Concept-Besluit identificatiemiddelen voor natuurlijke personen Wdo

Concept-Besluit identificatiemiddelen voor natuurlijke personen Wdo

Wellicht litle too late.

Warmlopen langs de lijn

Het is geen geheim dat het klimaat voor eID’s in Nederland slecht is. Zo lopen er al jarenlang initiatieven warm, langs de lijn. Een voorbeeld daarvan is iDIN: een initiatief van Nederlandse banken op basis van de technologie van iDEAL. Zij konden jarenlang geen officiële erkenning verkrijgen. Met als gevolg dat de initiatiefnemers nooit konden zeggen dat zij een middel hadden dat voldoet aan bijvoorbeeld eIDAS substantieel of hoog. Het betekende ook dat deze middelen niet gebruikt konden worden in het publieke domein (soms wel succesvol in pilots). Concreet betekent dat laatste dat er geen BSN-nummers gebruikt kunnen worden, al dan niet via een BSN-koppelregister.

Hoe kwam het concept-besluit er?

Het heeft een lange route afgelegd. Eerst was er het idee om DigiD te vervangen, door de functionaliteit te aan te besteden, waardoor marktpartijen kansen zouden krijgen en toegang zouden hebben. Er was een Wet GDI. Die werd weer vervangen door WDO. Daar tussen zit nog het Controleprotocol eID’s.

En in de tussentijd dat Nederland draalde met het erkennen van private eID’s en deze met de grootste reserve benaderde, heeft zij wel DigiD en eHerkenning als stelsels / schemes weten te notificeren

Wat is een eID?

Een eID is een digitale identiteit waarmee het mogelijk is om aan acceptanten attributen af te staan. Bijvoorbeeld doordat de houder in een app toestemming geeft om (geselecteerde) attributen aan de acceptant af te staan. Afhankelijk van het betrouwbaarheidsniveau, vertrouwt de acceptant er op dat de attributen juist zijn. Attributen zijn bijvoorbeeld een naam of geboortedatum.

Wat is het concept-besluit?

Het concept-besluit staat toe dat bedrijven voor hun eID een officiële erkenning kunnen krijgen. Voor de betrouwbaarheidsniveau’s wordt aangesloten bij hoofdstuk 2 van de eIDAS-verordening. Met een erkenning kun je ook een logo voeren waaruit blijkt dat er sprake is van een erkend middel conform een bepaald betrouwbaarheidsniveau. Aan welke technische regels voldaan moet worden, en waar er een conformiteitsbeoordelingsverslag moet worden ingeleverd (waarschijnlijk Agentschap Telecom) is nog niet duidelijk. Daarnaast is het niet duidelijk of Nederland elke houder van een erkeninng als apart stelsel / scheme zal notifriceren richting Europa, of dat zij één stelsel notificeert, waarop de erkende eID’s op in moeten pluggen. Er moet ook een overeenkomst gesloten worden, zegt het concept-besluit, met het Rijk (Logius wellicht).

Wat is de samenhang met de eIDAS-verordening?

De eIDAS-verordening gaat feitelijk over twee zaken: eID’s en vertrouwensdienstverleners. Hoofdstuk 2 gaat over eID’s. En hoofdstuk 3 gaat over vertrouwensdienstverleners. Het bijzondere aan de verordening, is dat hoofdstuk 2 de lidstaten als adressaat heeft, en hoofdstuk 3 een hoofdstuk is waar burgers en bedrijven uit de Europese Unie rechtstreeks rechten aan kunnen ontlenen. Zo kan dus iedere onderneming in de Europese Unie die de ambitie heeft een gekwalificeerde vertrouwensdienstverlener te worden met één of meerdere vertrouwensdiensten, de mogelijkheid om door middel van een conformiteitsbeoordelingsverslag, die status te verwerven. Dit conformiteitsbeoordelingsverslag, opgesteld door een geaccrediteerde auditor, wordt in Nederland dan ingeleverd bij Agentschap Telecom. Daarna komt de onderneming met de desbetreffende gekwalificeerde vertrouwensdienst op de zogenaamde Europese vertrouwenslijst.

Ondernemingen in Nederland die ambitie hebben om een officieel eID te exploiteren, waarbij de onderneming wil kunnen zeggen dat zij een erkend middel hebben zoals bedoeld in hoofdstuk 2 van de verordening, met een bepaald betrouwbaarheidsniveau, kunnen vooralsnog nergens terecht.

Hoofdstuk 2 gaat vooral over wederzijdse erkenning van middelen, interoperabiliteit, betrouwbaarheidsniveaus (laag, substantieel en hoog) en het notificatieproces (hoe een lidstaat een stelsel / scheme notificeert). Het initiatief om een stelsel te notificeren, ligt dus bij de lidstaat zelf. Een onderneming in de Europese Unie kan dit niet zelf doen. Het is derhalve overgelaten aan de lidstaten.

Waarom te laat?

De opvolger van de eIDAS-verordening introduceert de European Digital Identity Wallet. Deze European Digital Identity Wallet is eigenlijk twee dingen in één: een eID en een portefeuille met documenten en/of bewijzen. Dat kan bijvoorbeeld een visvergunning, een vaarbewijs of een rijbewijs zijn.

De opvolger van de verordening laat het aan de lidstaten over hoe deze European Digital Identity Wallet gerealiseerd wordt. Dat kan bijvoorbeeld zijn dat een lidstaat het zelf doet. Of dat een lidstaat dit aanbesteedt. Andere opties worden ook genoemd.

Nederland zou er voor kunnen kiezen om het zelf te doen, door bijvoorbeeld DigiD op te poetsen en klaar te maken als European Digital Identity Wallet. Het zure is dan, dat alle bedrijven die warmliepen langs de zijlijn om een officiële erkenning te verkrijgen voor hun middel, nog een keer achter het net vissen. Hun toch al fragiele bestaansrecht wordt dan in één keer gedecimeerd.

Misplaatste nationale boodschappenlijstjes

Bij de totstandkoming van de Wet Digitale Overheid en het concept-besluit zijn er vooral boodschappenlijstjes van betrokkenen en experts ingebracht. Een voorbeeld daarvan is de deskundigenbijeenkomst georganiseerd door de Eerste Kamer. Niet gehinderd door enige kennis van zaken van wat er speelt in Europa, worden er grootse gevaren en risico’s benoemd, en worden wielen opnieuw uitgevonden. Zo zou privacy by design en default vastgelegd moeten worden in de Wet Digitale Overheid zelf. Verder wordt het gevaar benoemd dat internetreuzen ook zomaar een verzoek zouden kunnen doen voor erkenning van hun middelen.

Bij de internetconsultatie zie je dat ingebracht wordt dat het belangrijk is dat een middel is gebaseerd is op open source.

Eigenlijk misplaatste boodschappenlijstjes. Allemaal gebaseerd op: vertrouwen we de exploitanten van eID’s wel? Vinden we het wel goed dat die zich in het publieke domein gaan begeven? Trust. Vertrouwen. Maar wie is nu de meest ideale exploitant van een eID? Dat is een gekwalificeerde vertrouwensdienstverlener. Die moet langs ETSI-normen aantonen dat zij voldoen aan de eIDAS-verordening. In die ETSI-normen zitten controls die betrekking hebben op vertrouwen. Zij moeten trustworthy processen en systemen hebben. Die hoeven niet apart verplicht te worden om open source te gebruiken. Die hoeven niet apart verplicht te worden om privacy by design of default te implementeren (dat moeten ze sowieso ingevolge eIDAS en ETSI).

De memorie van toelichting van het concept-besluit noemt ETSI wel. In het bijzonder ETSI 319 411-2. (de norm voor het uitgeven van gekwalificeerde certificaten om elektronische handtekeningen te valideren). Waarom deze genoemd wordt, wordt niet nader uitgelegd. Maar de memorie van toelichting legt daarbij uit dat bedrijven die gecertificeerd zijn langs die norm, wellicht minder hoeven te investeren. Maar een echte harde link wordt er nog niet gelegd. Het kan dus straks zo zijn, dat in Nederland een ander of eigen normenkader gaat gelden voor de erkenning van eID’s, welk normenkader dan niet of slecht aansluit op ETSI of eIDAS (2.0).

Maar, wat niet is kan wellicht nog wel komen. Maar de verplichting om een eID te baseren op open source, voorspelt niet veel goeds.