Er is al jarenlang onduidelijkheid in Nederland welke herbruikbare identiteitsoplossingen er beschikbaar zullen komen om in te loggen bij de overheid (citizen-2-government) en bij bedrijven (consumer-2-business). Hierbij gaat het met name tussen de overheid als identity provider (DigiD), de banken (iDIN) en andere private partijen zoals KPN en Digidentity in het afsprakenstelsel Idensys. In deze blogpost mijn perspectief op dit ‘slagveld’, met een focus op middelen voor burgers om in te loggen bij de overheid. Dit perspectief komt in het kort hierop neer:

1. DigiD stoomt door, met inmiddels 13.5M gebruikers. DigiD heeft nu een DigiD App: meer gebruikersgemak en betrouwbaarder. Ook ondersteunt de Android versie van de DigiD app sinds begin november het eIDAS Substantieel betrouwbaarheidsniveau, en werkt de overheid aan DigiD Hoog.
2. De overheid gaat één privaat alternatief voor DigiD op niveau substantieel selecteren. Een alternatief is nodig om minder afhankelijk te worden van DigiD. Hiervoor heeft iDIN heeft de beste papieren, omdat vrijwel alle Nederlanders al een betrouwbare digitale identiteit hebben van hun bank om in te loggen op online bankieren.
3. De rol van Idensys lijkt hiermee uitgespeeld voor citizen-2-government, en als gevolg hiervoor ook voor consumer-2-business. Immers, een grote dekkingsgraad krijgen zonder een citizen-2-governent als ‘killer app’ zal erg lastig zijn.

In tegenstelling tot de toekomst voor Idensys, ziet de toekomst voor eHerkening, de ‘oudere zus’ van Idensys, er zonniger uit. eHerkenning is een afsprakenstelsel voor bedrijven die willen inloggen bij de overheid, en bestaat al jaren. Dit stelsel is langzaam maar gestaag gegroeid. De toekomst voor eHerkenning is zonnig omdat de nieuwe Wet Digitale Overheid acceptatie van eHerkenning verplicht zal maken voor overheidsorganisaties. Daarnaast hebbende Belastingdienst en andere grote overheidspartijen, waaronder UWV, in juli 2017 hebben verklaard aan te sluiten op eHerkenning.

 

Hieronder leg ik het bovenstaande perspectief in meer detail uit.

De overheid heeft ten opzichte van de oorspronkelijke eID-stelsel plannen uit 2012, zie ook een eerdere blog post hierover, de nodige aanpassingen gemaakt. Grote veranderingen in 2016 waren de groeiende rol van de overheid in het zélf leveren van identiteitsoplossingen in plaats dat over te laten aan de markt, en een terugtrekkende beweging van de overheid in identiteitsoplossingen voor het consumer-2-business domein. In 2017 zijn de onderstaande belangrijke verdere aanpassingen gemaakt in het beleid:

1. DigiD is de primaire identiteitsoplossing voor consumer-2-government op eIDAS betrouwbaarheidsniveaus Substantieel en Hoog.
2. De markt mag één alternatieve identiteitsoplossing leveren voor consumer-2-government, in plaats van meerdere afsprakenstelsels zoals beoogd in de concept wet Digitale Overheid die in december 2016 in consultatie ging (toen nog WetGDI geheten). Zie Marktconsultatie eID Privaat Inlogmiddel of -middelen (indiening is 1 december 2017 gesloten).
3. De rol van makelaar verdwijnt voor citizen-2-government. In plaats daarvan komt er een routeringsdienst van Logius, en een wederom privaat alternatief als backup. Achter deze routeringsdiensten zitten dan DigiD, het private alternatief voor DigiD Substantieel en via eHerkenning ook eIDAS. De routeringsdienst is initieel alleen voor citizen-2-government, maar wordt mogelijk ook voor business-2-government, waarmee de positie van eHerkenningsmakelaars mij nogal onzeker lijkt. Zie de Marktverkenning Marktconsultatie Private Routeringsdienst eID.
4. De Wet Digitale Overheid stelt een veel algemenere wettelijke basis aan identiteitslossingen dan het oorspronkelijke concept met haar Uniforme Set van Eisen. Er is bijvoorbeeld geen eis meer voor polymorfe pseudoniemen, waar in de consultatie de meningen fors over verschilden. Hiermee wordt tegemoet gekomen aan, onder andere, de banken, die er negatief over waren.

Belangrijke consequenties hiervan zijn:

1. DigiD stoomt door. Het gebruik blijft toenemen, met de DigiD app wordt er ook weer geïnnoveerd en de DigiD app ondersteunt sinds november 2017 ook niveau Substantieel. Dit laatste door eenmalig de contactloze chip in je paspoort, identiteitskaart of rijbewijs uit te lezen met NFC. Dit werkt helaas alleen met Android, waardoor - totdat Apple eindelijk ook toegang tot NFC gaat geven - iPhone gebruikers geen diensten kunnen gebruiken die Substantieel vereisen, bijvoorbeeld zorgdiensten. Overigens werkt de overheid ook aan DigiD Hoog, op basis van identiteitskaart en rijbewijs, en wordt het steeds duidelijker dat DigiD Basis, oftewel Laag, zal verdwijnen.
2. Idensys en iDIN pilots met overheidsdienstverleners liggen op hun gat. Niet alleen omdat er geen duidelijkheid is over de toekomst, wat de deelnemers terughoudend maakt initiatieven te ontplooien, maar ook omdat de beoogde opschaling al snel door Min. BZK werd beperkt tot maximaal 300.000 gebruikers.
3. iDIN is het gedoodverfde private alternatief, maar vertraagt. Een belangrijke eis aan het private alternatief voor DigiD Substantieel is een grote dekkingsgraad onder Nederlandse burgers. Dit betekent dat iDIN de-facto de grootste kanshebber is hiervoor, en de rol van Idensys uitgespeeld lijkt. Dat iDIN wint is overigens nog geen uitgemaakte zaak; er kunnen verrassingen komen van bv NotarisID of (een deel van de) Idensys partijen. Of de Nederlandse overheid en de banken kunnen simpelweg er alsnog niet uitkomen. Ook als iDIN het wint, is er nog steeds een forse vertraging ten opzichte van de planning zoals die in 2016 gold, en inkoop-technisch zullen er ongetwijfeld de nodige hindernissen zijn.
4. eHerkenning, DigiD Substantieel en private alternatief worden genotificeerd voor eIDAS. Ik verwacht dat eHerkenning (op de hogere betrouwbaarheidsniveaus), DigiD Substantieel en het private alternatief genotificeerd gaan worden voor eIDAS. De memorie van toelichting op de Wet Digitale Overheid zegt hierover namelijk dat het “in de rede” valt dat het private alternatief ook genotificeerd wordt.

 

Ter afsluiting, een ‘good’, ‘bad’ and ‘ugly’ van de huidige ontwikkelingen.

Eerst de ‘good’: Als positief aspect aan deze ontwikkelingen zie ik dat met de nieuwe Wet Digitale Overheid er een betere juridische basis komt voor DigiD, eHerkenning en het te selecteren private alternatief voor DigiD Substantieel, inclusief wettelijke plicht tot acceptatie bij overheidspartijen. Voor DigiD was dit al lang niet meer een punt, maar ik vond het zowel als expert als ondernemer raar dat ik met mijn eHerkenningsmiddel eigenlijk alleen bij RVO inlogde, en niet bij bijvoorbeeld de Belastingdienst. Er is meer duidelijkheid gekomen over digitale identiteiten in Nederland en welke rol de overheid daarin speelt.

De ‘bad’: Wat ik meer dan jammer vind is dat er, na al die jaren en vele discussies, over de verrekening van de kosten van het inloggen, en dan nu met name voor het private alternatief voor Substantieel, nog steeds geen duidelijkheid is. Hier moet nu eindelijk maar eens een knoop over doorgehakt worden. Het is ingewikkeld, maar uitstellen maakt het niet simpeler.

En als laatste de ‘ugly’: De private partijen die jarenlang geïnvesteerd hebben in Idensys omdat ze een rol als identiteitsprovider en/of makelaar ambieerden, zijn nu grotendeels buiten spel gezet. Of zoals het geformuleerd wordt in de vergaderstukken van het Strategisch Beraad van ETD dat over Idensys gaat: “Onzekerheid toekomst Idensys”.