Proef met elektronische identificatie
Om de nieuwe elektronische identificatie eID te testen maken 1500 mensen er de komende maanden gebruik van. Anders dan de nu bestaande DigiD is de eID straks geschikt om allerhande transacties te verrichten, vanaf het aanvragen van een paspoort tot het doen van webaankopen.
Een betere beveiliging en meer gebruiksgemak, dat is het oogmerk van de vervanging van de bestaande DigiD door de elektrische identiteit, de eID, aldus het persbericht van het Ministerie van Binnelandse Zaken. Het nieuwe elektronische identificatieplatform heeft de naam Indensys gekregen.
Twee verschillen ten opzichte van DigiD springen in het oog. De identificatie kan niet alleen met de nu door de overheid uitgegeven elektronische identiteitskaart of het elektronische rijbewijs, maar ook met apps of andere tokens die aan de beveiligingseisen voldoen. Zo maakte het bedrijf Digidentity in het kader van de proef een mobiele app waarmee mensen zich ook kunnen identificeren.
Bij de proef gaan 500 burgers in Den Haag aan de slag met de elektronische identiteitskaart, in zowel Eindhoven als Groningen kunnen 500 mensen zich identificeren met een elektronisch rijbewijs. Van de mobiele identificatie-app kunnen 30.000 mensen tijdens de proef gebruik maken.
Echtheidsbeoordeling
Het andere verschil met DigiD is dat er instanties komen die zorgdragen voor de authenticiteit van de identificatie. Bij de proef is dat het bedrijf Digidentity, dat momenteel de DigiD verzorgt.
Het werkt als volgt. Iemand die online bij de gemeente een paspoort wil aanvragen en zich moet identificeren, legt zijn identiteitskaart of rijbewijs op een kaartlezer. De informatie daarvan wordt omgeleid naar de authentificatiedienst, nu dus Digidentity, en die laat de gemeente weten dat de identificatie correct is. Daarna gaat de transactie om het paspoort te krijgen verder.
Het voordeel van zo’n aparte authentificatiedienst is dat degene die na identificatie een bepaalde service biedt, in het voorbeeld de gemeente, alleen de identiteitsgegevens krijgt waarvoor de gebruiker toestemming heeft gegeven. Bij het invullen van het belastingbiljet zullen dat heel andere gegevens zijn dan voor een bestelling bij een webwinkel. De achterliggende gedachte is dat de gebruiker zo controle heeft over welke persoonsgegevens hij aan welke instantie verstrekt.
Gesloten boek
Maar hoe zit het dan met de authentificatiedienst? Het systeem is zo opgezet dat de controleur van de echtheid van de identificatie geen enkel zicht heeft op de inhoud van de transactie: de data zijn voor de authentificatiedienst niet toegankelijk.
Over dat laatste is inmiddels in commentaren het nodige te doen, maar technisch directeur Marcel Wendt van Digidentity laat er geen twijfel over bestaan. ‘De data zijn voor ons een gesloten boek. Zouden we daarop inbreuk maken, dan zetten we direct onze positie als authentificatiedienst op het spel.’
Er zijn ook allerhande waarborgen ingevoerd. ‘We voldoen aan het hoogste digitale betrouwbaarheidsniveau. Alle transacties moeten we loggen, zodat die bij een audit zijn te controleren. De logfiles zelf zijn ook weer gewaarmerkt, zodat veranderingen achteraf direct zichtbaar zijn. En het inloggen gebeurt bij ons altijd door twee medewerkers, want, zoals inmiddels algemeen bekend, fraude kan bij ons soort bedrijven alleen met medewerking van binnenuit.’
IDapp
De mobiele app die Digidentity ontwikkelde is geschikt voor het hoogste identificatieniveau. 'Om dat te bereiken is gezichtscontrole noodzakelijk. Met de mobiele app doen we dat door een selfie te vergelijken met de foto op het paspoort of het rijbewijs. Omdat we een soortgelijk systeem voor Engeland verzorgen, beschikken we over de werkprocessen om dat real time te kunnen doen.’
Het is de bedoeling dat er meer diensten worden aangeboden die van de nieuwe identificatiemethode gebruik maken. Op dit moment zijn daarvoor alleen (semi)overheidsdiensten beschikbaar, zoals van de gemeente Den Haag, het Bureau Kredietregistratie, de Sociale Verzekeringsbank en de Belastingdienst.
Op de proef
De test moet uitwijzen of de nieuwe identificatiemethode gebruiksvriendelijk is, of de privacy ermee is gewaarborgd en de beveiliging in orde is. Wendt: ‘We gaan de ervaringen van gebruikers intensief volgen, en beveiligingsbedrijven als Fox-IT zullen ons systeem zeker op de proef gaan stellen.’
Wanneer over enige maanden de proef is afgerond volgt een evaluatie, waarbij ook de Tweede Kamer een oordeel zal vellen alvorens tot grootschalige invoering van de eID wordt overgegaan.