eID - Nooit meer anoniem shoppen

© PXimport

eID - Nooit meer anoniem shoppen

Geplaatst: 10 augustus 2015 - 15:56

Aangepast: 14 december 2022 - 12:23

Edmond Varwijk

Wanneer je online een auto koopt, moet je voor de overschrijving nog altijd naar het postkantoor. De overheid wil dat we al onze zaken digitaal kunnen doen. Daarvoor is wel een nieuw digitaal paspoort nodig. Wordt het nooit meer anoniem shoppen en onderteken je straks de belastingen met je iPhone?

Wanneer een politieagent je daarom vraagt, moet je jezelf in Nederland kunnen identificeren door een geldig identiteitsbewijs te laten zien. Ook de kassière bij de supermarkt kan je daarom vragen, maar zij alleen wanneer je alcohol wilt kopen en er twijfel is over je leeftijd. Met je identiteitsbewijs toon je dan hoe oud je bent en even later loop je tevreden de winkel uit.

Online ontbreekt zo'n middel om jezelf te identificeren en vooral bedrijven vinden dat lastig. Want met wie doen ze eigenlijk zaken? In Nederland hebben we wel DigiD maar dat wordt eigenlijk alleen gebruikt door de overheid. Bij DigiD kies je zelf een gebruikersnaam en wachtwoord, dat bij de registratie wordt gekoppeld aan jouw Burgerservicenummer: het unieke nummer van iedere persoon in de Basisregistratie Personen (BRP). Log je vervolgens met je DigiD in op een website van de overheid, dan weet die overheid met wie het op dat moment zaken doet. In 2014 logden de 12 miljoen uitgegeven DigiD's samen 158 miljoen keer in.

 

© PXimport

Hoe bewijs je online dat je 18 jaar of ouder bent?

DigiD is hiermee voor de overheid een succes, maar alle andere organisaties en bedrijven staan met lege handen. Webshops willen graag weten of hun klant wel de persoon is die hij zegt te zijn, of hij oud genoeg is, en kredietwaardig. Volgens branchevereniging Thuiswinkel.org hebben de ruim 45.000 Nederlandse webwinkels daarom momenteel maar één grote vraag: waar blijft eID? eID Stelsel is de naam voor de opvolger van DigiD, die de Nederlandse overheid nu aan het ontwikkelen is. eID moet alle benodigde manieren van online identificatie tussen burgers, overheid én bedrijven, mogelijk maken.

 

© PXimport

Dat de Belastingdienst DigiD is gaan gebruiken is een van de factoren achter het succes van DigiD.

Consument heeft belang bij eID

Marcel Joosten, directeur e-commerce bij de grote zakelijke ICT-leverancier Centralpoint.nl zegt: "Het probleem voor ons is dat een consument geen online identity heeft, anders dan wat hij of zij zelf opgeeft. Dat leidt tot fraude. Bij een sluitende eID-oplossing weten we met wie we zaken doen en of dat vertrouwd is." Joosten is duidelijk over wat hij wil. "Voor e-commerce-bedrijven is met één eID kunnen inloggen, winkelen en betalen de ultieme oplossing, zeker nu meer dan de helft van de bezoekers van onze site via een mobiel apparaat internet.

 

© PXimport

DigiD wordt door de overheid aangeboden aan alle overheidsinstanties om te gebruiken.

Vanwege de privacy zal het wel een tussenvariant worden, zolang wij maar weten wie de koper is." Volgens Thuiswinkel.org remt het uitblijven van eID de ontwikkeling van het online zakendoen. Joosten onderstreept dit. "Het is vooral belangrijk dat eID er komt. Toen iDeal er eenmaal was, werd het betalen op internet een stuk makkelijker en werd er dus meer gekocht. We zullen diezelfde groeicurve gaan zien met eID verwacht ik."

Een breed geaccepteerd systeem voor online identificatie biedt ook de consument voordeel. Je hoeft je niet meer op elke webshop apart te registreren maar kunt overal direct inloggen met je eID. Kopen en betalen wordt er ook gemakkelijker door en gebeurt met meer zekerheid. Ook de consument weet immers precies met wie hij zaken doet en hoeft minder te vrezen dat na de betaling geen levering volgt. Iets wat ook bij handel tussen consumenten bijvoorbeeld via Marktplaats.nl meer zekerheid brengt.

Wat is er mis met DigiD?

DigiD kent een aantal zwakheden. Een DigiD bestaat uit alleen een gebruikersnaam en wachtwoord en is daardoor te eenvoudig te delen en te kraken. Toevoeging van een unieke sms-code voor meer veiligheid gebeurt maar beperkt vanwege de kosten. Vraag je een DigiD aan, dan krijg je de benodigde activeringscode gewoon per post toegestuurd. Deze kan gemakkelijk onderschept worden en dan misbruikt om bijvoorbeeld toeslagen aan te vragen. Alleen in 'gebieden met verhoogd risico' wordt de code echt overhandigd en moet je jezelf legitimeren. Berucht is ook de 'Denial of Service' van DigiD. Vraag online voor iemand een nieuwe DigiD aan en die persoon kan dagenlang zijn DigiD niet gebruiken. Die wordt namelijk meteen geblokkeerd. En er hoeft maar een DDOS-aanval te zijn op de DigiD-infrastructuur, en helemaal niemand kan meer inloggen.

 

© PXimport

Weet je iemands BSN, dan kun je die persoon dagenlang van DigiD afsluiten door een nieuwe aan te vragen.

Een nieuw stelsel

In het Programma eID werkt de overheid samen met wetenschappers en bedrijfsleven aan het nieuwe stelsel dat in 2017 klaar moet zijn. Dat de overheid dit in samenwerking doet, ligt volgens Jaap Kuipers van Platform Identity Management Nederland (PIMN) voor de hand. "Systemen zoals dit zijn erg kostbaar. Dat doe je niet voor maar 2,5 elektronische transactie tussen burger en overheid per jaar, zoals het enkele jaren geleden nog was."

Binnenkort starten eerste pilots, waarbij een klein groepje consumenten inlogt bij overheidsdiensten en commerciële diensten met een identificatiemiddel dat voldoet aan het nieuwe stelsel. Het voordeel van dit stelsel is dat het identificatiemiddel niet door de overheid uitgegeven te zijn; bedrijven kunnen ook identificatiemiddelen uitgeven, bijvoorbeeld een klantenkaart of een app op je smartphone. De identiteit van de burger staat daarom online en is op afroep beschikbaar. Een naam voor het nieuwe stelsel is er ook al, Idensys.

Het ministerie van Binnenlandse zaken heeft een animatiefilmpje gemaakt om het eID Stelsel uit te leggen, dit kun je hier bekijken. Het is (logischerwijs) wel een ultrapositief verkooppraatje.

 

© PXimport

De domeinnaam van het nieuwe stelsel is alvast door de overheid geclaimd.

Idensys

Om vaart te maken en omdat bedrijven niet willen investeren in weer een nieuw identificatiesysteem, is besloten het nieuwe stelsel te bouwen als uitbreiding op eHerkenning. eHerkenning is 'de DigiD voor bedrijven' maar is anders dan DigiD geen overheidsdienst maar alleen een afsprakenstelsel. De overheid beheert het stelsel, voornamelijk bedrijven voeren het uit.

Hoewel websites straks gewoon een Idensys-login krijgen zoals ze nu een DigiD-knop hebben, werkt het verder helemaal anders dan DigiD én dan eID ooit was gedacht te werken. Komt bij DigiD de identificatie van de overheid, bij eHerkenning en dadelijk dus ook bij Idensys komt die van een makelaar, een tussenpartij. Deze 'identity provider' kent jou en met hem heb je afgesproken hoe jij je wilt identificeren, met een smartcard, je smartphone of toch gewoon gebruikersnaam en wachtwoord. Klopt de identificatie, dan krijgt die makelaar een pseudoniem voor jou en daarmee kan hij vervolgens kijken of jij gemachtigd bent de dienst te gebruiken waarvoor je wilt inloggen. Dat kijken doet hij in het BSN-koppelregister waarin de pseudoniemen gekoppeld zijn aan de Burgerservicenummers. De makelaar is dus allesbepalend inzake de veiligheid en het BSN-koppelregister als het gaat om privacy.

 

© PXimport

Dit vergaderverslag op de eID-website maakt duidelijk dat men om vaart te maken 'met minder' genoegen neemt.

Binnenbocht

De keuze Idensys te baseren op eHerkenning is niet onomstreden. Een 'netwerkgebaseerd identiteitsmodel' zoals dat van Idensys, kenmerkt zich door veel schakels in elke keten die allemaal vertrouwd moeten worden. De meest verdachte schakel is de makelaar, een marktpartij en de enige die alle transacties ziet. Weliswaar ziet hij niet wat er in de transactie gebeurt, maar hij weet wel precies met welke diensten iedere 'pseudoniem' zaken doet. De Nijmeegse hoogleraar Jaap-Henk Hoepman heeft hier een heel informatieve blog over gepubliceerd, wat je hier terugvindt.

Een ander gevolg is dat elke burger bij elke makelaar een eigen uniek pseudoniem heeft. Dat klinkt positief, maar werkt in de praktijk vooral nadelig uit. Zo is het hierdoor niet mogelijk met behoud van je pseudoniemen over te stappen naar een andere makelaar als je dat wilt. Samengevat in techtermen: wel 'vendor lockin' en geen 'nummerportabiliteit'.

Ook neemt het risico van identiteitsverwisselingen toe doordat de makelaar de verschillende pseudoniemen van elke gebruiker aan elkaar moet knopen en daarbij geen fouten mag maken. Zou je dan ook nog willen delegeren, zodat de ene gebruiker zaken voor een ander kan uitvoeren, dan wordt het helemaal complex en foutgevoelig. Ook ontbreekt de mogelijkheid anoniem diensten te gebruiken, iets wat bijvoorbeeld bij online medische diensten zeker wenselijk is. Onmogelijk zijn deze zaken niet. Eric Verheul, een andere Nijmeegse hoogleraar die als encryptie-expert actief is binnen het eID-programma, heeft hiervoor een model ontwikkeld waarbij de makelaar geen toegang heeft tot alle pseudoniemen en waarbij ook anonimiteit mogelijk wordt. Lees hier meer over in het pdf-bestand of kijk het filmpje.

"Op dit moment is er nog geen commitment om de door mij voorgestelde cryptografische opzet te implementeren. Naar mijn mening ontkom je daar echter niet aan als je een betrouwbaar en privacyvriendelijk eID-stelsel wilt", aldus Verheul.

Waar blijft het debat?

Gegeven de keuzes die bij Idensys worden gemaakt, zou je een publiek debat verwachten, maar dat ontbreekt volledig. Het College Bescherming Persoonsgegevens ontbreekt in de verschillende eID-werkgroepen en kon ons ook niet vertellen bij eID betrokken te zijn. "Ook Privacy First is niet betrokken en ook nog nooit gevraagd", zegt Vincent Böhre van Privacy First. "Blijkbaar wil men eerst een heel project afronden. Terwijl men door nu een privacy-kritische club te laten meepraten, fouten voorkomt en uiteindelijk maatschappelijk draagvlak creëert." Privacy First is ook een voorstander van een opt-in waarbij mensen de keuze houden om het eID-systeem te gebruiken of niet. "De overheid mag niet eisen dat burgers hun zaken digitaal afhandelen of dat via een eID doen, de Algemene wet bestuursrecht verbiedt dat. Vergis je ook niet dat nog heel veel mensen in Nederland geen computer en geen internet hebben. De klassieke manier zonder eID moet daarom altijd blijven bestaan", zegt Böhre.

Jaap Kuipers van Platform Identity Management Nederland voegt hier nog aan toe dat er vooral een centraal meldpunt voor identiteitsfraude en identiteitsfouten moet komen. "Overheid en bedrijven moeten een convenant sluiten dat als jij gemangeld wordt door het systeem van elektronische identiteiten en er niet meer uitkomt, dat er dan een club is die jou gaat helpen. Het is een maatschappelijk belang om juist ook in het digitale tijdperk mensen te helpen in gevallen zoals dat."

Deel dit artikel
Voeg toe aan favorieten