Overslaan en naar de inhoud gaan

Identificatie en authenticatie: voorbij de vrijblijvendheid

Publicatie 27 mei 2018
Onderdeel van magazine: ICTU Magazine mei 2018

Door bedrijven of overheidsinstanties gevraagd worden om je BSN- of KvK-nummer? We kijken er niet meer raar van op. Maar hoeveel van dat soort nummers zijn er eigenlijk, welke rol speelt de EU daarbij en hoe cruciaal is de mate van authenticatie?

Tijdens het ICTU Café van dinsdag 8 mei 2018 werd met een aftrap van Wiepke Maljers (directeur Advies ICTU), dieper ingegaan op deze vragen.

Marijke Salters werkt vanuit ICTU in projecten bij de Douane/Belastingdienst en heeft in haar werk veel te maken met nummers. Daarbij gaat het om natuurlijke personen (‘geboren’) en niet-natuurlijke personen (‘opgericht’). Bij het identificeren van natuurlijke personen speelt het Burgerservicenummer (BSN) de belangrijkste rol. Je hebt een BSN nodig om in Nederland te communiceren met de overheid. Personen zonder BSN kunnen geen aanspraak maken op allerlei voorzieningen en zijn eigenlijk ‘statenloos’. Overigens is het BSN geen typische Nederlandse ‘uitvinding’. ‘Ieder land kent een soort van BSN’, aldus Salters.

Identificatie bij natuurlijke personen is vrij eenduidig. Daar is het BSN leidend. Anders ligt dat bij de niet-natuurlijke personen, zoals bedrijven. Daar zijn beduidend meer mogelijkheden om je te identificeren, zeker in EU-verband.

Zo wordt vanuit de Douane/Belastingdienst gewerkt met het Economic Operators Registration and Identification number (EORI) (‘In de context van de Douane is dat het enige nummer dat telt’), het Business Registers Interconnection System (BRIS) (‘Hierin zijn alle nummers verwerkt van de KvK’s in de EU’) en de Legal Entity Identifier (LEI), stuk voor stuk identificatienummers die over landsgrenzen heen werken en de context ‘snappen’ van de te identificeren partij. Hiermee kan deze context gebruikt worden voor het inloggen op Europese brede systemen.

Om tot die juiste context te komen, en het verband te zien tussen de verschillende identificatienummers, is het soms nodig dat er (op de achtergrond) nummers worden ‘omgekat’. Bijvoorbeeld van het Nederlandse KvK-nummer naar een Europees EORI. Heel veel Nederlandse bedrijven handelen met andere Europese lidstaten. Het internationale aspect is daarmee voor Nederlandse bedrijven belangrijk. De relatie van een NL identificatie met een internationale identificatie is daarom essentieel.

Later dit jaar, in september 2018, wordt eIDAS ingevoerd, de verordening die de Europese acceptatie van nationale elektronische identificatiemiddelen regelt. eIDAS heeft geen voorkeur voor een bepaalde identificatie. ‘In feite is er ook geen 'divine number' voor iemands identiteit. Zo’n nummer hangt altijd af van de context. Waar je in wilt loggen en hoe je in wilt loggen. Daarom ook het belang van stelsels’, aldus Salters.

Authenticatie

René van den Assem, deskundige op het gebied van identity management, ging in zijn bijdrage uitgebreid in op het thema identificatie en authenticatie. Van den Assem deed dat aan de hand van de vraag ‘hoe betrouwbaar de authenticatie aan de voordeur eigenlijk moet zijn’. Van den Assem heeft veel kennis en ervaring op dit terrein, hij was onder meer betrokken bij de inrichting van Public Key Infrastructure overheid (PKIoverheid), DigiD (Hoog) en eHerkenning.

Met eHerkenning is ook een van de eerste Nederlandse inlogsystemen genoemd met verschillende betrouwbaarheidsniveaus.  ‘Het volgde daarmee een Europees initiatief: STORK (Secure idenTity acrOss boRders linKed), wat op zijn beurt weer de voorloper was van eIDAS. Op het moment dat je meerdere betrouwbaarheidsniveaus introduceert, krijg je ook te maken met een keuzeprobleem: welk niveau gaan we vragen voor de authenticatie en dus welk middel gaan we aanschaffen (of aanbevelen aan onze klanten)?’

ICTU is een van de partijen die bij de voorbereiding van de implementatie van eIDAS is betrokken. Zo maakte zij voor het ministerie van JenV een impactanalyse. Zie het artikel dat hierover verscheen in iBestuur. ICTU maakte op basis van haar ervaringen een factsheet over deze analyse, die ook bruikbaar kan zijn voor andere overheden.

Handreiking

Om overheidsorganisaties een helpende hand te bieden waar het gaat om de verschillende betrouwbaarheidsniveaus voor digitale dienstverlening, is een handreiking gemaakt. U vindt de handreiking op de website van Forum Standaardisatie. Daarbij gaat het niet meer alleen om de betrouwbaarheidsniveaus van authenticatie, maar ook om zaken als ‘hoe om te gaan met machtigingen, ondertekenen, eenmalig inloggen of verkeer tussen machines zonder menselijke tussenkomst.’

In de handreiking is ook een vereenvoudigde risicoanalyse beschreven, zodat organisaties zelf kunnen bepalen hoe veilig hun voordeur moet zijn. De analyse beschrijft onder meer of  persoonsgegevens worden verwerkt en zo ja, op welke manier. Het beschrijft verder of er rechtsgevolgen zijn, of de basisregistraties worden gemuteerd en hoeveel geld er mee is gemoeid.’

Waar STORK vooral een proeftuin betrof, is dat anders met eIDAS. eIDAS heeft als Europese Verordening directe werking.

'De eIDAS verordening kent twee ‘takken’. De eerste tak is de eID (elektronische identiteit), waarmee de deur wordt opengezet voor diensten uit andere EU-lidstaten. Dienstverleners in de EU zijn verplicht om daarop aan te sluiten, zodat bijvoorbeeld een authenticatie met een eID uit Kroatië of Denemarken ook in Nederland geldig is. De tweede tak betreft de zogenoemde vertrouwensdiensten (trust services), waarbij je moet denken aan een elektronische handtekening (voor personen), maar ook aan een elektronische zegel (voor organisaties), elektronische tijdstempels, elektronische (betrouwbare) bezorging en websitecertificaten.’

Wet Digitale overheid

Goed aansluitend bij eIDAS is de aanstaande Wet digitale overheid. ‘In die wet staat onder meer dat het bepalen van betrouwbaarheidsniveau van authenticatie bij elektronische diensten van overheden een verplichting is. De manier waarop dat straks gedaan moet worden, ligt vast bij ministeriële regeling.

Nog niet zeker is wanneer een en ander precies in zal gaan, maar wel zeker is dat het een grote verandering teweegbrengt. We zien dus dat met de eIDAS verordening en de Wet digitale overheid we de stap maken naar verplichte, grensoverschrijdende openstelling van e-diensten met een welbepaald betrouwbaarheidsniveau voor de authenticatie. We gaan dus van een situatie van relatieve vrijblijvendheid naar een situatie met wettelijke verplichtingen en voorschriften.’

De Wet digitale overheid is in voorbereiding, de planning is dat deze in september 2018 in werking zal treden. Zie voor meer informatie de website van de Rijksoverheid.

Inschrijven Magazine

Meld u aan voor het ICTU Magazine, en ontvang regelmatig nieuws en inspiratie over ontwikkelingen in de digitale overheid.