Op vrijdag 10 oktober organiseerden het Privacy & Identity Lab en de Waag Society een discussie over de plannen voor een nieuw Nederlands eID-stelsel. Dit is een korte samenvatting van de discussie.

Het eID-stelsel

In het eerste uur van de bijeenkomst vertelden vertegenwoordigers van het eID-stelsel over de huidige stand van zaken. Hans-Rob de Reus (Belastingdienst) gaf een presentatie over overzicht, doelen, ontwerp-principes van het eID stelsel. Jan Matto (Mazars) vertelde over de EU richtlijn en uitgangspunten Privacy Impact Assessment (PIA) eID stelsel. (De PIA staat overigens, net als de andere documenten die versie 1 van het stelsel beschrijven, online.)

eID systeem diagram

eID systeem diagram

Zonder in detail het eID-stelsel te willen beschrijven (zie daarvoor de links hierboven voor gedetailleerde informatie en het schema), is het voor het begrijpen van delen van de discussie het volgende wel van belang. De kern van het eID-stelsel vormen zogenaamde (polymorfe) pseudoniemen. Deze zijn bedoeld om binnen het stelsel de privacy van de gebruikers te beschermen. Gebruikers hebben voor iedere site waarop ze met het stelsel kunnen inloggen een apart pseudoniem. Verschillende pseudoniemen voor verschillende sites zijn niet herleidbaar tot één en dezelfde gebruiker. Dit voorkomt (in principe) dat sites gaan samenwerken om profielen over gebruikers samen te stellen.

In de discussie die volgde kwamen de volgende onderwerpen aan bod.

De PIA

De scope van de PIA bleek beperkt tot de functionaliteit van het stelsel zelf. De privacy impact van, bijvoorbeeld, een web dienst die veel (authentieke) persoonlijke informatie verzamelt door handig gebruik te maken van de faciliteiten die het eID stelsel biedt, valt buiten de scope van de PIA.

Vraag was op welke manier de resultaten van de PIA zijn meegenomen in het ontwerp van het stelsel, en welke aanbevelingen al dan niet zijn opgevolgd. Jan noemde als voorbeeld van zo’n aanbeveling de wens om niet gebruik te maken van persistente pseudo-identiteiten. Hans-Rob gaf aan dat bij het al dan niet overnemen van een aanbeveling verschillende belangen worden afgewogen. De PIA die Jan heeft uitgevoerd had betrekking op het ontwerp. Na iedere verfijning zal de PIA worden herhaald. In die zin is een PIA dus een proces.

Vertrouwen

Veel werd ook gediscussieerd over de mate van vertrouwen die gebruikers (zowel burgers als dienstaanbieders, zoals web-diensten of overheidsdiensten) van het stelsel moeten hebben in de aanbieders van de verschillende rollen in het stelsel. Zeker de laatste jaren holt het vertrouwen in dit soort aanbieders (en ook in de overheid zelf) achteruit. De vraag rijst of het benodigde vertrouwen in het eID stelsel er überhaupt wel is. De authenticatiedienst is een voorbeeld van een partij waar gebruikers veel vertrouwen in moeten hebben. Deze partij levert immers de identiteitsverklaring op basis waarvan de dienstaanbieder toegang tot het account van de gebruiker biedt. Deze identiteitsverklaring kan theoretisch ook achter de rug van de echte gebruiker om voor een andere partij uitgegeven worden. Tenzij de authenticatiedienst is geïntegreerd in een chipkaart van de gebruiker zelf. Is er wel een partij die we voldoende vertrouwen om die rol in te vullen? En wat gebeurt er bijvoorbeeld als Google een authenticatiedienst voor het Nederlandse eID stelsel wil gaan inrichten?

Het ontwikkel proces

Een ander onderwerp van discussie was het proces volgens welke het eID-stelsel ontwikkeld wordt. Volgens de deelnemers moet ‘civil society’ ook aan tafel en mee kunnen denken. Het eID-stelsel heeft vooralsnog veel overlegd met dienstenaanbieders (afnemers van verklaringen die het stelsel zal gaan leveren) en marktpartijen die een rol willen spelen in de inrichting van het stelsel. Dit is terug te zien in het huidige ontwerp voor het eID stelsel.

Identiteits-escrow

Een mooi voorbeeld hiervan is hoe in het stelsel rekening is gehouden met handhaving en opsporing. Vooral op verzoek van het Ministerie van Veiligheid en Justitie is er een mogelijkheid ingebouwd om (alsnog) achter de identiteit van een gebruiker te komen, op basis van een pseudoniem dat hij gebruikt heeft bij een site. Deze mogelijkheid is enkel aan een speciale vertrouwde partij toebedeeld. Het idee is om in geval van fraude alsnog de schade te kunnen verhalen. Deze vorm van ‘escrow’ is stelselbreed ingebouwd: van alle pseudoniemen kan altijd alsnog achterhaald worden wie de bijbehorende gebruiker is.

Als voorbeeld wordt genoemd dat als iemand bij bol.com een boek besteld en er later fraude wordt geconstateerd, bol.com (door hiervoor een verzoek in te dienen bij de vertrouwde partij) de identiteit van de fraudeur kan achterhalen. In de discussie werd als tegenargument genoemd dat je nu gewoon een boek contant kunt betalen zonder dat je identiteit naderhand kan worden vastgesteld (tenzij er video-camera’s in de winkel hangen natuurlijk). De vraag is of identiteits-escrow altijd noodzakelijk en/of wenselijk is. Meer discussie is gewenst, en een analyse op basis van een aantal verschillende use cases zou verheldering kunnen brengen. (Na afloop werd door een aantal partijen de wens geuit hier verder op in te gaan. Hiervoor zal een volgende bijeenkomst worden belegd.) Op deze aspecten gaat de PIA niet in.

De keuze om identiteits-escrow stelselbreed in te voeren is ingrijpend. Er zou ook voor gekozen kunnen worden om per dienstaanbieder een vorm van escrow in te bouwen. Dus alleen escrow waar dat voor de dienst echt relevant is. Bijvoorbeeld door een extra attribuut mee te sturen waarin de identiteit van de gebruiker versleuteld is opgeslagen.

Scope van het stelsel

Vragen waren er ook over de scope van het eID-stelsel: voor welke toepassingen wordt het stelsel in de toekomst allemaal gebruikt? De focus lijkt te liggen op authenticatie voor overheidsdiensten en (e-commerce) websites. De vraag is of je dat niet veel breder moet trekken, naar bijvoorbeeld toepassingen waarbij consumenten zelf ook aanbieders van diensten zijn waar anderen zich middels eID kunnen authenticeren. Het Internet of Things werd als voorbeeld hiervan genoemd. Anderen in de zaal suggereerden juist dat het wellicht beter is om de scope van het eID stelsel te beperken tot die diensten waar je nu een hoog authenticatie niveau wilt hebben, maar waar je het Burger Service Nummer (BSN) niet mag gebruiken (vanwege wetten die het gebruik van BSN beperken).

In dat laatste geval is zelfs te overwegen om het concept van pseudoniemen maar helemaal te laten vallen, en altijd een uniek identificerend nummer door te geven. Dit is vooral ook een relevante overweging als je bedenkt dat voor gebruikers de combinatie van sterke authenticatie gevolgd door de geruststelling dat slechts een pseudoniem wordt doorgegeven niet altijd begrepen zal worden. De gebruiker zal er (terecht in zekere zin, vanwege de identiteits escrow) vanuit gaan dat een pseudoniem weinig privacy bescherming biedt.

Overige discussie-punten

De vraag was ook of een eID stelsel überhaupt economisch haalbaar is. Gaat de gebruiker hier voor betalen? Wil de gebruiker dat wel? Zo ja, hoeveel dan? Als de gebruiker er niet voor betaalt, wie dan wel? En gaat dat dan ten koste van de privacy van de gebruiker? (Er is dus een interessante relatie tussen het al dan niet betalen voor een dienst en het nivo van vertrouwen in de dienst.)

Een nationaal e-ID stelsel leidt tot ‘systeemdwang’. Als alle Nederlanders een eID krijgen, en alle dienstenaanbeiders gebruik mogen maken van het stelsel voor het authenticeren van hun gebruikers, dan zullen zij dat massaal gaan doen. Ook voor diensten waar nu geen (sterke) vorm van authenticatie nodig is. Juist hierom is een hoog niveau van privacy, en een grote mate van controle voor de gebruiker over de persoonlijke gegevens die over hem prijs gegeven worden, noodzakelijk.

Een onafhankelijke en krachtige toezichthouder is hiervoor ook van belang. Dienstaanbieders (of eID partijen) moeten streng gecontroleerd worden en als zij het stelsel misbruiken afgesloten worden. Verwijdering van een partij is niet altijd eenvoudig: sommige dienstaanbieders zijn ‘too big to fail’. En als een eID partij als enige een bepaalde rol vervult in het stelsel, dan kan deze niet zomaar verwijderd worden.

Vervolg

Vanuit het eID-stelsel, maar ook vanuit de aanwezigen in de zaal, werd de wens geuit om deze discussie voort te zetten. Wordt vervolgd dus! Als je geïnteresseerd bent om in de toekomst een keer deel te nemen aan zo’n discussie bijeenkomst, neem dan contact met mij op.