag hierbij is welk type digitale identiteit (welke attributen) nodig of acceptabel is in een bepaalde context. Hieronder worden 6 situaties en bijbehorende vormen weergegeven11. − Browsen op internet: Als het gevraagd wordt, volstaat een zelf aangenomen of
gecreëerde identiteit of pseudoniem.
− Persoonlijk: een zelfbedachte identiteit voor een langere relatie met een website of dienst, waarbij bijvoorbeeld naam en e-mailadres worden verstrekt. Een voorbeeld is identiteit op de website van de krant, waarop een gebruiker geabonneerd is.
− Gemeenschap: een openbare identiteit om samen te werken met anderen. Voorbeelden daarvan is een identiteit op Hyves of op LinkedIn.
− Professioneel: een openbare identiteit om samen te werken, uitgegeven door de werkgever
− Credit card: een identiteit die is uitgegeven door de financiële instelling. 7 Cameron, K. The Laws of Identity, http://www.identityblog.com/?p=352/ 8 Hansen et. al. (2008) Identity management throughout one’s whole life. Information Security Technology Report, Volume 13-2, pp. 83-94. 9 Voor meer informatie over het gebruik van gedeelde identiteiten, zie Hof, S. en Leenes, L. (2010) Gedeelde en samengestelde identiteiten in de publieke dienstverlening. 10 Zie ook Artikel 8 van de Wet bescherming persoonsgegevens betreffende de rechtmatige grondslag voor de verwerking van persoonsgegevens. 11 De vormen zijn gebaseerd op Cameron, K. The Laws of Identity. Beschikbaar op: http://www.identityblog.com/stories/2004/12/09/thelaws.html
TNO-rapport | 9 / 46
− Burger: een identiteit die is uitgegeven door de overheid.
1.4.2 Authenticatie Authenticatie is het controleren of een geclaimde identiteit ook waar is. Met andere woorden: ‘kan er worden aangetoond (geverifieerd) dat een individu inderdaad is wie hij of zij zegt te zijn’12. Dit gebeurt door het overleggen van specifieke bewijzen die de claim kunnen ondersteunen. Er zijn verschillende middelen die als bewijs kunnen dienen, afhankelijk van de gemaakte claim. Zo kan gesproken taal een nationaliteit aannemelijk maken, en een trouwring laat zien of iemand getrouwd is. Uiterlijke kenmerken geven indicaties over geslacht (‘vrouw’ of ‘man’) maar ook over leeftijd. In een online omgeving is het overeenkomen van naam en wachtwoord voldoende om toegang te krijgen een bepaalde dienst. De te overleggen bewijzen worden ook wel zogenaamde credentials genoemd (zie volgende paragraaf). De bewijzen om een identiteit te controleren, variëren in betrouwbaarheid. Als een jongeman van een jaar of zeventien sterke drank wil kopen, kan de winkelier gebruik maken van verschillende bewijzen. Bij deze jongeman zullen uiterlijke kenmerken onvoldoende betrouwbaarheid bieden en is additioneel bewijs nodig. Voor het extra bewijs zal de winkelier bijvoorbeeld vragen naar een identiteitsbewijs zoals een paspoort, dat een hoge mate van betrouwbaarheid wordt toegedicht. De benodigde betrouwbaarheid verschilt daarnaast per situatie (is context afhankelijk). Als iemand zegt dat hij is afgestudeerd, zullen we dat meestal geloven. Maar in een sollicitatieprocedure wordt ook vaak een afschrift van het diploma gevraagd. Na authenticatie kan een autorisatie volgen om vast te stellen of het individu toegang heeft of mag worden verleend tot bijvoorbeeld een dienst, website, gebouw of ruimte.
1.4.3 Credential Een “credential” is een gestandaardiseerd instrument (bewijs) om een bewering over een identiteit te onderbouwen of te bewijzen, dus om te authenticeren. Voorbeelden in de fysieke omgeving zijn het paspoort en het rijbewijs. Het paspoort kan gebruikt worden voor verschillende beweringen, rondom naam, leeftijd, adres e.d. Een zorgpas toont aan dat de houder daarvan verzekerd is bij een zorgverzekeraar, een NS-abonnement laat zien dat iemand een abonnement heeft bij de Nationele Spoorwegen, en een vingerafdruk die bijvoorbeeld bij de sportschool wordt gebruikt om aan te tonen dat iemand lid is. Het paspoort en het rijbewijs zijn oorspronkelijk ontworpen als credentials voor het contact met de overheid. Inmiddels hebben ze echter ook in contacten tussen private
12 ITU (2006) Digital Life. Beschikbaar op: http://www.itu.int/osg/spu/publications/digitalife/docs/digital-life-web.pdf
TNO-rapport | 10 / 46
partijen een belangrijke rol gekregen voor het bewijzen van de identiteit. Dat is min of meer spontaan gebeurd. In de digitale omgeving bestaan zulke algemeen geaccepteerde credentials nog niet of nauwelijks. Dit betekent dat een partij, die de identiteit van een ander online wil vaststellen, niet kan terugvallen op een gemakkelijke en algemeen aanvaarde methode van identificeren., wat de ontwikkeling van diensten via internet kan belemmeren. Dienstverlening is immers lastig als er geen duidelijkheid is over de vraag met wie men handelt. Een algemeen geaccepteerde vorm van identificatie kan de handel via internet vergemakkelijken en zo de digitale diensteneconomie stimuleren en innoveren. De vraag is of dit ook een door de overheid uitgegeven digitale identiteit dient te zijn (of hier behoefte aan bestaat). In dit onderzoek wordt daarom gekeken naar potentieel medegebruik van overheidsinstrumenten voor online identificatie en authenticatie.
1.5 Leeswijzer
Hoofdstuk twee bestaat uit de inventarisatie van de wensen van het bedrijfsleven. Hoofdstuk drie bestaat uit de economische analyse en mogelijke risico’s. In hoofdstuk vier worden de alternatieven geschetst. In hoofdstuk vijf volgen de conclusies en aanbevelingen.
TNO-rapport | 11 / 46
2 Wensen van het bedrijfsleven
Dit hoofdstuk geeft een overzicht van de wensen van het bedrijfsleven ten aanzien van het gebruik van overheidsinstrumenten zoals BSN, DigiD en PIP. De onderzoekers hebben dit overzicht opgesteld aan de hand van desk research en (aanvullende) interviews. Uit het onderzoek blijkt dat de behoefte van geïnterviewde partijen in de financiële sector zich vooral richt op het gebruik van BSN, en specifiek een ruimer gebruik van BSN dan nu volgens de wet is toegestaan. Het hoofdstuk begint daarom met het schetsen van de huidige regels rondom het gebruik van het BSN. Daarna volgt de inventarisatie van gevonden wensen, De onderzoekers hebben vastgesteld dat er geen behoefte is gevonden aan het medegebruik van de instrumenten DigiD en PIP als zodanig. Deze worden daarom niet behandeld.
2.1 Intermezzo: regels rondom het gebruik van het BSN
Het gebruik van het BSN is wettelijk geregeld in de Wet algemene bepalingen burgerservicennumer (Wabb). Het gebruik van het BSN door het bedrijfsleven is op dit moment alleen in specifieke gevallen mogelijk: het gaat op dit moment vaak om het verstrekken van gegevens door het bedrijfsleven aan een overheidsorganisatie, of om organisaties die vroeger tot de overheid behoorden (zoals ziekenhuizen en zorgverzekeraars). Voorbeelden zijn het vastleggen van het BSN van werknemers door werkgevers met het oog op de afdracht van belastingen aan de Belastingdienst, of zorgverleners die het BSN gebruiken om informatie over patiënten te delen). De Wet gebruik burgerservicenummer in de zorg (Wbsn-z) is sinds juni 2008 van kracht en regelt het gebruik van het BSN in de zorgsector regelt. Het gebruik van het BSN in de zorg is gemotiveerd met een bijzonder maatschappelijk belang dat het toestaan van het gebruik van het BSN in de zorg dient. Het gebruik is beperkt tot deze wettelijk omschreven taak. Op dit moment is een wetsvoorstel in voorbereiding dat het ruimer gebruik van het BSN door kredietinstellingen en verzekeraars moet regelen13 (zie verder paragraaf 2.2.4). Naast het gebruik van het nummer BSN in communicatie tussen verschillende instanties, kan door bevoegde instanties ook gebruik worden gemaakt van de Beheervoorziening BSN (hierna BV BSN). Met de BV BSN kan op dit moment alleen door partijen die daartoe bevoegd zijn worden vastgesteld of een identiteitsdocument geldig is en kunnen de achterliggende persoonsgegevens worden gecontroleerd. Dit gebeurt door middel van 5 typen vragen die zijn afgeleid uit de Wabb (Artikel 14, 15 en 16). Op dit moment mogen alleen overheidsorganisaties en niet-overheidsorganisaties waarvoor een vergewisplicht geldt of die daartoe wettelijk bevoegd zijn, alle 5 de
13 TK 2007-2008 31 237, 31 238 Wijziging van de Wet identificatie bij dienstverlening en de Wet melding ongebruikelijke transacties en de Samenvoeging van de Wet identificatie bij dienstverlening en de wet melding ongebruikelijke transacties (wet ter voorkoming van witwassen en financieren terrorisme). Nota ter aanleiding van het verslag. 02-04-2008.
TNO-rapport | 12 / 46
vragen stellen. Overige niet-overheidsorganen die een wettelijke bevoegdheid hebben om het BSN te gebruiken, mogen alleen de eerste twee vragen stellen. BV BSN: 5 typen verificatievragen14 1. Toetsen of een identiteitsdocument geldig is
Veelal is bij aanvang van een dienstverlening op basis van het BSN identiteitsverificatie wenselijk. Gebruikers van het BSN-stelsel kunnen verifiëren of het Nederlandse identiteitsdocument een geldig document is zoals bedoeld in de Wet op de Identificatieplicht (WID). De BV BSN bevraagt hierbij op de achtergrond documentregisters voor reisdocumenten, rijbewijzen en vreemdelingendocumenten.
2. Toetsen of een nummer een BSN is Op basis van het invoeren van het BSN wordt door het bevragen van het nummerregister gemeld of het opgegeven nummer een BSN is.
3. Toetsen welke identificerende gegevens bij een BSN horen Op basis van het invoeren van een BSN wordt een set aan dit BSN gekoppelde identificerende gegevens opgehaald uit de achterliggende authentieke registraties en gemeld aan de gebruiker.
4. Toetsen welk BSN bij identificerende gegevens hoort Op basis van het invoeren van identificerende gegevens wordt een BSN opgehaald. Het opvragen kan met een aantal identificerende gegevens (bijv. voornamen, achternaam, geboortedatum), tenzij deze combinatie niet leidt tot één gevonden persoon.
5. Toetsen van de combinatie BSN met identificerende gegevens Op basis van het BSN en een set identificerende gegevens wordt getoetst of deze bij elkaar horen.
14 Zie Wet algemene bepalingen burgerservicenummer, artikel 14, 15 en 16 en Agentschap BPR, Handleiding BSN gebruikers
TNO-rapport | 13 / 46
Voor de laatste drie vragen worden de gegevens opgevraagd vanuit de Gemeentelijke Basisadministratie (GBA)15. In Tabel 1 (volgende bladzijde) wordt aangegeven welke gegevens onder de identificerende gegevens vallen. In sommige gevallen wordt alleen een beperkte set van identificerende gegevens teruggeven, in andere gevallen wordt de hele set teruggegeven, afhankelijk van de wettelijke bevoegdheid van de gebruiker van de BV BSN.
Tabel 1: Identificerende gegevens BV BSN
Categorie Groep Persoon Identificatienummer Naam Geboorte Geslacht Onderzoek Nationaliteit Nationaliteit Onderzoek Overlijden Overlijden Onderzoek Inschrijving Opschorting Geheim Onderzoek Verblijfplaats Gemeente Adreshouding Adres Locatie Emigratie Land van inschrijving Onderzoek
15 Agentschap BPR, Handleiding BSN gebruikers
TNO-rapport | 14 / 46
2.2 Wensen van het bedrijfsleven
In deze paragraaf vatten we de resultaten van de desk research en de interviews samen . De onderzoekers hebben de branche-organisaties van het bank- en verzekeringswezen en VNO-NCW uitgenodigd voor interviews, maar het bleek lastig om hun mondelinge inbreng te verkrijgen. De onderzoekers hebben gesproken met één vertegenwoordiger van een branchevereniging van de financiële c.q. /verzekeringssector, die niet met naam genoemd wil worden. Er is gesproken met het Ministerie van Financiën. In de aanvullende interviews is gesproken met Wehkamp en met een online dienstaanbieder in de telecommunicatiesector, die ook anoniem wil blijven. Uit de desk research en de interviews blijkt dat de financiële sector behoefte heeft aan een ruimer gebruik van het BSN dan nu in de wet is geregeld. Deze vallen uiteen in een aantal verschillende onderdelen. Dit wordt in de volgende paragrafen nader toegelicht. Als algemene redenen voor dit ruimer gebruik worden vaak genoemd16: efficiëntie (van de administratie) en daarmee te behalen kostenvoordeel, betere mogelijkheden voor identificatie en authenticatie en daardoor beperktere mogelijkheden tot fraude, maar ook het eenvoudiger kunnen uitvoeren van taken van publiek of maatschappelijk belang (zoals gegevens van klanten doorgeven aan opsporinginstanties in het kader van de Wet vorderen gegevens). Uit de desk research blijkt dat de grenzen tussen publiek en privaat in verschillende domeinen vervagen, zoals in logistieke ketens, de sociale zekerheid (bijvoorbeeld de rol van private partijen bij de uitvoering van de Wet Werk en Inkomen naar Arbeidsvermogen (WIA)), de voedselveiligheid en de zorg, waaronder ook de jeugdzorg17, doordat in deze vaak publieke domeinen steeds vaker private partijen participeren, waarvan sommige in de keten het BSN wel mogen en kunnen gebruiken en andere niet. Uiteraard is het toegelaten gebruik gebaseerd op een wette;ijke grondslag. Uit de interviews met ondernemingen, die online handelen, blijkt dat zij behoefte hebben aan het vergemakkelijken online identificatie en authenticatie. Zij gaan er echter vanuit dat het niet mogelijk is om toegang te krijgen tot BSN, DigiD, PIP en/of het GBA en beschouwen dit als een gegeven.
2.2.1 Wens 1: BSN als intern ordeningsinstrument in de ondernemingsadministratie Uit de desk research en de interviews blijkt dat er vooral behoefte bestaat aan de registratie en gebruik van het BSN als zodanig, zodat het als intern ordeningsinstrument in de administratie van de onderneming gebruikt kan worden. Het belangrijkste achterliggende doel is efficiëntie en daarmee te behalen kostenvoordeel18. Geïnterviewden geven aan dat met het BSN als ordeningsnummer klantenbestanden beter kunnen worden ‘ontdubbeld’. Hierdoor kunnen bijvoorbeeld klanten met dezelfde
16 Actal (2007) Verslag van de bijeenkomst ‘BSN in het bedrijfsleven’. Den Haag. 11-06-2007. 17 CBP (2006) Expertmeeting BSN voor bedrijven? Verslag. 30 januari 2006 18 Brief VNO-NCW 05/13.524/Gf/CV.166 Inzake het wetsvoorstel burgerservicenummer 30 312, gericht an de Vaste Commissies voor Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Justitie van de Tweede Kamer. 28-10-2005. Beschikbaar op: http://www.vno-ncw.nl/web/servlet/nl.gx.vno.client.http.StreamDbContent?code=1404
TNO-rapport | 15 / 46
naam eenvoudiger worden onderscheiden. Dit kan verwisselingen voorkomen. Ook wordt aangegeven dat de mogelijkheid tot fraude (door onder dezelfde naam op meer adressen ingeschreven te staan of door look-a-like fraude) beter kan worden beperkt. Een voorbeeld is fraude met reisverzekeringen, waar dezelfde persoon zich onder een andere naam en adres opgeeft en vervolgens steeds opnieuw dezelfde schade claimt. Daarnaast geven partijen aan dat met het BSN als intern ordeningsinstrument klanten eenvoudiger zijn terug te vinden bij het bestaan van verschillende deeladministraties (bijvoorbeeld van verschillende divisies van een bedrijf). Bij overnames en fusies kunnen de (deel-)administraties eenvoudiger tot 1 administratie worden samengevoegd en geaggregeerd tot een compleet klantbeeld. NAW-fouten als gevolg van dubbelingen zouden dan voorkomen kunnen worden. Het Ministerie van Binnenlandse Zaken heeft in een brief aan de Kamer begin 2008 aangegeven dat het de verbetering van de interne bedrijfsvoering op basis van dit gebruik van het BSN beschouwt als een interne gelegenheid van bedrijven19. Zoals eerder vemeld, geldt in algemene zin dat er voor een ruimer gebruik BSN een wettelijke basis moet zijn. Het Ministerie ziet in dit argument daarom geen aanleiding om een bijzonder maatschappelijk belang te creëren die dit type gebruik van het BSN mogelijk zou maken. Het gebruik van het BSN voor de interne bedrijfsvoering is dus niet toegestaan.
2.2.2 Wens 2: BSN voor gegevensverkeer tussen partijen Voorts bestaat er behoefte bij geïnterviewde partijen aan het gebruik van het BSN in de gegevensuitwisseling tussen partijen in een keten zodat men zeker weet dat er over hetzelfde individu wordt gecommuniceerd. Het gaat dan specifiek om gegevensuitwisseling tussen publieke en private partijen en tussen private partijen onderling in domeinen waarin de grenzen tussen publiek en privaat vervagen, zoals de zorg, de jeugdzorg, het onderwijs of sociale verzekeringen. Het BSN kan daarbij door sommige partijen in de keten wel worden gebruikt en door andere niet. Voor de zorgsector is inmiddels het gebruik van BSN bij gegevensuitwisseling tussen zorgaanbieders, indicatieorganen en zorgverzekeraars wettelijk geregeld. Voor andere sectoren niet. Volgens de geïnterviewde partijen kan het gebruik van het BSN efficiëntie in een keten stimuleren en fouten verminderen. Als een deel van de keten het nummer niet mag gebruiken (bijvoorbeeld de tussenpersoon bij een pensioenvoorziening) dan moet het nummer worden verwijderd en dit brengt volgens partijen extra kosten met zich mee20.
2.2.3 Wens 3: Gebruik van de beheervoorziening BSN voor achterliggende identificatiegegevens Een volgende wens van het bedrijfsleven bestaat uit het (meermalig) gebruik van de beheervoorziening BSN (BV BSN). Geïnterviewde partijen geven aan dat er behoefte bestaat aan de wettelijke bevoegdheid om alle 5 de verificatievragen te mogen stellen.
19 TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008. 20 Zie voor een uitgebreid verslag: http://www.actal.nl/actal_sites/objects/watdoetactal/Privacy/Verslag_BSN_in_het_bedrijfsleven.pdf
TNO-rapport | 16 / 46
Met deze achterliggende identificerende gegevens zou het eenvoudiger worden om zoekgeraakte klanten terug te vinden en uitstaande vorderingen te innen. De omvang van dit probleem is echter lastig te duiden en te kwantificeren. De partijen die de onderzoekers in het kader van dit project gesproken hebben, zijn terughoudend in het geven van inzicht over de frequentie van deze problemen en de orde van grootte daarvan. Cijfers uit 2005 geven aan dat het zou gaan om ca. 2,6% inbare vorderingen per jaar21. In 2006 blijkt uit cijfers van VNO-NCW dat jaarlijks circa 300.000 personen zijn verhuisd zonder een nog uitstaande rekening betaald te hebben.22 Daarnaast wordt de mogelijkheid tot fraude verder beperkt doordat de identiteit van een klant geverifieerd kan worden. Verder is het mogelijk om andere gegevens, bijvoorbeeld omtrent overlijden, in te zien. Ook hier zijn de partijen terughoudend met inzicht geven in de orde van grootte van het probleem, waardoor het kwantificeren van de geleden schade niet mogelijk is.
2.2.4 Wens 4: Eenvoudiger uitvoering van taken van publiek belang (‘herendiensten’) De Nederlandse Vereniging van Banken (NVB) heeft in 2005 de behoefte aan ruimer gebruik van het BSN door banken geuit23. Volgens de NVB is dit nodig omdat de overheid steeds vaker een beroep doet op de banken – als poortwachter van het financiële stelsel – bij de uitvoering van taken van publiek of maatschappelijk belang of voor zogenaamde ‘herendiensten’. Deze taken hebben o.a. betrekking op het bestrijden van terrorismefinanciering en witwassen van gelden en om ander misbruik van het financiële stelsel te voorkomen. Deze taken zijn o.a. geregeld in de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft), Wet op het financieel toezicht (Wft) Wet Melding Ongebruikelijke Transacties (MOT), de Wet Identificatie bij dienstverlening (Wid), maar ook op bijvoorbeeld de Algemene Wet inzake Rijksbelasting (AWR) voor de renseignering. De banken zouden met het ruimer gebruik van het BSN hun verplichtingen in het kader van deze verschillende wetten en voorschriften eenvoudiger kunnen nakomen. Onder deze verplichtingen vallen onder andere het identificeren en daarnaast authenticeren van de klant en het correct vastleggen van die gegevens, het doorgeven van de cliëntgegevens aan de overheid, maar ook het verzamelen van cliëntgegevens om cliënten te kunnen informeren over te verkopen producten (in het kader van de zorgplicht). Daarnaast wordt ook gekeken naar toekomstige toepassingen zoals de mogelijkheid van een vooringevulde aanslagbelasting (Via). Daarvoor zal gebruik gemaakt moeten worden van de gegevens die banken en verzekeraars over hun klanten hebben. Ook de branchevereniging voor de financiële en verzekeringssector geeft aan dat zij om dezelfde redenen een ruimer gebruik van het BSN wenselijk achten.
21 Brief VNO-NCW aan de Tweede Kamer. Oktober 2005 22 Brief VNO-NCW 06/11.711/Gf/CV.104 Hoofdlijnen commentaar en enkele vraagpunten bij Nota naar aanleiding van het Verslag bij de BSN-wet (30312 nr. 7) 23 Position Paper NVB, 1 september 2005
TNO-rapport | 17 / 46
Om eenvoudiger te kunnen voldoen aan de identificatie- en verificatieplicht (zoals o.a. beschreven in Wwft en wet MOT) wensen banken en verzekeraars toegang tot de BV BSN (zie Wens 3). Dat zou deze partijen in staat stellen de 5 typen verificatievragen zoals hierboven genoemd te stellen. Er wordt daarmee ook inzicht in de nadere identificatiegegevens van de klant verkregen. Dit is bijvoorbeeld van belang voor levensverzekeraars die nu wettelijk verplicht zijn iedere verzekerde boven de 65 jaar te vragen of de persoon nog in leven is (‘attestatie de vitae’). De verzekerde moet dit bewijs nu jaarlijks zelf aanvragen bij de gemeente en aan de verzekeraar overhandigen. Daarnaast is de toegang voor de individuele pensioenverzekeringen van belang voor de overlijdingsmelding. De collectieve pensioenvoorzieningen hebben hiervoor toegang tot het GBA, maar voor de individuele pensioenverzekeringen geldt dit niet. Daarnaast wordt – zoals eerder vermeld – communicatie over andere producten of diensten van de bank of verzekeraar naar de klant gemakkelijker. Banken en verzekeraars zijn van mening dat met het BSN als interordeningsnummer ook de zorgplicht makkelijker kan worden nagekomen. De mogelijkheid van klanten om onder verschillende namen (te hoge) schulden op te bouwen zou daarmee ook worden beperkt. Op dit moment is een wetsvoorstel in voorbereiding dat het ruimer gebruik van het BSN door kredietinstellingen regelt24. De consultatieversie voor de ‘Wet gebruik burgerservicenummer in de financiële sector’ is in december 2009 gepubliceerd25. Het Ministerie van Financiën gaat ervan uit dat een bijzonder maatschappelijk belang gemoeid is met het gebruik van het BSN in de financiële sector. In de consultatieversie van het wetsvoorstel wordt voorgesteld dat kredietinstellingen, verzekeraars (inclusief levensverzekeraars, uitvaartverzekeraars en schadeverzekeraars), gevolmachtigde agenten of ondergevolmachtigde agenten het BSN kunnen gebruiken. De genoemde partijen kunnen gebruik maken van het BSN o.a. in het kader van: de verificatie van de identiteit van een cliënt, het voorkomen van overkreditering of problematische groei van schulden, de uitvoering van een overeenkomst waarbij de cliënt partij is, en het nemen van precontractuele maatregelen naar aanleiding van een verzoek van een cliënt die noodzakelijk zijn voor het sluiten van een overeenkomst waarbij de cliënt partij is.
2.2.5 Wens 5: Accurate NAW-gegevens door toegang tot het GBA Het bedrijfsleven wenst ook (permanente) toegang tot de Gemeentelijke Basis Administratie (GBA). Met de BV BSN kan alleen online en ad-hoc BSN verificatievragen worden gesteld. Een permanente toegang (bijvoorbeeld door middel van afnemerslijsten) zou het mogelijk maken om administraties ‘spontaan’ actueel te houden en fouten te elimineren. Het BSN kan daarbij dan ook als zoeksleutel worden gebruikt. Hiermee kunnen dan NAW-gegevens worden achterhaald, maar ook andere
24 TK 2007-2008 31 237, 31 238 Wijziging van de Wet identificatie bij dienstverlening en de Wet melding ongebruikelijke transacties en de Samenvoeging van de Wet identificatie bij dienstverlening en de wet melding ongebruikelijke transacties (wet ter voorkoming van witwassen en financieren terrorisme). Nota naar aanleiding van het verslag. 02-04-2008. 25 Wetsvoorstel gebruik BSN in financiële sector - consultatieversie http://www.minfin.nl/Actueel/Consultaties/2009/12/Gebruik_burgerservicenummer_door_kredietinstellingen_en_verzekeraars en memorie van toelichting
TNO-rapport | 18 / 46
gegevens zoals het ‘attestatie de vitae’ en overlijdingsmeldingen. Dit speelt in het bijzonder bij de financiële sector (zie onder). Deze wens staat los van de wens voor een ruimer gebruik van het BSN, maar betreft de regels voor het gebruik van de persoonsgegevens die in de GBA zijn opgenomen. De toegang tot het GBA is vastgelegd in de Wet gemeentelijke basisadministratie persoonsgegevens en de Wet bescherming persoonsgegevens. Op dit moment kan het GBA al worden geraadpleegd door verschillende partijen zonder dat daarvoor het BSN van de persoon in kwestie vereist is26. Zo hebben pensioenverzekeraars bijvoorbeeld (krachtens wet) toegang tot het GBA voor het opstellen van het Uniforme Pensioen Overzicht (UPO). De gegevens mogen worden gebruikt voor het opstellen en versturen van de UPO, maar niet voor andere doeleinden (zoals communicatie naar de klant naar aanleiding van, of met betrekking tot, andere producten van de verzekeraar). Dit betekent dat de pensioenverzekeraar op de hoogte kan zijn van de actuele situatie van een klant naar aanleiding van het opstellen en versturen van de UPO (bijvoorbeeld verhuisd en partner overleden), maar deze informatie niet mag gebruiken in de communicatie voor andere producten zoals een aanbieding voor een verzekering (deze post wordt naar het oude huisadres gestuurd).
2.2.6 Wens 6: een eenvoudige en betrouwbare manier van online identificatie en authenticatie In het voorgaande zijn de wensen van het bedrijfsleven inzake het gebruik van publieke instrumenten van e-dienstverlening naar bedrijven en burgers geïnventariseerd (BSN, DigiD en PIP). Het bleek dat de behoeften vooral gericht is op een breder gebruik van het BSN. Daarbij gaat het, zo blijkt uit onze deskstudie, vooral om ondernemingen, die ook wettelijke taken hebben, zoals financiële instellingen, verzekeraars en ondernemingen in de zorg. Deze bedrijven beschikken vaak al over het BSN van hun afnemers en zij zouden dat intensiever willen gebruiken. Deze partijen hebben slechts in beperkte mate behoefte aan het vergemakkelijken van online identificatie en authenticatie. Uit de literatuur en de aanvullende interviews met de ondernemingen, die online handelen blijkt dat bij deze partijen behoefte bestaat aan gemakkelijke manieren van online identificatie en authenticatie. De dienstverlener in de telecommunicatiesector is geporteerd van een eenvoudig en betrouwbaar systeem om klanten te identificeren en te authenticeren. Volgens hem bevordert het de handel omdat klanten producten en diensten onmiddellijk vanaf hun computer kunnen bestellen, zonder dat er per post documenten verstuurd moeten worden of andere handelingen verricht moeten worden (bijvoorbeeld met betaalpasjes, tokens e.d.). Op dit moment verloopt het proces van identificeren en authenticeren via het per post versturen van een kopie van het paspoort en een kopie van het bankrekeningnummer. Ook de contracten worden per post verstuurd en daarna door de klant ondertekend. Dit wordt door partijen gezien als een
26 TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008.
TNO-rapport | 19 / 46
inefficiënt proces, dat bovendien kopers afschrikt. Partijen geven aan dat ook hun klanten deze procedure vervelend vinden. Voorts heeft deze onderneming op dit moment personeel in dienst om dit proces uit te voeren en de per post opgestuurde documenten (kopieën van paspoorten e.d.) controleert. Soms schakelt deze partij daar een derde partij bij in (Experian), maar de gegevens van deze partij blijken vaak verouderd. Hoewel deze ondernemer graag manieren ziet om dit proces efficiënter en effectiever te laten verlopen, kon hij zich moeilijk voorstellen dat een dergelijk systeem zou bestaan en hoe dit zou werken. Wel noemde hij een aantal randvoorwaarden. Het zou vertrouwd moeten worden door klanten, en bovendien ook in overeenstemming moeten zijn met de bescherming van hun privacy. Bovendien zouden de telecomproviders, voor wie deze partij abonnementen verkoopt, ook akkoord moeten gaan met een dergelijk systeem. Deze partijen gaan er vanuit dat het niet mogelijk is om toegang te krijgen tot BSN, DigiD, PIP en/of het GBA. Daarnaast is gebruikersvriendelijkheid een belangrijk uitgangspunt. Zo vindt deze ondernemer bijvoorbeeld een identificatiesysteem als DigiD niet gebruikersvriendelijk genoeg. Dit betreft met name de manier om een DigiD account aan te vragen en te behouden. Wehkamp gaf aan dat zij alternatieve manieren voor online identificatie en authenticatie van klanten zouden waarderen. Tegelijkertijd hebben zij hun eigen systeem van identificatie wel op orde. Wehkamp geeft ook aan dat zij over het algemeen weinig problemen hebben met onjuiste adresgegevens. De klant bestelt producten en dient daarbij zijn/haar adres op te geven. Dat geeft een bepaalde zekerheid dat de persoon op het opgegeven adres woont. Volgens Wehkamp blijkt uit marktonderzoeken dat consumenten eenvoudiger manieren van identificatie en authenticatie wensen. Zij vinden het vervelend dat zij zich bij iedere site weer op een andere wijze moeten identificeren. Daarom zijn zij ook geïnteresseerd in de ontwikkeling van open, gebruiksvriendelijke systemen zoals Open ID, waarbij klanten geen afzonderlijke gebruikersnaam en wachtwoord voor een dienstaanbieder hoeven te onthouden, maar kunnen volstaan met het opgeven van de Open ID identiteit en waarbij op een betrouwbare en privacy-vriendelijke manier gegevens uitgewisseld kunnen worden27. In het volgende hoofdstuk volgt een analyse van de hierboven beschreven wensen van het bedrijfsleven.
Uit het vorige hoofdstuk blijkt dat de wensen voor het gebruik van het BSN bij het bedrijfsleven uiteen vallen in verschillende functies: 1. Intern ordeningsinstrument in de administratie; 2. Gegevensverkeer tussen partijen in een keten/sector; 3. Gebruik van de beheervoorziening BSN voor achterliggende identificatiegegevens 4. Gemakkelijker uitvoeren van publieke taken (‘herendiensten’) 5. Accurate NAW-gegevens door ruimere toegang tot het GBA 6. Eenvoudige en betrouwbare manieren van online identificatie en authenticatie Voor iedere functie zullen in onderstaande paragrafen de kosten, baten en risico’s worden toegelicht. Hierbij worden wens 3 en wens 4 samen behandeld omdat ze beiden betrekking hebben op de beheervoorziening BSN. Daarna volgen de belangrijkste conclusies.
3.1 Wens 1: BSN als intern ordeningsinstrument
Doel Het doel van het bedrijfsleven bij het BSN als intern ordeningsinstrument is in 2 hoofdpunten te vatten: 1) een compleet, correct en geaggregeerd klantbeeld door het samenvoegen van klantgegevens van verschillende afdelingen, divisies of zelfs bedrijven in geval van fusies. 2) Het beperken van mogelijkheid tot fraude door op meer adressen ingeschreven te staan. Het gebruik van het BSN kan voorkomen dat iemand onder dezelfde naam zich op meerdere adressen kan inschrijven. Dit komt volgens geïnterviewde partijen bijvoorbeeld voor als dezelfde persoon verschillende adressen opgeeft en dan fraudeert, bijvoorbeeld door steeds weer te claimen bij de reisverzekering. Kosten De te maken kosten door de financiële sector voor de invoering van het BSN in hun klantenadministratie kunnen als laag worden ingeschat. Uit de interviews blijkt dat veel organisaties in deze sector nu vaak al over het BSN van hun klanten beschikken. In de financiële sector gebruiken pensioenverzekeraars bijvoorbeeld het BSN bijvoorbeeld bij de uitvoering van de pensioenregeling en banken en levensverzekeraars gebruiken het BSN voor de renseignering. Daarnaast wordt voor het afnemen van allerlei typen diensten vaak een identiteitsbewijs gevraagd waar het BSN ook op vermeld staat (bijvoorbeeld bij het afsluiten van een abonnement voor een mobiele telefoon). Dit betekent dat de administratiesystemen van veel bedrijven ‘als het ware al voorgeprogrammeerd zijn op opname van het BSN’.28
28 CBP (2006) Expertmeeting BSN voor bedrijven? Verslag. 30 januari 2006.
TNO-rapport | 21 / 46
Baten Het gebruik van het BSN als intern ordeningsinstrument kan voor het bedrijfsleven kosten besparen. Anderzijds zijn minder ingrijpende methoden denkbaar om hetzelfde doel te bereiken (bijvoorbeeld door sterke vormen van identiteitsmanagement). Het is lastig om inzicht te hebben in de kosten van een nieuw te ontwikkelen identiteitsmanangement. Dit kan meer kosten dan gebruik van een al bestaand systeem en het BSN. Hoewel de voordelen van het beter kunnen bestrijden van dit type fraude duidelijk zijn, zijn de daadwerkelijke financiële baten van deze bestrijding moeilijk in te schatten. Er zijn cijfers bekend over van de omvang van fraude in Nederland, maar het zal maar voor een deel daarvan gaan om fraude met als oorzaak ingeschreven staan op meerdere adressen. Nader onderzoek naar de omvang van dit type fraude kan helpen om deze baten beter op waarde te schatten. Risico’s De risico’s bij het gebruik van BSN als intern ordeningsinstrument betreffen met name de bescherming van de persoonlijke levenssfeer, e.g. privacyrisico’s. Deze risico’s betreffen de toenemende kans op koppelingen van achterliggende bestanden en databanken, ook terwijl niet vaststaat of deze gegevens ook correct zijn. Fouten in de database of fout gebruik kan grote gevolgen hebben. Door het combineren en analyseren van verschillende typen informatie kan een zeer gedetailleerd beeld van een individu worden opgebouwd29. Het samenvoegen van gegevens kan daarnaast gebeuren zonder het inlichten van klanten / burgers of zonder hen de mogelijkheid te bieden om aan te geven dat ze dit niet te willen (‘opt-out’). De baten van een breder gebruik van BSN door het bedrijfsleven bestaan uit het efficiënter kunnen voeren van de administratie. Onderzoekers kunnen zich vinden in de analyse van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties uit 200830, dat het hier gaat om een privaat belang van de ondernemingen en niet om een algemeen maatschappelijk belang. De onderzoekers schatten de besparingen als gering, want op andere wijzen kan hetzelfde doel bereikt worden, bijvoorbeeld door zelf te investeren in een sterk identiteitsmanagementsysteem. Een economische impuls kan met name uitgaan van toetreding van nieuwe partijen tot de markt of van het ontstaan van nieuwe diensten. Daarvan is hier geen sprake. Om die reden achten wij de baten beperkt. Dit moet worden afgewogen tegen de risico’s voor de bescherming van de persoonlijke levenssfeer.
29 Voor meer informatie over risico’s van profiling zie bijvoorbeeld Solove, D. (2004) The digital person: Technology and privacy in the information age. NYU Press: New York. Voor een gedetailleerd overzicht over de ontwikkelingen in profiling en de (juridische) impact daarvan zie: Hildebrandt, M. & Gutwirth, S. (Eds) (2008) Profiling the European Citizen: Cross-Disicplinary perspectives. Springer. 30 TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008.
TNO-rapport | 22 / 46
3.2 Wens 2: BSN voor gegevensverkeer tussen partijen in een keten/sector
Doel: Het doel van het bedrijfsleven is het vergemakkelijken van het uitwisselen van gegevens met elkaar en/of met de overheid. Kosten Ook hier lijken de kosten van gebruik van het BSN voor dit doel als laag te kunnen worden ingeschat. Deze lijken vergelijkbaar met de kosten van het invoeren van het BSN als gebruik als intern ordeningsinstrument. Voor partijen die het BSN wel gebruiken voor specifiek geformuleerde taken, maar dat voor gegevensverkeer met bepaalde partijen niet mogen, betekent het dat kosten van het verwijderen van het BSN nu vervallen. Deze kosten zijn laag, want dit hoeft maar eenmaal te gebeuren. Baten In domeinen waarin de grenzen tussen publiek en privaat vervagen, zoals de zorg, het onderwijs of sociale verzekeringen, worden in toenemende mate gegevens uitgewisseld tussen partijen. Het BSN kan daarbij door sommige partijen in de keten wel worden gebruikt en door andere niet. Door het BSN te gebruiken bij het gegevensverkeer tussen alle betrokken partijen, kunnen administratieve lasten worden verlaagd en lijkt de kans op fouten te worden verminderd. Mogelijk zijn er alternatieven voor het gebruik van het BSN die minder ingrijpend zijn (dat wil zeggen, waar geen unieke identifier wordt gebruikt voor het uitwisselen van gegevens). Risico’s Ook bij dit type gebruik van het BSN zijn privacyrisico’s aanwezig. Gegevensuitwisseling op basis van een uniek persoonsnummer verhoogt de kans op koppelingen tussen gegevens die voorheen gescheiden waren. Het gebruik van het BSN bij het gegevensverkeer betekent dat een uniek gebonden persoonsnummer voor steeds meer doeleinden, in meerdere sectoren en door een groeiend aantal partijen kan worden gebruikt. Hoewel de kans op fouten wellicht afneemt (gegevens hoeven maar 1 keer te worden ingevoerd), zijn de gevolgen van een fout waarschijnlijk groter. De fout kan zich sneller verspreiden door de verschillende systemen en bij verschillende partijen. Daarnaast is het voor een burger moeilijk te overzien waar de fout is gemaakt en hoe de fout kan worden gecorrigeerd. Ten derde verwachten de onderzoekers bij een breder gebruik van het BSN dat de kans op identiteitsfraude (door illegaal gebruik te maken van andermans BSN) toeneemt: ‘door de veel bredere toepassing van het BSN zal deze vorm van identiteitsdiefstal aanzienlijk lucratiever worden en dus vaker voorkomen en grotere gevolgen hebben’.31 Tijdens de invoering van het BSN vormden deze punten ook onderdeel van de bezwaren die door het College Bescherming Persoonsgegevens (CBP) werd aangevoerd32.
31 Brief CBP z2005-1198. Inzake Voorstel van Wet algemene bepalingen burgerservicenummer (30 312) aan de leden van de Vaste Commissie voor Binnenlandse Zaken en Koninkrijksrelateis Tweede Kamer. 25-10-2008. 32 Zie voetnoot 32.
TNO-rapport | 23 / 46
Met de invoering van de Wet burgerservicenummer in de zorg (Wbsn-z) en de voorbereiding voor het gebruik van het BSN in de financiële sector lijkt er sprake te zijn van een steeds algemener gebruik van het BSN. Onderzoekers schatten dat de voordelen van een breder gebruik van BSN voor uitwisseling van gegevens tussen partijen beperkt zijn (omdat er geen economische impuls vanuit gaat, zie paragraaf 3.1), terwijl er risico’s bestaan in verband met de bescherming van de persoonlijke levenssfeer.
3.3 Wens 3 en 4: Gebruik van de beheervoorziening BSN (o.a. voor nakomen publieke taken)
Doel De wens om gebruik te maken van de BV BSN betreft het verkrijgen van zekerheid over de geldigheid van de gegevens die gebruikt worden voor de identificatie. Het doel is gerelateerd aan het type verificatievraag dat wordt gesteld. Deze valt in twee typen uiteen: − Het verifiëren van de geldigheid van het identiteitsbewijs en / of het opgegeven
BSN stimuleert een juiste identificatie van een klant en beperkt verschillende mogelijkheden tot fraude.
− Het ophalen en verifiëren van bijbehorende identificerende gegevens zou het mogelijk maken om oninbare vorderingen wegens ‘zoekgeraakte klanten’ toch te innen.
Kosten Ook voor dit type gebruik kunnen de kosten als gemiddeld tot laag worden ingeschat. Er kan immers gebruik worden gemaakt van een bestaand systeem (BV BSN). Met een grotere bevraging van het systeem kunnen de kosten voor het gebruik van systeem wel toenemen. Organisaties dienen voor dit type gebruik te worden aangesloten op de beheervoorziening (BV BSN). Baten De kosten van fraude met schadeverzekeringen worden geschat op € 900 miljoen per jaar. Het is onduidelijk in welke mate een juiste identificatie dit schadebedrag terug kan dringen. Het is duidelijk dat het eenvoudiger kunnen nakomen van de herendiensten efficiëntievoordeel oplevert. Partijen hebben echter geen kwantificatie van deze voordelen gegeven. De omvang van het aantal oninbare vorderingen werd in 2006 geschat op 2,6%. Het is onduidelijk met welk bedrag deze 2,6% gemoeid is. Identificatie via BSN en de BV BSN zou deze fraude mogelijk kunnen verminderen. Dit argument geldt echter alleen als de achterliggende gegevens uit de GBA correct zijn. Het ophalen en verifiëren van bijbehorende identificerende gegevens biedt ook andere voordelen, waaronder gemak voor de klant. Een voorbeeld is de attestatie de vitae, waarbij de klant ouder dan 65 jaar niet ieder jaar meer hoeft aan te tonen dat hij/zij inderdaad ouder is dan 65 jaar.
TNO-rapport | 24 / 46
Risico’s Evenals de baten, hangen ook de mogelijke risico’s samen met het soort verificatievraag dat wordt gesteld. Bij het verifiëren van de geldigheid van het identiteitsbewijs en / of het opgegeven BSN lijken de risico’s met het oog op de bescherming van privacy beperkt. Organisaties verkrijgen geen additionele informatie op basis van deze vraag; er wordt alleen teruggegeven of het overhandigde bewijs geldig is. Dit verandert wanneer ook bijbehorende identificerende gegevens kunnen worden opgehaald. Deze gegevens zijn privacygevoelig. Deze vragen maken het mogelijk om deze gegevens toe te voegen aan de administratiesystemen van private partijen en mee te nemen in het combineren en analyseren van data. Bovendien lijken hier zowel de kosten als baten beperkt (2,6% oninbare vorderingen). Mogelijk zijn ook hier alternatieven mogelijk die minder ingrijpend zijn om tot hetzelfde doel te komen (zie hoofdstuk vier).
3.4 Wens 5: Permanente toegang tot het GBA
Doel Het op ieder moment kunnen beschikken over de juiste NAW gegevens, en eventueel andere gegevens (nationaliteit). Kosten De te maken kosten voor permanente toegang tot het GBA zullen verschillen per organisatie. Vooral in de financiële sector, voor zover het gaat om ondernemingen met een wettelijke taak, bestaat de ‘open verbinding’ (real-time) met het GBA al en zullen er weinig additionele kosten nodig zijn. Organisaties die nog niet op het GBA zijn aangesloten, zullen hun elektronische communicatiesystemen zo moeten inrichten dat ze gebruik kunnen maken van de zogenaamde afnemerslijsten. Baten Het belangrijkste voordeel van een permanente toegang tot het GBA is het actueel houden van de klantadministratie. Daarnaast betekent dit voor organisaties die nu al een dergelijke ‘open verbinding’ hebben – vaak in relatie tot het uitvoeren van een specifieke taak (zoals uitkering van pensioenen) – dat ze deze actuele informatie dan ook voor andere doeleinden kunnen gebruiken. Een veel genoemd voorbeeld uit de interviews is dat een verzekeraar op de hoogte is van het overlijden van een klant, maar deze informatie niet mag gebruiken in relatie tot andere verzekeringsproducten die de betreffende klant bij de verzekeraar heeft. Het is echter ook mogelijk om deze gegevens via andere wegen te verkrijgen, bijvoorbeeld via deurwaarders of andere derde partijen (zoals Experian).
TNO-rapport | 25 / 46
Risico’s Een voortdurende toegang tot het GBA door verschillende partijen brengt bepaalde risico’s met zich mee. Adres, woonplaats en andere gegevens uit het GBA (zoals nationaliteit) zijn privacygevoelige informatie. Het verstrekken van deze informatie zou gebonden moeten worden aan een belangenafweging, waarbij de belangen van het verstrekken afgewogen dienen te worden tegen de belangen van het individu waar om het gaat. Bij het voortdurend en automatisch verstrekken van deze gegevens worden ongewenste inbreuken op de persoonlijke levenssfeer (op verschillende manieren) snel gemaakt.
3.5 Wens 6: Eenvoudige en betrouwbare manieren van online identificatie en authenticatie
Doel Een algemeen geaccepteerd systeem (zie paragraaf 1.4.3) om online personen te identificeren en authenticeren, conform de wens die is geuit door online handelaars. Kosten Het ontwerpen en onderhouden van een dergelijk systeem brengt kosten met zich mee. Als het gaat om een systeem, dat direct of indirect (eventueel deels) door de overheid gefinancierd en in stand gehouden wordt, dan draagt de overheid (de belastingbetaler) deze kosten. Bij een privaat systeem worden die kosten privaat gedragen. Afhankelijk van het business-model leveren de gebruikers een bijdrage, bijvoorbeeld per keer dat ze het systeem gebruiken. Hoe hoog de kosten zijn, is niet duidelijk. Op dit moment wordt er internationaal onderzoek gedaan naar een dergelijk systeem. Baten Eenvoudigere manieren van online identificatie kunnen de kosten voor online dienstverleners verlagen. Dit betreft zowel efficiëntie door digitalisering van papieren processen (bijvoorbeeld het niet meer per post hoeven sturen van paspoort en contracten) als het feit dat er minder personeel nodig zal zijn om de overhandigde credentials van klanten te controleren of hiervoor derde partijen in te huren. Bovendien kunnen alternatieve, laagdremplige manieren voor online identificatie en authenticatie de toetreding van nieuwkomers in de markt bevorderen. Op dit moment zijn deze alternatieven nog niet in gebruik. In zijn algemeenheid kan worden beredeneerd dat eenvoudiger toetreden tot de markt de dynamiek in die markt verhoogt. Het kwantificeren van de verwachte positieve effecten is echter lastig omdat systeem er nog niet is. Risico’s De risico's voor de privacybescherming hangen af van het ontwerp van het systeem. Via de wet kunnen eisen gesteld aan de inrichting. Als er verschillende systemen naast elkaar bestaan (zoals bij de creditcard), dan heeft de klant de keuze. Mogelijk laat hij het belang van de privacy daarbij meewegen.
TNO-rapport | 26 / 46
3.6 Conclusie
Uit ons onderzoek blijkt bij de financiële sector een behoefte voor medegebruik van het BSN en andere bijbehorende diensten (BV BSN, permanente toegang tot het GBA). Uit bovenstaande analyse wordt duidelijk dat de voordelen verbonden aan een ruimer gebruik van het BSN vooral gericht zijn op kostenbesparing bij de interne bedrijfsvoering. Andere mogelijke voordelen bestaan uit de beperking van fraudemogelijkheden, het terugbrengen van het aantal oninbare vorderingen (als onderliggende gegevens uit het GBA kloppen) en het nakomen van publieke taken (de zogenaamde herendiensten). De voordelen van een mogelijk ruimer gebruik van het BSN liggen voor deze ondernemingen vooral bij een (beperkte) besparing op administratieve kosten en in het beperken van fouten. Hier wordt geen grote economische impuls van verwacht. Daar komt bij dat de risico’s voor het beschermen van de persoonlijke levenssfeer toenemen doordat een uniek persoonsgebonden identificatienummer voor steeds meer doeleinden, in meer sectoren en door een groeiend aantal partijen kan worden gebruikt. Onderzoekers kunnen zich vinden in de analyse van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties uit 200833, dat het hier gaat om een privaat belang van de ondernemingen en niet om een algemeen maatschappelijk belang. Er zijn risico’s voor de bescherming van de persoonlijke levenssfeer aan een ruimer gebruik van een unieke identifier (het BSN) (zie vorige paragrafen). Daarnaast zijn alternatieven denkbaar waar ondernemingen kunnen besparen op de kosten van administratie en waarbij de risico’s van privacyschendingen lager zijn (zoals klantnummers, rekeningnummers of naam in combinatie met geboortedatum). Ondernemingen zouden zelf bijvoorbeeld ook unieke nummers kunnen toewijzen aan klanten door gebruik te maken van sterkere vormen van identiteitsmanagement en bijbehorende systemen. Voor het nakomen van de publieke taken (de herendiensten) zijn ondanks de voordelen van gebruik van het BSN dezelfde risico’s zichtbaar. Hier zou gezocht kunnen worden naar andere methoden waarbij deze risico’s verkleind worden. Hier wordt in het volgende hoofdstuk aandacht aan besteed. Een economische impuls kan mogelijk wel worden verwacht als het vaststellen van de identiteit op internet in zijn algemeenheid makkelijker wordt. Dit kan de dynamiek en handel op internet bevorderen.
33 TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008.
TNO-rapport | 27 / 46
4 Alternatieve vormen van publiek private samenwerking bij identiteitsmanagement
4.1 Inleiding
Uit de aanvullende interviews met Wehkamp en met een online dienstaanbieder in de telecommunicatiesector (die anoniem wil blijven) is gebleken dat er behoefte is aan een eenvoudig en betrouwbaar systeem van online identificatie. Dit hoofdstuk schetst verschillende mogelijkheden voor de inrichting van publiek private samenwerking voor het online identificeren en authenticeren van klanten en burgers anders dan door middel van het BSN of het huidige DigiD. Ook wordt gekeken naar mogelijke gegevensuitwisseling tussen publieke en private partijen en private partijen onderling. In dit hoofdstuk gaat het daarom om alternatieven op het gebied van zogenaamd federated identity management. Daarmee worden de processen, standaarden en de technologieën bedoeld die het mogelijk maken om identiteitsgegevens over organisatiegrenzen heen uit te wisselen34. Federated identiteitsmanagement kan worden gebruikt in een omgeving, waarbij burgers zich identificeren ten opzichte van overheden en semi-publieke organisaties. Het kan ook gebruikt worden door private partijen. Het doel is om een identiteit in het ene domein automatisch te hergebruiken in het andere domein (zogenaamd meervoudig gebruik van identiteiten) om zo online identificatie en authenticatie makkelijker te maken. Een systeem van federated identiteitsmanagement kan een gemakkelijkere identificatie en authenticatie van klanten mogelijk maken en ook als hulpmiddel worden gebruikt bij het uitwisselen van gegevens tussen verschillende partijen in een keten. Op basis van hoofdstuk twee kunnen een aantal ontwerpeisen worden geformuleerd voor deze alternatieven die zowel overheden, bedrijfsleven als burgers delen: meervoudig gebruik van bestaande middelen voor gemak en efficiëntie, eenvoud (gebruikersvriendelijkheid), veilige opslag van gegevens en waarborging van privacy van burgers en klanten. Dit laatste betekent bijvoorbeeld dat zo min mogelijk gebruik maken van unieke identifiers. Een andere overweging is dat niet om meer attributen (zie paragraaf 1.4) wordt gevraagd dan strikt noodzakelijk. Deze aspecten spelen een rol bij de geselecteerde alternatieven. In dit hoofdstuk schetsen wij drie alternatieven, om een goed (maar zeker niet compleet) beeld te geven van wat er mogelijk is. − Denkmodel DigiD: een concept gebaseerd op DigiD, maar waar voor iedere sector
een ander persoonlijk sectoraal nummer wordt gebruikt. Idealiter is dit nummer niet terug te herleiden tot het BSN, en ook niet om te rekenen is naar een ander sectoraal nummer.
34 Valkenburg, P. en Jurg, P. (2007) Identity Management. Omgaan met Elektronische identiteiten. Sdu Uitgeves. Den Haag.
TNO-rapport | 28 / 46
− De Oostenrijkse Bürgerservicekarte. Dit is een voorbeeld van een hardware gebaseerd systeem, dat op het gebruik van identiteitskaarten geënt is. Het systeem ondersteunt onlinkbare pseudoniemen, en is gebaseerd op open standaarden.
− Het vier-partijen-model: Ook dit model is gebaseerd op open standaarden. In dit concept wordt de rol van identity provider (zie onder) gesplitst in twee rollen: een. issuer die identiteiten uitgeeft en uiteindelijk ook controleert en een acquirer, die identiteitclaims uit naam van een dienstaanbieder controleert.
Deze opties worden hieronder nader beschreven. Per systeem volgt een analyse op basis van de volgende beoordelingscriteria.
o Functionaliteit: Hier beoordelen we het algemene functioneren van het systeem, en wordt beschreven het in hoeverre aan de wensen van het bedrijfsleven tegemoet komt.
o Veiligheid en Privacy: Hier beoordelen we de veiligheid en de privacy bescherming van het systeem.
o Haalbaarheid: Hier beoordelen we de technische haalbaarheid van het systeem. Is het systeem gebaseerd op bestaande standaarden, sluit het aan op marktontwikkelingen, zijn er vergelijkbare system elders in gebruik? Daarnaast wordt gekeken naar de juridische context. Wij geven – voor zover bekend - in grote lijnen aan of het systeem past in de juridische context, met name de regels omtrent het gebruik van het BSN. Voor een studie als deze is een diepgaande toetsing weinig zinvol, aangezien de wetgeving op dit onderwerp aan voortdurende verandering onderhevig is
o Overige afwegingen: Hier beoordelen we overige aspecten die van belang kunnen zijn, zoals gebruikte standaarden.
Hierboven wordt gesproken over publiek private samenwerking. Hieronder kunnen verschillende vormen van samenwerking worden verstaan. Allereerst kan het gaan om een publiek in stand gehouden systeem (zoals DigiD), dat door private partijen gebruikt zou kunnen worden, al dan niet tegen een vergoeding. Het is ook mogelijk dat private partijen en overheden samen een systeem in stand houden voor identiteitsmanagement, dat door iedereen gebruikt kan worden. Private partijen kunnen ook een systeem ontwerpen, dat ook door overheden wordt gebruikt of waarbij gebruik wordt gemaakt van gegevens uit het publieke domein. Wij zullen bij de onderstaande systemen aangeven over welke vorm van publiek private samenwerking het gaat.
Voorts kan de overheid het ontstaan van een gemakkelijk (privaat) systeem van identificatie aanjagen door subsidies, door wettelijke eisen op te stellen waar een dergelijk systeem aan moet voldoen en door zelf gebruik te maken van een betrouwbaar systeem, als het door private partijen is opgezet. Bij de Open Identity Exchange35 in de VS speelt de overheid een belangrijke rol bij het reguleren en gebruiken van methoden 35 http://openid.net/2010/03/03/open-identity-exchange-commences-open-government-pilot-national-institutes-of-health/
TNO-rapport | 29 / 46
om toegankelijke en transparante gegevensuitwisseling tussen burgers en overheden mogelijk te maken.
4.2 Sectoraal gebruik: Denkmodel DigiD
4.2.1 Beschrijving In theorie is het mogelijk om van DigiD over te gaan naar een sectoraal DigiD model. waarbij na succesvolle identificatie en authenticatie van de gebruiker niet langer het BSN wordt doorgegeven, maar een persoonlijk sectoraal nummer. Voor iedere sector is dit een ander persoonlijk sectoraal nummer (zie Figuur 1: Sectoraal gebruik DigiD). Idealiter is dit nummer niet terug te herleiden is tot het BSN, en ook niet om te rekenen is naar een ander sectoraal nummer. Details hierover ontbreken echter nog.
Figuur 1: Sectoraal gebruik DigiD
Voor het bepalen van een sectoraal nummer bestaat (gegeven de identiteit van een gebruiker) een aantal mogelijkheden.36 In het eenvoudigste geval wordt er een database met gebruikers aangemaakt met voor iedere gebruiker de gekozen sectorale nummers, opgeslagen per sector code.
Ook is het mogelijk om gebruik te maken van een zogenaamde cryptografische hashfunctie h37. Door deze cryptografische functie kan de unieke identifier (in dit geval het BSN) dan niet meer worden achterhaald. Het gedraagt zich dus als een soort versleuteling van het BSN (pseudoniem) maar met de bijzondere eigenschap dat iedereen de versleuteling kan uitrekenen maar niemand de ontsleuteling. Een dergelijke hashfunctie kan ook meerdere parameters hebben. Door de gehanteerde cryptografische functie is het BSN niet te herleiden, en is het ook niet mogelijk om gegeven een sectoraal nummer, het sectorale nummer van dezelfde gebruiker in een andere sector te berekenen. Dit laatste kan trouwens in bepaalde gevallen als een beperking worden gezien. Immers, bij het samengaan van twee bedrijven uit twee verschillende sectoren, is niet te bepalen of twee klanten van die twee bedrijven overeenkomen met één en dezelfde persoon. Voor dit probleem bestaan alternatieven.38 Daarnaast kan, uit opsporingstechnisch oogpunt (voor bijvoorbeeld fraudebestrijding) het niet kunnen herleiden van het BSN ook als een beperking worden gezien. Als dat zo is, dan kan er ook voor worden gekozen om in plaats van een hashfunctie h gebruik te maken van versleuteling van het BSN met een door een trusted third party (TTP) beheerde sleutel39. Hierdoor kan het BSN weer worden achterhaald door de daarvoor aangewezen partij. De werking van dit DigiD denkmodel zou verder conceptueel vergelijkbaar kunnen zijn met de oorspronkelijke versie van DigiD, maar er zal waarschijnlijk gebruik gemaakt worden van gestandaardiseerd berichtenverkeer (SAML 2.040). Dit DigiD denkmodel zou een publiek systeem kunnen zijn: het wordt door de overheid betaald en in stand gehouden. Privaat medegebruik zou zich kunnen beperken tot de sectoren, waarvoor sectorale nummers bestaan.
37 Voor zo’n functie is de inverse moeilijk te berekenen. Normaliter, als ik de waarde f(x) van de functie f op x kan uitrekenen (bijvoorbeeld f(x)=x+2) dan kan ik de inverse x van f(x) ook uitrekenen (dat is dan namelijk f(x)-2). Voor een cryptografische hashfunctie h is dat dus niet het geval. Gegeven h(bsn) is het onmogelijk om bsn uit te rekenen. 38 Voor meer informatie, zie G. Moniava, “Extending DigiD to the Private Sector (DigiD-2)”, Master’s thesis, Department of Mathematics and Computing Science, Technische Universiteit Eindhoven, 2008. 39 Zie voetnoot 31. 40 Voor meer informatie, zie Oasis Group, “Security Assertion Markup Language (SAML) V2.0 Technical Overview”, 25 March 2008
TNO-rapport | 31 / 46
4.2.2 Analyse De functionaliteit, betrouwbaarheid en haalbaarheid van het DigiD denkmodel is als volgt beoordeeld. Functionaliteit Dit systeem kan een sectoraal nummer als identifier gebruiken. Idealiter is deze identifier niet te herleiden tot het BSN, of tot een sectoraal nummer voor dezelfde gebruiker in andere sector. Dit maakt uitwisseling van gegevens over klanten tussen verschillende (private en publieke) partijen in een keten en uitwisseling met de overheid alleen binnen de sector mogelijk. Het ondersteunt dan niet het uitwisselen van gegevens tussen partijen uit verschillende sectoren. Deze ontkoppeling van bestanden en sectoren maakt fraude bestrijden of voorkomen door achter de ware identiteit van een gebruiker te komen lastig. Bij dit DigiD denkmodel zouden er gradaties van “identificeerbaarheid” kunnen worden aangeboden. Zo kan een gebruiker bijvoorbeeld alleen worden gevraagd om een bepaalde eigenschap (bijvoorbeeld of deze ouder is dan 18 jaar) te vragen. In de huidige opzet van DigiD wordt een vaste set aan attributen gevraagd die niet in elke context noodzakelijk zal zijn. De architectuur van een dergelijk systeem zal waarschijnlijk DigiD-specifiek blijven en niet gebaseerd zijn op open standaarden. Met dit systeem wordt het BSN dan niet doorgegeven aan private partijen. Het zal daarmee niet tegemoet komen aan de wens van gevestigde partijen in de financiële sector om het BSN als intern ordeningsinstrument te kunnen gebruiker (wens 1). Als een sectoraal nummer wordt gebruikt als identifier van klanten en burgers, ondersteunt het wel de wens voor gegevensverkeer tussen partijen (zowel publiek als privaat) binnen een keten en/of sector (wens 2). Het is dan ook mogelijk om klanten te identificeren en authenticeren en de verplichtingen voortvloeiend uit de zogenaamde herendiensten na te komen (wens 3 en 4). Het denkmodel DigiD zal waarschijnlijk niet de toegang tot het GBA regelen (zie ook genoemde wettelijke kaders in hoofdstuk twee rondom het gebruik van het GBA). Veiligheid en Privacy Het DigiD denkmodel is waarschijnlijk geschikt voor het identificeren van gebruikers op een laag tot gemiddeld niveau van betrouwbaarheid. De veiligheid van het DigiD denkmodel zal in grote lijnen vergelijkbaar zijn met de oorspronkelijke variant van DigiD, en dus vrij laag in te schatten. Wel valt te verwachten dat een aantal specifieke beveiligingsvraagstukken met DigiD zullen worden opgelost. Ten aanzien van de waarborging van privacy zal het denkmodel DigiD een verbetering vormen ten opzichte van DigiD. Door het gebruik van sectorale nummers kunnen er geen ongewenste koppelingen gemaakt worden tussen databestanden van verschillende private partijen uit verschillende sectoren. Binnen een sector, en binnen de gehele overheid (die BSN zal blijven gebruiken) is dat natuurlijk nog wel mogelijk. Nadeel is dat DigiD nog wel tussen iedere interactie zit (surveillance).
TNO-rapport | 32 / 46
Haalbaarheid Juridisch lijken er minder bezwaren aan het denkmodel DigiD te kleven, omdat het BSN niet wordt doorgegeven aan partijen. Dit hangt echter wel af van de precieze manier waarop de sectorale nummers in de praktijk gegenereerd gaan worden. Technisch gezien zijn er geen problemen te verwachten. Overige afwegingen De openheid van het DigiD denkmodel zal ten aanzien van DigiD verbeteren door het gebruik van SAML 2.0 als berichtenstandaard. De architectuur en het ontwerp van denkmodel DigiD zal waarschijnlijk niet gebaseerd zijn op open standaarden. Aantrekkelijkheid voor burgers en bedrijfsleven: ten opzichte van DigiD lijkt het denkmodel DigiD voor de bescherming van privacy van burgers een aantrekkelijker alternatief. Er wordt gewerkt met sectorale gegevens, in plaats van met het BSN. Dit betekent dat gegevens niet zo gemakkelijk gekoppeld kunnen worden en bovendien minder gemakkelijk in handen van derden komen. De aantrekkelijkheid hangt ook af van welke gegevens worden doorgegeven. Het systeem kan een oplossing bieden voor een aantal van de geïdentificeerde risico’s in hoofdstuk drie op het gebied van de privacybescherming Ook kan op deze manier een steeds algemener gebruik en verspreiding van het BSN bij steeds meer partijen worden voorkomen. Aan de andere kant sluit de gebruikersvriendelijkheid van dit systeem echter niet volledig aan bij de wensen van private partijen en klanten. Dit betreft vooral het aanmaken van een account (als dit op dezelfde manier gebeurt als bij het huidige DigiD systeem).
4.3 Elektronische identiteitskaart
4.3.1 Beschrijving Dit alternatief is gebaseerd op het identiteitsmanagementsysteem dat Oostenrijk heeft opgezet rondom het Bürgerkarte-concept.41 Hoewel de naam suggereert dat het vaststellen van een identiteit alleen met een soort identiteitskaart geschiedt, is dit niet het geval. Het is geen fysieke kaart, maar een elektronisch identiteitsbewijs. Het wordt uitgegeven door diverse particuliere en openbare sectoren. De Bürgerkarte is een technologieneutraal concept en kan op verschillende manieren geïmplementeerd. Dat kan een werkelijke identiteitskaart zijn met ingebouwde smart card, een applicatie op een mobiele telefoon, de kaart van een ziekteverzekeraar zijn of zelfs een programma op een PC (eventueel met een smart card lezer).
41 Federal Chancellery, ICT Strategy Unit “Administration on the Net. An ABC Guide to E-Government in Austria”, January 2006; Herbert Leitold, Arno Hollosi, Reinhard Posch “Security Architecture of the Austrian Citizen Card Concept”, 18th Annual Computer Security Applications Conference (ACSAC 2002), 9-13 December 2002, Las Vegas, NV, USA. IEEE Computer Society, pp 391-402; R. Posch. “What Is Needed to Allow e-Citizenship?” R. Traunmüller and K. Lenk (Eds.): EGOV 2002, LNCS 2456, pp. 45–51, 2002.
TNO-rapport | 33 / 46
De specificaties42 voor de Bürgerkarte zijn in samenspraak met het “Zentrum für sichere Informationstechnologie” A-SIT43 opgesteld door het Chief Information Office Oostenrijk. De kern van deze specificaties is dat een Bürgerkarte de mogelijkheid moet bezitten om digitale handtekeningen te zetten en om additionele data zoals certificaten op te kunnen slaan. De Bürgerkarte gaat verder dan enkel identiteitsmanagement zoals het denkmodel DigiD dat geen functionaliteit bezit voor gebruik als digitale handtekening. De Bürgerkarte combineert drie verschillende functies: − het kunnen zetten van digitale handtekeningen − sector-specifieke identificatie − (optionele) mandaten en representaties (bijvoorbeeld opslaan van digitale
certificaten) De meest gebruikte implementaties zijn44: − elke bancaire kaart uitgegeven sinds maart 2005 − de gezondheidszorgkaart, die is uitgegeven in 2005 − ‘beroepgroepskaarten’, bijvoorbeeld voor notarissen of apothekers − Kaarten voor ambtenarendiensten − Studentenkaarten Hieronder volgt een overzicht van de penetratie (hoeveel mensen hebben bovengenoemde kaarten in het bezit, c.q. aangevraagd) en het daadwerkelijke gebruik (voor zover bekend). Hoewel de penetratie hoog is, is het daadwerkelijke gebruik voor zover bekend nog relatief laag. Gebruik is niet verplicht. Een mogelijke reden voor het lage gebruik is het relatief beperkte aantal contactmomenten met de overheid (minder dan 2x per jaar)45, waardoor de meerwaarde van het gebruik van een dergelijke kaart voor alleen overheidsdiensten laag is. Naarmate de toepassing in private sectoren toeneemt wordt verwacht dat ook het gebruik zal toenemen. In een studie naar de perceptie naar de Belgische eID-kaart (hoewel niet volledig vergelijkbaar met het Oostenrijkse systeem) onder ondernemers kwam naar voren dat respondenten vonden dat zij onvoldoende geïnformeerd waren over het gebruik en de mogelijkheden van de eID-kaart, dat eindgebruikers wantrouwend tegenover de toepassing staan en dat er weinig gebruiksvriendelijke toepassingen bestaan46 Het toevoegen van diensten en daarmee het creëren van synergie met de private sector (zoals op het gebied van internet bankieren of eCommerce) brengt hier in de toekomst mogelijk verandering in.
42 www.buergerkarte.at 43 www.a-sit.at 44 IDABC (2009) eID Interoperability for PEGS: update of Country Profiles Study: Austrian Country Profile. July 2009 45 Idem. 46 Federale Overheidsdienst Economie (2008) Toekomstgerichte studie over de potentiële economische mogelijkheden van het gebruik van de identiteitskaart en de elektronische handtekening. FOD, België.
TNO-rapport | 34 / 46
Tabel 2: Overzicht penetratie en daadwerkelijk gebruik van 3 typen implementaties, op basis van IDABC (2009)
Implementatie Potentiële gebruikersbasis
Daadwerkelijke penetratie
Daadwerkelijk gebruik
Bank kaarten Ca. 7 miljoen Ca. 7 miljoen bankkaarten uitgegeven (meer dan 80% van de populatie)
55.000 kaarten geactiveerd in 2006. Geen data bekend sinds 2006
Gezondheidszorg Ca. 9 miljoen 9 miljoen (100%) Circa 50.000 activaties
12.000 kaarten uitgegeven door het Federale Ministerie van Financiën en de Bondskanselarij
12.000 op federaal niveau. Data voor regionale en lokale niveau is niet bekend
De Bürgerkarte bevat een zogenaamde Person Identity Link47. Dit is in essentie een in SAML formaat opgeslagen certificaat dat de naam, geboortedatum en een zogenaamde sourcePIN als identificerende gegevens bevat, en tenminste één publieke sleutel bevat. Het certificaat is ondertekend door de sourcePIN Register Authority. De sourcePIN is een uniek, persoonsgebonden nummer. In feite is het niet meer dan het versleutelde ZMR (Zentrales Melderegister) nummer, wat overeenkomt met ons Burgerservicenummer (BSN). Een sourcePIN is dus in theorie terug te herleiden naar de bijbehorende ZMR, als de encryptiesleutel bekend is. Deze sleutel wordt beheerd door de sourcePIN Register Authority, welke een onderdeel is van de Oostenrijkse Data Protection Commission.
47 Holosi, Karlinger “XML Definition of the Person Identity Link” version 1.2.2, 2005-02-14, Federal Staff Unit for ICT Strategy, Technology and Standards.
TNO-rapport | 35 / 46
Figuur 2: Oostenrijkse "citizen card"
Voor identificatie wordt nooit direct de sourcePIN gebruikt. In plaats daarvan wordt een sector-specific Personal Identifier (ssPIN) gebruikt. Deze wordt berekend uit de sourcePIN van de gebruiker en een sectornummer dat overeenkomt met de sector van dienst waar de gebruiker zich aanmeldt. Dit is dus vergelijkbaar met de sectorale nummers van het denkmodel DigiD. In Oostenrijk wordt voor het berekenen van de ssPIN uit de sourcePIN een hashfunctie gebruikt, zodat de sourcePIN nooit meer te berekenen is gegeven de ssPIN. Het aanmelden en authenticeren bij een dienst verloopt als volgt (zie Figuur 2: Oostenrijkse "citizen card"). Authenticatie van de gebruiker wordt afgehandeld door de MOA-ID (waar MOA staat voor Module for Online Applications). Voor authenticatie wordt de Bürgerkarte gebruikt. Deze zet een handtekening over de challenge die hij ontvangt van de MOA-ID, en als deze handtekening klopt, zet de MOA-ID de bijbehorende sourcePIN (die hij uit de Identity Link haalt) om naar de ssPIN voor de dienst. Net zoals bij het denkmodel Digid gaat het hier om een systeem dat door de overheid ontwikkeld is. In het Oostenrijkse systeem kunnen private partijen gebruik maken van het systeem met eigen diensten (zoals de bankkaarten).
TNO-rapport | 36 / 46
4.3.2 Analyse Functionaliteit Door het gebruik van een sectoraal nummer (de ssPIN) dat als identificatie overheidswege in stand wordt doorgegeven aan de afnemende dienst, en de gebruikte versleuteling, is uitwisseling van gegevens over klanten tussen partijen alleen binnen dezelfde sector mogelijk. Deze ontkoppeling van bestanden en sectoren maakt fraude bestrijden of voorkomen (door op één of andere manier achter de ware identiteit van een gebruiker te komen) lastig. Met dit systeem wordt de unieke identifier niet meegegeven aan private partijen. Het komt daarmee niet tegemoet aan de wens van gevestigde partijen in de financiële sector om het BSN als intern ordeningsinstrument te kunnen gebruiker (wens 1). Het Oostenrijkse systeem ondersteunt, net als het denkmodel DigiD, wel de wens voor gegevensverkeer tussen partijen (zowel publiek als privaat) binnen een keten en/of sector (wens 2). Met dit systeem is het ook mogelijk om klanten te identificeren en authenticeren en de verplichtingen op basis van de zogenaamde herendiensten na te komen (wens 3 en 4). Het systeem regelt niet de toegang tot het GBA (zie ook genoemde wettelijke kaders in hoofdstuk twee rondom het gebruik van het GBA). Een bijkomend voordeel is dat het systeem is bedoeld om synergie te creëren door gebruik van het systeem door de private sector. Hierdoor zou ook de waarde voor burgers (en klanten) kunnen toenemen. Veiligheid en Privacy De Bürgerkarte is geschikt voor het identificeren van gebruikers van een laag tot hoog beveiligingsniveau, afhankelijk van het type Bürgerkarte waarover de gebruiker beschikt. De veiligheid van het systeem is afhankelijk van het type Bürgerkarte waarover de gebruiker beschikt. Een smartcard gebaseerde inrichting is zeer veilig. De MOA-ID kan zich niet zonder meer voordoen als een willekeurige gebruiker, omdat de aanwezigheid van de smartcard in het protocol noodzakelijk is. Om dezelfde reden is phishing minder kansrijk: alleen een online phishingaanval is nog mogelijk, maar deze zijn veel minder waarschijnlijk en ook veel lastiger te realiseren. Door het gebruik van sectorale nummers kunnen er geen ongewenste koppelingen tussen databestanden van verschillende private partijen, of tussen private partijen en de overheid, gemaakt worden. Binnen een sector is dat wel mogelijk. In Oostenrijk is ook de overheid in verschillende sectoren opgedeeld zodat uitwisselen van gegevens tussen verschillende overheidsdiensten ook niet zonder meer mogelijk is. Haalbaarheid Oostenrijk heeft speciale wetgeving ingesteld om het systeem van de Bürgerkarte juridisch te onderbouwen. Verschillende inrichtingen van het Bürgerkarte concept zijn inmiddels gerealiseerd en van de achterliggende componenten van het systeem zijn open source implementaties beschikbaar. Overige afwegingen Het Bürgerkarte concept is gebaseerd op open standaarden. Verschillende partijen kunnen hun eigen implementaties creëren en op de markt brengen. Het concept is modulair opgezet, zodat per module (kaart, services,
TNO-rapport | 37 / 46
certification authorities, plugins) verschillende aanbieders actief kunnen zijn. Bovendien zijn er open source implementaties van de essentiële basis componenten beschikbaar. Aantrekkelijkheid voor burgers en bedrijfsleven: Het gebruik van een (niet herleidbaar) sectoraal nummer en de potentiële synergie met toepassingen voor private partijen maken dit systeem een aantrekkelijk alternatief bij privaat gebruik. Hierbij dient wel te worden opgemerkt dat het huidige daadwerkelijke gebruik nog relatief laag is. Mogelijke oorzaken zijn het relatief beperkte aantal contactmomenten met de overheid, de complexiteit van het systeem, en het op dit moment nog relatief beperkte aantal diensten waar burgers de Bürgerkarte kunnen gebruiken.
4.4 Het 4-partijen-model: open standaarden
4.4.1 Beschrijving Het 4-partijen model is gebaseerd op een andere manier van elektronische herkenning van burgers en/of bedrijven48. Aanleiding voor de ontwikkeling van dit model is dat er in de huidige situatie vele verschillende manieren voor online identificatie en authenticatie zijn, die niet allemaal veilig en betrouwbaar zijn. Daarnaast is de grote verscheidenheid aan gebruikte authenticatiemiddelen (tokens, kaarten e.d.) onhandig en niet efficiënt. Nu steeds meer transacties online plaats vinden, kan deze situatie de kans op fraude en het wantrouwen bij gebruikers vergroten. Het doel van 4-partijenmodel is dat er gedeeld gebruik wordt gemaakt van (bestaande) middelen om gebruikers online te identificeren en authenticeren. Voorbeelden zijn de authenticatiemiddelen die de banken gebruiken, of middelen die de overheid gebruikt. Het model is technologie neutraal. Private partijen kunnen profiteren van de ontwikkeling van dit model: partijen zijn minder afhankelijk van het uitgeven van eigen authenticatiemiddelen. Dit is ook voor kleine en nieuwe dienstverleners van belang.49 Hierdoor zou een impuls gegeven kunnen worden gegeven aan de online handel. In dit model werken markt en overheid samen in een open netwerk. Beide kanten van het netwerk kunnen door marktpartijen worden ingevuld en ontwikkeld. De overheid treedt hier op in een kaderstellende rol, en is afnemer van authenticatie-dienstverlening. De uitwerking hiervan wordt in Figuur 4 geschetst.
48 Leendert Bottelberghs, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport. 49 Zie bijvoorbeeld CapGemini (2008) Vraagstuk eHerkenning: Bedrijven en Instellingen. Rapport in opdracht van ICTU, Programma Machtiging- en Vertegenwoordigingsvoorziening (GMV).
TNO-rapport | 38 / 46
Figuur 3: Het 4 partijen model voor IdM
Het 4-partijen model maakt gebruikt van een zogenaamd ‘scheme’ (oftewel spelregels). In dit 4-partijen model wordt het concept van een “payment scheme” toegepast zoals dat onder meer gebruikt is in de wereld van de credit cards.50. In dit model voor identiteitsmanagement wordt de traditionele rol van identiteitsidentiteitsprovider (IdP) gesplitst in twee onafhankelijke rollen. De eerst rol is die van uitgever (issuer) van identificerende middelen (tokens, certificaten, username-password combinaties, en dergelijke). De tweede rol is de rol van acceptant (acquirer, relying party) van identificerende middelen. De gebruiker kiest een issuer naar eigen keuze en heeft dus een zakelijke relatie met de issuer en kan meerdere identiteitsproviders hebben. Onderdeel van de overeenkomst is het vastleggen van een identiteit, en de keuze van het bijbehorende authenticatiemiddel. In theorie heeft de gebruiker binnen dit model een totaal vrije keuze van identiteitsprovider (openID, cardspace, een bank token, e.d.), voor zover deze door de belangrijkste acquirers ondersteund worden (zie onder). Een dienstaanbieder kiest een acquirer, en heeft een zakelijke relatie met de acquirer. De acquirer biedt de dienstverlener de mogelijkheid om een verschillende authenticatiemiddelen te kunnen accepteren, zonder dat de dienstverlener zelf onderscheid hoeft te maken of daarvoor actief ondersteuning hoeft te bieden. De acquirer kiest voor een binnenkomend authenticatiemiddel zelf de issuer die dat middel kan verifiëren, en stuurt het authenticatiemiddel ter verificatie door aan desbetreffende issuer. Als alles klopt, stuurt de acquirer een desbetreffend bericht door aan de acquirer, samen met de identiteit van de gebruiker.
4.4.2 Analyse Functionaliteit Dit systeem is geschikt voor identificatie en authenticatie van gebruikers op verschillende beveiligingniveaus, afhankelijk van de authenticatiemiddelen die door de uitgever zijn uitgegeven, en de afspraken tussen uitgever en acceptant, en tussen de acceptant en de dienstverlener. Er kunnen meerdere identiteitsmiddelen naast elkaar bestaan. Dit model komt tegemoet aan de wens in de private sector ten aanzien van online identificatie en authenticatiediensten (wens 6). Daarnaast kunnen processen die nu nog op papier of per post plaatsvinden (opsturen kopie paspoort, tekenen van het contract) worden gedigitaliseerd en versneld. Afhankelijk van de precieze invulling van dit model met concrete authenticatiemiddelen is het al dan niet mogelijk om gegevens over gebruikers uit te wisselen met de overheid, of met andere private partijen (wens 2, 3 en 4). Dit systeem kan meer flexibiliteit bieden ten aanzien van het benodigde aantal en type attributen dat dient te worden overhandigd voor het vaststellen van de identiteit. Verschillende identiteitsproviders en acquirers met verschillende wijzen van authenticatie kunnen in dit systeem naast elkaar bestaan. Afhankelijk van de context en type dienst kan voor een bepaalde identity provider en acquirer worden gekozen. Ook kunnen kleine partijen en nieuwe toetreders gebruik maken van een al bestaande infrastructuur hetgeen de dynamiek in de markt verhoogt en waarmee de handel op internet mogelijk een impuls zou kunnen krijgen. Afhankelijk van de systemen die door de issuer worden gebruikt, de gegevens die daar worden bijgehouden, en de (juridische) afspraken daarover, is het in geval van fraude wel of niet mogelijk om persoonlijke gegevens van een fraudeur te achterhalen. Veiligheid en Privacy De vertrouwensrelaties in dit systeem zijn complexer. De veiligheid hangt af van meerdere partijen. Een aandachtspunt in deze oplossing is dat de vertrouwelijkheid en privacy van de informatie die in het netwerk tussen verschillende partijen wordt uitgewisseld gewaarborgd blijft. De overheid moet in deze oplossing een kaderstellende rol vervullen, om ervoor te zorgen dat de markt onder de juiste condities opereert en de belangen van verschillende partijen worden behartigd. In het in 2009 gestarte AVB-onderzoek van TNO, TILT en Universiteit Twente ‘Vertrouwen in identiteitsinfrastructuren’. wordt deze kaderstellende rol nader onderzocht. Haalbaarheid Over de juridische en technische haalbaarheid valt nog vrij weinig te zeggen, omdat dit een nog niet nader uitgewerkt concept betreft. Door de juiste kaders en randvoorwaarden te stellen kan de overheid juridische problemen voorkomen. Technisch gezien gaat het systeem verder dan bestaande systemen voor federated identiteitsmanagement, omdat (zelfs conceptueel) verschillende technieken voor identiteitsmanagement en authenticatie ondersteund moeten worden. Dit beïnvloedt de technische haalbaarheid vooralsnog negatief. Wel lijkt gezien de huidige ontwikkelingen op het gebied van identiteitsmanagement, het gebruik van een dergelijk model de meeste aanknopingspunten te bieden voor het in de toekomst kunnen voldoen
TNO-rapport | 40 / 46
aan de wensen van organisaties als ook het kunnen beschermen van de klant / burger51. Voor organisaties is het vrij toegankelijk en er ontstaat dan een algemeen geaccepteerd systeem voor identificatie en authenticatie. Aantrekkelijkheid voor burgers en bedrijfsleven: een van de voordelen van dit systeem ten opzichte van de voorgaande is de flexibiliteit. Een belangrijke voorwaarde voor de ontwikkeling van het vier-partijenmodel is dat het voor zowel de identity provider als de acquirers als ondernemers en klanten/burgers aantrekkelijk moet zijn om aan de dienst deel te nemen52. Voor de identity provider, acquirers en ondernemers betekent dat er een positieve business case moet zijn. Volgens de studie van Innopay (2008) zijn er twee belangrijke factoren die hierin meespelen: de omvang van de markt (hoeveel transacties/authenticaties worden er per jaar gedaan) en het potentieel aandeel (welk deel van de markt kan een partij maximaal verwerven). Uit de studie van de Belgische Federale Overheidsdienst Economie blijkt dat (mogelijk) wantrouwen van eindgebruikers in identiteitsmanagementvoorzieningen een andere belangrijke afweging is voor ondernemers bij de beslissing om gebruik te maken van een dergelijk systeem. Zoals hierboven aangegeven zijn de vertrouwensrelaties in dit systeem complex. Daardoor is ook de waarborging van privacy een belangrijk aandachtspunt.
51 Leendert Bottelberghs, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport., CapGemini (2008) Vraagstuk eHerkenning: Bedrijven en Instellingen. Rapport in opdracht van ICTU, Programma Machtiging- en Vertegenwoordigingsvoorziening (GMV). 52 Federale Overheidsdienst Economie (2008) Toekomstgerichte studie over de potentiële economische mogelijkheden van het gebruik van de identiteitskaart en de elektronische handtekening. FOD, België., Leendert Bottelberghs, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport.,
TNO-rapport | 41 / 46
4.5 Conclusie
In deze paragraaf zijn verschillende mogelijkheden geschetst voor de inrichting van publiek private samenwerking om online identificatie en authenticatie te vergemakkelijken. Deze modellen zouden mogelijk in de plaats kunnen komen van een breed gebruik van BSN en toegang tot het GBA, zoals het bedrijfsleven wenst. De sectorale opzet van het denkmodel DigiD heeft als voordeel dat het BSN niet wordt meegegeven aan private partijen terwijl er wel online identificatie en authenticatie van burgers en klanten mogelijk is. Daarnaast wordt gegevensuitwisseling tussen partijen binnen dezelfde sector mogelijk, maar omdat er wordt gewerkt met sectorale nummers kunnen gegevens tussen sectoren niet zo gemakkelijk gekoppeld worden. Een steeds algemener gebruik en verspreiding van het BSN bij steeds meer (private) partijen kan zo worden voorkomen. Aan de andere kant betekent dit wel dat binnen één sector (bijvoorbeeld de financiële sector) gebruikers nog steeds traceerbaar en koppelbaar zijn. De sectorale opzet van het denkmodel DigiD neemt de privacyrisico’s bij privaat medegebruik slechts ten dele weg. Andere nadelen van deze oplossing zijn een mogelijk beperkte ervaren gebruiksvriendelijkheid, en dat er geen gradaties van identificeerbaarheid worden aangeboden. De architectuur van het systeem zal waarschijnlijk DigiD-specifiek blijven; het is niet gebaseerd op open standaarden. De Oostenrijkse Bürgerkarte kent grotendeels dezelfde voor- en nadelen als het DigiD denkmodel. Wel kent het Oostenrijkse systeem een aantal extra voordelen, zoals meer functionaliteiten, zoals elektronische handtekeningen, open standaarden en open voor gebruik door private partijen. Tegelijkertijd blijkt dat het daadwerkelijke gebruik van het Oostenrijkse systeem zowel door ondernemers als door burgers nog relatief laag is. Mogelijk zijn genoemde oorzaken uit België (complexiteit en onvoldoende gebruiksvriendelijkheid, gebrek aan informatie over de mogelijkheden en wantrouwen bij de eindgebruikers) ook een verklaring voor het relatief lage gebruik van dit systeem. Hiervoor is nader onderzoek nodig. Het vier-partijen model heeft als voordeel dat het meer flexibiliteit biedt ten opzichte van de bovenstaande alternatieven. Verschillende identiteitsproviders en acquirers met verschillende wijzen van authenticatie kunnen in dit systeem naast elkaar bestaan. Afhankelijk van de context en type dienst kan voor een bepaalde identity provider en acquirer worden gekozen. Ook kunnen kleine partijen en nieuwe toetreders gebruik maken van een al bestaande infrastructuur hetgeen de dynamiek in de markt verhoogt en de handel op internet mogelijk een impuls zou kunnen krijgen. Aan de andere kant zijn de vertrouwensrelaties in dit systeem complexer. Ook het ondersteunen van verschillende technieken voor online identificatie en authenticatie maken de technische realisatie van het systeem complex. Om in de toekomst te kunnen voldoen aan de wensen van burgers, overheid en private partijen op het gebied van online identificatie en authenticatie lijkt het gebruik van het 4-partijen model de meeste aanknopingspunten te bieden. Dit is wel afhankelijk van hoe het systeem wordt ingericht. Een aanzet tot de
TNO-rapport | 42 / 46
ontwikkeling van een 4-partijenmodel is het netwerk voor eHerkenning.53 Het betreft hier een relatief nieuw concept in de wereld van identiteitsmanagement. Gezien de complexiteit en onzekerheden over de technische realisatie hiervan en de daaruit voortvloeiende privacy en beveiligingsrisico’s is nader onderzoek daarom gewenst. In 2009 is op dit onderwerp een nieuw onderzoek vanuit de Alliantie Vitaal Bestuur gestart door TNO, TILT en Universiteit Twente.
53 Ministerie van Economische Zaken “Netwerk voor eHerkenning”, brochure, April 2009.
TNO-rapport | 43 / 46
5 Conclusie en aanbevelingen
De kennisvraag betrof de potentiële inzet van BSN, DigiD en PIP als instrumenten van e-dienstverlening naar bedrijven en burgers. Met deze stap zouden private instanties toegang krijgen tot de gegevens die aan deze instrumenten ten grondslag liggen (en ze mogelijkerwijs ook kunnen aanvullen). Uit het onderzoek is gebleken dat de wensen en behoeften van het bedrijfsleven vooral gericht zijn op het ruimer gebruik van BSN met oog op de interne bedrijfsvoering. Daarnaast is er behoefte aan eenvoudige manieren van online identificeren. De door de ondernemingen genoemde economische voordelen, waaronder het beter kunnen bestrijden van fraude, het ‘up-to-date’ houden van de klantadministratie, terugbrengen van het aantal oninbare vorderingen, efficiënte gegevensuitwisseling tussen partijen in een keten, zijn voorstelbaar. Ze zijn niet gekwantificeerd. Omdat het alleen gaat om een (beperkte) besparing van administratieve kosten, zal hier geen economische impuls vanuit gaan. De voordelen zijn in dat opzicht beperkt te noemen. Tegelijkertijd nemen de risico’s voor het beschermen van de persoonlijke levenssfeer toe doordat een uniek persoonsgebonden identificatienummer voor steeds meer doeleinden, in meer sectoren en door een groeiend aantal partijen kan worden gebruikt. Het nummer krijgt dan een grotere bekendheid en kan gebruikt worden om gegevens van klanten te koppelen, dat geldt niet alleen voor de dan daartoe bevoegde partijen, maar ook voor degenen die onbevoegd zijn en misbruik daarvan willen maken. Als er ergens fout wordt gemaakt, kan deze zich over alle vormen van het gebruik verspreiden. Daarnaast is voor een aantal wensen van het bedrijfsleven gebruik van een uniek persoonsnummer (e.g. het BSN) ook niet nodig. De onderzoekers achten toegang tot en ruimer gebruik van BSN en DigiD door private partijen zoals in hoofdstuk 3 omschreven dan ook onwenselijk. Vervolgens wordt nagegaan op een eenvoudig en betrouwbaar systeem van online identificatie en authenticatie. Het is te verwachten dat in de toekomst de vraag naar gedeeld gebruik van eIDM-voorzieningen verder toeneemt (dit kan privaat medegebruik zijn van publieke voorzieningen, of vice versa, publiek medegebruik van private voorzieningen). Belangrijke criteria bij de alternatieven zijn flexibiliteit, de beveiliging en betrouwbaarheid van de gebruikte systemen en de bescherming van persoonsgegevens. De uitdaging voor de toekomst bestaat daarom uit het vinden van nieuwe eIDM-oplossingen waarbij de gebruiker centraal staat, die de verdere ontwikkeling van de informatiemaatschappij in Nederland en Europa bevorderen en waarbij de privacyrisico’s zijn afgedekt..Dit betekent dat nader onderzoek van belang is voor de realisering van open standaarden, 4-partijen-model.
TNO-rapport | 44 / 46
6 Referenties
Actal (2007) Verslag van de bijeenkomst ‘BSN in het bedrijfsleven’. Den Haag. 11-06-2007. Alliantie Vitaal Bestuur (2008) Kennisvragen aan de Alliantie Vitaal Bestuur 2008. Door: BZK, EZ en de Belastingdienst Bottelberghs, Leendert, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport. CapGemini (2008) Vraagstuk eHerkenning: Bedrijven en Instellingen. Rapport in opdracht van ICTU, Programma Machtiging- en Vertegenwoordigingsvoorziening (GMV). CBP (2006) Expertmeeting BSN voor bedrijven? Verslag. 30 januari 2006 CBP. Brief z2005-1198. Inzake Voorstel van Wet algemene bepalingen burgerservicenummer (30 312) aan de leden van de Vaste Commissie voor Binnenlandse Zaken en Koninkrijksrelateis Tweede Kamer. 25-10-2008. Cofta, P. (2009) Towards a better citizen identification system. In Identity in the Information Society, Volume 1, pp. 39-53 Cameron, K. The laws of identity, http://www.identityblog.com/?p=352/ Federal Chancellery, ICT Strategy Unit “Administration on the Net. An ABC Guide to E-Government in Austria”, January 2006. Federale Overheidsdienst Economie (2008) Toekomstgerichte studie over de potentiële economische mogelijkheden van het gebruik van de identiteitskaart en de elektronische handtekening. FOD, België. Hansen, M., Pfitzmann, A., Steinbrecher, S.. (2008) Identity management throughout one’s whole life. Information Security Technology Report, Volume 13-2, pp. 83-94 Hansen, M.(2008) Anonymity, unlinkability, undetectability, unobservability, pseudonomity and identity management: a consolidated proposal for terminology; Hildebrandt, M. & Gutwirth, S. (Eds) (2008) Profiling the European Citizen: Cross-Disicplinary perspectives. Springer. Hoepman, J.H.. “Revocable Privacy”. Privacy & Informatie, 11(3):114-118, June 2008.
TNO-rapport | 45 / 46
Holosi, Karlinger “XML Definition of the Person Identity Link” version 1.2.2, 2005-02- 14, Federal Staff Unit for ICT Strategy, Technology and Standards. Hof, S. en Leenes, L. (2010) Gedeelde en samengestelde identiteiten in de publieke dienstverlening. Rapport voor Alliantie Vitaal Bestuur. IDABC (2009) eID Interoperability for PEGS: update of Country Profiles Study: Austrian Country Profile. July 2009. http://ec.europa.eu/idabc/servlets/Doc?id=32296 ITU (2006) Digital Life. Beschikbaar op: http://www.itu.int/osg/spu/publications/digitalife/docs/digital-life-web.pdf; Leitold, H., Arno Hollosi, Reinhard Posch “Security Architecture of the Austrian Citizen Card Concept”, 18th Annual Computer Security Applications Conference (ACSAC 2002), 9-13 December 2002, Las Vegas, NV, USA. IEEE Computer Society, pp 391-402. Ministerie van Economische Zaken “Netwerk voor eHerkenning”, brochure, April 2009. Ministerie van Financiën. Brief van de Minister van Financiën FM 2008-1851 M inzake Wetsvoorstel in voorbereiding aan de Tweede Kamer der Staten Generaal. 03-09-2008 Moniava, G. “Extending DigiD to the Private Sector (DigiD-2)”, Master’s thesis, Department of Mathematics and Computing Science, Technische Universiteit Eindhoven, 2008. NVB, Position Paper: Banken en Burgerservicenummer. 01-09-2005. Beschikbaar op: http://www.nvb.nl/scrivo/asset.php?id=18191 Neuman, B.C. and Ts'o, T. (1994). Kerberos: An Authentication Service for Computer Networks, IEEE Communications, 32(9):33-38. September 1994. Oasis Group, “Security Assertion Markup Language (SAML) V2.0 Technical Overview”, 25 March 2008 Posch, R.. “What Is Needed to Allow e-Citizenship?” R. Traunmüller and K. Lenk (Eds.): EGOV 2002, LNCS 2456, pp. 45–51, 2002. Siljee, Johanneke Jaap-Henk Hoepman: “How to avoid an identity crisis: usability, security and privacy issues in identity management”, TNO Whitepaper 2008, (to appear).
TNO-rapport | 46 / 46
Solove, D. (2004) The digital person: Technology and privacy in the information age. NYU Press: New York. TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008. TK 2007-2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet algemene bepalingen burgerservicenummer), 21 april 2008 Valkenburg, P. en Jurg, P. (2007) Identity Management. Omgaan met Elektronische identiteiten. Sdu Uitgeves. Den Haag. VNO-NCW Brief 05/13.524/Gf/CV.166 Inzake het wetsvoorstel burgerservicenummer 30 312, gericht an de Vaste Commissies voor Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Justitie van de Tweede Kamer. 28-10-2005. Beschikbaar op: http://www.vno-ncw.nl/web/servlet/nl.gx.vno.client.http.StreamDbContent?code=1404 VNO-NCW Brief 06/11.711/Gf/CV.104 Hoofdlijnen commentaar en enkele vraagpunten bij Nota naar aanleiding van het Verslag bij de BSN-wet (30312 nr. 7)
