Eindrapport SION IAA 2013: Persoonsnummers en IAA voorzieningen in het onderwijs

Transcriptie

1 Eindrapport SION IAA 2013: Persoonsnummers en IAA voorzieningen in het onderwijs Advies in Vertrouwen René van den Assem 3 februari 2014 Definitief Versie 1.0 1

2 Oplegnotitie bij dit rapport IST Binnen SION is in 2012 een eerste verkenning uitgevoerd naar Identificatie, Authenticatie en Autorisatie. In 2013 is hieraan een vervolg gegeven. Wat bedoelen we met Identificatie, Authenticatie en Autorisatie? Identificatie. Aan de hand van welke gegevens (identifiers, vaak persoonsnummers) wordt een persoon geïdentificeerd? Zowel in de communicatie met een persoon als in een communicatie over een persoon; Authenticatie. Hoe wordt langs elektronische weg geverifieerd dat er inderdaad een bepaalde persoon aan de poort staat? Dit gaat dus over accounts, wachtwoorden, sterkere authenticatie aan de hand van kennis en bezit, federatieve authenticatie zodat een persoon slechts op één plaats echt bekend hoeft te zijn en hoeft te worden geauthentiseerd; Autorisatie. Wat mag een bepaalde persoon, hoe worden diens mandaten en rechten geadministreerd en hoe wordt die informatie gebruikt bij het verlenen van toegang tot elektronische diensten? In de SION IAA studie van 2012 zijn 12 praktijkcases onderzocht. Daarin is gekeken naar de huidige situatie rondom identificatie, authenticatie en autorisatie van onder meer personen. Dit betrof de volgende casussen: 1. Inschrijven (MBO) 2. Overstap Service Onderwijs (OSO) 3. Digitaal examineren/toetsen (MBO, VO) 4. Toegang digitaal leermateriaal (MBO, VO, PO) 5. Doorstroommonitor (PO->VO) 6. Passend onderwijs 7. Studeren aan meerdere instellingen/scholen/vakgebieden en gastdocentschap (HO) 8. LVS, rooster systemen, aanwezigheidsregistraties (meerdere sectoren) 9. Backofficeprocessen (communicatie met Studielink, DUO, leerplicht ambtenaar, belastingdienst (in/uit dienst), SVB, overige overheden; verzuimregistraties). 10. Digitale cijferinvoer (alle sectoren) 11. Toegang voor ouders op schoolportaal (PO, VO) 12. Stagecontracten (MBO) De toen geconstateerde knelpunten en beperkingen zijn uitgediept in de SION IAA vervolgstudie in Kort samengevat: 1. Rondom persoonsnummers is er sprake van een verre van bevredigende situatie. Slechts voor leerlingen is er met BSN / PGN iets dat als een standaard aangeduid kan worden. BSN en PGN zijn echter slechts beperkt bruikbaar: Voor leerlingen en studenten is er een standaard voor een persoonsnummer, aan de hand waarvan instellingsoverschrijdende communicatie mogelijk is. Dit betreft het BSN waar het gaat om communicatie buiten het onderwijsveld of het PGN (Het PersoonsGebonden Nummer, dat is het BSN of het Onderwijsnummer voor niet-bsn houders). Het BSN / PGN is echter slechts 2

3 beperkt bruikbaar voor instellingsoverschrijdende communicatie en betreffen met name de officiële momenten en processen zoals inschrijven en de overstap tussen onderwijsinstellingen. Wettelijk niet zo strak geregelde processen zoals het studeren aan meerdere instellingen kunnen geen gebruik maken van BSN / PGN. Met commerciële partijen zoals uitgevers en distributeurs is het gebruik van het BSN / PGN ook niet mogelijk. Voor andere doelgroepen die over meerdere instellingen heen actief zijn, met name de leraren, is geen standaard voor persoonsnummers. Voor de communicatie met ouders of anderszins volwassenen die over een leerling gaan, is ook geen standaard voor persoonsnummers. 2. Door de afwezigheid van gestandaardiseerde persoonsnummers, gaat het koppelen van gegevens over verschillende onderwijsinstellingen heen, bij elk nieuwe initiatief weer stroef. Het feit dat wat de wetgever wat betreft BSN/PGNgebruik niet expliciet heeft toegestaan, is verboden, is een belangrijke oorzaak voor deze stroefheid. 3. De huidige landelijke voorzieningen op het gebied van elektronische authenticatie en autorisatie, DigiD en eherkenning, zijn beperkt toepasbaar: Toepassing van DigiD voor authenticatie is in het onderwijs maar beperkt mogelijk vanwege de wettelijke beperkingen de koppeling met het BSN / PGN (officiële momenten zoals inschrijven en ook communicatie van de leerling met zijn onderwijsinstelling) en de strenge eisen die het oplegt aan de onderwijsinstellingen die aansluiten op DigiD. Vanwege die strenge eisen zien we dat DigiD vooral in beeld komt bij ICT diensten die onderwijsinstellingen gemeenschappelijk inrichten. Toepassing van eherkenning is momenteel slechts interessant voor de communicatie van medewerkers van onderwijsinstellingen met overheidsorganisaties die relevante elektronische diensten leveren. Denk aan de communicatie met de IND over buitenlandse studenten of vergunningsprocedures via het OmgevingLoket Online (OLO). In de toekomst is overigens wel een bredere toepasbaarheid van eherkenning te verwachten, maar dan is de vorming van het eid-stelsel NL waarschijnlijk reeds een feit. 4. De huidige IAA voorzieningen betreffen vrijwel alleen authenticatie en deze voorzieningen zijn gefragmenteerd en te weinig interoperabel. De kwaliteit van de authenticatie is bovendien van wisselende (en weinig transparante) kwaliteit: Onderwijsinstellingen geven meerdere accounts uit voor ICT diensten zoals hun ELO. Toegang tot webdiensten, toegang tot netwerken, toegang tot Windows toepassingen zijn veelal sterk gescheiden werelden, waar de gebruiker ook verschillende accounts voor nodig heeft. Federatie vindt tussen die werelden maar beperkt plaats. Uitgifte van dergelijke accounts is vaak niet of slecht gekoppeld aan de hoogwaardige identiteitsverificatie die ook binnen een onderwijsinstelling plaatsvindt voor inschrijving. De persoonsgebondenheid van die accounts en de kwaliteit van de identificerende gegevens gekoppeld aan die accounts, is dan vaak beperkt. 3

4 Voor educatieve content zijn vaak weer aanvullende accounts aan de orde, uitgegeven door distributeurs. Juist voor het faciliteren van gefedereerde toegang tot elektronische diensten zijn de Kennisnetfederatie en de federatie binnen SURFconext bedoeld. Deze worden echter nog lang niet voor alle ICT diensten ingezet en beide federaties zijn bovendien ook onderling nog onvoldoende interoperabel. Het gevolg is dat de fragmentatie in stand blijft: (a) gebruikers houden meerdere accounts en digitale identiteiten en (b) onderwijsinstellingen met name in het MBO moeten aansluiten op beide federaties als ze diensten willen afnemen bij zowel Kennisnet als SURFnet. 5. Een wezenlijk extra knelpunt komt voort uit het feit dat het in het onderwijs vaak gaat over jeugdigen, die niet zelfstandig bevoegd zijn. Daarom is de vertegenwoordigingsvraag vaak aan de orde: wie zijn de ouders/voogden/verzorgers die over deze leerling gaan? En afhankelijk van de leeftijd van de leerling liggen de rechten en plichten dan verschillend. Er is momenteel geen betrouwbare en actuele informatie hierover ontsloten. Hiermee hangt samen dat er ook communicatie met de ouders/voogden/verzorgers nodig is en dat hiervoor noch bruikbare nummers noch bruikbare landelijke authenticatievoorzieningen beschikbaar zijn. 2. SOLL Wat is er nu uiteindelijk gewenst? Een beknopte schets van de doelsituatie: 1. Er zijn standaarden voor persoonsnummers voor leerlingen en leraren. Die persoonsnummers kunnen zonder al te veel juridische obstakels ook voor nieuwe toepassingen in de communicatie mèt alsmede de communicatie óver leerlingen en leraren worden toegepast. 2. Een persistente onderwijsidentiteit voor lerenden is gerealiseerd, zodat op die identiteit ook gegevens samengebracht kunnen worden ten behoeve van de lerende en zijn of haar leerproces. Denk aan het overdragen van gegevens over een leerling en zijn leerproces door onderwijsinstellingen. Denk ook aan persoonlijke portfolio s die door de lerende zelf worden samengesteld en beheerd. De toepassing van deze persistente onderwijsidentiteit voor nieuwe toepassingen is een soepel proces, waarbij de juridische drempels zijn beperkt tot de hoogst noodzakelijke. NB De precieze vormgeving van deze persistente onderwijsidentiteit vraagt een zorgvuldig afwegingsproces, zie GAP. 3. Voor de communicatie met externe private partijen is een privacy-beschermend beleid ingezet. In dat verband heeft men in diverse ketens afspraken gemaakt in de vorm van gedragscodes. Er wordt actief opvolging gegeven aan die gedragscodes in de vorm van vrijwillige verantwoording. De eerste keten waar dit is gedaan was de Educatieve Content Keten. Onderdeel van een dergelijk privacy-beschermend beleid is een restrictief beleid in de verstrekking van attributen, waarbij user awareness en consent centraal staan. Een ander onderdeel betreft het beperken van de koppelbaarheid van de verstrekte 4

5 gegevens. In dat verband worden leerlingen geïdentificeerd aan de hand van pseudoniemen. 4. Omdat personen per definitie geïdentificeerd kunnen worden aan de hand van verschillende persoonsnummers (inclusief pseudoniemen), is er voor de vertaling en matching van die persoonsnummers een nummervertaalvoorziening beschikbaar. Deze nummervertaalvoorziening is onderdeel van de gemeenschappelijke IAA-infrastructuur. 5. Binnen onderwijsinstellingen zijn de processen voor de uitgifte van accounts / digitale identiteiten als één basisregistratieproces met hoge betrouwbaarheid ingericht. Daarmee zijn belangrijke voordelen voor efficiency, betrouwbaarheid en gebruiksgemak gerealiseerd. 6. Leerlingen kunnen éénmalig inloggen en alles doen waartoe zij gerechtigd zijn door de school zelf, andere scholen of door uitgevers en distributeurs. Rechten op digitaal leermateriaal worden soepel aan de leerling gekoppeld en kunnen, waar dat aan de orde is, ook soepel worden aangewend op andere scholen. 7. Een soortgelijke situatie is ook aanwezig voor leraren. 8. De technische grenzen tussen bijvoorbeeld in interne Windows login en toegang tot een externe webdienst zijn daarbij overbrugd. De gebruiker (leerling of leraar) merkt daarin geen drempels. Het zijn geen gescheiden werelden meer. 9. Ouders, voogden en verzorgenden worden met een enkele opvraag herkend als de relevante volwassene die over een leerling gaat. Onderwijsinstellingen en andere instanties bepalen met deze informatie eenvoudig hoe deze volwassenen in de verschillende processen te betrekken. 10. Om dit alles mogelijk te maken is er één gemeenschappelijke IAA-infrastructuur gerealiseerd. Naast gefedereerde authenticatie van gebruikers levert die ook de genoemde nummervertaalvoorzieningen, machtigingsdiensten, faciliteiten voor selectieve attribuutverstrekking onder user consent. Bovendien is er een speciale voorziening gerealiseerd met vertegenwoordigingsinformatie (Wie gaan er over deze leerling?) 11. Binnen die gemeenschappelijke IAA-infrastructuur leveren verschillende partijen diensten voor authenticatie en machtigingen. Het onderwijsveld heeft echter de regie. 12. De gemeenschappelijke IAA-infrastructuur is gekoppeld met het eid-stelsel NL en is daarmee interoperabel. De houders van eherkenningsmiddelen en de DigiD kaart kunnen daardoor ook terecht in het onderwijsveld. Vanwege de specifieke behoeften van het onderwijsveld, heeft het onderwijsveld echter wel een autonome IAA-infrastructuur behouden en is men niet integraal opgegaan in het eid-stelsel. 5

6 Bestuurlijk relevante punten zijn daarbij: 1. De vormgeving van de persistente onderwijsidentiteit. Meer in detail betreft dit: a. De mogelijke invullingen van een persistente onderwijsidentiteit middels of het breder gebruik van het BSN/PGN, of een eigen sectoraal nummer voor het hele onderwijsveld, of een persistent nummer per onderwijssector. De voor- en nadelen van deze mogelijkheden, alsmede de consequenties worden daarbij nader in kaart gebracht; b. De voordelen van een nummer dat gekend is door de persoon zelf, versus een nummer dat slechts een backoffice administratienummer is; 2. Met het voorgestelde nummerbeleid zullen sommige partijen de beschikking krijgen over het BSN / PGN, terwijl anderen alleen een pseudoniem zullen ontvangen. Bestuurlijk relevant en nog nader te bepalen is hoe bepaald dient te worden wat hiervoor precies de criteria dienen te zijn. De algemene wet- en regelgeving met betrekking tot het BSN geeft hierbij houvast, maar nadere invulling is nodig. 3. De relatie tot het eid-stelsel NL in wording. Op dit punt stellen we reeds voor om het eid-stelsel als de relevante standaard (in wording) te beschouwen, zodat het onderwijsveld zich hierop dient te richten. Naast een standaard levert het eidstelsel, wanneer volledig geïmplementeerd, ook een landelijk bruikbare sleutel, in de vorm van een DigiD account, DigiD kaart. Ook commercieel verstrekte sleutels kunnen dan worden hergebruikt. Het eid-stelsel is echter geen panacee: a. Het komst van het eid-stelsel betekent niet dat er geen behoefte meer is aan eigen voorzieningen voor het onderwijsveld. We kunnen bijna wel zeggen: in tegendeel. Het eid-stelsel gaat de specifieke behoeften van een sector namelijk niet op. Denk aan specifieke behoeften van het onderwijsveld zoals authenticatie voor jonge kinderen, de relatieve complexe vertegenwoordiging van minderjarige kinderen, sectorspecifieke nummervertaling. Ook zijn er behoeftes die weliswaar worden onderkend in relatie tot het eid-stelsel, maar die vooralsnog niet zijn ingevuld zoals ondertekendiensten en geavanceerde concepten voor de privacy-vriendelijke uitwisseling van attributen. b. De eid-stelsel is vooralsnog alleen een papieren concept. Dit in tegenstelling tot de voorzieningen die het onderwijsveld zelf heeft en landelijke voorzieningen als DigiD en eherkenning. 3. GAP Hoe moeten we vanuit de huidige situatie (IST) in de gewenste situatie (SOLL) komen? De kerngroep IAA adviseert vervolgwerk in twee clusters: 1. Eén cluster gericht op de visie, beleid, strategie en architectuur; 2. Eén cluster, gericht op de verbinding met de meer praktische ontwikkelingen van de gemeenschappelijke IAA-infrastructuur. Cluster 1. Dit cluster ontwikkelen we de gemeenschappelijk visie op het IAA-gebied onder de SION partijen en werken die uit. Zodat aan gemeenschappelijke ontwikkelingen richting kan worden gegeven en dat ontwikkelingen getoetst kunnen worden. 6

7 Dit cluster kent de volgende activiteiten: a) Ontwikkeling van een visie en strategie op de persistente onderwijsidentiteit. Hiertoe willen we een aantal strategisch / visionaire gesprekken voeren over de rol en toepassing van digitale identiteiten, persoonsnummers, gelet op trends in het onderwijs. De aard van deze gesprekken zou moeten zijn dat zij de verbeelding prikkelen en vooral gericht zijn op de strategische vergezichten. Zij dienen het onderwerp persistente onderwijsidentiteit. De uit te nodigen doelgroep, de inleiders en het te hanteren format dienen hierbij aan te sluiten. Tevens zouden deze gesprekken toetsend moeten zijn op de in het adviesrapport verwoorde visie, waarbij er sprake is van een driedeling: Gebruik van het BSN voor communicatie met andere overheden Gebruik van de persistente onderwijsidentiteit in het onderwijsveld zelf en Gebruik van pseudoniemen (als onderdeel van een breder privacybeschermend beleid) in de ketens met andere partijen zoals de educatieve content keten. b) Opstellen en valideren van een IAA-architectuur voor het onderwijsveld Op basis van dit SION/IAA-rapport en de daarin verwoorde beleidsuitgangspunten 1 wordt een architectuur opgesteld voor de IAA-functie voor het onderwijsveld, volgens de visie van de SION-deelnemers. Daarbij wordt rekening gehouden met de beschikbare ontwerpdocumenten van het eid-stelsel. De architectuur wordt onder meer gevalideerd aan de hand van enkele casussen, zoals eerder gebruikt in het SION IAA project. c) Afstemming met het eid-stelsel De SION partijen stemmen gezamenlijk af met het eid-stelsel om de in het SION IAA 2013 eindrapport geconstateerde aandachtspunten te behandelen. Bovendien worden hierbij use cases gehanteerd. Bovenstaande dient tot een stabiele architectuurschets te leiden in voorjaar Zodoende heeft SION een duidelijk beeld wat zij wil op het gebied van Identificatie, Authenticatie en Autorisatie, grotendeels voorafgaand aan de afstemming met externe partijen (buiten SION). Cluster 2. In dit cluster wordt de verbinding gezocht met diverse praktische toepassingen (die lopen of gaan lopen) en wordt een roadmap uitgewerkt incl. impact voor het inrichten van de in cluster 1 opgestelde architectuur. a) Van een aantal ontwikkelingen op IAA gebied wordt dan bezien: Hoe verhouden deze ontwikkelingen zich tot het architectuurbeeld zoals geschetst in cluster 1? Waar is een en ander in lijn en waar is het strijdig met de architectuur? 1 Hoofdstuk 5 van dit rapport 7

8 Hoe kunnen deze ontwikkelingen bijdragen aan de totstandkoming van de gewenste IAA situatie, zoals geschetst in de architectuur? In hoeverre kunnen deze ontwikkelingen onder architectuur worden gebracht? Waar het ontwikkelingen betreffen die niet onder architectuur worden gerealiseerd, hoe wordt uiteindelijk convergentie met de geschetste doelarchitectuur gerealiseerd? De resultaten zijn korte adviesnotities aan in ieder geval de kerngroep IAA en de Architectuurraad. Ontwikkelingen waar in ieder geval verbinding mee wordt gezocht zijn: De implementatie van de educatieve contentketen; MBO Cloud. b) Opstellen van een roadmap. De in SION participerende partijen stellen een roadmap op om de geschetste doelarchitectuur IAA te realiseren incl. een impactanalyse. 8

9 Inhoudsopgave OPLEGNOTITIE BIJ DIT RAPPORT... 2 INHOUDSOPGAVE INLEIDING INLEIDING INTERPRETATIE VAN DE OPDRACHT GEVOLGDE AANPAK LEESWIJZER PERSOONSNUMMERS IN HET ONDERWIJS, NAAR EEN BELEIDSKADER INLEIDING PROBLEMATIEK MET PERSOONSNUMMERS ZOALS ERVAREN IN DE PRAKTIJK JURIDISCH KADER PERSOONSNUMMERS VAN LEERLINGEN: VOORGESTELD MEERNUMMERBELEID MOGELIJKE SCENARIO S VOOR PERSOONSNUMMERS PERSOONSNUMMERS VOOR LERAREN EN OVERIG PERSONEEL SAMENVATTING PRAKTISCH GEBRUIK VAN BESTAANDE LANDELIJKE IAA VOORZIENINGEN: DIGID EN EHERKENNING INLEIDING SCOPE LANDELIJKE IAA VOORZIENINGEN: EXTERNE WEBDIENSTEN DIGID TE GEBRUIKEN? DIGID MACHTIGEN TE GEBRUIKEN? EHERKENNING TE GEBRUIKEN? SAMENVATTING NIEUWE LANDELIJKE ONTWIKKELING: HET EID-STELSEL INLEIDING EID-STELSEL NL, WAT IS HET? WERKING VAN HET EID-STELSEL OP HOOFDLIJNEN WAT MAAKT HET EID-STELSEL INTERESSANT VOOR HET ONDERWIJSVELD? AANDACHTSPUNTEN VOOR TOEPASSING VAN HET EID-STELSEL IN HET ONDERWIJSVELD HOE KANSRIJK IS HET EID-STELSEL? SAMENVATTING BELEIDSUITGANGSPUNTEN VOOR IDENTIFICATIE, AUTHENTICATIE EN AUTORISATIE IN HET ONDERWIJS INLEIDING BELEIDSUITGANGSPUNTEN VOOR DE IAA VOORZIENINGEN VOOR HET ONDERWIJS BELEIDSUITGANGSPUNTEN VOOR NUMMERING VERVOLGSTAPPEN

10 10

11 1 Inleiding 1.1 Inleiding In 2012 is in het kader van het SION-programma een eerste verkenning uitgevoerd naar Identificatie, Authenticatie en Autorisatie (kortweg IAA) in het onderwijsveld. Daarbij is vooral bezien op basis van de inventarisatie van een aantal cases, wat behoeftes en knelpunten zijn die ervaren worden in het onderwijsveld, waar het IAA zaken betreft. Daarbij gaat het onder meer om de identiteiten van natuurlijke personen in het onderwijsveld waaronder leerlingen, leraren en overig personeel van onderwijsinstellingen. Maar het gaat ook om de identiteit van onderwijsinstellingen in zijn diverse gedaanten zoals juridische entiteit, organisatorische subeenheid zoals een school, de opleiding, een specifiek curriculum, locatie, etc. In de verkenning is een groot aantal suggesties gedaan voor vervolgacties. In de daarop volgende besluitvorming is besloten in 2013 in SION-verband in te zetten op een vervolgstudie om een referentiekader voor IAA in het onderwijs te ontwikkelen. Hiervoor is een projectplan IAA 2013 opgesteld. Doel van dat referentiekader is om nader uit te werken wat het onderwijsveld nodig heeft aan IAA voorzieningen en op welke wijze daarin wordt voorzien. Hierbij wordt ook de toepasbaarheid van landelijke voorzieningen nadrukkelijk bezien. En waar hierop verbeteringen gewenst zijn, wordt aangegeven hoe dit gerealiseerd kan worden en wat hierbij van de Informatiekamer wordt verwacht. Bij dit alles is de scope zowel de identiteit van natuurlijke personen in het onderwijsveld als de identiteit van onderwijsinstellingen. In het kader van deze vervolgstudie verschijnen twee rapporten, uitgebracht in het kader van een studieopdracht aan PBLQ. Er is een rapport Onderwijsinstellingen benoemd, Dirk Schravendeel (PBLQ). Dat rapport handelt over de identiteit van onderwijsinstellingen. En er is het rapport dat voor u ligt, dat gaat over persoonsidentiteiten en landelijke IAA voorzieningen. 1.2 Interpretatie van de opdracht Het deel van de opdracht over persoonsidentiteiten is door de onderzoekers als volgt geïnterpreteerd: 1. Lever een referentiekader voor persoonsidentiteiten in het onderwijsveld. Inhoudende (gewenste) juridische en beleidsmatige kaders, alsmede principes en uitgangspunten. Scope daarbij zijn zowel leerlingen, leraren als ander personeel van onderwijsinstellingen. 2. Lever een referentiekader voor het gebruik van landelijke IAA voorzieningen. Dit behelst handvatten hoe dergelijke voorzieningen praktisch gebruikt kunnen worden; 3. Stel een strategie voor hoe in te spelen op de bestaande situatie rondom IAA voorzieningen en daarbij behorende knelpunten en kaders. 4. Een advies voor de te nemen vervolgstappen. Het gaat bij het bovenstaande zowel om communicatie met de personen in het onderwijsveld, zoals dat in het kader van authenticatie het geval is, maar ook om 11

12 communicatie over personen, zoals die in allerhande gegevensuitwisselingen plaatsvindt. 1.3 Gevolgde aanpak Bij aanvang van het project is door enkele juristen de juridische situatie rondom persoonsnummers in het algemeen alsmede specifiek in het onderwijs onderzocht. Dit heeft geresulteerd in een notitie welke is besproken in een eerste workshop. In een tweede workshop is met name bezien in hoeverre er praktisch gebruik gemaakt zou kunnen worden van met name DigiD en in mindere mate eherkenning. Bovendien is er in die workshop bezien in hoeverre rekening moet worden gehouden met de ontwikkeling van het eid-stelsel en in hoeverre het eid-stelsel aan de behoeftes van het onderwijsveld tegemoet komt. Eerder is hiervoor een workshop met vertegenwoordigers van het eid-stelsel belegd. De gehanteerde workshopstructuur voor het gehele project, inclusief instellingsidentiteiten, was de volgende. Afbeelding 1 Structuur van de uitgevoerde workshops De voorlopige bevindingen en conclusies op dit gebied zijn, samen met de voorlopige resultaten op het gebied van de instellingsidentiteiten, teruggekoppeld aan eerdere workshopdeelnemers, alsmede andere representanten van het onderwijsveld. Op basis van die bevindingen en conclusies, alsmede de hierop ontvangen feedback, is deze eindrapportage opgesteld. 1.4 Leeswijzer In hoofdstuk 2 gaan we in op de praktische problemen met persoonsnummers voor leerlingen, het juridische kader en de mogelijke politiek/bestuurlijke scenario s hoe om te gaan met persoonsnummers. Daarmee is het deel over persoonsnummers ook afgesloten, met uitzondering van de vervolgstappen. Vervolgens gaan hoofdstukken 3, 4 en 5 over IAA voorzieningen in het onderwijsveld. In hoofdstuk 3 worden de mogelijkheden voor het praktisch gebruik van 12

13 DigiD en eherkenning geanalyseerd. In hoofdstuk 4 wordt het voorgestelde eid-stelsel beschouwd. In hoofdstuk 5 brengen we de verschillende elementen bijeen tot een samenhangend kader voor gebruik van IAA voorzieningen voor het onderwijsveld. In hoofdstuk 6 tenslotte schetsen we de aanbevolen vervolgstappen. 13

14 2 Persoonsnummers in het onderwijs, naar een beleidskader 2.1 Inleiding In dit hoofdstuk wordt geschetst wat de problemen zijn die met persoonsnummers in de huidige praktijk worden ervaren (paragraaf 2.2) en worden de juridische kaders verkend (paragraaf 2.3). In paragrafen 2.4 en 2.5 worden de mogelijke beleidskaders voor persoonsnummers voor respectievelijk leerlingen en laren / overig personeel geformuleerd. Bovendien worden enkele scenario s geformuleerd hoe hier mee om te gaan. Lezers, die uitsluitend de hoofdlijnen willen volgen van het betoog verwijzen we naar paragraaf Problematiek met persoonsnummers zoals ervaren in de praktijk In de praktijk van het onderwijs komen geregeld voorbeelden voor van nummerproblemen : situaties waarin (met name) leerlingen niet geïdentificeerd of geauthenticeerd mogen worden aan de hand van het Persoonsgebonden Nummer (PGN). Dit soort situaties doet zich onder meer voor bij: Melden bij een onderwijsinstelling vóór het moment van inschrijving; Identificatie van de leerling in de leermiddelenketen; Alle niet-voorziene vormen van horizontale communicatie in het onderwijsveld. De vormen van horizontale uitwisseling die zijn voorzien, zijn in het algemeen wel goed geregeld (bijvoorbeeld in het geval van het onderwijskundig rapport) Enkele voorbeelden uit de eerdere inventarisatie: Vanaf het moment dat een student zich heeft ingeschreven bij een instelling, is het mogelijk die te identificeren in het verkeer student onderwijsinstelling. Dit mag dan aan de hand van het PGN. Vaak hebben studenten of leerlingen echter reeds contact met een onderwijsinstelling voor het moment van inschrijving. Deze gegevens die in de oriëntatiefase zijn verzameld, zijn niet eenvoudig bruikbaar te maken in of na de inschrijving, zonder een exacte match met een inschrijving. Dit wordt zeer bemoeilijkt doordat het PGN niet in de oriëntatiefase kan worden gehanteerd. In de leermiddelenketen moeten andere nummers gehanteerd worden het PGN: het PGN (of BSN) mag niet worden verwerkt door de commerciële partijen als distributeurs en uitgevers. Heel vaak worden daarom lokale nummers gebruikt uit de leerlingenadministratie om de leerling te identificeren. De consequentie is echter dat waar leerlingen gastgebruiker zijn op andere onderwijsinstellingen of gedurende het jaar van onderwijsinstelling veranderen, er geen eenvoudige procedure bestaat om verkregen rechten op digitale leermiddelen om te zetten. Dit heeft nu vaak tot gevolg dat licenties dubbel worden betaald, of dat er veel handwerk nodig is om de situatie te corrigeren. Horizontale koppelingen die innovatief van aard zijn, zijn per definitie niet voorzien en dus meestal niet toegestaan. Dan moeten work-arounds worden verzonnen. Dat levert extra werk op en belangrijker dan dat levert het ook mismatching van de identiteiten bij de verschillende instellingen op, waardoor de 14

15 gewenste koppelingen niet of niet goed worden gelegd. Dit zal het beleidsdoel waarvoor de betreffende horizontale koppeling was bedacht lastiger bereikbaar maken. Denk hierbij bijvoorbeeld aan de doorstroommonitor. In het afgelopen jaar deed zich nog de situatie voor met de teruglevering door DUO van (verrijkte) bekostigingsgegevens. Dit bleek door de wetgever niet voorzien te zijn en dan mag iets dergelijks ook niet. Vervolgens is door een spoedactie van de wetgever het wettelijk kader snel aangepast om deze teruglevering alsnog mogelijk te maken. Een dergelijke situatie is zeer kenmerkend: Wat niet expliciet is toegestaan, is verboden; Vele van de betrokken partijen zijn oprecht verbaasd dat het niet blijkt te mogen. Het komt als donderslag bij heldere hemel; Crash-acties zijn nodig om de uitwisseling in kwestie alsnog mogelijk te maken (en succes is daarbij niet gegarandeerd) Deze situatie komt voor de direct bij de wet- en regelgeving betrokken ambtenaren zeker niet als willekeurig over, men laat gebruik van het PGN voor uitwisselingen slechts toe voor toepassingen waarvan men het belang onderkent. Bij de betrokkenen in het veld wekt het echter vaak de indruk van een tombola : soms heb je geluk, maar vaker niet. Vaak is er vanwege de complexiteit ook sprake van een lange periode van onzekerheid. Er komt gespecialiseerd juridisch advies van het Ministerie van OCW aan te pas om vast te stellen of een bepaalde toepassing wel of niet binnen de kaders van de bestaande wet- en regelgeving valt. Incidenten als bovenstaand, de indruk van de tombola en het restrictieve beleid op het gebruik van het PGN maken dat er stemmen opgaan om een nummer te introduceren specifiek voor de onderwijsafnemers: een persistente onderwijsidentiteit. Naast het feit dat wet- en regelgeving op zo n nummer waarschijnlijk iets minder restrictief is dan voor het PGN, heeft dat als additioneel voordeel dat het nummer, indien goed geconstrueerd, werkelijk informatieloos kan worden gemaakt. Dit in tegenstelling tot het PGN, waarvan het voor de centrale overheid vrij eenvoudig is om te bepalen of het een standaard BSN betreft of een onderwijsnummer, dat wordt verstrekt aan leerlingen in bijzondere doelgroepen waaronder illegalen. 2.3 Juridisch kader Voor het gebruik van landelijke IAA-voorzieningen hebben we nummers nodig die mensen identificeren, authenticeren en autoriseren. Een bekend nummer is het BSN. Binnen de onderwijssector wordt voor leerlingen en studenten het persoonsgebonden nummer (PGN) gebruikt. Als een leerling of student een BSN heeft, dan geldt het BSN als PGN. Heeft een leerling geen BSN, dan wordt een onderwijsnummer toegekend en fungeert het onderwijsnummer als PGN. Een dergelijk nummer (BSN of onderwijsnummer) is een persoonsgegeven, en dan is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Naast de Wbp kan ook speciale wetgeving van toepassing zijn op het verwerken van persoonsgegevens. In dit geval is dat de onderwijswetgeving, die daarover aanvullende eigen bepalingen kent: voornamelijk de Wet op het Primair Onderwijs, de Wet op het Hoger Onderwijs en de Wet op het 15

16 Voortgezet Onderwijs. In de toepasselijke wet- en regelgeving is aangegeven of en onder welke voorwaarden persoonsgegevens en het PGN verwerkt mogen worden. Dit noemen wij de toepasselijke materiële normen. Hierna schetsen wij de juridische uitgangspunten voor het gebruik van persoonsgegevens. Voor regelgeving over persoonsgegevens en persoonsnummers geldt het volgende uitgangspunt: gebruik van persoonsgegevens is alleen toegestaan als er een wettelijke basis is. Deze wettelijke basis bepaalt het speelveld en de spelregels die daarbinnen gelden. Bij de regels over het gebruik van persoonsgegevens zijn er algemene en bijzondere regels (in het laatste geval ook vaak strenger, afhankelijk van het soort gegeven). Zoals hierboven aangegeven, gelden voor sommige onderwijssectoren ook nog speciale regels. Hierna lichten wij de algemene (A), de bijzondere (B) en de sectorale regels toe (C). A De algemene regels De algemene regels zijn in privacywetgeving geformuleerd als zogenaamde open normen. Ze geven aan dat gegevens alleen gebruikt mogen worden in de volgende gevallen: (1) Als er een welbepaald doel is (2) Als het gebruik van de gegevens noodzakelijk is, hierbij nemen we de beginselen van proportionaliteit en subsidiariteit mee. (3) Als er een wettelijke grondslag is. Daarnaast geven de regels aan dat het gebruik van gegevens altijd behoorlijk en zorgvuldig moet zijn en dat er altijd een belangenafweging moet zijn tussen het privacybelang van de burger en het belang van de organisatie die gegevens over die burger wil gebruiken. De Nederlandse wetgever heeft geen ruimte om deze algemene regels aan te passen of te versoepelen: ze zijn vastgelegd in grondrechten, verdragen en in Europese regels. Organisaties hebben vrij veel vrijheid bij de toepassing van de algemene regels in de praktijk. Tegelijk kunnen de algemene regels ook tot onzekerheid en lastige beslissingen leiden: valt een bepaalde verwerking van gegevens nu wel of niet binnen al die open normen? B De bijzondere vaak strengere- regels voor bepaalde soorten van gegevens Bij de vraag die nu voorligt, is de regelgeving omtrent persoonsnummers (BSN, onderwijsnummer en PGN) relevant. De privacywetgeving bevat hiervoor aanvullende en strengere vereisten. Ze eist onder meer dat er een precies in wetgeving omschreven doel moet zijn, dat er sprake moet zijn van een zwaarwegend algemeen belang of dat er toestemming vooraf nodig is van een bepaald orgaan, zoals in Nederland het College bescherming persoonsgegevens. De Nederlandse wetgever heeft nauwelijks mogelijkheden om deze strengere vereisten aan te passen of te versoepelen: ze zijn eveneens vastgelegd in verdragen en vooral in Europese regels. Het is duidelijk dat dergelijke strengere spelregels de vrijheid van organisaties inperken. Ze hebben tot gevolg dat het gebruik van bijvoorbeeld persoonsnummers toch niet is toegestaan in situaties waarbij er wel een welbepaald doel is en waarbij het gebruik inderdaad ook noodzakelijk is, maar waarbij die situatie (soms min of meer toevallig) niet of net niet binnen de strengere spelregels valt. Aan de andere kant bieden nauwkeurige spelregels ook zekerheid: het is dan in ieder geval duidelijk wat wel mag, 16

17 zeker in gevallen waarin de nauwkeurige spelregels het gebruik van een persoonsnummer verplicht maken. Kort gezegd komen de strenge regels over persoonsnummer op het volgende neer: 1. Er zijn specifieke en zeer strikte regels in artikel 24 Wbp over de bij wet aan personen toegekende nummers (moet precies in een wet geregeld zijn en dan mag of moet ook alleen maar wat specifiek geregeld is). Een sterke nadruk ligt op het doel waarvoor het nummer gebruikt wordt. En als de toestemming van de persoon zelf niet in de wet over het nummer geregeld is, dan mag dat nummer niet eens verwerkt worden met de toestemming van de persoon. Bij het BSN en het onderwijsnummer (PGN) ontbreekt een regeling om het nummer met toestemming (alsnog) te kunnen gebruiken. 2. Er is de in de praktijk nog wel eens vergeten regeling van art. 31, lid 1, onder a, Wbp. Dan is voorafgaand onderzoek door de toezichthouder nodig als nummers (alle persoonsnummers en niet enkel de wettelijke) gebruikt worden in de relatie met andere partijen voor andere doelen dan waarvoor de nummers eerst gebruikt werden. 3. Een gewoon nummer kan door de context ineens een bijzonder (gevoelig) gegeven worden. Bijvoorbeeld: het leerlingnummer van een ZMLK-school of een blindenschool houdt (nagenoeg altijd) automatisch in dat alleen al de combinatie van het nummer met het school(type) een gegeven betreffende de gezondheid is. C Sectorale regels Het onderwijs is één van de domeinen waarbinnen de sectorale regels nauwkeurige en gedetailleerde regels bevatten voor het gebruik van wettelijke persoonsnummers (het PGN). In de praktijk gaat het daarbij, zoals gezegd, om het gebruik van het BSN of, als een leerling geen BSN heeft, het speciaal voor het onderwijsdomein toegekende onderwijsnummer. Iedere vorm van onderwijs kent daarbij een eigen regeling voor het gebruik van het persoonsgebonden nummer in de eigen specifieke wetgeving. Vaak is de regeling in de verschillende wetten gelijk of erg vergelijkbaar, soms zijn er ook duidelijke verschillen. 2.4 Persoonsnummers van leerlingen: voorgesteld meernummerbeleid Als we gaan analyseren wat we willen met persoonsnummers met leerlingen, dan kunnen we de plaatsen waar zo n nummer moet worden toegepast onderverdelen in de volgende groepen: De communicatie over leerlingen met andere overheden en sectoren en voor formele momenten. Dit duiden we ook wel aan als de verticale informatieuitwisseling. Denk bijvoorbeeld aan de communicatie in het kader van jeugdzorg, kinderbescherming of justitiële informatievoorziening. In die gevallen wordt een leerling aangeduid met een Burgerservicenummer (BSN). Ook bij de formele momenten in het onderwijsveld zelf, waarbij DUO als centrale overheid in beeld komt, wordt het BSN / PGN gebruikt; Horizontale gegevensuitwisseling in het onderwijsveld. Dit is nu ofwel voorzien en dan mogelijk aan de hand van het PGN. Of het is niet voorzien, in welk geval er vaak work-arounds worden gecreëerd. Dit is het domein waarvoor er ook stemmen opgaan om dit met een persistente onderwijsidentiteit te gaan regelen; 17

18 Communicatie over en eventueel met leerlingen in ketens met commerciële partijen. Het beleid zal hier gericht zijn op dataminimalisatie en beperken van koppelbaarheid van bestanden. Hiertoe zal een leerling aangeduid worden aan de hand van een pseudoniem; Deze driedeling is in onderstaande afbeelding weergegeven. Afbeelding 2 Driedeling in de nummers voor leerlingen Voor de ketens waarin commerciële partijen voorkomen moet het gebruik van pseudoniemen in een breder kader worden gezien. Het gaat dan om afspraken welke gegevens door onderwijsinstellingen dan wel leerlingen geleverd worden aan de commerciële ketenpartners en voor welke doeleinden die die gegevens mogen verwerken (en waar in de keten). Dit soort afspraken zouden bijvoorbeeld vastgelegd kunnen worden in het kader van een gedragscode. Daarnaast zullen er dan ook veelal afspraken gemaakt worden over de verantwoording hierover of in meer generieke zin de governance. Zo n ontwikkeling doet zich inmiddels voor in de elektronische contentketen. Het feit dat er meerdere nummers worden gebruikt om een leerling aan te duiden, impliceert de noodzaak voor een nummervertaalvoorziening. Deze voorziening kan een nummer waarmee leerling L wordt aangeduid in domein A, vertalen in het nummer voor leerling L in domein B, maar is ook is staat om te bepalen of met nummers p en q in domeinen A en B dezelfde leerling wordt aangeduid. Het BSN / PGN domein is daarbij één van de nummerdomeinen. 18

19 In beginsel zou de nummervertaalvoorziening ook een landelijke service kunnen zijn, die gebaseerd is op de nummers /gegevens die bij de onderwijsinstellingen zelf zijn geadministreerd. Omwille van beschikbaarheid is het echter waarschijnlijk dat er toch een centrale technische component zal bestaan om deze dienst met hoge beschikbaarheid te kunnen leveren. Het gebruik van pseudoniemen in een keten kent nog diverse smaken, waartussen moet worden gekozen: Omwille van het terugdringen van koppelbaarheid kan men kiezen de leerling te laten herkennen aan de hand van een pseudoniem dat per ketenpartij verschillend is. Dat brengt echter met zich mee dat de nauw samenwerkende partijen in een elektronische contentketen bij voortduring die pseudoniemen aan elkaar moeten relateren c.q. in elkaar moeten vertalen, om te kunnen samenwerken; Er kan ook worden gekozen om in zo n keten om één vast pseudoniem voor die hele keten te hanteren. Zulks omwille van praktische werkbaarheid en vermindering van de operationele afhankelijkheid van een nummervertaalvoorziening. Deze afweging is situationeel bepaald. Het uitgangspunt is om zo fijnmazig mogelijke pseudoniemen te hanteren, voor zover dat daadwerkelijk zinvol is (is de koppeling niet reeds op een andere wijze tot stand gebracht) en mits de fijnmazigheid nog praktisch uitvoerbaar is en geen ongewenste mate van operationele afhankelijkheden creëert. In de afweging aangaande de fijnmazigheid van pseudoniemen speelt mee in hoeverre er aanvullende afspraken gemaakt zijn met de commerciële partners in die keten en in hoeverre deze aantoonbaar worden nageleefd. Verder moet worden opgemerkt dat het gebruik van pseudoniemen in een keten niet betekent dat er geen plekken en functies kunnen of moeten zijn in die keten, waar alsnog identificerende gegevens worden toegevoegd om een specifieke functie uit te kunnen voeren. Een leraar wil geen rapportagegegevens over het leerproces van een pseudoniem ontvangen, maar die zal daar een naam bij willen zien. De licentiemanagementfunctie op een school zal willen zien welke leerlingen een licentie hebben op welk elektronisch leermateriaal. Per keten moet daarom goed worden nagegaan welke verwerking op welke plaatsen pseudoniem plaatsvindt en waar identificerende gegevens worden toegevoegd. 2.5 Mogelijke scenario s voor persoonsnummers De belangrijkste keuze die is te maken betreft de politiek/bestuurlijke: acht men het belang en de slaagkans voldoende groot om de wet- en regelgeving op dit terrein fundamenteel aan te doen passen of niet? De volgende politiek / bestuurlijke scenario s zijn aan de orde: 1. Ongewijzigd beleid. Gebruik van het PGN in het onderwijsveld en pas ad hoc de regels aan voor het gebruik van het PGN, gekoppeld aan nieuwe toepassingen. Gebruik de nummervertaalvoorziening om uitwisselbaarheid van gegevens te verbeteren; 2. Verbreed de juridische mogelijkheden voor het gebruik van het PGN; 19

20 3. Voer een ander persoonsnummer voor leerlingen in: de persistente onderwijsidentiteit. Zo mogelijk één nummer voor de gehele onderwijsloopbaan (a), eventueel een nog fijnmaziger nummer, persistent in de verschillende onderwijssectoren (b). Stel men kiest nu a priori voor ongewijzigd beleid, dan is het vervolgtraject niet politiek gevoelig en dan hoeft ook geen zwaar vervolgtraject te worden doorlopen. Sluit men echter scenario s 2 of 3 niet a priori uit, dan dient een relatief zwaar traject te worden gelopen, in beginsel gericht op politieke besluitvorming op het eind. We stellen voor dat de bovenstaande scenario s nader worden onderbouwd in termen van nut en noodzaak en dat de consequenties er van in beeld worden gebracht. Deze onderbouwing dient dan voor de onderbouwing van een advies van een in te richten nummertafel, die een advies uitbrengt aan de staatssecretaris van OCW. Deze nummertafel zou dan onder verantwoordelijkheid van de Informatiekamer kunnen werken, een Themakamer Persoonsnummers dus. Bovenstaande scenario s hebben een politiek/bestuurlijke lading en vragen dus om een relatief zwaar traject. Op dit moment zijn er wel in het kader van dit onderzoek signalen ontvangen dat een beleidswijziging op dit punt nodig is, maar is de onderbouwing ervoor nog niet erg stevig. Voordat de geschetste Themakamer Persoonsnummers ingesteld kan worden, dient de visie eerst inhoudelijk beter onderzocht te worden. Pas dan kan worden bepaald of er voldoend stevige onderbouwing is voor een dergelijk traject. Naast bovenstaande visionair / bestuurlijke traject, is het verstandig om een praktisch, no regret traject in gang te zetten. Hierin zou een verdere uitwerking en implementatie plaats kunnen vinden van de genoemde nummervertaalvoorziening, in te richten als een trusted third party. Dit zou dan gekoppeld kunnen worden aan een pilotproject, waar nummers aan elkaar gerelateerd moeten worden, eventueel te koppelen aan de uitgifte van pseudoniemen voor specifieke ketens. Een en ander is nader uitgewerkt in hoofdstuk 6, vervolgstappen. 2.6 Persoonsnummers voor leraren en overig personeel Al het bovenstaande betreft voornamelijk de nummers voor leerlingen. (Voornamelijk, want de Themakamer dient bij voorkeur persoonsnummers in de brede zin te behandelen). Voor toepassingen zoals gastgebruik van faciliteiten voor docenten en ander personeel, zijn er vooralsnog geen standaarden om die personen aan te duiden. Mogelijkerwijs komt dit voor leraren wel te veranderen, met het lerarenregister. Hierin vervult een lerarennummer geen rol van betekenis, maar het is zeer wel denkbaar dat dit op enig moment wel aan de orde is, zodra het voor bepaalde (digitale) processen nodig wordt om een geldige registratie als leraar te hebben. Voor overige personeelsleden lijkt iets dergelijks niet in het verschiet te liggen. Al met al zien we nog geen korte termijn behoeftes op dit punt. Een identiteit als een <instellingsidentiteit, personeelsnummer> lijkt vooralsnog de meeste behoeftes te vervullen. Ook voor toepassingen als gastdocentschap is een landelijke leraaridentiteit 20

21 niet direct nodig. Wel is het zinvol om de vertaling van lerarenidentiteiten in de nummervertaalvoorziening op te nemen. Conclusie is dat er voor leraren en overig personeel vooralsnog volstaan kan worden met een lokale identiteit. Voor leraren is op termijn wel een landelijke lerarenidentiteit aan de orde. 2.7 Samenvatting 1. Het onderwijsveld hanteert een meerstromen-beleid voor persoonsnummers van leerlingen: Gebruik van het BSN voor communicatie met andere overheden; Gebruik van het BSN / PGN voor formele momenten ; Gebruik van pseudonimisering naar commerciële ketenpartners, waarbij de fijnmazigheid van de pseudoniemen situationeel bepaald is door de situatie in die keten; Voor het gebruik binnen het onderwijsveld zelf kan men kiezen het thans gebruikte PGN te hanteren of over te stappen op een nummer dat specifiek is voor het onderwijsveld, een persistente onderwijsidentiteit. 2. Ter toelichting op het laatste onderdeel van punt 1: uit het veld komen er signalen dat het huidige beleid en de huidige wet- en regelgeving voor persoonsnummers van leerlingen binnen het onderwijsveld niet voldoet. Enige anekdotische onderbouwing is in dit onderzoek verkregen en er zijn ook concrete problemen die worden veroorzaakt door het ontbreken van een persistente, instellingsoverstijgende identiteit (bijvoorbeeld in het MBO). Maar de huidige beelden moeten nog steviger onderbouwd worden, en bij voorkeur ook voorzien van enige kwantitatieve indicaties van de omvang van de problemen (financiële gevolgen bijvoorbeeld). Politiek/bestuurlijke scenario s voor persoonsnummers van leerlingen in het onderwijsveld zijn de volgende: a) Ongewijzigd beleid. Gebruik van het PGN in het onderwijsveld en pas ad hoc de regels aan voor het gebruik van het PGN, gekoppeld aan nieuwe toepassingen. Gebruik de nummervertaalvoorziening om uitwisselbaarheid van gegevens te verbeteren; b) Verbreed de juridische mogelijkheden voor het gebruik van het PGN; c) Voer een ander persoonsnummer voor leerlingen in: de persistente onderwijsidentiteit. Zo mogelijk één nummer voor de gehele onderwijsloopbaan, eventueel een nog fijnmaziger nummer. Om een keuze hierin te maken is een politiek/bestuurlijk traject noodzakelijk. Daarbij zou scenario c het beste aan de roep uit het veld tegemoet komen. Een politiek bestuurlijk traject kan echter pas gestart worden indien een vooronderzoek een aantal hardere indicaties heeft gevonden dat: er problemen aan het huidige persoonsnummerbeleid kleven die voldoende ernstig zijn en dat die problemen zijn op te lossen door scenario s b of c in te gaan; 21

22 3. In alle gevallen is een nummervertaalvoorziening nodig. Het is aan te bevelen hieromheen een praktisch traject te organiseren als alternatief en fall-back voor het meer politiek/bestuurlijke traject zoals geduid in het vorige punt. 22

23 3 Praktisch gebruik van bestaande landelijke IAA voorzieningen: DigiD en eherkenning 3.1 Inleiding Bij velen is onduidelijk in hoeverre landelijke authenticatievoorzieningen DigiD en eherkenning (in hun huidige vorm) praktisch bruikbaar zijn voor het onderwijs. Daarom gaan we in dit hoofdstuk nader in op die vraag. De lezers met weinig tijd of beperkte interesse in de details verwijzen we naar de samenvatting in paragraaf Scope landelijke IAA voorzieningen: externe webdiensten Allereerst moet worden geconstateerd dat het met Digid en eherkenning gaat om toegang tot elektronische webdiensten, vaak in de vorm van een website of webportaal. (Met het eid-stelsel komen daar ook webdiensten voor applicatie-applicatieverkeer bij.) Dit betekent automatisch ook dat feitelijk de hele binnenwereld van een onderwijsinstelling, niet geraakt wordt door deze IAA voorzieningen. Dat betekent ook dat instellingen nog gewoon accounts uit blijven geven voor allerhande toepassingen die gebonden zijn aan het lokale netwerk van een instelling. In het verlengde hiervan geldt ook dat voorzieningen die aan de lokale netwerken zijn verbonden, maar die gastgebruik regelen voor gebruikers van andere onderwijsinstellingen, niet zullen verlopen via DigiD of eherkenning. Waar verkeer aan de orde is dat de grenzen van onderwijsinstellingen overschrijdt, zullen daarom ook federaties aan de orde zijn, maar op basis van andere technologie. Denk daarbij aan Radius voorzieningen waar het gaat om netwerktoegang of ADFS waar het gaat om gastgebruik op elkaars Windows-servers. Schematisch is dit als volgt weer te geven: 23

24 De werelden van intern verkeer en externe webdiensten zijn vooralsnog vrij sterk gescheiden. Dat wil niet zeggen dat dat altijd zo zal blijven. Te verwachten valt, dat met name met de opkomst van Cloud-diensten en de integratie daarvan met de interne ITvoorzieningen, het onderscheid tussen intern en extern - voor wat betreft identiteiten en authenticatie zal verdwijnen. Het is zinvol om te anticiperen en zelfs aan te sturen op het langs ordentelijke wegen vervagen van deze grenzen. Een dergelijk vervagen is bovendien heel wenselijk, waar bijvoorbeeld Single Sign On vanuit de interne IT-omgeving naar externe web-diensten gewenst is vanuit de gebruikerservaring. Langs ordentelijke wegen, want het zal bijvoorbeeld niet gewenst zijn dat onderwijsinstellingen accounts voor leerlingen direct federeren met commerciële partijen. 3.3 DigiD te gebruiken? Vanuit het onderwijsveld is met name de roep groot om DigiD te kunnen gebruiken. Overigens kan men zich hierbij afvragen of men zich ten volle realiseert wat dat precies betekent. Het signaal zou ook geïnterpreteerd kunnen worden als: we willen een breed toegepaste authenticatievoorziening ook voor onze processen kunnen gebruiken. DigiD is duidelijk zo n breed gebruikte authenticatievoorziening, de enige met landelijke schaal en met een redelijke betrouwbaarheid. Aangezien DigiD ter identificatie gebruik maakt van het BSN, moet het toegestaan zijn dat nummer (dan wel het PGN) te mogen gebruiken op die plaatsen waar men hoopt DigiD te kunnen toepassen. Nu heeft de wetgever voorzien dat het PGN gebruikt mag worden in het verkeer tussen leerling en onderwijsinstelling. Dit kan dus ook elektronisch verkeer zijn en binnen grenzen is daarmee ook de toepassing van DigiD voor de herkenning door een onderwijsinstelling van haar leerlingen mogelijk. Hier is echter wel een aantal beperkingen aan verbonden: 1. De onderwijsinstelling dient betrokken te zijn in de transactie, op zijn minst als bemiddelende partij; 2. Juridisch is deze constructie beperkt tot de leerlingen, het betreft niet de ouders bijvoorbeeld; 3. Het gaat om de BSN-doelgroep, dus aanvullende oplossingen of work-arounds zijn nodig voor de overige doelgroepen (buitenlandse studenten, illegalen); 4. In de praktijk is de toepassing van DigiD veelal beperkt tot DigiD Basis, in ieder geval waar het gaat om diensten die de leerling (ook) op school uitvoert. Dit, omdat het gebruik van de mobiele telefoon (nodig voor DigiD Midden) op de meeste scholen niet is toegestaan of zeer beperkt. Volledigheidshalve merken wij op dat het gebruik van DigiD impliceert dat de gebruiker een privaatrechtelijke overeenkomst sluit met Logius, de beheerder van DigiD. Dat betekent dat het niet mogelijk is om het gebruik van de met DigiD ontsloten dienst te verplichten, het is immers niet mogelijk om iemand te verplichten een overeenkomst te sluiten met een derde. In de praktijk verwachten wij niet dat dit een grote (extra) drempel zal zijn. 24

25 Daarnaast moet vermeld worden dat de drempel om DigiD te gebruiken in de afgelopen 2 jaar verhoogd is. Oorspronkelijk was er alleen sprake van een technisch aansluittraject, maar inmiddels is de drempel aanzienlijk verhoogd door de beveiligingseisen die vanuit DigiD aan dienstaanbieders worden gesteld. Zogenaamde DigiD Assessments worden vereist. Dit versterkt de noodzaak om de elektronische dienstverlening te centraliseren en te professionaliseren. In ieder geval wordt het bij MBO-instellingen al gezien dat zij niet individueel op DigiD willen aansluiten. Overigens is te verwachten dat de trend die we nu zien bij DigiD (eisen stellen aan de dienstaanbieders) ook op enig moment aan de orde komen bij het gebruik van andere landelijke authenticatiesystemen. Hoe grootschaliger de voorziening (eherkenning, eid-stelsel) hoe sneller dit soort eisen aan de orde zal komen. In ieder geval willen ; Binnen de bovenstaande beperkingen kan men zich voorstellen dat ook toepassingen bij een externe partij, die het PGN of BSN niet mag kennen, kan worden gerealiseerd: Leerling L legt verbinding met zijn of haar school S voor een bepaalde elektronische dienst (1) waarvoor (ook) communicatie met een externe dienstverlener aan de orde is; School S schakelt door naar DigiD, DigiD authenticeert de leerling L (2) en stuurt het BSN naar de school (3); De school schakelt de web-sessie door naar dienstverlener D, levert onder water een pseudoniem dat de school heeft om leerling L aan te duiden in relatie met dienstverlener D (4). Hiervoor zal van de eerder genoemde nummervertaalvoorziening gebruik gemaakt worden; Leerling L kan zijn zaken doen met dienstverlener D (5). Schematisch is dit hieronder weergegeven. Afbeelding 3 Gebruik van DigiD in het verkeer tussen leerling en onderwijsinstelling 25

26 Variaties op dit thema (met name voor wat betreft de volgorde van handelingen) zijn overigens mogelijk. Een vraag hierbij is wat de inhoudelijke betrokkenheid moet zijn van de school in de communicatie. Het is verstandig om aan de voorzichtige kant te blijven en dit mechanisme uitsluitend te gebruiken waar: De dienstverlening daadwerkelijk tot stand komt met tussenkomst van de school; De school ook een inhoudelijke betrokkenheid heeft bij de dienstverlening die leerling L betrekt bij dienstverlener D. Al met al is DigiD goed bruikbaar voor de toegang van leerlingen tot elektronische diensten van hun school en dan vooral als deze elektronische diensten centraal zijn geïmplementeerd, zodat de aansluiting op DigiD ook centraal kan worden geregeld. Voor de niet-bsn doelgroep zal er naast DigiD echter altijd een aanvullende authenticatiemogelijkheid moeten worden geboden. Dat geldt ook voor ouders, voogden en verzorgers. De school mag hun BSN niet verwerken, dus DigiD is daarvoor niet bruikbaar. 3.4 DigiD Machtigen te gebruiken? Naast DigiD zelf, dat zorg draagt voor de authenticatie van natuurlijke personen, bestaat er ook DigiD Machtigen. DigiD Machtigen wordt in de praktijk gebruikt door natuurlijke personen om andere personen te machtigen. Zodat die gemachtigden de natuurlijke persoon in kwestie kan vertegenwoordigen bij de aangesloten overheidsdiensten. Dit wordt bijvoorbeeld gebruikt bij de Aangifte InkomstenBelasting. Mensen kunnen hiermee andere personen machtigen om namens hun de Aangifte IB te verzorgen. In het onderwijsveld is er zeker ook behoefte aan vertegenwoordigingsrelaties tussen natuurlijke personen. De meest voorkomende behoefte is dat herkend kan worden welke volwassenen gaat over een bepaalde (minderjarige) leerling. De volwassene kan dan ten behoeve van die leerling gebruik maken van elektronische diensten. Omdat DigiD Machtigen gebruikt wordt om bepaalde vertegenwoordigingsrelaties te registreren en daarmee te werken, is het idee geopperd om die ook te gebruiken voor de vertegenwoordiging van leerlingen door hun ouders, voogden etc. Dat zou dan kunnen werken door DigiD Machtigen te vullen met de gegevens over de wettelijke vertegenwoordiging van leerlingen (voor zover beschikbaar), als ware het zo dat de leerling een volmacht heeft afgegeven aan de volwassene in kwestie. De ouders kunnen dan zich authenticeren met hun DigiD (en BSN). Hoewel het bovenstaande aantrekkelijk klinkt zijn er zowel principiële als praktische bezwaren tegen deze wijze van werken: 1. Een principieel bezwaar is dat de wettelijke vertegenwoordiging van leerlingen door ouders echt iets anders is dan een volmacht die door de leerling aan de ouders is afgegeven. Er wordt dus een andere betekenis gegeven aan de gegevens in DigiD Machtigen. 2. In beginsel zou men willen verhinderen dat de minderjarige leerling alsnog zelf de handeling in kwestie uitvoert, waarvoor de ouders zorg zouden moeten 26

27 dragen (er is feitelijk sprake van in de plaats treding ). Dit kan slechts als de ouder / verzorger ook apart is geauthenticeerd; 3. Aangezien de authenticatie van de ouder / verzorger plaats vindt aan de hand van een BSN, is deze figuur niet bruikbaar in communicatie met de onderwijsinstelling. Het praktisch nut is daarmee uiterst beperkt. De bovenstaande bezwaren zijn dusdanig zwaarwegend dat het verder verkennen van deze mogelijkheid wordt afgeraden. De praktische bruikbaarheid van DigiD Machtigen voor het onderwijsveld is daarmee zeer beperkt. 3.5 eherkenning te gebruiken? Wat is eherkenning? eherkenning is een voorziening, opgezet om de toegang tot diensten van dienstverleners te bemiddelen. Die dienstverleners willen weten wie er aan de digitale deur staat en of deze persoon ook bevoegd zijn om de dienst in kwestie af te nemen. Hiertoe zijn er voorzieningen voor dienstverleners om deze vragen beantwoord te krijgen. Aan de andere kant levert eherkenning diensten aan dienstafnemers voor de levering van persoonlijke authenticatiemiddelen en het registreren van machtigingen (wie mag een bepaalde elektronische dienst afnemen namens de organisatie). eherkenning is als een generieke voorziening opgezet: authenticatiemiddellen zijn niet gebonden is aan een specifieke dienst. Een authenticatiemiddel is voor elke dienst te gebruiken, mits het betrouwbaarheidsniveau van het authenticatiemiddel toereikend is voor de dienst in kwestie. Afbeelding 4 eherkenning netwerk 27

28 eherkenning functioneert intern als een soort federatief stelsel, waarbij de diensten worden geleverd door een aantal samenwerkende maar ook elkaar beconcurrerende deelnemers, waarbij deelnemers zich conformeren aan een afsprakenstelsel. Uitgangspunt is om alleen het noodzakelijke centraal af te spreken, zoals technische interfaces, business regels en regels omtrent de beveiliging en de betrouwbaarheidsniveaus. Zodoende ontstaat er een veelzijdig aanbod, onder de paraplu van eherkenning. Er is dus sprake van een netwerk van (commerciële) deelnemers, die werken volgens een afsprakenstelsel. In dit stelseldenken is eherkenning de voorloper van het eidstelsel. In eherkenning zijn diverse rollen onderkend: Dienstverleners sluiten aan op een eherkenningsmakelaar, die de herkenningsvraag in samenwerking met de andere rollen beantwoord krijgt; Daarbij wordt gebruik gemaakt van een AuthenticatieDienst, waar de gebruiker wordt geauthenticeerd; Die authenticatie vindt plaats aan de hand van een eherkenningsmiddel (authenticatiemiddel) dat eerder aan de gebruiker is uitgegeven door een MiddelenUitgever; Dienstafnemers (organisaties) leggen vast welke uitvoerende natuurlijke personen namens de organisatie welke diensten van dienstverleners mogen afnemen. Zij laten dat registreren bij een MachtigingenRegister, waarmee ze een contract hebben. Afbeelding 5 eherkenning als netwerk met verschillende rollen 28

29 eherkenning levert in de basis: een identificatie van de organisatie, aan de hand van het KvK nummer een identificatie van de handelende natuurlijke persoon, aan de hand van een pseudoniem een verklaring over de machtiging van de handelende natuurlijke persoon, namelijk of die de betreffende elektronische dienst mag afnemen namens de organisatie Daarbij zijn pseudoniemen voor een en dezelfde natuurlijke persoon in een organisatie verschillend voor verschillende dienstverleners, zodat koppelingen en gegevensuitwisseling over natuurlijke personen tussen verschillende dienstverleners niet zonder meer mogelijk is. Voor een dergelijke koppeling is allereerst de verstrekking van aanvullende attributen nodig, zodat de koppeling aan de hand van die attributen kan plaatsvinden. Aanvullende nummers, zoals de persoonsnummers die we bespraken in hoofdstuk 2, zouden dus als aanvullende attributen kunnen worden meegeleverd. Doorgroei eherkenning is niet fundamenteel beperkt tot het Business-to-Government (B2G) segment en is inmiddels ook doorgegroeid en kan ook Government-to-Government (G2G) en Business-to-Business (B2B) verkeer accommoderen. Met de meest recente release 1.7 wordt wederom een stap gezet naar brede toepasbaarheid. Van de website eherkenning.nl is het volgende: Release 1.7 bestaat uit een aantal waardevolle nieuwe functionaliteiten van eherkenning. Zo wordt het mogelijk om: met eherkenning individuele personen te authenticeren die niet namens een bedrijf handelen, maar namens zichzelf (als privépersoon of als beroepsbeoefenaar), (naast authenticatie) met eherkenning attributen op te vragen van de gebruiker of het bedrijf dat hij vertegenwoordigt, als gebruiker aangelogd te blijven in eherkenning terwijl er ook van diensten van andere overheidsdienstverleners gebruik kan worden gemaakt, (naast een individueel persoon) een organisatie te machtigen voor het gebruik van een eherkenningsmiddel. Hiermee is eherkenning nu ook bruikbaar geworden in het domein van Business-to- Consumer (B2C) en kan het voor de herkenning van specifieke beroepsgroepen worden ingezet. Daarmee zet eherkenning al een grote stap richting het eid-stelsel. eherkenning bruikbaar in het onderwijs? eherkenning is een relatief nieuwe ontwikkeling, maar inmiddels toch alweer 3,5 jaar operationeel. Inmiddels zijn er meer dan 60 dienstverleners aangesloten waar zo n individuele dienstafnemende organisaties met meer dan authenticatiemiddelen gebruik van maken. Grote dienstaanbieders zijn nu het Agentschap NL en het OmgevingLoket Online. De grootste groep dienstverleners wordt gevormd door de gemeenten. Er zijn overheidsdiensten waar onderwijsinstellingen gebruik van willen maken en die worden ontsloten middels eherkenning. bijvoorbeeld in relatie tot buitenlandse studenten, waar de IND in het proces betrokken is. Maar ook in de relatie tot de 29

30 gemeente is er vaak sprake van elektronische diensten van de gemeente die ontsloten worden via eherkenning. eherkenning is dan ook direct toepasbaar, op de beperkte schaal van de nu beschikbare elektronische diensten. Daarbij is wel één kanttekening op zijn plaats: dat identificatie op het hoogste niveau plaatsvindt, te weten op het niveau van juridische entiteit / Bevoegd Gezag. Dat vraagt van onderwijsinstellingen die verschillende organisatorische entiteiten hebben onder de juridische entiteit, dat zij de interne mandateringsstructuur van bijvoorbeeld een Bestuur naar een Schooldirecteur via eherkenning vastleggen. Zou men eherkenning willen gebruiken om elektronische diensten te gaan ontsluiten, waarbij het BRIN-nummer wordt doorgegeven, dan moeten hiervoor aparte attributen worden vastgelegd. Dit vraagt maatwerkafspraken met eherkenning. Of eherkenning een aantrekkelijke kandidaat is om een pilot mee op te zetten, hangt mede af van de bereidheid van commerciële partijen in eherkenning om hierin stappen te willen zetten. Wat wel opvalt is dat er in het onderwijsveld een aantal specifiek voor één dienst ingerichte authenticatieoplossingen in het gebruik zijn ( stove-pipes ), met name in de dienstverlening van DUO. Stappen op één of meer van die stove-pipes zouden logische vervolgstappen kunnen zijn. 3.6 Samenvatting DigiD is vooral goed bruikbaar voor de toegang van leerlingen tot elektronische diensten van hun school en dan vooral als deze elektronische diensten centraal zijn geïmplementeerd, zodat de aansluiting op DigiD ook centraal kan worden geregeld. Voor de niet-bsn doelgroep zal er naast DigiD echter altijd een aanvullende authenticatiemogelijkheid moeten worden geboden. Dat geldt ook voor ouders, voogden en verzorgers. De school mag hun BSN niet verwerken, dus DigiD is daarvoor niet bruikbaar. DigiD Machtigen heeft naar verwachting nauwelijks praktische toepasbaarheid in het onderwijsveld. eherkenning is nu al op diverse manieren bruikbaar. Ten eerste voor de toegang voor personeel van onderwijsinstellingen in de toegang tot bestaande, via eherkenning ontsloten, overheidsdiensten. Hierbij kan worden gedacht aan enkele diensten van de IND (buitenlandse studenten), OmgevingsLoket Online (vooral vergunningen) en de overige gemeentelijke dienstverlening. Ten tweede kunnen partijen in het onderwijs de toegang van hun elektronische diensten voor specifieke functionarissen van onderwijsinstellingen gaan regelen via eherkenning. Dit als alternatief voor het zelf verzorgen van het gebruikersbeheer en beheer van authenticatiemiddelen voor zo n losstaande toepassing (van stove-pipe naar generieke authenticatie). Ten derde kan eherkenning gebruikt worden voor de authenticatie van en ondertekening door stagebedrijven, in het kader van het ondertekenen van stagecontracten en de elektronische communicatie rondom stages. 30

31 4 Nieuwe landelijke ontwikkeling: het eid-stelsel 4.1 Inleiding In dit hoofdstuk wordt in paragraaf 4.2 en 4.3 een inhoudelijke toelichting gegeven op een nieuwe ontwikkeling, het eid-stelsel. In paragraaf 4.4 worden de redenen genoemd waarom het eid-stelsel een interessante ontwikkeling is voor het onderwijsveld. In paragraaf 4.5 worden aandachtspunten benoemd, waarop de huidige situatie in het onderwijsveld niet goed aansluit op het eid-stelsel. Dit zijn evenzo vele bespreekpunten met het eid programma. In paragraaf 4.6 worden enkele overwegingen gegeven omtrent de kans dat het eid-stelsel serieus doorzet. In paragraaf 4.7 wordt tenslotte een samenvatting gegeven. Lezers met weinig tijd of die geen behoefte hebben aan inhoudelijke details verwijzen we door naar paragraaf eid-stelsel NL, wat is het? Het eid-stelsel beoogt, net zoals eherkenning, te komen tot een stelsel waarin zowel dienstverleners als dienstaanbieders worden bediend Net als eherkenning heeft het tot doel dat we afraken van de klassieke stove-pipes, waarbij elke dienst zijn eigen specifieke authenticatie inregelt, wat kostbaar en ineffectief is. Afbeelding 6 eid-stelsel maakt authenticatiemiddelen breed inzetbaar Het eid-stelsel is echter breder dan eherkenning. eherkenning is van huis uit opgezet als voorziening langs de as Overheid-Bedrijfsleven en vindt daar tot op de dag van vandaag zijn voornaamste toepassing. Het eid-stelsel beoogt ook het verkeer Overheid- Burger te integreren, alsmede Burger-Bedrijfsleven en Bedrijfsleven-Bedrijfsleven. De keuzevrijheid voor het in te zetten authenticatiemiddel wordt daarmee ook breder. DigiD wordt daarmee ook ingebracht. Noodzakelijkerwijs zal de koppeling van DigiD met het BSN daarmee ook worden losgelaten. 31

32 Afbeelding 7 Het eid-stelsel integreert onder meer DigiD en eherkenning Voor de ontwikkeling van het eid-stelsel is een programma in het leven geroepen in samenwerking tussen de Ministeries van BZK, Financiën en Economische Zaken alsmede de Rijksdienst Wegverkeer. In dat programma zijn twee sporen te onderkennen: Spoor1. Het ontwikkelen van het eid-stelsel zoals hierboven geschetst. Enigszins naar voorbeeld van eherkenning, maar breder, met name omdat o het gaat om de identificatie en authenticatie van burgers en bedrijven en omdat o er in het stelsel ruimte is voor diensten en voorzieningen van zowel private als publieke organisaties; Spoor 2. Het komen tot de uitgifte van een door de overheid uitgegeven authenticatiemiddel op het hoogste betrouwbaarheidsniveau, de zogenaamde DigiD-kaart; Hieronder zullen we ons vooral richten op de ontwikkeling van het eid-stelsel, niet zozeer de DigiD-kaart. 4.3 Werking van het eid-stelsel op hoofdlijnen Het eid-stelsel richt zich, analoog aan eherkenning, op de ontzorging van de dienstverlener, in het eid-stelsel de dienstaanbieder genoemd. Daarbij heeft het eid-stelsel, naast de aandacht voor de authenticatie ( Wie ben je? ) en de bevoegdheid ( Mag je dit? ), vanaf het fundament ook aandacht voor de onloochenbaarheid van de transactie, feitelijk de rol van ondertekening. In termen van het eid-stelsel praat men over de zekerheid van de associatie. De diensten van het eidstelsel zijn op dit niveau in de navolgende afbeelding weergegeven. 32

33 Afbeelding 8 Het eid-stelsel voor dienstaanbieders Intern werkt het eid-stelsel met vergelijkbare rollen als eherkenning. Men spreekt over eid-makelaars, Authenticatiediensten en Machtigingsdiensten. Rollen die door leveranciers van vertrouwensdiensten kunnen worden ingevuld. Deze leveranciers kunnen zowel publieke als private partijen zijn. Het eid-stelsel legt meer aandacht dan eherkenning op de verklaringen die in het Stelsel worden gecommuniceerd en die uiteindelijk de dienstaanbieder de gewenste zekerheid bieden. Daarbij worden de identiteitsverklaring, bevoegdheidsverklaring en attribuutverklaring onderscheiden in het webportaal-model. Afbeelding 9 Diensten en verklaringen in het eid-stelsel 33

34 Naast het webportaal-model kent het eid-stelsel ook een transactiemodel, waarin diverse verklaringen, samen met een te ondertekenen payload met elkaar worden verbonden, hetgeen resulteert in een soort digitale handtekening, de zogenaamde associatieverklaring. Het eid-stelsel levert, in tegenstelling tot eherkenning, een pseudo-id op aan de dienstaanbieder, die dat veelal zelf zal koppelen aan een identiteit in de eigen administratie (een relatienummer bijvoorbeeld). Het pseudo-id dat het eid-stelsel levert, is niet hetzelfde maar per dienstaanbieder verschillend. Afbeelding 10 Reduceren koppelbaarheid: verschillende pseudo-id's voor verschillende dienstaanbieders In sommige sectoren en ketens is het gewenst om eenvoudig te weten dat je het hebt over één en dezelfde persoon in de keten. Daarvoor kent het eid-stelsel het concept van het sectoraal koppelregister. Voor alle dienstaanbieders in die sector of keten, levert het eid-stelsel dan aan het sectorale koppelregister een pseudo-id, die wordt vertaald de sectorale identiteit. Afbeelding 11 Sectoraal koppelregister zorgt dat de gebruiker wordt geïdentificeerd met een sectorale identiteit Zo n sectoraal koppelregister zou in het geval van het onderwijsveld onderdeel kunnen worden van de nummervertaalvoorziening, zoals geïntroduceerd in hoofdstuk 2. Een onderdeel, want: 34