Standpunt Currence over Wet Digitale Overheid

Bron: Currence

Veranker het multmiddelenbeleid nadrukkelijk in de Wet Digitale Overheid en zorg dat het wetsvoorstel zo spoedig mogelijk wordt aangenomen. Zorg voor een accreditatieproces voor alle private middelen, ongeacht of die door personen of rechtspersonen worden gebruikt. Maak snelheid door acceptatie van en samenwerking met iDIN.

Samenwerking overheid en banken

Op veel dossiers werken overheid en banken succesvol samen, denk aan het verwijzingsportaal voor het opsporen van uitkeringsfraude, weerbaarheid tegen cyberaanvallen in het Nationaal Cyber Security Center (NCSC), gestandaardiseerde jaarverslagen van bedrijven bij ‘Standard Business Reporting’ (SBR) en de vooringevulde aangifte bij de Belastingdienst. Dit zijn allemaal aan eID-gerelateerde dossiers (elecronische identiteit) die de betrouwbaarheid van data en gebruikersvriendelijkheid van overheidsdienstverlening versterken.

Samenwerking op eID tussen overheid en banken wordt al besproken sinds 1996. In mei 2014 verzocht de Directeur-Generaal Belastingdienst mede namens de DG’s van Binnenlandse Zaken en Economische Zaken om een gezamenlijk overleg met de voorzitters van de drie grootste banken. Dit overleg had tot doel met elkaar de mogelijkheden te bespreken om de authenticatiemiddelen van de banken te gebruiken in het elektronische verkeer met de overheid. Daaropvolgend werd in oktober 2015 een intentieverklaring ondertekend tussen de Belastingdienst, vijf banken en Betaalvereniging Nederland, waarin de uitgangspunten voor samenwerking tussen partijen werden vastgelegd in de vorm van een pilot. Dit leidde eind 2015 tot een werkende oplossing: inloggen met iDIN bij de Belastingdienst. Een onafhankelijke commissie stelde vast dat deze pilot succesvol uitpakte. Hiervan werd verslag gedaan in de Kamerbrief Impuls eID van augustus 2016.

Identiteit: Rol van de overheid en rol voor de banken

De overheid is onmisbaar in het veld van identiteiten. Bij gemeenten wordt de identiteit voor het eerst geadministreerd en bij de uitreiking van paspoort of rijbewijs elke keer opnieuw gevalideerd. Deze identiteitsdocumenten vormen ook de basis voor het volgens wettelijke regels registreren van een persoon of bedrijf bij de banken. Elke rekeninghouder bij een bank is geverifieerd aan de hand van deze identiteitsdocumenten. Versnelling van de hoog betrouwbare elektronische identiteit door de overheid (DigiD) is dan ook van belang voor het verbeteren van die processen in de toekomst. Onderzoek heeft laten zien dat de kwaliteit van de data van de banken zeer hoog is.

Door de snel toenemende digitalisering is de dienstverlening van banken in de laatste decennia sterk veranderd. Op een bankkantoor komt men alleen nog voor de meer complexe of persoonlijke zaken en er zijn zelfs al (nagenoeg) volledig digitale banken. Consumenten verlangen dat de meest door hen gebruikte dienstverlening op hun voorwaarden, gebruikersvriendelijk wordt geleverd en zij interacteren, bijvoorbeeld via een app, bij voorkeur digitaal met hun bank. Toezichthouder DNB vereist uiteraard dat hiervoor hoge standaarden van veiligheid en betrouwbaarheid worden gehanteerd. Om deze dienstverlening digitaal en volgens die standaarden te leveren, investeren banken zwaar in het tegengaan van fraude en om klanten te voorzien van middelen (bankpassen en apps) die gemakkelijk, veilig en vertrouwd zijn. Gelet op de fraudecijfers (behorend tot de laagste van Europa), slagen Nederlandse banken goed in het aanbieden van veilige middelen voor digitale interactie met hun bank en voor het doen van transacties. Deze ervaring, met onder meer continue transactiemonitoring, zetten banken ook in voor iDIN, waardoor er, vanuit het maatschappelijk belang van een betrouwbare digitale interactie, een efficiënt en goed werkend identificatie- en inlogmiddel ter beschikking staat voor burgers, bedrijfsleven en overheid. Elke rekeninghouder kan iDIN direct gebruiken. Hierdoor is de dekkingsgraad van iDIN zeer hoog. iDIN is beschikbaar voor meer dan 99% van de online actieve burgers.

De overheid is dé autoriteit die primair de identiteit vaststelt van alle Nederlanders, de bronadministratie van alle Nederlanders beheert en identiteitsdocumenten uitgeeft. De banken vullen dit aan door met iDIN een gebruikersvriendelijke, veilige en betrouwbare digitale identificatiemogelijkheid te bieden, met een strenge fraudepreventie en continue monitoring.

In een aantal andere landen is een elektronische identiteit voor burgers vormgegeven door een formele taakverdeling tussen de overheid en de banken, bijvoorbeeld in België, Luxemburg, Zweden, Finland en Thailand. Daarin richt de overheid zich op het identificatiemiddel op betrouwbaarheidsniveau hoog en verzorgt de private sector – binnen de door de EU of overheid gestelde kaders – het identificatiemiddel op het niveau substantieel. Daarnaast zien wij in landen waar uitsluitend een publiek middel bestaat dat de private sector (veelal de banken) de operationele taken voor het publieke middel verzorgt, bijvoorbeeld intrekken bij vermissing, helpdesk, enz.

Use cases iDIN

iDIN is een afsprakenstelsel tussen banken voor vertrouwde identificatie- en inlogmiddelen. iDIN stelt de gebruiker centraal. Het ondersteunt identificeren, inloggen met een pseudoniem en kan ook attributen verstrekken zoals leeftijdsvalidatie. iDIN wordt nu reeds in het private domein gebruikt. Een recent voorbeeld is de Nationale Loterij (leeftijdsverificatie) waardoor de kansspelsector via iDIN kan voldoen aan de wettelijke eis rondom leeftijdsverificatie bij online kansspelen. Andere voorbeelden zijn onder meer Bureau Krediet Registratie (identificeren en inloggen door burgers om hun status op te vragen) en Mijnverzekeringenopeenrij.nl (identificeren). Samen met een aantal marktpartijen is nu ook de iDIN Ondertekenen-toepassing uitgewerkt, waardoor overeenkomsten digitaal ondertekend kunnen worden. Deze variant wordt binnenkort in de markt geïntroduceerd. Daarnaast zijn er toepassingen in ontwikkeling in combinatie met het handelsregister om ook iDIN voor bedrijven in te zetten.

iDIN voldoet aan alle regelgeving zoals de betrouwbaarheid van het middel (eIDAS Substantieel) en aan privacyregelgeving (AVG).

Hoe nu verder? Snelheid maken!

iDIN is niet alleen bedoeld voor het inloggen in het BSN-domein. Het past veeleer in de Nederlandse digitaliseringsstrategie Nederland digitaal – Hier kan het. Hier gebeurt het. Gebruik van iDIN in het BSN-domein wordt door de burger als logisch gezien. Datzelfde geldt wanneer hij of zij daarmee inlogt buiten dat domein. iDIN zorgt door zijn universele toepasbaarheid voor herkenning en vertrouwen in de online interactie tussen mensen, bedrijven en overheden.

Zo’n 70.000 mensen hebben iDIN inmiddels gebruikt bij de Belastingdienst. Ondanks de succesvolle evaluatie (zie eerdergenoemde Kamerbrief) heeft het nog steeds de status van een “pilot”. Naast de Belastingdienst zijn er onder andere diverse gemeenten, UWV, SVB, Nationale Politie, KvK, zorgaanbieders en zorgverzekeraars die graag met iDIN aan de slag willen maar dit is door het
uitblijven van besluitvorming bij de overheid (nog) niet gerealiseerd. Verdere digitalisering komt hierdoor niet van de grond. Dit moet veranderen.

Voor het beschikbaar maken van iDIN in het maatschappelijke verkeer en binnen de overheid in het bijzonder (BSN-domein) zou op korte termijn snelheid gecreëerd moeten worden in het wettelijk verankeren van het gebruik van private middelen en acceptatie door overheidspartijen. Die duidelijkheid en snelheid ontbreken nu in het voorstel voor de Wet Digitale Overheid. Dit komt ook tot uiting in het moeizame traject van de afgelopen jaren. Partijen, zowel publiek als privaat, geven aan dat besluiteloosheid bij de overheid er voor zorgt dat ze tekort schieten in de digitalisering, terwijl veilige en betrouwbare oplossingen als iDIN gereed zijn voor gebruik.

Currence adviseert dat de overheid meer gebruik maakt van private expertise in het aansluiten op externe voorzieningen, zoals machtigingen, iDIN en andere registers. Er zijn tal van ervaren dienstverleners waar overheidspartijen nu al gebruik van maken die snel, efficiënt en veilig de aansluiting van overheidspartijen kunnen verzorgen. Dit voorkomt een ‘single point of failure’ in het netwerk waardoor de nu door Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) voorgestane nieuwe architectuur altijd kwetsbaar blijft. Bovendien heeft de toenmalige minister van BZK, Ronald Plasterk, in een eerder debat in de Kamer naar voren gebracht dat banken een belangrijke partner van de overheid zijn om kansen en uitdagingen in de digitale samenleving te realiseren.

Governance iDIN

iDIN is een afsprakenstelsel tussen deelnemende banken, gebaseerd op de technologie van iDEAL. Het afsprakenstelsel bevat regels rond veiligheid, privacy, implementatie-afspraken, processen, communicatie en toetreding. Partijen die aangetoond hebben te voldoen aan de ‘Rules & Regulations’ worden door Currence gecertificeerd. De gecertificeerde partijen werken transparant, bevorderen concurrentie tussen verschillende aanbieders, bewaken de kernwaarden van de producten zoals veiligheid en herkenbaarheid en zijn tegelijk gericht op efficiëncy. Currence is naast eigenaar van iDIN ook eigenaar van iDEAL. Voor iDIN deelnemende banken zijn ABN AMRO, ING, Rabobank, de Volksbank en Triodos. Currence is in 2005 op advies van De Nederlandsche Bank en de minister van financiën opgericht ter bevordering van de marktwerking enerzijds en het behoud van de gemeenschappelijke waarden in het betalingsverkeer anderzijds. De Nederlandse Mededingingsautoriteit (thans Autoriteit Consument & Markt of ACM) heeft destijds een positieve informele zienswijze afgegeven over de oprichting van Currence. Currence heeft een Raad van Commissarissen die onafhankelijk is van de licentiehouders. Currence valt onder toezicht van DNB en haar licentiehouders (banken).

Aandachtspunten en overwegingen bij de wet digitale overheid

  • De Wet overtuigt niet in het onderschrijven van het eerder door de Kamer onderschreven multimiddelenbeleid. De inzet van een privaat middel wordt met (veel) reserve benaderd (bijvoorbeeld op pag. 72 en 76 van de Memorie van Toelichting).
    Overweging: veranker het multmiddelenbeleid nadrukkelijk in de wet.
  • De wet straalt onvoldoende urgentie uit. Gerefereerd wordt aan een tamelijk lange overgangsperiode door dienstverleners van uiterlijk vier jaar. Het lijkt alsof de wetgever de dienstverleners tijd wil gunnen om de overgang te maken naar het identificatiemiddel substantieel (pag. 46 MvT). De kern is echter de grote onzekerheid rond het tijdig realiseren van een publiek middel op betrouwbaarheidsniveau hoog en substantieel. De techniek is niet uitontwikkeld (pag. 47 MvT). DigiD kan alleen op niveau substantieel worden gebracht als de betrokken burger beschikt over een eNIK of e-rijbewijs (met een uitrolperiode van 10 jaar). De eerder in de brief van de staatssecretaris van BZK van 16 juli genoemde “kioskenoplossing” voor iPhone-gebruikers is problematisch. iDIN is al enkele jaren gereed, heeft zich bewezen in de markt en heeft een hoge dekkingsgraad. Er is een forse groei van het gebruik van iDIN in de private sector. De overheid kan er vandaag direct mee aan de slag. De urgentie voor het snel beschikbaar hebben van een betrouwbaar en veilig aanvullend inlogmiddel wordt nog meer vergroot als er naar de digitaliseringsagenda van het kabinet wordt gekeken, waarin Nederland de ambitie uitspreekt om digitale koploper van Europa te worden. Zonder een betrouwbare en veilige infrastructuur van inloggen wordt de realisatie daarvan bemoeilijkt. Moeten we hier dan nog vier jaar op wachten? Nederland gaat steeds verder achterlopen bij andere landen en heeft in tegenstelling tot een aantal andere landen geen eID-middel genotificeerd volgens de eIDAS verplichting die eind september 2018 van kracht is geworden. Het beveiligen van informatie kan veel sneller gerealiseerd worden.
    Overweging: maak snelheid door acceptatie van en samenwerking met iDIN.
  • Het is de ambitie van dit kabinet om de verschillen tussen het burger- en bedrijvendomein te verkleinen. Dit komt echter niet tot uiting in het huidige wetsvoorstel. Het voorstel bevat namelijk een tweedeling tussen accreditatie van private inlogmiddelen voor ondernemingen en aanbesteding van private inlogmiddelen voor burgers. Niet duidelijk in de Memorie van Toelichting is wat dit verschil motiveert. De ambitie moet zijn dit gelijk te trekken door ook het private inlogmiddel voor burgers via accreditatie toe te laten in het publieke domein. In deze opvatting stelt de overheid de kaders waaraan private partijen moeten voldoen voor toegang tot het overheidsdomein.
    Overweging: een accreditatieproces voor alle private inlogmiddelen, ongeacht of die door personen of rechtspersonen worden gebruikt.
  • De digitalisering zet door. De Wet Digitale Overheid ondersteunt deze ontwikkeling omdat het de ruimte geeft om in de tijd mee te gaan met innovaties. Het is van belang dat de wet wordt aangenomen zodat de inrichting snel van start kan gaan.
    Overweging: bevorder dat de wet zo spoedig mogelijk wordt aangenomen.