Private dienstverleners in de kou
De beslissing om de rol van de overheid te beperken tot het BSN-domein, dus om consumer-2-business buiten beschouwing te laten, is eigenlijk al eind 2015 genomen door het Ministerie van Binnenlandse Zaken. De bevestiging hiervan komt niet als een verrassing. Hoewel ik zeker wel een zeker begrip heb voor het complexiteitsargument, kan ik me voorstellen dat de diverse private dienstverleners die jaren lang in het eID Stelsel/Idensys hebben meegedaan zich wel in de kou voelen staan. Als iDIN en Idensys grootschalig worden uitgerold voor het BSN-domein, zullen ze ook wel beschikbaar komen voor private dienstverleners, maar hoe zit het de aspecten die anders zijn voor private dienstverleners zoals
- het gebruik van attributen – attributen zoals naam en geboortedatum zijn niet relevant voor BSN domein, overheidsdienstverleners gebruiken de-facto alleen het BSNnummer
- privacy – in private domein zijn mogelijkheden van pseudoniemen belangrijker
- het business model voor verrekening
- en wie gaat toezicht houden op deze niet-BSN-domein aspecten?
Kortom, nog veel onduidelijkheid voor consumer-2-business.
DigiD blijft bestaan, maar geen level playing field?
Een tweede spanningsveld tussen publiek en privaat is de beslissing DigiD door te ontwikkelen. Weliswaar blijft het zo dat DigiD alleen in het BSN-domein ingezet mag worden, maar hoe werkt dan in dit BSN-domein de concurrentie met de private middelen van iDIN en Idensys? En is er wel genoeg markt over voor private middelen? Dit zijn heikele punten die, weer, vooruitgeschoven zijn. Er is geen duidelijkheid te vinden in het kabinetsstandpunt over hoe het business model gaat werken, dus hoe een level playing field te creëren voor aanbieders en welke vergoedingen er komen richting de private partijen die middelen willen gaan aanbieden. De Commissie Kuipers lijkt dit ook te constateren overigens, maar komt niet met een oplossing.
ZZP-ers zijn burges en geen bedrijven
In een klein zinnetje in de toelichting van het kabinet staat nog een heikel punt uit verleden over of ZZP-ers als bedrijf (eHerkenning) of als burger (DigiD) behandeld worden als het om inloggen gaat: “ZZP-ers (de eenmanszaken) kunnen inloggen met dezelfde inlogmiddelen die beschikbaar komen voor het BSN‐domein.” Dit lijkt misschien niet erg spannend, maar gezien het grote aantal ZZP-ers dat door dit kabinetsstandpunt geen eHerkenningsmiddel hoeft aan te schaffen, is dit voor de eHerkenningsaanbieders het grootste deel van hun potentiële markt voor business-2-government. Maar ik denk dat de ZZP-ers erg blij dat ze hun DigiD kunnen gaan gebruiken bij de belastingdienst.
Weinig aandacht privacy, Tweede Kamer aan zet?
Privacy is erg belangrijk bij dit soort systemen en hier is ook al het nodige aandacht voor geweest (bijvoorbeeld door Bart Jacobs). Mijn inziens is met name belangrijk om te voorkomen dat de identiteitsproviders (of andere rollen zoals BSN-koppelregisters of makelaars) een soort big brother worden, waar alle informatie bij elkaar komt. Hier kan een mix van Privacy-enhancing Technologies (zoals anonymous credentials, of polymorfe pseudoniemen), Privacy-by-design (user in control, transparantie), wetten en afsprakenstelsels worden ingezet. Elk met voor- en nadelen. Door de focus op BSN-domein is privacy weliswaar iets minder gevoelig dan als consumer-2-business ook nog in focus was geweest, maar ik vind dat er te weinig aandacht is voor privacy in de kamerbrief. Lijkt me overigens ook een goed punt voor de Tweede Kamer bespreking: uiteindelijk zijn er allerlei belangenafwegingen hier die typisch beslissingen zijn die democratisch genomen moeten worden. Ik vind het in ieder geval te belangrijk om het aan de juristen over te laten.
DigiD Basis/Midden/Substantieel/Hoog, iDIN, Idensys 2/2+/3/4, wie snapt het nog?
Het wordt nog een hele communicatie uitdaging om de verschillende stelsels duidelijk te maken aan de Nederlandse burger, of zelfs aan de gemiddelde dienstverlener. De beslissing het DigiD merk te behouden helpt wel richting burger, maar DigiD komt er in verschillende varianten, iDIN met allerlei banken en Idensys met andere private identiteitsproviders, met wisselende betrouwbaarheidsniveaus… Dit moeten we goed gaan uitleggen aan de Nederlandse burger, niet alleen hoe dit werkt maar ook waarom het zo ingewikkeld is.
Gaan we met alle oplossingen Europa in?
Richting de eIDAS verordening zie ik ook nog wel wat uitdagingen, bijvoorbeeld welke inlogmiddelen kunnen Nederlandse burgers straks elders in de EU gebruiken? In eIDAS terminologie heet dit notificeren. Ons er in één keer vanaf maken door het wettelijke kader te notificeren en daarmee alle oplossingen die daar binnen vallen lijkt me niet te kunnen binnen de eIDAS regels, maar op welke granulariteit dan wel? Bijvoorbeeld iDIN als geheel, of elke bank apart? Of misschien ligt het wel voor de hand alleen de publieke middelen te notificeren, maar welke dan? DigiD Basis en Midden zijn eigenlijk te laag, want een inlogmiddel doet pas echt mee op niveau Substantieel in eIDAS. Dus DigiD Substantieel (RDA) is mogelijk de eerste die in aanmerking komt, maar die hebben we dus nu nog niet.
Concluderend: nu uitvoeren, en niet de heikele punten vooruitschuiven
Rondom inloggen op het overheidsdomein zijn urgent stappen nodig om de afhankelijkheid van DigiD te verlagen, en DigiD betrouwbaarder te maken. Gewoon doen wat mij betreft. Dus in 2017 een combinatie van DigiD Substantieel, iDIN en Idensys voor inloggen bij overheid. En op langere termijn DigiD Hoog. Maar om iDIN en Idensys te laten vliegen, is het wel belangrijk om niet langer de heikele punten rondom publiek-vs-privaat vooruit te schuiven. Dat in de keuzes hierin niet iedereen gelukkig zal worden, is dan jammer, maar geen keuzes maken is erger. En hopelijk gaan iDIN en Idensys, ook zonder dat de overheid hier een rol neemt, wel leiden tot herbruikbare identiteiten voor consumer-2-business.
Vanzelfsprekend zijn het uiteindelijk niet de Tweede Kamer, beleidsambtenaren of de identityproviders die bepalen wat er wel of niet een succes wordt. De gebruikers en de dienstaanbieders zijn uiteindelijk doorslaggevend. Gebruikersgemak, betaalbaarheid, transparantie en veiligheid zullen door hen gewogen worden. In ieder geval maakt een succesvolle identiteitsoplossing een nieuwe generatie digitale diensten mogelijk, zoals in de zorg, rondom persoonlijke data en financieel advies.