PDM Afsprakenstelsels

Idensys is een systeem voor online authenticatie van burgers, zowel bij de overheid als bij private partijen. Het ministerie van Economische Zaken opereert als eigenaar van het Idensys afsprakenstelsel. Idensys biedt plaats voor meerdere aanbieders van authenticatiemiddelen; deze kunnen ook door private partijen verstrekt worden. Dit betekent dat een publieke partij gebruik moet kunnen maken van het BSN om een burger te identificeren, ook als deze inlogt met een middel wat verstrekt is door een partij die zelf het BSN niet mag gebruiken. Hiertoe is het BSN-koppelregister opgezet.

Met één Idensysmiddel kan een gebruiker bij verschillende organisaties inloggen. Maar niet iedere organisatie behoeft hetzelfde betrouwbaarheidsniveau (i.e. Level of Assurance of LoA); daarom zijn de Idensys middelen op verschillende niveaus verkrijgbaar (2 t/m 4). Voor inloggen op niveau 2 is een combinatie van gebruikersnaam en sterk wachtwoord voldoende, op hogere niveaus komt daar een tweede factor bij, zoals een one-time password via sms of het invoeren van een pin in een app. Zo’n tweede factor kan verschillen per aanbieder; ook hier heeft de gebruiker dus de keuze.

Er zijn momenteel vier aanbieders van Idensys middelen, en er kan bij zo’n 20 partijen met Idensys ingelogd worden: o.a. de belastingdienst, verschillende gemeenten, zorgorganisaties en enkele private organisaties.

iDIN is een authenticatiesysteem ontwikkeld door Nederlandse banken. Klanten van banken kunnen ermee inloggen bij overheidsinstanties en private partijen. Daarvoor gebruiken ze dezelfde inlogmiddelen die zij ook voor online bankieren gebruiken. iDIN lijkt qua gebruikersinteractie op het veel gebruikte iDEAL; maar in plaats van na het inloggen een financiële transactie te doen, vind er een transactie plaats van attributen die de dienstaanbieder vraagt.

Het afsprakenstelsel rondom iDIN wordt beheerd door de Betaalvereniging Nederland. Zeven verschillende banken fungeren momenteel als zogenoemde ‘issuer’ van het inlogmiddel. Momenteel is het mogelijk om bij zo’n tien verschillende organisaties in te loggen met iDIN; o.a. de belastingdienst, maar ook private partijen zoals verzekeraars. Zowel iDIN als Idensys kunnen dus bij overheidsinstellingen gebruikt worden voor authenticatie. Daarnaast bestaat ook DigiD nog steeds; deze kan alléén bij publieke organisaties gebruikt worden, niet bij private.

MedMij is een afsprakenstelsel dat wordt ontwikkeld door o.a. Nictiz. MedMij is ook een behoeftesteller: Het kaart de noodzaak aan en zet aan tot dialoog rond persoonlijke data vraagstukken in de context van gezondheid. Het afsprakenstelsel is gericht op uitwisseling van zorggegevens. Het moet ervoor zorgen dat privacy geborgd is bij uitwisseling en dat systemen aan juridische eisen voldoen.

Een lastig punt voor het stelsel, is hoe om te gaan met machtigingen tussen burgers. Bijvoorbeeld iemand die vertegenwoordiger is voor een ander, moet bij de medische gegevens kunnen in geval van nood. Daarnaast is het wettelijk kader rond PDM momenteel onduidelijk, hier zou de overheid een rol kunnen spelen.

Het stelsel is volop in ontwikkeling, de eerste juridische kaders zijn in maart 2017 gepubliceerd. Er zijn nog geen implementaties van MedMij. Op dit moment is MedMij op zoek naar partners om pilots mee te doen en die uiteindelijk het stelsel willen implementeren. De eerste pilots starten in de zomer.

Het afsprakenstelsel Qiy biedt individuen de mogelijkheid persoonsgebonden gegevens uit te wisselen met het publieke en private domein. Gegevensuitwisseling vindt plaats onder regie van de burger, de burger is de centrale spil. Daartoe bevat de persoonlijke Qiy Node, van waaruit gegevens worden uitgewisseld, verwijzingen naar persoonlijke gegevens. De Qiy Node bevat zelf praktisch geen gegevens; de Qiy Node is dus geen traditionele kluis. Het uitwisselen van gegevens via de persoonlijke Qiy Node gebeurt doordat de burger via zijn Qiy Node partij A laat antwoorden op een vraag/vragen van partij B. Het antwoord is beschikbaar gedurende een van tevoren bepaalde termijn.

Het afsprakenstelsel Qiy betreft niet de inhoud en semantiek van uitgewisselde gegevens. Qiy maakt het mogelijk ‘gesloten enveloppen’ te routeren. Een partij die bij de routering van dergelijke ‘gesloten enveloppen’ betrokken is kan niet verder kijken dan de eerste eerder en de eerste latere partij in de routeringsketen. Dit betekent dat bestaande informatiemodellen en standaarden kunnen worden gebruikt. Daarnaast maakt Qiy gebruik van diensten voor verificatie van de identiteit en bijbehorende gegevens. Identificatie en authenticatie is geen onderdeel van Qiy zelf.

TrustTester is een trust framework van onderzoeksinstituut TNO. Het afsprakenstelsel is gericht op het valideren van gegevens, die personen zelf invoeren (de zogeheten “self-asserted data”). Het stelsel is gecombineerd met een algoritme dat valideert of de gegevens juist zijn, zonder daadwerkelijk de gegevens te verstrekken. Op dit moment is dit initiatief nog in ontwikkeling. Er zijn nog geen implementaties van. De technische ontwikkeling start in 2017 en TrustTester is op zoek naar partners om de eerste versie mee te piloten.

Het Unified Economic Transaction Protocol (UETP) is een trust framework, dat is gericht op het standaardiseren van economische transacties. Het wordt ontwikkeld door FOCAFET (Floris Kleemans). Er zijn, voor zover bekend, nog geen implementaties van UETP. Ook TNO en de topsector logistiek investeren substantieel in de ontwikkeling en toepassing van UETP. De exacte status is echter niet duidelijk.