Privacy Impact Assessment. Introductieplateau eid Stelsel NL (versie 0.8) Status: Definitief. Versie: 1.0

Transcriptie

1 Privacy Impact Assessment Introductieplateau eid Stelsel NL (versie 0.8) Status: Definitief Versie: juli

2 Versiegeschiedenis Versie Versiedatum Opgesteld door Samenvatting van aanpassingen juni 2015 J.H. Matto 1 e Concept / werkdocument aan PIA begeleidingscommissie juli 2015 J.H. Matto Verwerking van diversie commentaren uit verschillende disciplines op versie juli 2015 J.H. Matto Samenstellen nadere rapportage en samenvatting juli 2015 J.H. Matto Laatste opmerkingen naar aanleiding van bespreking PIA begeleidingscommissie juli 2015 J.H. Matto Verwerking laatste correcties en aanvullingen Afstemming en Goedkeuring Dit document is voor consultatie voorgelegd aan: Naam Handtekening Functie Datum uitgave Versie Distributie Dit document is gedistribueerd naar: Naam Betreft Verzenddatum Versie Vaststelling en ondertekening van deze rapportage Deze rapportage is vastgesteld op vrijdag 31 juli Hoogachtend, M A Z A R S P A A R D E K O O P E R H O F F M A N N. V. Management Consultants J.H. Matto RE RI Partner-aandeelhouder 2

3 Inhoudsopgave 1. Inleiding Aanleiding en achtergrond PIA Introductieplateau eid Stelsel Doelstellingen, scope en aanpak van de PIA De verdere opbouw van de PIA en leeswijzer Samenvatting bevindingen en aanbevelingen PIA Inleiding Positionering PIA bevindingen in ontwikkelproces Introductieplateau eid Stelsel Management samenvatting PIA Introductieplateau eid Stelsel Doelstellingen van het Introductieplateau eid Stelsel Algemeen: privacy waarborgen in het ontwerp Introductieplateau eid Stelsel Samenvattende bevindingen PIA Introductieplateau eid Stelsel Noodzakelijkheid, proportionaliteit, subsidiariteit eid Stelsel Privacy principe: Verantwoording Bevindingen Conclusies Aanbevelingen Privacy Principe: Limiteren van het verzamelen van gegevens Bevindingen Conclusies Aanbevelingen Privacy principe: Doelbinding / Limitering gebruik gegevens Bevindingen Conclusies Aanbevelingen Privacy principe: Gegevenskwaliteit Bevindingen Conclusies Aanbevelingen Privacy principe Beveiliging van gegevens Bevindingen Conclusies Aanbevelingen Privacy principe Transparantie Bevindingen Aanbevelingen Privacy principe: Rechten van betrokkenen Bevindingen Conclusies Aanbevelingen Beschrijving Introductieplateau eid Stelsel / Idensys

4 3.1 Inleiding Doelstellingen van eid Stelsel Stakeholders bij het eid Stelsel Randvoorwaarden en ontwerpcriteria Introductieplateau Beschrijving werking van het Introductieplateau / Idensys Uitvoering PIA, bevindingen en aanbevelingen Bijlage I: Privacy Principes Bijlage II: Algemene privacy risico s Bijlage III: Mitigerende maatregelen uit Stelselrisicoanalyse

5 1. Inleiding 1.1 Aanleiding en achtergrond PIA Introductieplateau eid Stelsel Het ontwerp voor het Introductieplateau eid 1 voor Nederland bestaat uit een uniforme set van standaarden en afspraken voor geautoriseerde toegang tot digitale diensten. Dit kunnen diensten zijn van de publieke én de private sector. Het verlenen en afnemen van diensten binnen dit Stelsel gaat gepaard met het verzamelen en verder verwerken van persoonsgegevens door betrokken functionele partijen, teneinde personen te kunnen authenticeren. De term eid staat voor elektronische identiteit. Deze wordt gebruikt als een persoon online gegevens over zichzelf met een organisatie deelt. Gebruik van persoonsgegevens, waaronder door de overheid, vormt in veel gevallen een inperking van het grondrecht van bescherming van de persoonlijke levenssfeer 2. Uit dit gebruik kunnen risico s voor de persoonlijke levenssfeer (privacy) van de betrokkenen voortvloeien. Onzorgvuldigheid, onbetrouwbaarheid van gegevens, verlies van gegevens (data lekken), gegevens gebruiken voor een ander doel dan waarvoor ze zijn verkregen, kunnen een negatieve impact hebben op iemands sociaal en maatschappelijk welbevinden. Informatietechnologie en grootschalige digitale gegevensverwerkingen kunnen additionele (privacy) risico s introduceren die inherent zijn aan de inzet van deze technologie (de IT werkelijkheid), maar niet direct zichtbaar zijn op het niveau van het eindgebruik. Het is daarom van groot belang, dat tijdens de ontwerpfase van het eid Stelsel wordt geïnventariseerd welke privacy bedreigende risico s in het geding zijn. Ook zal moeten worden vastgesteld of de met het eid Stelsel gepaard gaande verwerking van persoonsgegevens werkelijk noodzakelijk is voor de te bereiken doelstellingen. Hierbij speelt zowel de vraag naar proportionaliteit (is de specifieke gegevensverwerking een bruikbaar middel om het doel te bereiken) als de subsidiariteit (zijn er geen minder privacy bedreigende alternatieven of waarborgen) van het eid Stelsel. Om deze vragen te kunnen beantwoorden heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) op verzoek van het Programmabureau eid aan Mazars verzocht om in een zo vroeg mogelijk stadium van het ontwerp van het Introductieplateau eid Stelsel een Privacy Impact Assessment (PIA) uit te voeren. 1.2 Doelstellingen, scope en aanpak van de PIA Doelstellingen van de PIA Een Privacy Impact Assessment (PIA) is een hulpmiddel bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden. Hiermee kunnen privacy risico s op een gestructureerde en heldere wijze in kaart worden gebracht. Een PIA is gedurende een ontwikkelproces iteratief en dynamisch van karakter. Het blijft per fase maatwerk. Door een PIA gedurende het ontwerpproces regelmatig uit te voeren, kunnen (nieuwe) risico s vroegtijdig worden ontdekt en wordt de bewustwording van risico s vergroot. Zo nodig kunnen richtinggevende aanbevelingen worden gedaan om privacy risico s te elimineren of te mitigeren. Deze PIA heeft betrekking op het Introductieplateau van het Nederlandse eid Stelsel versie De PIA is afgeleid van het PIA-toetsingsmodel dat specifiek op de Rijksdienst is gericht. Daarbij is ook gebruik gemaakt van de richtlijn van NOREA aangaande uitvoering van een PIA. Het toetsingsmodel is bedoeld voor toepassing op alle beleidsgebieden en binnen alle rechtsdomeinen. 1 Het eid Stelsel heet per juli 2015: Idensys 2 Zie artikel 10, leden 2 en 3 Grondwet, artikel 8 EVRM, artikel 8 EU-Grondrechtenhandvest). 3 Zoals nader gespecificeerd in de van het Ministerie van BZK verkregen ontwerpdocumentatie: Beschrijving van Idensys in het Introductieplateau versie 0.8, d.d.28 april 2015, Ontvangen aanvullingen op dit ontwerp mei 2015, Afsprakenstelsel eherkenning 1.9, 1 mei

6 Deze PIA is de derde PIA in het ontwerptraject van het eid Stelsel, dat inherent een functioneel veelzijdige en relatief complexe set aan standaarden en afspraken voor geautoriseerde toegang tot digitale diensten bevat. De op basis hiervan door de Deelnemers aan het eid Stelsel in te richten en te beheren ICTinfrastructuur is veelzijdig en complex. Te meer omdat het eid Stelsel dient aan te sluiten bij de eid ontwikkelingen op Europees niveau 4. Daarbij is besloten het Introductieplateau eid te baseren op de al bestaande architectuur en afsprakenstelsel van eherkenning aangevuld met Requests for Change, zodat ook de eigenschappen van al bestaande architectuur en RfC s meegenomen moeten worden in deze PIA. Het is de bedoeling dat de PIA gedurende het ontwikkel- en realisatieproces van het Introductieplateau en richting een uiteindelijk doel eid Stelsel wordt herhaald, aangescherpt en nader gedetailleerd. Ook na de verwachte realisatie van het Introductieplateau eid bestaat het voornemen om PIA s uit te voeren ter ondersteuning van veranderingen en optimalisaties. Deze PIA is ook een communicatiemiddel om tussen de verschillende bij het eid Stelsel betrokkenen bij het ontwikkelproces opgedane inzichten te kunnen delen, te kunnen verifiëren en zo nodig te optimaliseren. Deze PIA is uitgevoerd op een niveau dat past bij het huidige ontwikkelstadium van het Introductieplateau en is in beginsel bedoeld voor het ontwikkelteam van het eid, de projectverantwoordelijken en de stuurgroep. In dit stadium is het ontwerp Introductieplateau eid nog in beweging en naar verwachting zal ook na het lanceren van het Introductieplateau nog aanpassingen en optimalisaties worden gerealiseerd naar aanleiding van opgedane ervaringen en nieuwe doelstellingen. De PIA zal in een later stadium ook kunnen worden gebruikt om transparantie en draagvlak voor het Introductieplateau eid Stelsel bij de diverse stakeholders, zoals verantwoordelijke overheden, burgers, betrokken derden en belangenorganisaties te bevorderen. Uiteindelijk is het ook het voornemen van het Ministerie van BZK en EZ, om zowel het finale ontwerp eid stelsel als de aan dit Stelsel inherente verwerkingen van persoonsgegevens van de deelnemers op het voldoen aan privacywet- en regelgeving te laten certificeren. De PIA dient daarom ook bij te dragen aan het verder ontwikkelen van een normenkader voor een auditeerbaar eid afsprakenstelsel. 4 Zie hiervoor de voortgang en EU-initiatieven aangaande eidas, electronic identification and trustservice. 6

7 Scope van het Introductieplateau en deze PIA De uitvoering van de PIA is beperkt tot de verwerking van persoonsgegevens met de ondersteunende ICT-infrastructuur zoals geschetst in de ontwerpdocumentatie van het Introductieplateau eid Stelsel, versie Het betreft de verwerkingen van gegevens van personen binnen het kader van de doelstellingen van het Introductieplateau eid Stelsel. Deze verwerkingen betreffen specifiek in het Introductieplateau de functionele onderdelen: Het BSN Koppelregister; De Authenticatiedienst; eid makelaar. Persoonsgegevens die bij de functionele onderdelen van het eid stelsel worden verwerkt en/of uitgewisseld volgens de beschrijving Introductieplateau zijn 6 : Geslachtsnaam; Voornaam; Initialen, Geboortedatum; Geboorteplaats; Leeftijdsverificatie attributen; Andere vrij in te vullen attributen met een nog nader te bepalen doelstelling door Authenticatiediensten.. Maar ook persoonsgegevens welke inherent gebonden zijn aan de opzet en werking van het Introductieplateau worden verwerkt. Deze gegevens betreffen persoonsgegevens welke direct gekoppeld zijn aan de primaire functionaliteit van het Introductieplateau, namelijk het identificeren van individuen binnen zowel het publieke als het private domein. Dit betreft de volgende gegevens: Burger Service Nummer; Gegevens van Wettelijke Identificatie Documenten (onder meer WID-nummer, WID geldigheidsdata, NAW gegevens, overige persoonsgegevens van WID); Pseudo-identiteiten; Functionele attributen aangaande parameters voor user consent voor specifieke doeleinden; Identiteitsverklaringen, identiteitsbevestigingen (OK, NOK). Overige eid functionaliteit, zoals Attributendiensten, Machtigingsdiensten, Sector identiteitsdiensten, welke wel voorzien zijn in de nog nader uit te werken doelarchitectuur voor het eid Stelsel en ook al beschikbaar zijn binnen eherkenning, zijn uitdrukkelijk geen onderdeel van het Introductieplateau eid en maken derhalve ook geen onderdeel uit van deze PIA. Toch is in deze PIA hier op onderdelen wel aandacht aanbesteed omdat deze aanpak een duidelijke scheiding verondersteld tussen bestaande eherkenningsdiensten en de beperkingen die zijn opgelegd aan het Introductieplateau. Het vervolgens verwerken van persoonsgegevens in de back-office processen ten behoeve van te onderscheiden diensten door Dienstaanbieders valt buiten het bereik van het Introductieplateau eid en dus strikt genomen ook buiten de scope van deze PIA. De Dienstaanbieders zullen echter inherent aan het Introductieplateau eid, administratieve en verantwoordingsgegevens moeten verwerken welke eveneens persoonsgegevens bevatten. De Dienstaanbieders zijn zelfstandig verantwoordelijk voor de naleving van privacywet- en regelgeving voor de te onderscheiden diensten. Hoewel strikt genomen deze verwerkingen buiten de beschrijvingen en reikwijdte van het Introductieplateau eid vallen, wordt in deze PIA naar vermogen hier wel aandacht aan besteed. Binnen deze processen ontstaan reële privacyrisico s die het gehele eid Stelsel kunnen schaden. 5 De onderhavige ontwerp documentatie van het Introductieplateau eid Stelsel wordt nader gespecificeerd in par. 3.1 van dit rapport. 6 Beschrijving van Idensys in het Introductieplateau Versie 0.8, 28 april

8 De basis voor het Introductieplateau eid is de bestaande al operationele voorziening van eherkenning. eherkenning is echter tot nu toe uitsluitend gebruikt binnen het bedrijfsdomein. Het inzetten van eherkenning in het publieke en private domein én voor burgers en consumenten introduceert nieuwe en andere privacyrisicio s. Er is eerder geen PIA uitgevoerd op eherkenning. Deze PIA is evenmin een PIA op eherkenning. Deze PIA ziet toe op het voorliggende ontwerp van het Introductieplateau waaronder een basis ligt afkomstig uit eherkenning. Ook hier geldt dat binnen deze PIA naar vermogen eventuele privacy risico s die voortvloeien uit het gebruik van eherkenningsfaciliteiten aan de orde worden gesteld. Het Introductieplateau eid maakt gebruik van internettechnologie, internetproviders, ITsubcontractors en ook nog andere onderliggende technische systeemlagen. Op deze niveaus worden eveneens tot personen herleidbare gegevens gegenereerd. Denk hierbij aan IPadressen, locatiegegevens, gegevens als gevolg van tracking en profiling. Het betreft inmiddels bekende verschijnselen en dienen vanuit het perspectief van privacybescherming te worden onderkend. Deze onderwerpen vallen strikt genomen buiten de scope van het Introductieplateau eid en daarmee ook buiten de scope van deze PIA. De beschrijvingen hiervan zijn niet aanwezig in de documentatie van het Introductieplateau. Dit neemt niet weg, dat daar waar het gebruik van het Introductieplateau privacy risico s in onderliggende systeemlagen bij eid Dienstverleners en/of van Dienstaanbieders genereert en/of in onderliggende systeemlagen, dit kunnen zogenaamde third parties zijn (onderaannemers van deze betrokkenen), hier toch naar vermogen aandacht aan is besteed. Maar in deze zin is deze PIA op dit aspect nog steeds een high level PIA. Aanpak van de PIA De PIA is in periode mei - juli 2015 door Mazars conform de voorgestelde aanpak in het Model PIA Overheid uitgevoerd met ondersteuning van privacy en security experts. Tegelijkertijd zijn bij het toepassen van dit model de ervaringen met de PIA van de Nederlandse orde van IT-auditors (NOREA) in het bedrijfsleven als referentiekader meegenomen. Deze PIA op het Introductieplateau eid ontwerpversie 0.8 van 28 april 2015 borduurt voort op de eerder uitgevoerde PIA s op voorafgaande ontwerpen van het eid Stelsel, te weten: 1) Het ontwerp op hoofdlijnen eid Stelsel 1.0 van juli ) Introductieplateau eid Stelsel versie 0.9, van december 2014 De inzichten en bevindingen vanuit deze eerdere PIA s zijn voor zover van toepassing en relevant voor het huidige ontwerp van het Introductieplateau verwerkt in deze rapportage. Hiermee is tevens bereikt dat deze rapportage als zelfstandig document is te gebruiken. Voorafgaand aan de uitvoering van de PIA is de relevantie van het verwerken van persoonsgegevens en de daarmee gepaard gaande privacysignificantie (privacygevoeligheid van de persoonsgegevens) binnen het Introductieplateau eid Stelsel vastgesteld. In overleg met BZK en het Ministerie van Financiën (FIN) is de precieze scope voor de PIA bepaald. Daarbij is beslist over de in te zetten expertise, middelen en aanpak. De PIA is uitgevoerd op basis van de van BZK en FIN ontvangen ontwerpdocumentatie. Diverse malen is overleg gevoerd met functionarissen van de PIA begeleidingscommissie van de ministeries BZK en FIN, als ook andere deskundigen betrokken bij het ontwerp van het eid Stelsel. De bevindingen van het PIA onderzoek zijn voorgelegd aan functionarissen uit de begeleidingscommissie eid/pia, juridische medewerkers, beveiligingsdeskundigen en leden van het architectenteam eid. Op- en aanmerken die hieruit naar voren zijn gekomen zijn in deze finale rapportage verwerkt. 8

9 1.3 De verdere opbouw van de PIA en leeswijzer Nadere toelichting opbouw van de PIA In onze aanpak van de PIA zijn twee kijkrichtingen gehanteerd voor het object van onderzoek. Allereerst is het object van onderzoek beschouwd vanuit de algemene privacy principes. Algemene privacy principes zijn ontleend aan de actuele literatuur over privacy en bescherming persoonsgegevens. Deze algemene privacy principes zijn relevant voor elke verwerking van persoonsgegevens en dus ook voor de verwerkingen binnen het Introductieplateau eid Stelsel. In bijlage I is een nadere omschrijving van de algemene privacy principes opgenomen. Binnen de algemene privacy principes zijn de algemene privacy risico s onderkend. Ook de algemene privacy risico s zijn ontleend aan de relevante literatuur over privacy en gegevensbescherming. Het betreft risico s die relevant zijn voor alle soorten verwerkingen van persoonsgegevens en dus ook voor de verwerkingen binnen het Introductieplateau eid Stelsel. In bijlage II zijn de privacy risico s nader omschreven. De algemene privacy risico s zijn gespiegeld aan de eigenschappen van het Introductieplateau. Privacy principes en risico s staan onderling tot elkaar in relatie. Zij kunnen elkaar beïnvloeden, versterken, verzwakken en vertonen strijdigheden. Ter indicatie van deze afhankelijkheden hebben wij in de inleiding van hoofdstuk 4 een tabel opgenomen van deze onderlinge afhankelijkheden. De verdere detailuitwerking van onze bevindingen is in hoofdstuk 4 per privacy principe gegeven in een uitgebreid matrixoverzicht. Per principe is daarin vervolgens een analyse gegeven van de voor dat principe relevante privacy risico s op basis van het huidige ontwerp van Introductieplateau eid Stelsel. Hoofdstuk 4 geeft in detail een overzicht van bevindingen en aanbevelingen. Deze bevindingen en aanbevelingen zijn samengevat in hoofdstuk 2. Verdere opbouw van de PIA Deze PIA is verder als volgt opgebouwd. Hoofdstuk 2: management samenvatting gevolgd door een nader gespecifieerd overzicht van de uitkomsten van de PIA met per privacy principe gesignaleerde bevindingen, risico s, de impact ervan voor betrokkenen en de verantwoordelijken voor het Introductieplateau eid Stelsel en voor zover relevant met aanbevelingen. (Duidelijk is waar het goed gaat en op welke onderdelen het nog beter kan). Hoofdstuk 3: een beschrijving van het Introductieplateau eid Stelsel versie 0.8 met ontvangen aanvullingen, op hoofdlijnen, waaronder de ontwerpeisen, de uitwisseling van berichten tussen de componenten/rollen in het Introductieplateau eid Stelsel, het tot stand komen en het beschermen van pseudoniemen en de cryptografie van het Stelsel en overige privacybevorderende maatregelen. Hierbij wordt de werking van het Introductieplateau eid Stelsel geïllustreerd met behulp vanuit de documentatie overgenomen diagrammen en figuren. Hoofdstuk 4: een tabel met op het eid Stelsel aan privacy principes gerelateerde vragen vanuit het Model PIA Rijksoverheid met antwoorden op meer detailniveau. Waar relevant zijn privacy- of andere risico s gedetecteerd en worden aanbevelingen gedaan om deze risico s te elimineren of te mitigeren. Bijlage I: een informatief overzicht van de algemene privacy principes. Bijlage II: een informatief overzicht van relevante privacy risico s, waarnaar eerder in de bijlage I is verwezen. Bijlag III: een tabel met aanvullend voorziene mitigerende maatregelen naar aanleiding van een in juli 2015 uitgevoerde Stelselrisicoanalyse. 9

10 2. Samenvatting bevindingen en aanbevelingen PIA 2.1 Inleiding De opbouw van dit hoofdstuk is als volgt: Allereerst wordt in dit hoofdstuk de positionering van de PIA in het ontwikkelproces van het Introductieplateau eid Stelsel besproken en voorzien van een overall conclusie (paragraaf 2.2). Paragraaf 2.3 bevat de management samenvatting. Vervolgens wordt ingegaan op de algemene privacy waarborgen die met het Introductieplateau eid Stelsel worden beoogd. Aansluitend wordt kort ingegaan op de beginselen: noodzakelijkheid, proportionaliteit en subsidiariteit in relatie met het Introductieplateau eid Stelsel (paragraaf 2.3) Tenslotte komen per privacy principe de belangrijkste bevindingen en aanbevelen uit hoofdstuk 4 van deze PIA aan de orde. Zo veel mogelijk is bij het uitvoeren van de PIA het Model Rijksoverheid gebruikt in volgorde van de op de vragen gegeven antwoorden. Een aandachtspunt bij dit model is, dat de privacy principes niet afgebakend en gestructureerd per principe kunnen worden beoordeeld. Het resultaat hiervan is, dat dit op onderdelen tot herhalingen van bevindingen en elkaar overlappende aanbevelingen leidt. Deze bevindingen en aanbevelingen zijn daarom in deze samenvatting ontdubbeld en zo veel mogelijk naar privacy principe geordend. Aan het begin van hoofdstuk 4 is tevens een tabel opgenomen met een overzicht van mogelijke privacy risico s per privacy principe. 2.2 Positionering PIA bevindingen in ontwikkelproces Introductieplateau eid Stelsel Belangrijk voor de interpretatie van de bevindingen in deze rapportage is dat het object van onderzoek, het ontwerp Introductieplateau 0.8 van het eid Stelsel, onderdeel uitmaakt van een ontwerpproces. Het betreft een abstracte beschrijving van een nader te ontwikkelen en in te voeren systeem. Dit ontwerpproces moet op korte termijn leiden tot een finale beschrijving van het eid afsprakenstelsel voor het Introductieplateau. Een integrale beschrijving van het Introductieplateau eid was ten tijde van de uitvoering van de ze PIA nog niet beschikbaar. De eerste operationele pilots met het Introductieplateau staan gepland voor eind Ook tijdens de uitvoering van de PIA zijn, mede op basis ook van de tijdens de uitvoering van de PIA gerapporteerde bevindingen, door de stuurgroep nog aanvullende en compenserende maatregelen ontwikkeld. Deze zijn in deze rapportage verwerkt. Ondertussen wordt onderzocht hoe het eid Stelsel na de pilots verder kan worden ontwikkeld. Hiervoor is het project Doorontwikkeling in gesprek met partijen in het veld en met partijen die een beeld hebben bij het gewenste stelsel. Voorst zal bij de verder ontwikkeling gebruik worden gemakt van de pilots. Het Introductieplateau is bedoeld om de pilots van de grond te krijgen, de werking ervan aan te tonen en ervaringen op te doen. De hiermee opgedane inzichten worden vervolgens gebruikt om het eid Stelsel te optimaliseren ten behoeve van komende versies 2.0 en hoger. Bij deze ontwikkeling wordt tevens gebruik gemaakt van de inzichten, zoals die zijn beschreven in het eid Stelsel 2.0 van november Het introductieplateau kent niet alleen begrenzingen in functionaliteit, maar ook in gebruiksschaal en toepassingskring. De privacy risico s en de mogelijke gevolgen daarvan worden hiermee enigszins beperkt. In deze PIA is een aantal risico s onderkend welke ook bij een relatief kleinschalig gebruik relevant zijn en waarvoor aanvullende mitigerende maatregelen overwogen dienen te worden dan wel op onderdelen noodzakelijk zijn. De bevindingen in deze PIA dienen uitdrukkelijk bezien te worden binnen de begrensde functionaliteit voorzien in het voorliggende ontwerp Introductieplateau versie 0.8 Bij een verdergaand gebruik van het eid Stelsel dan bedoelt binnen de begrenzingen van het Introductieplateau en de doelstellingen van de pilots, dienen andere risicoafwegingen te worden 10

11 gemaakt en zullen de daarbij behorende maatregelen moeten worden aangescherpt of nader worden bepaald. In deze rapportage staan bevindingen en aanbevelingen die in vervolgontwerpen nader geadresseerd of anderszins ondervangen kunnen worden. Het komt voor dat risico s die in deze PIA zijn onderkend in het huidige ontwerp Introductieplateau nog niet in de technische architectuur ondervangen (kunnen) worden, maar wel door aanvullende juridische of andere procedurele afspraken gemitigeerd kunnen worden, die nu nog niet in de stelselafspraken zijn voorzien. Bij vervolgontwerpen kunnen deze procedurele maatregelen mogelijk vervangen worden door sterkere technische privacy bevorderende maatregelen. In deze rapportage, en eigenlijk inherent aan elk assessment, worden bevindingen gemaakt die wellicht kritisch kunnen overkomen. Deze bevindingen moeten geplaatst worden tegen het huidige stadium van het ontwerp en zijn bedoeld om zo mogelijk richting te geven aan verdere optimalisaties en doorontwikkeling. 2.3 Management samenvatting PIA Introductieplateau eid Stelsel De conclusie van deze PIA is dat in de beschrijvingen van het Introductieplateau eid en het Afspraken Stelsel uitdrukkelijk aandacht is besteed aan technische en procedurele maatregelen waarmee de privacybescherming van burgers en consumenten zijn bevorderd. Het programma heeft, ook op dit punt, het maximale gedaan om de privacy van gebruikers te beschermen. Hierbij is binnen de gestelde tijdsgrenzen een haalbaar systeemconcept neergezet. De PIA onderkent tegelijkertijd en onvermijdelijk een aantal resterende risico s aangaande de privacybescherming binnen het Introductieplateau eid. Het verdient aanbeveling om op deze risico s een aantal aanvullende procedurele maatregelen te treffen voor het Introductieplateau eid. Het zijn voor het Introductieplateau eid uitdrukkelijk procedurele maatregelen en geen aanvullende technische maatregelen. Het verdient ook aanbeveling om de lancering van het Introductieplateau eid te gebruiken om op basis van concrete ervaringen en systeemgebruik de onderkende resterende privacy risico s verder te valideren en in de vervolgfase na het Introductieplateau eid nadere (zo mogelijk ook technische) maatregelen te ontwikkelen ten behoeve van de verdere realisatie van een volwaardig en breder ingezet eid Stelsel in vervolg op het Introductieplateau. De belangrijkste binnen deze PIA onderkende privacy risico en eventueel bijbehorende aanbevelingen zijn: 1) Het gebruik van BSN binnen het Private domein vereist aanpassingen in wet- en regelgeving. Deze aanpassingen zijn voorzien per 1 oktober 2015, maar bij het schrijven van deze PIA formeel nog niet afgerond en door het parlement bekrachtigd; 2) Risico s van het verwerken van metadata (loggings, audittrails etc), inzet van third party services en inherente risico s die kleven aan het gebruik van internettechnologie, vereisen nadere aandacht zodat deze risico s ook vanuit privacy en security oogpunt worden beheerst. Het verdient aanbeveling om in de regulering, toezicht en audit hier aandacht voor te vragen en normatieve eisen te stellen. De eid deelnemers zouden op deze onderwerpen betrekking hebbende beheersdoelstellingen periodiek geauditeerd moeten worden. Het verdient aanbeveling dat het programma dit samen met de toezichthouder in 2016 verder operationaliseert. 3) Bij de Authenticatie Diensten ontstaan onvermijdelijk cumulaties van gevoelige verzamelingen van persoonsgegevens, zogenaamde hotspots. Er is hier uitdrukkelijk binnen het programma aandacht aan besteed en er zijn maatregelen getroffen. Maar: het verschijnsel is wel inherent aan elk eid Stelsel en er is geen maatregel denkbaar die dit voor 100% mitigeert. Het is daarom op korte termijn naar het oordeel van de onderzoeker nu niet verder te mitigeren in technologie als het (technologisch) al volledig te mitigeren is. Er zijn echter in regulering, toezicht en handhaving extra maatregelen denkbaar, welke in het introductieplateau kunnen worden meegenomen. De risico s zijn gezien de schaal en toepassing van het Introductieplateau initieel nog relatief beperkt, maar bij een verdergaand gebruik worden deze risico s groter. Het advies is om dit in de evaluatie mee te nemen en in het traject na het Introductieplateau eid op basis hiervan nadere maatregelen te nemen. 11

12 4) Er is een aantal specifieke privacy vraagstukken aangaande het bewaren van gegevens en het privacy principe van dataminimalisatie. Bijvoorbeeld als er zeer gevoelige stigmatiserende persoonsgegevens ontstaan als gevolg van het gebruik van het systeem. Het verdient aanbeveling om dit vraagstuk in de evaluatie mee te nemen en na evaluatie eventueel de governance hierop aan te passen. Dit vervolgens ook meenemen in normen voor uitvoering van audits bij de deelnemers. Het verdient aanbeveling om in het Introductieplateau eid, toepassingen waarmee mogelijk zeer gevoelige persoonsgegevens worden verwerkt, niet zonder meer toe te laten of aanvullende eisen te formuleren. Daarom zou dit punt in de evaluatie moeten worden meegenomen ten einde in het vervolg op het Introductieplateau eid nadere maatregelen te kunnen gaan ontwikkelen. 5) De bewaarplicht van 7 jaar vanuit eherkenning lijkt een overerving vanuit een financieel administratieve toepassing. Suggestie is om dit na het Introductieplateau eid verder te differentiëren naar toepassingsgebied en de bewaartermijnen zover mogelijk te minimaliseren, zeker voor meer gevoelige persoonsgegevens. Hierbij moet rekening worden gehouden met specifieke kwetsbare groepen (kinderen, ex-gedetineerden, zieken, etc.). Samenloop van rollen van eid Deelnemers en mogelijk zelfs ook samenloop van rollen van eid deelnemers en eid Dienstaanbieders vergroot het risico s op verwerking van ongewenste combinaties van persoonsgegevens, ontstaan van ongelimiteerde verzamelingen van persoonsgegevens, zogenaamde hotspots. Ook vergroot deze ongewenste samenloop van rollen meer specifiek de risico s van: profiling en function creep. Het verdient aanbeveling om in de governance ongewenste samenloop van rollen (functiescheidingen) van eid deelnemers te gaan reguleren. In het bijzonder is daarbij aandacht nodig voor de risico s van profiling en function creep: aanwending van persoonsgegevens voor een ander doel dan is vastgesteld voor het specifieke doel, en behorend bij de specifieke rol, van een eid Deelnemer. Dit kan mede bereikt worden door standaard strak begrensde doelbindingsafspraken op te stellen. Een andere noodzakelijke aanvullende maatregel is vervolgens om periodieke privacy audits uit te voeren bij eid Deelnemers waarbij naleving van deze privacy principes en beheersing van privacy risico s worden getoetst. Het hanteren van een generiek normenkader is daarbij essentieel en dient nog opgesteld te worden. Dit zal in overleg met de Toezichthouder verder moeten worden uitgewerkt in ) Voortvloeiend uit het bovenstaande is het dan ook nodig om het toetreden van Dienstaanbieders te reguleren ten einde ongewenste cumulaties van verzamelingen van persoonsgegevens te beperken en/of verwerkingen van zeer gevoelige gegevens in het Introductieplateau eid tegen te gaan. In het huidige afsprakenstelsel zijn nog geen aansluiteisen geformuleerd voor Dienstaanbieders. Het verdient aanbeveling om dit wel te reguleren en normatieve eisen te stellen aan de Dienstaanbieders. Deze mitigerende maatregel is overgenomen binnen het Programma eid en wordt verder uitgewerkt. De voorstellen die het Programmabureau op dit opstelt worden in het Introductieplateau eid meegenomen. 7) In aanvulling op bovenstaande risico s en als gevolg van ongewenste samenloop van rollen en het doorbreken van functiescheidingen, is een ander maar vergelijkbaar risico dat het Introductieplateau eid is gebaseerd op een beperkte functionaliteit met bij behorende beperkingen in privacy risico s. Functies als machtigingsdiensten en attributendiensten zijn geen onderdeel van het Introductieplateau eid. De basis voor het Introductieplateau eid is echter eherkenning en de eherkenningsdienstverleners treden toe tot het Introductieplateau. eherkenning kent wel de functionaliteit van machtigings- en attributendiensten. Dit vereist dat er bij de eherkenningsdienstverleners dus scheidingen of segmenteringen moeten zijn aangebracht tussen deze twee vormen van dienstverlening en de onderliggende gegevensverwerkingen en technische systemen. Deze omstandigheden vereisen nadere regulering en toetsing van de scheiding (Chinese muren) van deze twee vormen van dienstverlening binnen één organisatie en systeem. Deze mitigerende maatregel is inmiddels opgepakt en wordt verder uitgewerkt. De voorstellen die het Programmabureau op dit punt ontwikkelt, worden in het Introductieplateau eid meegenomen. 8) Het Introductieplateau voorziet in de functionaliteit dat Authenticatiediensten vrij attributen kunnen toevoegen aan de verwerking van eid gerelateerde persoonsgegevens en deze attributen kunnen meeleveren aan Dienstverleners. Dit verschijnsel speelt overigens buiten het BSN-domein. Ook voor de verwerking van vrije attributen, zijnde persoonsgegevens, geldt dat de impact op de privacy telkens afgewogen moet worden. Dit is niet voorzien binnen het Introductieplateau. Bijkomend gevaar is dat de vrije attributen de risico s van 12

13 herleidbaarheid van gegevens, profiling en function creep nadelig kunnen beïnvloeden. De toepassing van vrije attributen vereist nadere regulering en toetsing, en met de middelenleveranciers moet worden afgesproken dat dit niet gebeurt. Deze mitigerende maatregel wordt in het Introductieplateau eid meegenomen. 9) In het publieke deel, of beter gezegd in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisatie. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn. Vanuit privacyoptiek is het BSN-Koppelregister een gevoelige verwerking van persoonsgegevens (hotspot). Dit verschijnsel is door het programma onderkend en er wordt voor het begin van 2016 een actie geformuleerd in overleg met de Toezichthouder. 10) Het operationaliseren van een Introductieplateau eid met beperkte functionaliteit en een beperking in het toepassingsgebied brengt het risico met zich mee dat dit Introductieplateau eid sluipenderwijs gebruikt gaat worden voor een breder doel en dienstenpakket dan nu beoogd is. Deze vorm van function creep vereist scherpe bewaking en toetsing bij betrokken overheidsdiensten én marktpartijen. Doorontwikkeling en optimalisatie van het eid Stelsel na het Introductieplateau eid is voorzien maar is ook essentieel om een breed en robuust eid Stelsel te kunnen realiseren en handhaven. Dit moet met de Toezichthouder worden besproken. 11) Maatregelen aangaande fraudedetectie, interne controle maatregelen gericht op het verhogen van de datakwaliteit bij eid deelnemers en BSN-koppelregister zijn nog niet gedefinieerd. Deze maatregelen zullen er ongetwijfeld wel zijn of komen. Aangezien deze maatregelen per definitie privacy onvriendelijk zijn, verdient het aanbeveling om deze normatief te benoemen en te reguleren. Het risico is dat er niet-transparante verwerkingen van persoonsgegevens plaatsvinden hetgeen niet is toegestaan. Toetsing middels privacyaudits van de naleving hiervan is eveneens essentieel. Het advies is om dit voorstel tot maatregelen in de evaluatie mee te nemen en in het traject na het Introductieplateau eid verder vorm te geven. 12) Opsporing door Openbaar Ministerie en politiediensten zijn niet gereguleerd binnen het Afsprakenstelsel en er zijn ook geen specifieke voorzieningen voor getroffen in de ontwerpdocumentatie. Op zich is vanuit de bestaande wet- en regelgeving de toegang voor deze doeleinden al voorzien. Het verdient echter aanbeveling om deze toegang tot Persoonsgegevens in de toekomst wel te gaan onderkennen en normatieve procedurele afspraken te maken over de omgang, afwikkeling en communicatie hierover. Het verdient ook aanbeveling om in het vervolg op het Introductieplateau eid uniforme afspraken vast te leggen over de communicatie over aantallen in dit kader gedane verzoeken tot gegevensverstrekking. Vanuit privacy optiek is transparantie daarbij een leidend principe. Ten slotte willen wij erop wijzen dat communicatie over de privacymaatregelen en risico s en de regulering daaromtrent cruciaal is voor de acceptatie van het gehele Introductieplateau eid bij de brede groep van stakeholders en mede bepalend is voor het succes van het gehele Introductieplateau eid. Dit is een belangrijk aandachtpunt voor het eid Programmabureau. Voor de verdere uitwerking van bevindingen en aanbevelingen verwijzen wij naar de volgende paragrafen in dit hoofdstuk. In de matrix, opgenomen in hoofdstuk 4, zijn alle bevindingen en aanbevelingen van deze PIA in detail beschreven en toegelicht. 2.4 Doelstellingen van het Introductieplateau eid Stelsel De doelstellingen van het Introductieplateau eid Stelsel zijn: het van de grond krijgen van beperkte pilots als een eerste stap in de realisatie van een uiteindelijk volwassen, volledig en vanuit het perspectief van privacybescherming van individuen (users) robuust eid Stelsel binnen Nederland; het realiseren dat natuurlijke personen op een betrouwbare manier voorzien kunnen worden van een digitale identiteit en Authenticatiemiddelen waarmee veilig kan worden ingelogd; bruikbaar voor individuen in het publieke en private domein (in de rol van burger en/of consument); realisatie via een publiek/private samenwerking (overheid en IT sector); daarbij gebruikmakend van technisch bewezen en bestaande middelen (i.c. eherkenning); 13

14 de uitkomsten van de pilots in het kader van het Introductieplateau gebruikt kunnen worden om het afsprakenstelsel eid te vervolmaken en in het bijzonder daarmee ook de privacybescherming verder te bevorderen. 2.5 Algemeen: privacy waarborgen in het ontwerp Introductieplateau eid Stelsel Inherent aan een eid Stelsel is, dat Dienstaanbieders onder omstandigheden waarin dit noodzakelijk is voor hun dienstverlening, de identiteit en authenticiteit van Gebruikers wensen vast te stellen. Onmiskenbaar staat in de doelstellingen van het eid Stelsel en het ontwerp eid Stelsel voorop, dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Economische Zaken in het ontwerp van het eid Stelsel de persoonlijke levenssfeer (privacy) van Gebruikers met waarborgen wensen te omgeven. Dit blijkt uit de ontwerpeisen die bij de totstandkoming van het eid Stelsel leidend zijn: Ontkoppelen en ontzorgen van de Dienstaanbieder; Waarborgen privacy; Marktwerking mogelijk maken; Gebruikersgemak bevorderen; Identiteitsfraude tegengaan. Dit blijkt ook, uit de wens tot het uitvoeren van deze PIA en de intentie om de PIA structureel in de volgende ontwerp fasen te continueren. In het ontwerp Introductieplateau is bij de ontwerpeisen aandacht besteed aan de privacybeginselen: dataminimalisatie en in zekere mate ook privacy by design. Er is ook aandacht voor het zelfbeschikkingsrecht van Gebruikers. Een Gebruiker wordt in staat gesteld om naar elke Dienstaanbieder een andere identiteit (pseudoniem) kenbaar te maken en kan daarmee zijn digitale privacy behouden. Een Dienstaanbieder kan alleen op basis van doelbinding autorisatie aanvragen om (sommige) gegevens te kunnen ontvangen. De gegevens worden pas verstrekt nadat de gebruiker hiervoor toestemming heeft verleend. Het uitgangspunt daarbij is dat iemand in de digitale wereld zelf moet kunnen bepalen wie welke informatie over hem krijgt en er moet voorkomen worden dat hij te maken krijgt met willekeurige of onwettige inmenging in zijn privéleven. In die zin wenst de overheid zorgvuldig om te gaan met persoonsgegevens, zoals dit ook verankerd is in de Wet bescherming persoonsgegevens (Wbp). Een PseudoID is een nummer dat de afnemer van een dienst identificeert en dat door een Authenticatiedienst aan een Dienstaanbieder wordt verstrekt. Binnen het domein van alle Authenticatiediensten is elke PseudoID uniek en is gekoppeld aan één bepaalde Dienstaanbieder. Elke Dienstaanbieder ontvangt een PseudoID dat speciaal aan hem is gericht. Hierdoor kunnen verschillende Dienstaanbieders de ontvangen PseudoID s van eenzelfde persoon niet vergelijken of koppelen. Deze PseudoID s zijn persistent: iedere volgende authenticatie ten behoeve van dezelfde Dienstaanbieder levert dezelfde PseudoID op. De Dienstaanbieder zal echter in veel gevallen dat PseudoID willen koppelen aan het administratieve nummer waaronder de persoon bij de Dienstaanbieder bekend staat (het eigen interne klantnummer). De Gebruiker moet daarvoor toestemming geven en zet met zijn Authenticatiemiddel een eenmalig koppelproces in gang. Voor het kunnen inloggen in het BSN-domein door een Gebruiker (=Burger) is een voorziening nodig om via de publiek-private samenwerking het gebruik van BSN in het private domein mogelijk te maken. Er moet een betrouwbare koppeling gelegd worden tussen privaatmiddel en het BSN van een persoon. Hiermee moet de uniciteit en de betrouwbaarheid van digitale identiteiten (PseudoIDs) geborgd worden. De voorziening hiertoe binnen het Introductieplateau heet het BSN Koppelregister. Naast het leggen van de koppeling tussen Authenticatiemiddel en BSN bij de eerste registratie van een Gebruiker wordt het BSN-koppelregister ook als validatie instrument gebruikt bij iedere transactie. Dit is een belangrijke kwaliteit verhogende maatregel voor bescherming van misbruik van identiteiten en daarmee ook een privacy bevorderende maatregel. Deze maatregel bestaat niet voor het inloggen in het private domein. In de ontwerpdocumentatie is dan ook als belangrijk risico aangegeven dat de kwaliteit van de bootstrapping procedure, waarbij een Gebruiker bij een Authenticatiedienst een eerste maal wordt geregistreerd een kritisch moment is in het uitreiken van een Authenticatiemiddel en Pseudo-identiteit en ook bij de bootstrapping procedure bij private Dienstaanbieders waar een eerste maal een koppeling dient te worden gemaakt tussen een PseudoID van de Gebruiker en de klantgegevens aanwezig bij de private Dienstaanbieder. 14

15 2.6 Samenvattende bevindingen PIA Introductieplateau eid Stelsel In deze paragraaf en de hierop volgende paragrafen in dit hoofdstuk geven wij een overzicht van de belangrijkste bevindingen en conclusies uit deze PIA. Voor de detail bevindingen verwijzen wij naar Hoofdstuk 4 van deze rapportage. Het ontwerp van het introductieplateau voor het eid Stelsel versie 0.8 is een vervolg op en verdere concretisering van de eerder door de Stuurgroep eid ontwikkelde ontwerpen voor het Introductieplateau eid Stelsel. Veel van de inzichten, onderkende risico s en bevindingen van de eerder uitgevoerde PIAs op deze ontwerpen zijn echter nog steeds relevant. Het is de beperking in de scope en schaal van het Introductieniveau versie 0.8 en het gebruik van het eherkenning Afsprakenstelsel als onderlegger dat het ontwerp een stuk concreter maakt dan de vorige Stelselontwerpen. De wijze waarop het ontwerp van het Introductieplateau echter nu is opgesteld en de verschillende abstractieniveaus van de diverse ontwerpdocumenten maakt één en ander wat echter minder goed toegankelijk dan bijvoorbeeld bij het eid Stelselontwerp versie 1.0. het geval was. Ten einde de voortgang en afwegingen die gemaakt zijn bij het opzetten van het nu voorliggende ontwerp Introductieplateau eid vanuit privacy perspectief zichtbaar te maken hebben wij, in deze samenvatting de actuele bevindingen ook gespiegeld aan dit eerdere ontwerp. Lager risicoprofiel door reductie in functionaliteit Onze overall conclusie is dat het Introductieplateau eid Stelsel versie 0.8, gebaseerd op de bestaande eherkenningsarchitectuur, ten opzichte van het initiële ontwerp eid Stelsel 1.0 (april 2014) en het latere eerste ontwerp van het Introductieplateau eid van december 2014, door het aanzienlijk reduceren van de beoogde functionaliteit en het beperken van de initiële gebruiksschaal gedurende de pilots, vanuit privacy perspectief een lager en meer overzichtelijk risicoprofiel heeft. Er worden binnen het Introductieplateau minder persoonsgegevens verwerkt dan bij de eerder voorgenomen ontwerpen. Bovendien zijn veel van de onduidelijkheden welke bij de eerder uitgevoerde PIAs op de eid ontwerpen aangaande toezicht nog bestonden nu weggenomen. De eerder beschreven risico s van function creep kunnen dit echter weer ondermijnen, waarvoor dus de nodige aanbevelingen zijn gedaan. Resterende privacy risico s waarvoor nadere maatregelen worden geadviseerd Wel resteren er nog een aantal specifieke privacyrisico s en zijn er ook nieuwe privacyrisico s binnen het Introductieplateau die aandacht vereisen en waartoe wij ook dringend adviseren om ten behoeve van de pilotperiode specifieke en aanvullende governance en procedurele maatregelen te treffen, in het bijzonder aangaande toetsing en de handhaving. De eerder genoemde nog bestaande en nieuwe privacy risico s komen vooral voort uit de inzet van eherkenningsdiensten, die initieel uitsluitend voor bedrijven waren bedoeld, nu ook ingezet worden in het consumenten- en burgerdomein. De hieraan gerelateerde privacy risico s worden verderop in deze rapportage uitgewerkt en toegelicht. Gebruik pilotperiode om technische en preventief en detectief gerichte maatregelen nader te ontwerpen Inherent aan de karakteristieken van digitale identiteitensystemen zijn er veelal beperkingen in de mogelijkheden om de gevolgen van gecompromitteerde digitale identiteiten terug te draaien. In het huidige ontwerp zijn weliswaar al preventieve technische maatregelen voorzien op Stelselniveau. Echter op het niveau van eid Deelnemers is het wenselijk om naarmate het gebruik toeneemt deze preventieve, zo mogelijk technisch ondersteunde voorzieningen nader uit te werken en normatief voor te schrijven. Wij adviseren om de pilotperiode te gebruiken om maatregelen te ontwerpen om compromittering van identiteiten (waaronder fraude) zo vroeg mogelijk te detecteren en om zogenaamde post-issue scenario s uit te werken ter bestrijding van de gevolgen van compromittering van digitale identiteiten en eventuele andere tot personen te herleiden attributen. Voorts bevelen wij aan de inzichten die met de pilots zullen worden opgedaan, te gebruiken om aanvullende technische en preventief gerichte maatregelen te onderzoeken en te ontwerpen 15

16 voor latere toevoeging aan het Introductieplateau. Het ontwerp Introductieplateau is vanuit privacyoptiek onvoldoende geschikt om te dienen als eindplaatje voor het uiteindelijk te realiseren volwassen eid Stelsel. Een reëel gevaar dat wij zien is dat indien het Introductieplateau als pilot in gebruik wordt genomen de impulsen ontbreken om verder te innoveren en door te ontwikkelen naar een volwassen en robuust eid Stelsel. Informatiebeveiliging verwerking van persoonsgegevens Vanuit privacy perspectief is de informatiebeveiliging van gegevensverwerking van vitaal belang. Binnen het huidige afsprakenstelsel is voorzien dat de eid Deelnemers zich conformeren aan de ISO27001 informatiebeveiligingsnormen en dat zij hierop periodiek worden gecontroleerd. In de huidige ontwerpfase is het proces voor het ontwikkelen van de specifieke privacy gerelateerde normen nog gaande. Belangrijk is te onderkennen dat de ISO27001 normen, zoals zoveel IT governance normen, een sterke focus hebben op het management proces aangaande informatiebeveiliging. Deze normen geven weinig of geen aanwijzingen voor specifiek te treffen technische beveiligingsmaatregelen. Het gevaar bestaat en de ervaring leert dat een IT audit in het kader van ISO27001 meer een oordeel geeft over het management proces en procedures aangaande informatiebeveiliging dan over de veiligheid van de IT systemen waarbinnen de informatieverwerkingen plaatsvinden, de IT werkelijkheid. Belangrijk is te onderkennen dat vanuit privacyoptiek en gegeven de aard van digitale identiteitssystemen het vooral gaat om de gerealiseerde veiligheid in de IT werkelijkheid en de transparantie daarover. Het gaat om de veiligheid van de persoonsgegevens vanuit het belang van de geregistreerden. Het gaat hier niet (alleen) om het afleggen van verantwoording over management processen en over de compliance van deze processen door de verantwoordelijke organisaties (ic aansprakelijkheid). Het verdient aanbeveling om bij de verdere normontwikkeling aangaande privacy gerelateerde informatiebeveiliging nadere normen te definiëren voor de te realiseren veiligheid in de IT werkelijkheid en de wijze waarop deze geauditeerd moeten worden. Hierbij dient ook aandacht te worden besteed of voldoende maatregelen zijn geïmplementeerd bij de eid Deelnemers aangaande Privacy by Design en de toepassing van Privacy Enhancing Technologies. Privacymaatregelen binnen het Introductieplateau eid De basis voor het Introductieplateau eid Stelsel is het bestaande afsprakenstelsel eherkenning. eherkenning is het digitale identiteitensysteem voor toepassing door bedrijven. eherkenning is initieel niet ontworpen voor het gebruik binnen het burger- en consumentendomein. Door het gebruik binnen het burger- en consumentendomein ontstaan er specifieke privacyrisico s. Het introductieplateau voorziet in een aantal privacy bevorderende maatregelen ten opzichte van de bestaande eherkenningsarchitectuur die deze risico s beperken. Deze maatregelen omvatten: gebruik van Pseudo-identiteiten toekenning van Pseudo-identiteit per dienstaanbieder ter bestrijding van data deluge effecten (dienstaanbieders kunnen niet eenvoudig op basis van Pseudo-identiteiten gegevens aan elkaar linken) beperkingen in het gebruik en vastlegging van BSN binnen het private domein, i.c. bij de Authenticatiedienst end-to-end encryptie in de identiteitsketen, waarbij de encryptietechnologie borgt dat per identiteitsverificatiesessie Pseudo-identiteiten telkens een andere versleuteling kennen. Tracking- en profilingrisico s in onderliggende netwerklagen op basis van Pseudoidentiteiten zijn hiermee geminimaliseerd functionaliteiten voor (optioneel) toepassen van user consent bij dienstaanbieders functionaliteit voor reductie uitwisselen van persoons- en identiteitsgegevens bij bijvoorbeeld leeftijdsverificaeundtie, mits de dienstaanbieder dit functioneel ondersteund keuzevrijheid in eid Makelaar en/of Authenticatiedienst en mogelijkheid om te veranderen van eid Makelaar en/of Authenticatiedienst (ook marktwerking) functionaliteit om identiteitsverklaringen niet langs internetbrowsers te sturen. 16

17 Risico s van zogenaamde Hotspots van persoonsgegevens Inherent aan het ontwerp, hergebruik van de genoemde bestaande middelen, i.c bestaande eherkenning architectuur, is er sprake van het ontstaan van een cumulatie van gevoelige tot zeer gevoelige en hoewel in de documentatie niet duidelijk onderkent, naar verwachting ook stigmatiserende persoonsgegevens op het niveau van Authenticatiediensten en BSN Koppelregister. In privacy jargon worden dit hotspots genoemd. In het publieke deel, of betergezegd in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisatie. De Pseudo-identiteiten zijn persistent. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn. Vanuit privacyoptiek is dit een uiterst gevoelige verwerking van persoonsgegevens. Immers het websitebezoek kan dusdanig gevoelige persoonsgegevens genereren dat sprake kan zijn van stigmatiserende persoonsgegevens. Het eid Stelsel zal bijvoorbeeld ook gebruikt gaan worden door burgers voor het bezoek van sites aangaande medische gegevens, strafrechtelijke zaken, werk- en inkomen, et cetera. Het eid Stelsel kent hierin geen beperkingen. De gevoeligheid zal groter worden naarmate het gebruik van het eid Stelsel in de tijd toeneemt en het ook intensiever wordt gebruikt. De waarde van deze gegevensverzameling zal in de tijd groeien. Het is daarom essentieel dat de beveiliging van deze gegevensverzamelingen zeer sterk is. Inmiddels is een risicoanalyse vanuit informatiebeveiligingsperspectief uitgevoerd in opdracht van de eid Stuurgroep (rapport van PWC) en is ook vanuit dat perspectief een hoog risico geïdentificeerd voor deze gegevensverwerking. Het verdient aanbeveling bij het ontwerp van beveiligingsmaatregelen aangaande het BSN Koppelregister gedurende de pilots van het Introductieplateau te gebruiken om zeer sterke informatiebeveiligingsmaatregelen te ontwerpen. Het toepassen van Privacy Enhancing Technologies en Privacy by Design horen thuis als maatregelen rond dergelijke hotspots, zeker naarmate het gebruik van het eid Stelsel een groter succes wordt. Deze maatregelen moeten gebruik buiten de doelstelling van de verwerking tegengaan of beter, voorkomen. Denk hierbij aan misbruik voor profiling, tracking of ander ongewenst gebruik van deze gegevens. Compromittering van het BSN-koppelregister zal vanuit privacyperspectief het vertrouwen in het gehele eid Stelsel ernstig ondermijnen. Dergelijke maatregelen zijn maar beperkt beschreven in het ontwerp Introductieplateau. Een vergelijkbaar risico van een cumulatie van persoonsgegevens gaat plaatsvinden bij de Authenticatiediensten. Bij de Authenticatiediensten geldt dat van elke inlogactie de Pseudoidentiteiten van burgers en consumenten worden vastgelegd te samen met de digitale identiteiten van de websites van bezochte dienstverleners. Ook hier gelden dezelfde risico s van een hotspot aan persoonsgegevens. Een Authenticatiedienst kan dus zien welke consument bij welke private dienstaanbieder heeft ingelogd en ook welke burger bij welke overheidsdienstaanbieder. Deze cumulatie van persoonsgegevens kan tot uiterst gevoelige gegevensverwerkingen leiden. De gevoeligheid zal verder toenemen naarmate ook het gebruik van de zogenaamde vrije attributen toeneemt. Het is nu nog niet gereguleerd welke persoonsgegevens met deze vrije attributen mogen worden verwerkt in combinatie met de bestaande verwerkingen van persoonsgegevens bij de Athenticatiediensten. Het is overigens niet zo dat er een centrale inzage is over alle inlogacties van consumenten over de Authenticatiediensten heen, zoals bij het BSN-koppelregister dus wel het geval is voor het inloggen van burgers in het BSN-domein. Niet te min beschikken de Authenticatiediensten over groeiende hotspots. Het nader ontwerpen van zeer strikte beveiliging, toezicht en handhaving van deze maatregelen is hiervoor essentieel. Waarbij ook hier geldt dat het toepassen van Privacy Enhancing Technologies en Privacy by Design verdere verkenning en toepassing verdient. Evaluatie en optimalisatie van deze maatregelen dient als een permanent proces te worden ingeregeld. Combinaties van functies van eid deelnemers In het huidige Introductieplateau afsprakenstelsel eid is niet uitgesloten dat een eid Deelnemer meerdere functies in het eid Stelsel kan vervullen. Een Authenticatiedienst kan bijvoorbeeld ook eid Makelaar zijn. Maar een Authenticatiedienst en/of eid Makelaar kan eventueel ook Dienstaanbieder zijn. Het is ook niet uitgesloten dat een IT provider (ASP, SAAS-aanbieder etc.) 17

18 met één of meer van deze rollen gecombineerd gaat opereren in het eid Stelsel. Hoewel de afbakening tussen deze rollen via het privacy verantwoordingsbeginsel op papier kan worden geregeld, bestaat hier toch het risico s van een ongewenste cumulatie van persoonsgegevens. Voor zover uit de nu beschikbare stukken blijkt zijn deze risico s nog niet nader onderzocht. Het verdient aanbeveling om de consequenties van deze combinatie van functies en rollen nader te evalueren en te onderzoeken of hier nadere maatregelen in zowel techniek, toetsing en toezicht, nodig zijn. Denk hierbij aan het realiseren van toetsbare segmenteringen (Chinese muren). Een overweging kan ook zijn om bepaalde risicovolle combinaties voorlopig in het Introductieplateau uit te sluiten. Clouddiensten, Third Party Services, Metadata Het is niet uitgesloten en de ervaring leert dat het zelfs waarschijnlijk is, dat door eid Deelnemers IT middelen en IT diensten van derde partijen worden ingezet. Het gevolg hiervan is dat het kan voorkomen dat er in de gehele digitale identiteitsketen onderliggende systeemlagen persoonsgegevens verwerken dan wel genereren. Denk hierbij aan het gebruik van analysetools voor websitegebruik, gebruik van Apps, inzet van third party software en clouddiensten van derde partijen (IAAS, PAAS, SAAS). Sommige van deze diensten generen zogenaamde metadata welke de herleidbaarheid van gegevens naar individuen mogelijk maakt. Bijvoorbeeld door de inzet van Big Data toepassingen. Dergelijke toepassingen kunnen risico s introduceren aangaande onder meer het transparantiebeginsel, verwerkingen van persoonsgegevens buiten de EU/EER en het verantwoordelijkheidsbeginsel. Op zich is het standpunt verdedigbaar dat de risico s van de inzet van deze aan internet verbonden technologieën buiten het Afsprakenstelsel Introductieplateau eid vallen. Echter deze bijwerkingen als gevolg van de inzet van deze middelen en diensten ten behoeve van het eid Stelsel introduceren reële risico s aangaande de bescherming van persoonsgegevens. Het verdient aanbeveling om zowel op het niveau van technologie, toetsing en governance hier nader aandacht aan te besteden. Een suggestie is om bij de voorgenomen IT audits (Stelsel Audits) de kennis aangaande privacyrisico s en de risico s van cloud en third party middelen te borgen. Tevens verdient het aanbeveling om normatieve maatregelen te ontwikkelen voor eid Deelnemers hoe deze risico s te mitigeren. Kwaliteit van data Een sterk punt in het Introductieplateau vanuit het perspectief van kwaliteit van de digitale identiteitsgegevens is de toetsing die plaatsvindt bij het eerste keer authenticeren van een gebruiker bij een Authenticatiedienst die een Middel wil om in te kunnen loggen in het BSNdomein. De toetsing houdt in dat op basis van het BSN voorzien van aanvullende identificerende gegevens gecontroleerd wordt of het BSN bestaat in het BRP 7 (of GBA-V) 8 en afhankelijk van de aangeleverde WID-gegevens worden deze gegevens op geldigheid gevalideerd bij de registraties van de RDW en/of het Negatief Basisregister Reisdocument. Pas na een positieve uitkomst van deze validaties wordt een Pseudo-identiteit toegekend aan het BSN behorend bij de betreffende persoon en geregistreerd in het BSN-Koppelregister. Op basis van de positieve validatie en de melding daarvan aan de Authenticatie dienst wordt een geschikt Middel uitgegeven, met daaraan gekoppeld een middel Pseudo-identiteit aan de Gebruiker. Deze functionaliteit zorgt voor een hoge mate van betrouwbaarheid van de PseudoIDs en borgt ook de uniciteit van digitale identiteiten op het niveau van het GBA-V. Deze procedure is dus zeker kwaliteit bevorderend, maar werkt alleen binnen het BSN-domein. Binnen het private domein bestaat deze controle maatregel niet. Overigens kleven er ook nadelen aan deze procedure. Deze worden in de volgende paragraaf beschreven. Hier bestaat zoals ook in de documentatie is beschreven een risico als het proces rond een eerste registratie van een Gebruiker in het private domein onbetrouwbaar is. Het zogenaamde boot trapping proces in het private domein is een kritische schakel aan het begin van de identiteitsketen. Binnen de geldende privacyrichtlijnen is aangeven dat Verantwoordelijken maatregelen moeten treffen aangaande de kwaliteit van de persoonsgegevens. In het geval van een identiteitsmanagementsysteem is dit extra relevant omdat non-kwaliteit van digitale identiteitsgegevens al gauw kan leiden tot misbruik van iemands digitale identiteit met alle 7 BRP = Basis Registratie Personen 8 GBA-V = Gemeentelijke Basisadministratie Verstrekkingsvoorziening 18

19 vervelende gevolgen voor een daardoor geraakt individu. Identiteitsfraude betekent een ernstige inbreuk op de privacy van een persoon. Bovendien als de integriteit van persoonsgegevens geregistreerd binnen het eid Stelsel gecompromitteerd, is dan kan dit tot problemen in bewijslast leiden en wordt het vertrouwen in het gehele Stelsel ondermijnd. In het huidige afsprakenstelsel Introductieplateau eid blijkt uit de nu beschikbare informatie dat er nog weinig aandacht is geschonken aan normatieve maatregelen ter bevordering van de betrouwbaarheid van de verwerkingen van identiteitsgegevens. Het verdient aanbeveling om bij de verdere ontwikkeling van het eid Stelsel normatieve controlemaatregelen te definiëren waarmee de integriteit van de gegevensverwerkingen wordt bevorderd en ook dat de integriteit van de gegevensverwerkingen controleerbaar is. Deze normatieve controlemaatregelen dienen periodiek getoetst te worden in opzet, bestaan en werking. Het detecteren van gecompromitteerde digitale identiteiten, waaronder mogelijke identiteitsfraude op het niveau van de individuele eid deelnemer, liggen in de voorgestelde inrichting van het Introductieplateau vooral bij het BSN-Koppelregister en de Authenticatiediensten. De detectie van integriteitsissues aangaande persoonsgegevens waaronder ook misbruik van digitale identiteiten vereisen specifieke controle maatregelen. Het verdient aanbeveling om de noodzakelijke maatregelen hiertoe nader te definiëren en in de loop der tijd te optimaliseren. Hierbij zal tekens de afweging moeten worden gemaakt in hoeverre een controlemaatregel ten behoeve van de kwaliteit van digitale identiteiten en daaraan gerelateerde attributen prioriteit moet krijgen boven de privacybescherming van een individu. In deze alinea wordt specifiek gedoeld op controle maatregelen ter bevordering van de kwaliteit van digitale identiteitsgegevens binnen het stelsel. In de huidige ontwerpdocumenten is dit een onderbelicht onderwerp. Deze controlemaatregelen zijn ook niet benoemd als normatief te onderzoeken objecten voor de Stelsel Audits. Deze maatregelen betreffen dus geen maatregelen ten behoeve van opsporing in het kader van bij voorbeeld fraude of misdrijven buiten het Stelsel en die in opdracht van het Openbaar Ministerie of andere opsporingsdiensten worden uitgevoerd. Het verdient aanbeveling om in geval van een geconstateerde afwijking in de betrouwbaarheid van de verwerkte persoonsgegevens een protocol op te stellen hoe hiermee kan worden omgegaan. Zie ook onze opmerkingen over de aanpak post-issue problematiek binnen digitale identiteiten systemen. Een andere aanbeveling is om te onderzoeken of het mogelijk is om functionaliteit aan het huidige eid ontwerp toe te voegen waarmee de Gebruiker kan zien wanneer, waar en met welke middelen er met zijn identiteitsgegevens is ingelogd, en mogelijk ook dat zijn of haar identiteitsgegevens zijn gebruikt. In feite impliceert dit het ter beschikking stellen van een audittrail op gebruikersniveau. Opsporing buiten het Stelsel / gegevensverstrekkingen aan derde partijen Uit de beschikbaar gestelde ontwerpdocumentatie blijkt dat het Introductieplateau eid geen specifieke functionaliteiten heeft ter ondersteuning van opsporingsverzoeken. Uiteraard kunnen door bevoegde opsporingsinstanties verzoeken worden gedaan om specifieke gegevens aan te leveren vanuit het Stelsel. Dit uitsluitend na de benodigde toestemming van de hiertoe bevoegde instanties. Hierin voorziet de bestaande wetgeving. De huidige afspraken binnen het Stelsel voorzien overigens in een bewaartermijn van logbestanden en audittrails van 7 jaar. Het verdient overweging vanuit het perspectief van het transparantieprincipe om jaarlijks vanuit de eid Deelnemers te laten rapporteren hoe vaak opsporingsverzoeken zijn ontvangen en zijn gehonoreerd. BSN gebruik in de Publiek / Private samenwerking Het Introductieplateau eid is gebaseerd op functionaliteit waarbij BSN bij Authenticatiediensten buiten het BSN domein worden verwerkt. Bij het opstellen van de PIA is er nog geen wettelijke basis om dit BSN gebruik toe te staan. 19

20 Wellicht wordt deze wettelijke basis in de loop van dit jaar geregeld via de Wetsvoorstel Elektronische Berichtenverkeer Belastingdienst 9. Hoewel dit nog niet geheel zeker is. Deze wettelijke basis zal eerst gerealiseerd moeten worden alvorens de huidige opzet van het Introductieplateau met het BSN gebruik in het private domein in gebruik kan worden genomen. Los van wet- en regelgeving blijft het BSN een uiterst gevoelig gegeven dat met sterke waarborgen beschermt moet worden tegen misbruik. Een BSN is een belangrijke identificatiecode binnen het gehele BSN domein. Dit betreft alle overheidsdiensten, gezondheidszorg, zorgverzekeraars et cetera. De beveiliging van het verwerken van BSN dient van een zeer hoog niveau te zijn. Dit is weliswaar onderkend in de uitgevoerde risicoanalyse door de Stuurgroep eid. Maar de maatregelen hiertoe zijn nog niet specifiek gedefinieerd. Een bijzonder gevaar van BSN is overigens ook dat indien een BSN is gecompromitteerd corrigerende maatregelen achteraf (post-issue) moeilijk zijn te realiseren. Het kunnen in trekken van een BSN en het opnieuw uitgeven van een BSN aan een burger is niet een standaard voorziening. Dit is ook zeer moeilijk realiseerbaar, zeker ingeval een correctie met enige mate van terugwerkende kracht nodig is. Dit is een inherent risico dat nu eenmaal aan een dergelijk breed gebruikt identificerend nummer kleeft. Het BSN kent weinig post-issue mogelijkheden. De invoering van het BSN dateert van ver voor het internettijdperk en is voor nu een gegeven. 2.7 Noodzakelijkheid, proportionaliteit, subsidiariteit eid Stelsel Het ontwerp van het eid Stelsel kan de toets aan de eisen van de noodzakelijkheid/proportionaliteit en subsidiariteit doorstaan. De doelstellingen van het eid Stelsel in de ontwerpdocumentatie alsmede in de aan de Tweede Kamer gerichte brieven van de Ministerie van BZK onderbouwen de noodzakelijkheid. Bovendien dient Nederland als lidstaat van de EU naar verwachting binnen afzienbare tijd gevolg te geven aan de Verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt. Uit de ontwerp documentatie blijkt ook dat met de beginselen van proportionaliteit (is de specifieke gegevensverwerking een bruikbaar middel om het doel te bereiken) als de subsidiariteit (zijn er geen minder privacy bedreigende alternatieven of waarborgen) rekening wordt gehouden. De intentie van het ontwikkelteam is ook om die beginselen doorlopend in de volgende ontwerp en realisatiefasen na de lancering van het Introductieplateau in het oog te houden. Ten slotte dient ook mee te worden gewogen dat in de huidige situatie zonder eid stelsel sprake is van een relatief onbeheersbare toestand met betrekking tot het gebruik van digitale identiteiten voor Gebruikers. Het resultaat is dat er meer en meer feitenmateriaal en berichtgeving is over identiteitsfraude en privacyschendingen. Het eid Stelsel beoogt ook deze problemen te beperken. Het Introductieplateau eid is bedoeld als initiële en realistisch haalbare stap waarmee ervaringen kunnen worden opgedaan. Er is voorzien om het eid Introductieplateau te evalueren en door te ontwikkelen naar een volwaardig en volledig eid Stelsel. 2.8 Privacy principe: Verantwoording Bevindingen In het systeemdiagram van Introductieplateau eid Stelsel is op hoofdlijnen en op hoog abstractieniveau te onderscheiden hoe de ICT-infrastructuur van het eid Stelsel op dit moment wordt voorzien. Hierin komt ook op hoofdlijnen en in algemene termen tot uiting, welke eid Deelnemers over welke in het eid Stelsel te onderscheiden koppelvlakken berichten met persoonsgegevens met elkaar delen. 9 Zie onder meer kamerbrief Elektronisch Berichtenverkeer Belastingdienst 29 april

21 Ook is het mogelijk om als eid Deelnemer / Dienstaanbieder meerdere rollen te vervullen binnen het Introductieplateau 10. Dit kan in theorie tot combinaties van de status verantwoordelijke en bewerker bij één eid Deelnemer of Dienstaanbieder (of wellicht ook bij combinaties van eid Deelnemer en Dienstaanbieder) leiden. Bij de Dienstaanbieder en de eid makelaar zijn bijvoorbeeld volgens de ontwerp documentatie zowel de status van bewerker als verantwoordelijke mogelijk. Dit kan weer tot gevolg hebben, dat er binnen een eid Deelnemer / Dienstaanbieder sprake kan zijn van cumulatie van normaliter per rol te onderscheiden persoonsgegevens. Duidelijkheid aangaande de verantwoordelijkheid op Stelselniveau Bestond binnen het eid Stelsel 1.0 en het Introductieplateau eid van december 2014 nog onduidelijkheid over de overall verantwoordelijkheid aangaande het gehele eid Stelsel. In het introductieplateau 0.8 is deze duidelijkheid er inmiddels wel. De Minister van Economische Zaken is eigenaar en eindverantwoordelijke voor het gehele eid Stelsel. Uitsluitend voor het verwerken van BSN binnen het Introductieplateau is vastgelegd dat de Authenticatiediensten hiertoe een contract afsluiten met de Minister van BZK en optreden in de rol van Bewerker ten opzichte van het BSN Koppelregister. Het BSN Koppelregister blijft aangaande alle verwerkingen van het BSN, binnen het gehele Stelsel altijd Verantwoordelijke. Duidelijkheid aangaande het verantwoordelijkheidsprincipe voor eid Deelnemers Bovendien zijn de bij eerdere ontwerpen nog bestaande onduidelijkheden over de verantwoordelijkheden van eid Deelnemers en onduidelijkheid over de rol van verantwoordelijke en/of bewerker, of weggenomen doordat deze functionele eid Deelnemers nog niet bestaan in het Introductieplateau en de voorgnomen pilots, of dat deze rollen en verantwoordelijkheden nu duidelijk zijn vastgelegd zijn binnen het afsprakenstelsel behorend bij het Introductieplateau. Vermenging van rollen kan het verantwoordingsprincipe ondermijnen. Governance van het eid Stelsel Voor de ontwikkeling en het beheer van het eid Stelsel is een governance structuur opgezet. Hiermee is onder meer geborgd dat het Introductieplateau wordt getoetst, geëvalueerd en verder wordt ontwikkeld. In deze structuur zijn diverse stakeholdergoepen vertegenwoordigd vanuit de overheid en de IT sector, waaronder ook belanghebbenden vanuit de eid deelnemerscommunity. Het verdient aanbeveling om ook stakeholders te betrekken vanuit Dienstaanbieders en het burger-/consumentendomein. Deze partijen zijn nu niet betrokken binnen het governance proces. Hetzelfde geldt voor de betrokkenheid vanuit de IT audit professie. Deze is nu conform de beschrijvingen niet betrokken terwijl het uitvoeren van onafhankelijke IT audits een vitaal onderdeel uitmaakt van het Stelsel om de benodigde maatschappelijke transparantie te geven over de werking van het Stelsel en ook om de robuustheid van het Stelsel te handhaven en innovatie te bevorderen. Het verdient bijvoorbeeld overweging om de Nederlandse Orde van register EDP Auditors (NOREA) bij het formuleren van normen en standaarden voor de uit te voeren IT audits te betrekken Conclusies 1. Definities in de te onderscheiden documenten en de beschrijving van de werking van het Introductieplateau Stelsel zijn op onderdelen nog niet goed op elkaar afgestemd. 2. De begrenzing van het introductieplateau met daarbij de verantwoordelijkheidsvraag voor verwerkingen van persoonsgegevens door de componenten/rollen en combinatiemogelijkheden is transparant uitgewerkt. 3. Het ontstaan van secundaire persoonsgegevens als gevolg van het ontstaan van herleidbare metadata op onderliggende systeemlagen is in de beschrijving 10 Zie Werking van het eid Stelsel, ontwerpeis P01, p

22 Introductieplateau nog niet meegenomen. Herleidbaarheid van deze gegevens is op het niveau van eid Makelaar niet uit te sluiten. 4. Aandachtspunten bestaan bij Partijen die binnen het Introductieplateau verschillende rollen gecombineerd uitvoeren. Zowel vanuit het verantwoordelijkheid-s en doelbindingsprincipe als vanuit het perspectief van privacy risico s als gevolg van mogelijk ongewenste cumulatie van persoonsgegevens (hotspots en cumulatie van hotspots). Ook combinaties tussen eid deelnemers en Dienstaanbieders is niet uit te sluiten. 5. Uit de documentatie blijkt niet dat er al een risicoanalyse is uitgevoerd op combinaties van rollen en de mogelijke negatieve gevolgen hiervan op de persoonlijke levenssfeer van Gebruikers.(Dit is wat anders dan de wel uitgevoerde risicoanalyse vanuit het perspectief van informatiebeveiliging) Aanbevelingen 1. Stem de gehanteerde begrippen in de Begrippenlijst Afsprakenstelsel eherkenning 1.9 en in het document Beschrijving van Idensys in het Introductieplateau goed op elkaar af. 2. Bepaal ook aan de hand van een privacy risicoanalyse welke combinaties van rollen bij een partij tot onbeheersbare privacy risico s kunnen leiden. 3. Reguleer aan de hand hiervan mogelijke combinaties van rollen en hiermee gepaard gaande verantwoordelijkheden. 4. Overweeg om ook stakeholders te betrekken vanuit het burger-/consumentendomein. Deze partijen zijn nu niet betrokken binnen het governance proces. 5. Hetzelfde geldt voor de betrokkenheid vanuit de IT audit professie. Deze is, blijkt uit de documentatie nu niet betrokken terwijl het uitvoeren van onafhankelijke IT audits een vitaal onderdeel uitmaakt van het Stelsel om de benodigde maatschappelijke transparantie te geven over de werking van het Stelsel en ook om de robuustheid van het Stelsel te handhaven. Het verdient bijvoorbeeld overweging om de Nederlandse Orde van register EDP Auditors (NOREA) bij het formuleren van normen en standaarden voor de uit te voeren IT audits te betrekken. 6. Ga na in hoeverre invulling kan worden gegeven aan de privacybescherming van kwetsbare groepen waarvoor hogere privacy waarborgen dienen worden gerealiseerd; 7. Het verdient ook aanbeveling om aan de nu beschreven Stelsel audit binnen eherkenning 1.9 welke als basis heeft informatiebeveiliging en ISO27001 uit te breiden met een aantal privacy gerelateerde toetsingsnormen, waaronder gericht op de handhaving van doelbinding en verantwoordelijkheden vanuit het perspectief van gegevensminimalisatie. 8. Maak afspraken c.q. geef handreikingen over de inhoud van de melding teneinde hiermee te voorkomen, dat de genoemde partijen onbewust niet aan de meldingsplicht voldoen, doelstellingen van gelijksoortige verwerking van elkaar afwijken en rechtmatigheidsvragen ontstaan; 9. Bewerkstellig hiermee dat de meldingen van de in het eid Stelsel voorkomende verwerkingen goed op elkaar worden afgestemd (convergentie-effect), waardoor spanningen in de uitwisseling en het gebruik van data binnen de keten van het eid Stelsel kunnen worden voorkomen (alignment). 22

23 2.9 Privacy Principe: Limiteren van het verzamelen van gegevens Bevindingen Een van de ontwerpeisen van het eid Stelsel / Introductieplateau is dat een eid-deelnemer niet meer gegevens krijgt dan strikt noodzakelijk is voor het uitvoeren van zijn taak. Deze eis is nauw verweven met het privacy principe doelbinding en limiteren van het gebruik van persoonsgegevens. Impliciet refereert het daarom ook aan de intentie van het eid Stelsel om te voldoen aan het privacy principe van het limiteren van het verzamelen van gegevens. In het ontwerp van Introductie Plateau eid-stelsel wordt zo veel als maar mogelijk is bij het verwerken van (gevoelige) persoonsgegevens gebruik gemaakt van pseudo-identiteiten voor Gebruikers en het versleutelen van indirect gevoelige gegevens. Binnen het Introductieplateau eid Stelsel worden handelingen (transacties) verwerkt met kernidentiteitsgegevens of afgeleide identiteitsgegevens op basis waarvan de identiteit van de gebruiker van het eid Stelsel als natuurlijke persoon herleidbaar is. De kernidentiteitsgegevens bevatten een vastgestelde basisset van persoonsgegevens. In het document Beschrijving van het Idensys/eID Stelsel in het Introductieplateau zijn de volgende kernidentiteitsgegevens beschreven 11 : Geslachtsnaam, voornaam, initialen, geboortedatum- / plaats; Attributen voor leeftijdsverificatie; BSN; WID type en WID nummer; Persistente pseudo-identiteiten gekoppeld aan: Gebruiker, Middel, BSN-dienst, of Dienstverlener in private domein en Dienstverlener in BSN domein; Overige vrije attributen. Een zeer belangrijk onderdeel van het Introductieplateau is het BSN-koppelregister, waarbij burgers mede aan de hand aan de hand van hun BSN worden geïdentificeerd. Aanvullende gegevens worden daarbij eveneens verwerkt via de back-office koppelingen tussen Authenticatiediensten, BSN-Koppelregister en overheidsdienstaanbieders. Overigens kan de overheid nog steeds beslissen om het BSN-Koppelregister af te sluiten. Het Introductieniveau eid Stelsel is dan niet bruikbaar binnen het overheidsdomein, of beter gesteld, binnen het ruimere BSN domein. Bij het gebruik van eid Stelsel zijn twee categorieën gegevens te onderscheiden: 1. de primaire data 2. de secundaire data. Primaire data zijn alle data die worden verwerkt (overeenkomstig de definitie in de Wbp) via het eid Stelsel en secundaire data zijn data die als bijproduct worden gegenereerd, zoals gebruiksdata, validatie data (identificatie OK of NOK), log files, statistische data, configuratie data, metadata, etc.. Deze laatste data kunnen ook direct of indirect de status hebben van identificerende persoonsgegevens van het individu die gebruik maakt van het eid Stelsel en/of van de persoon door wie de gebruiker van het eid Stelsel is gemachtigd. Voorts zal inherent aan het gebruik van internet technologie in zekere mate ook metadata ontstaan op andere systeemlagen, dan wel door zogenaamde third parties. Dit zijn bijwerkingen van het eid Stelsel die overigens niet verder zijn onderkend in de ontvangen ontwerpdocumentatie. Binnen deze 2 categorieën kan niet worden uitgesloten dat er sprake is van bijzondere persoonsgegevens waarvoor een verzwaard privacy regime geldt. Dit kunnen bijvoorbeeld gegevens zijn die te relateren zijn aan medische gegevens zijn die ontleend kunnen worden aan de identiteit van dienstverleners, zoals een hulpverlener, arts, zorginstelling of religieuze instelling. Maar dit kan ook voorkomen doordat een burger/consument inlogt bij specifieke 11 Beschrijving van het Idensys/eID Stelsel in het Introductieplateau, versie 0.8, 28 april 2015 en in de daarop ontvangen aanvulling gedateerd 7 mei 2015, alsmede de RFC s op eherkenning 23

24 webservices aangaande werk- en inkomen, schuldsanering, jeugdhulpverlening et cetera. Het Introductieplateau eid voorziet niet in beperkingen hierin. Voor het verwerken van het BSN is specifieke wetgeving van toepassing. Het introductieplateau eid is mede gebaseerd op het verwerken van BSN in het private domein bij de Authenticatiediensten. Er is nog geen wettelijk kader beschikbaar voor het verwerken van BSN buiten het BSN domein. Ook kunnen persoonsgegevens verwerkt worden van bijvoorbeeld kinderen waarvoor eveneens hogere privacywaarborgen worden verlangd. Er is geen leeftijdsondergrens voor het kunnen verkrijgen van een eid Authenticatiemiddel. Dit zijn overigens vraagstukken die binnen eherkenning, dat uitsluitend binnen het bedrijfsdomein wordt gebruikt en nu als basis wordt gehanteerd voor het introductieplateau, niet voorkwamen. Binnen het Introductieplateau eid zijn de bewaartermijn voor gegevens overgenomen vanuit eherkenning. De afspraken binnen eherkenning zijn ontworpen op het gebruik voor bedrijven. De vastgestelde bewaartermijn is nu 7 jaar en is afgestemd op de wettelijke bewaartermijnen welke gelden voor financiële transacties en fiscale vereisten. De vraag is gerechtvaardigd of deze bewaartermijnen noodzakelijk zijn binnen het introductieplateau eid Stelsel dat gebruikt wordt in het consumenten- en burgerdomein en of deze bewaartermijnen gelden voor alle typen activiteiten die worden uitgevoerd om in te loggen in systemen van Dienstaanbieders. In het huidige afsprakenstelsel wordt voorbijgegaan aan het feit dat kinderen bijvoorbeeld meer rechten hebben dan volwassenen als het gaat om de bescherming tegen inbreuken van de persoonlijke levenssfeer. Wij adviseren om de noodzakelijkheid van de bewaartermijn van 7 jaar welke voortkomt uit de specifieke toepassing van eherkenning binnen het bedrijfsdomein aan te tonen, dan wel te heroverwegen en zo ver als mogelijk te verlagen. Wij verwijzen hierbij ook naar de risico s van de gesignaleerde hotspots die het belang van de reductie bewaartermijnen onderstrepen. Deze hotspots komen in het huidige eherkenning niet voor in de mate waarin deze in het Introductieplateau zullen gaan ontstaan. Het zelfs denkbaar dat een gedifferentieerde bewaartermijn nodig is afhankelijk van specifieke toepassingen, sectoren en doelgroepen. Ten aanzien van de rechten van betrokkenen is binnen het huidige afsprakenstelsel nog niet volledig uitgewerkt hoe omgegaan gaat worden met onderwerpen als inzagerecht en correctierecht en het recht om gegevens te laten verwijderen (recht om vergeten te worden) binnen het eid Stelsel. Hoe het verwijderen van gegevens moet worden aangetoond door de eid Deelnemers is eveneens nog een aandachtspunt Conclusies 1. Er is in het Introductieplateau eid sprake van verwerking van persoonsgegevens, zowel in direct identificerende als indirecte identificerende betekenis. De relevantie van een PIA is hiermee aangetoond; 2. Het Introductieplateau eid kent op onderdelen de verwerking van BSN-nummers waarop ook specifieke wet- en regelgeving van toepassing is; 3. De beschrijvingen van de betrokken dataverwerkingen en dataflows op primair niveau zijn beschreven, zowel op het niveau van de te onderkennen functionele componenten van het stelsel, als bij de te onderkennen verschillende rollen, verantwoordelijkheden en toepassingsgebieden; 4. Een nadere verkenning van het ontstaan van secundaire persoonsgegevens en de gevolgen daarvan (risico s) voor de bescherming van de privacy van Gebruikers is nog onderbelicht in de ontwerpdocumentatie; 5. Een aandachtspunt is dat Persoonsgegevens dienen benoemd te worden en te worden geclassificeerd naar gevoeligheid. Denk hierbij aan normale persoonsgegevens en potentieel stigmatiserende persoonsgegevens. Door het gebruik van het Introductieplateau kunnen deze gevoelige gegevens ontstaan op het genoemde secundaire data niveau. De effecten hiervan zijn nog niet in het Introductieplateau geadresseerd; 6. Indirecte (secundair), tot individuen te herleiden gegevens dienen eveneens te worden gespecifieerd en te worden geclassificeerd. 24

25 7. De effecten van het ontstaan van metadata in de onderliggende systeemlagen van betrokken ICT-providers die een rol gaan spelen bij het gebruik van het Stelsel zijn evenmin in een risicoanalyse meegenomen in het huidige ontwerp. 8. Voor bepaalde doeleinden, bijvoorbeeld het vaststellen van de leeftijd van een Gebruiker is het voor een Dienstaanbieder niet nodig om daarbij de identiteit van de Gebruiker te vernemen. Het eid Stelsel voorziet er in zo n geval in dat kan worden volstaan met het leveren van een attribuut, dat een persoon ouder of jonger is dan een bepaalde leeftijd Aanbevelingen 1. Ga door met het aanvullen van de specificaties van de typen data die nodig zijn voor het berichtenverkeer over de verschillende koppelvlakken, definieer de eisen aangaande audittrails en loggingen. 2. Onderzoek de mogelijkheden voor het bijhouden van audittrails over het gebruik van een secure device, bijvoorbeeld om aan te sluiten op ecosystemen zoals Life Management Platforms. Onderzoek daarbij of een Gebruiker in een dergelijke omgeving de mogelijkheid heeft om (bijvoorbeeld met een app op een mobile device audittrails in een eigen secure omgeving op te slaan. De Gebruiker kan dan zelf bepalen aan wie hij deze gegevens ter beschikking wil stellen. 3. Bepaal de impact van effecten van metadata die ontstaat op onderliggende systeemlagen als gevolg van het gebruik van IT middelen 2.10 Privacy principe: Doelbinding / Limitering gebruik gegevens Bevindingen Het doel van het Introductieplateau eid Stelsel is: Het creëren van een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur die gebruikt kan worden door zowel publieke als private Dienstaanbieders en die publiek-privaat beheerd en doorontwikkeld wordt. Realiseer dit op basis van bestaande en bewezen technologie, ic eherkenning. Mogelijk maken dat publieke Dienstaanbieders de toegang en afhandeling van online dienstverlening vanaf 2015; via het eid Stelsel kunnen inrichten waardoor zij de doelstelling Digitaal 2017 uit het regeerakkoord kunnen realiseren: Bedrijven en burgers kunnen in 2017 zaken met de overheid digitaal afhandelen. 12 De algemene doelstelling van het Introductieplateau is om het eenvoudig mogelijk te maken voor burgers, bedrijven en overheden om veilig online in te loggen en transacties te kunnen doen bij bedrijven en overheden. Dienstaanbieders te ontzorgen. Zij hoeven alleen op een makelaar aan te sluiten om standaard berichten te kunnen ontvangen in zowel het burger- als bedrijvendomein (zie figuur 2). Dienstaanbieders hoeven zelf geen middelen uit te geven of inlogvoorzieningen te beheren. Burgers keuzevrijheid te geven met welke van de beschikbare inlogmiddelen zij willen inloggen bij overheden en bedrijven die zijn aangesloten op Idensys. Bovendien kan de burger met een inlogmiddel bij meerdere diensten inloggen en wordt zijn digitale sleutelbos gereduceerd. Het single point of failure van authenticatiemiddelen op te heffen voor burgerauthenticatie in het BSN-domein. Doordat de dienstverlening binnen Idensys door meerdere partijen wordt uitgevoerd, kan ook bij uitval van een partij de rest van de voorzieningen blijven functioneren. Het Introductieplateau eid Stelsel moet in het najaar 2015 de volgende functionaliteit bieden: Bron: Stakeholders, belangen en ontwerpeisen programma eid, par Bron: Stakeholders, belangen en ontwerpeisen programma eid, par

26 Inloggen (Identificeren en authenticeren) op een hoog betrouwbaarheidsniveau (betrouwbaarheidsniveaus 3 en 4) bij de private sector en de overheid. Verstrekken van aanvullende (gevalideerde) persoonsgegevens op basis van user consent 14 : o Geslachtsnaam, voornaam, initialen, geboortedatum-/plaats o Leeftijdsverificatie o Vrije attributen Deze informatie wordt door de authenticatiedienst verstrekt en is gevalideerd op basis van een WID. Dit geldt overigens niet voor de vrije attributen. De betrouwbaarheidseisen daarvan zijn niet in de stelselafspraken Introductieplateau voorzien. Andere functionaliteiten zoals machtigingen en ontsluiten van andere attribuutregisters zijn nog geen onderdeel van Idensys. De specifieke doelen van het Introductieplateau eid Stelsel zijn hiermee op hoofdlijnen beschreven, maar nog niet formeel conform meldingen bij het CBP vastgesteld. Bepaalde onderdelen/componenten/rollen vereisen mogelijk nog nadere uitwerking van de doelen. Aandachtspunt is ook, dat in het Introductieplateau eid Stelsel diverse partijen diensten ten behoeve van die algemene doelstellingen verrichten, die weer met verwerkingen van persoonsgegevens worden ondersteund. Aangezien het hier bij de eid Deelnemers (en wellicht ook Dienstaanbieders) om afzonderlijk te onderscheiden Verantwoordelijken en Bewerkers gaat, zullen per Verantwoordelijke specifieke doelstellingen moeten worden geformuleerd die binnen de hoofddoelstellingen van het eid Stelsel passen. Het gaat daarbij om de doelen zodanig te beschrijven, dat zij voldoen aan het doelbindingsprincipe en het principe van het limiteren van verzamelen en gebruiken. Daarbij dient ook aandacht te worden besteed aan de mogelijkheid van combinaties van rollen van eid Deelnemers, waarbij eid Deelnemers ook Dienstaanbieders kunnen zijn Conclusies 1. Op hoofdlijnen zijn de doelstellingen van het Introductieplateau eid Stelsel en van de eid Deelnemers in de onderliggende ontwerp documentatie vermeld. 2. Per eid Deelnemer zijn afhankelijk van hun status als verantwoordelijke en/of bewerker nog geen concrete doelstellingen in samenhang met de specifieke dienstverlening en daarmee verband houdende verwerkingen van persoonsgegevens gespecificeerd. 3. De typen datasets die evenwel in de berichten over de koppelvlakken tussen de eid Deelnemers worden uitgewisseld zijn gespecificeerd in het document beschrijving van Idensys in het Introductieplateau, de bijlage 3 met RFC s en de Interface Specifications in het Afsprakenstelsel eherkenning 1.9. Voor de vrije attributen is niet bekend welke persoonsgegevens daarmee gaan worden verwerkt en uitgewisseld. Dit dient per situatie te worden vastgesteld Aanbevelingen 1. Onderken met het oog op het doelbindingsprincipe formeel alle (on)gewenste combinaties van e-id Deelnemers en Dienstaanbieders en eventuele andere Derde Partijen in het eid Stelsel, dan wel afdoende mitigerende maatregelen; 2. Leg in het Afsprakenstelsel vast aan welke doelstellingen componenten/rollen in het eid Stelsel zich zullen moeten houden. 3. Leg ook afspraken vast over het inrichten van (standaard) meldingen van verwerkingen bij het CBP en voor standaard voorschriften voor te hanteren bewerkerovereenkomsten. 4. Reguleer het gebruik van vrije attributen bij de Authenticatiediensten 5. Overweeg toetredingsregels voor het aansluiten van Dienstverleners ten einde het Doelbindingsprincipe te kunnen handhaven in geval van ongewenste combinatie van rollen. Specificeer alle persoonsgegevens die tussen de in het eid Stelsel te onderscheiden eid 14 User consent: de gebruiker moet expliciet akkoord gaan met het verstrekken van persoonsinformatie voordat een authenticatiedienst dit mag verstrekken. 26

27 Deelnemers (per rol) en Dienstaanbieders (per rol) over de koppelvlakken worden uitgewisseld inclusief de metadata en vrije attributen; 6. Specificeer daarbij ook de directe en indirecte persoonsgegevens die in de eid Stelsel ICTinfrastructuur over de koppelvlakken in de loggingen/audittrails van de eid Deelnemers/Dienstaanbieders worden opgeslagen. 7. Specificeer per verwerking per component/rol in het eid Stelsel wat het specifieke doel van een verwerking is. 8. Beoordeel tenslotte per component/rol of combinaties van componenten/rollen de doeleinden voor die verwerkingen en of de hiervoor te verwerken persoonsgegevens binnen die doelstellingen passen. 9. Hou bij de mogelijkheden van meerdere rollen bij eid Deelnemers rekening met ongewenste cumulatie van data in de audittrails die de genoemde risico s doen toenemen. 10. Denk tijdens de ontwerpfase tijdig na over de noodzaak/wenselijkheid van het verwerken van biometrische gegevens ten behoeve van de doelstellingen van het Stelsel. 11. Laat aanvullend onderzoek uitvoeren naar mogelijke verwerkingen van persoonsgegevens door eid Deelnemers en Dienstaanbieders binnen het eid Stelsel waaraan vanwege (sectorale of specifieke) geheimhoudingsverplichtingen in verband met functie/wet beperkingen voor het gebruik zijn verbonden. 12. Neem zo nodig in de ontwerpeisen mee of er sprake kan zijn van overdracht van persoonsgegevens naar een (overheids)instantie buiten de EU/EER. 13. Stel nadere eisen / geef handreikingen in het Afsprakenstelsel op alle doelstellingen en uit te voeren controles op het gebruik van persoonsgegevens in de te onderscheiden ICTomgevingen/ componenten van het eid Stelsel en laat hieraan voorafgaand een specifieke risicoanalyse uitvoeren. 14. Neem in het Afsprakenstelsel toereikende voorwaarden voor doelbinding en toezicht op om de gesignaleerde risico s te elimineren. 15. Dwing dit zo nodig met specifieke wetgeving af Privacy principe: Gegevenskwaliteit Bevindingen Uit de bevindingen aangaande het Doelbindingsprincipe, kan worden afgeleid, dat in de ontwerpeisen van het eid Stelsel maatregelen zijn voorzien voor interne controles om de juistheid, nauwkeurigheid en actualiteit (kwaliteit) van de in het eid Stelsel verwerkte persoonsgegevens na te gaan. Als doel is onder meer gesteld dat misbruik eenvoudig kan worden ontdekt en opgespoord. In de periodiciteit en specifieke inrichting van deze controles moet nog worden voorzien. En uiteraard staat controle meestal op gespannen voet met het vertrouwelijkheidsaspect van privacy. Bij het registreren van een gebruiker binnen het BSN Domein worden sterke validatieprocessen uitgevoerd van via Authenticatiediensten aangeleverde identiteits- en persoonsgegevens (controle op bestaan BSN, Controle WID gegevens bij externe bronnen, waaronder bij BRP, Basis register reisdocumenten, Centraal Rijbewijs Register). Het is van groot belang dat er vertrouwen is in het eid Stelsel. Om die reden moet misbruik eenvoudig ontdekt en opgespoord kunnen worden (Dit impliceert loggingen en controle). Het gaat hier niet om functionaliteiten die voor opsporingsinstanties bedoeld zijn maar om interne controle stelsels die behoren bij de kernprocessen van een identiteitsmanagementsysteem. 27

28 Belangrijke toevoegingen die uit de Stelselrisicoanalyse van juli 2015 naar voren zijn gekomen en als mitigerende maatregelen zijn voorgesteld dragen bij aan de bevordering van de gegevenskwaliteit. Deze maatregelen betreffen 15 : 1. Voorstellen tot verhoging van de beschikbaarheid van het BSN-Koppelregister (beperking single risico s point of failure); 2. Verschaffen van inzicht aan de Gebruiker bij welke Authenticatiedienst hij geregistreerd is; 3. Notificatie van de Gebruiker wanneer registratie op zijn naam plaatsvindt; 4. Notificatie van de Gebruiker van gebruik van zijn middel op hogere of hoogste niveau 5. Duidelijkheid verschaffen aan de Gebruiker omtrent geldigheidsduur van middel 6. Faciliteren van de gebruiker bij fraude afhandeling 7. Aanscherping gebruiksvoorwaarden en controle zodanig dat onvolledige controle van berichten door de Dienstverlener geconstateerd kan worden en er maatregelen genomen kunnen worden Conclusies 1. De ontwerpeisen van het eid Stelsel bevatten (indicaties voor) (nadere) controles op het gebruik van (nieuwe) persoonsgegevens in het eid Stelsel. 2. De controles zijn nog niet op alle hiervoor in aanmerking komende verwerkingen van persoonsgegevens in beeld gebracht Aanbevelingen 1. Stel nadere eisen / geef handreikingen in het Afsprakenstelsel op alle normatief uit te voeren controles op het gebruik van persoonsgegevens in de te onderscheiden IT-omgevingen/ componenten van het eid Stelsel. 2. Besteedt aandacht aan controles gericht op de kwaliteit van de persoonsgegevens en detectie van compromittering van digitale identiteiten, waaronder identiteitsfraude. Deze controles hebben dus niets te maken met opsporing van fraude gerelateerd aan andere criminaliteit buiten het eid Stelsel en vallen binnen de verantwoordelijkheden en plichten van de individuele eid Deelnemers 3. Implementeer voorzieningen om integriteitsconflicten in identiteitsgegevens en overige persoonsgegevens te ontdekken. Denk aan patroonherkenning, verbandscontroles, waarschijnlijkheidscontroles, et cetera. 4. Definieer in de volgende ontwikkelingsfase in het Afsprakenstelsel op elkaar aansluitende incidentele en periodieke controles op de kwaliteit van de verwerkte persoonsgegevens voor de te onderscheiden eid deelnemers. Dit lijkt nu een onderbelicht gebied in het Introductieplateau 5. Stel normatieve controles op bij eid Deelnemers en maak deze normen onderdeel van de Stelsel Audit 6. Overweeg het definiëren van een transparantierapportage door eid Deelnemers waarbij ook gerapporteerd wordt inzake de kwaliteit van identiteitsgegevens, identiteitsfraude, gegevens uitvragen door derde partijen, inbreuken op systemen, et cetera. 7. Voeg aan de Stelsel Audit toe dat een Register EDP Auditor naleving van de controle doelstellingen toetst en eventueel de betrouwbaarheid van dit transparantieverslag controleert. 15 Memo Stelselrisicoanalyse, 15 juli 2015, paragraaf 4, blad 4 en 5 28

29 2.12 Privacy principe Beveiliging van gegevens (Privacy by Design en Privacy Enhancing Technologies) Bevindingen In het Afsprakenstelsel eherkenning 1.9 is voorzien in het toepassen van ISO27001 als normenkader voor informatiebeveiliging. De uit te voeren Stelsel Audit is hier op gebaseerd. Er is sprake van verplichte certificering dan wel het verplicht laten opstellen van een Third Party Memorandum door een Register EDP Auditor. Het gaat dan om het toetsen van zowel de opzet, het bestaan als de werking van informatiebeveiligingsmaatregelen. Inmiddels is door de eid Stuurgroep een gedetailleerde risico-analyse informatiebeveiliging uitgevoerd. Hiervoor zijn inmiddels ook mitigerende maatregelen gedefinieerd en voorgesteld om te realiseren In de ontwerp documentatie is specifiek aandacht besteed aan technische en organisatorische beveiligingsmaatregelen die zijn getroffen ter voorkoming van niet-geautoriseerde of onrechtmatige verwerking/misbruik van persoonsgegevens in het eid Stelsel. De maatregelen liggen vooral nog op het niveau van het gebruik van PseudoID s en de versleuteling van data gedurende de communicatie tussen de eid Deelnemers onderling en de Dienstaanbieders. In het document Beschrijving Idensys in het Introductieplateau eid zijn de volgende waarborgen ter bevordering van de privacy gedefinieerd ten opzichte van eherkenning: a. Identificerende persoonsgegevens zijn alleen te lezen door de Dienstverlener: Binnen eherkenning werd al gewerkt met pseudoniemen, welke verschillend zijn per dienstverlener. Hiermee wordt voorkomen dat dienstverleners onderling informatie over dezelfde gebruiker uitwisselen. In het Introductieplateau eid zijn aanvullende maatregelen genomen, waarbij identificerende persoonsgegevens door de authenticatiedienst zodanig worden versleuteld zodat deze alleen door de ontvangende dienstverlener zijn te lezen. Deze maatregel wordt veelal aangeduid met de term end-to-end encryptie. b. De dienstverlener baseert zich alleen op informatie van de authenticatiedienst: De makelaar is een belangrijke logistieke schakel tussen de dienstverlener en de authenticatiedienst. Vanwege beperkingen in de gehanteerde technische standaarden heeft de makelaar nog wel een rol om een deel van de ontvangen informatie van de authenticatiedienst verwerkbaar voor de dienstverlener te maken. Als maatregel is in het afsprakenstelsel de procedurele afspraak opgenomen dat de dienstverlener in zijn autorisatie afweging zich ook moet baseren op de originele informatie afkomstig van de authenticatiedienst. c. De verklaring omtrent de identiteit wordt niet via de browser geleid: Een andere aanscherping binnen het Introductieplateau is de keuze om communicatie waarin zich verklaringen bevinden alleen nog maar toe te staan via zogenaamde backchannels. Een van de gevolgen hiervan is dat hierdoor deze informatie niet aanwezig is bij de gebruiker/klant in zijn browser. Hiermee wordt het lastiger gemaakt om sessie hijacking en replayattacks uit te voeren. In de bijlage 3 van de beschrijving zijn de volledige lijsten met RFC s (de wijzigingen van eherkenning richting Idensys) opgenomen met toelichtingen. 16 Rapportage netto risicoanalyse informatiebeveiliging eid Introductieplateau, Logius, 6 juli Oplegger bij Stelselrisicoanalyse, 15 juli Memo Stelselrisicoanalyse, paragraaf 4: Voorstel mitigerende maatregelen 29

30 In het hoofdstuk Interface specifications van het Afsprakenstelsel eherkenning 1.9, de pagina s 163 e.v. geven in detail de voorschriften van de technische beveiligingsmaatregelen voor het berichtenverkeer over de koppelvlakken tussen de eid Deelnemers. Dit betreft onder meer (in de Engelse taal): General requirements Information security requirements Digital Signature SAML Encryption End-to-End encryption PKIoverheid Secure connection Synchronize system clocks Voor de onderliggende details verwijzen wij hier naar het betreffende document Conclusies 1. Het gebruik van verschillende soorten PseudoID s en de end-to-end encryptie vormen de kern van het eid Stelsel, waarmee invulling wordt gegeven aan belangrijke privacy principes als beveiliging, dataminimalisatie en privacy by design. 2. Op alle belangrijke componenten/koppelvlakken in het Introductieplateau is het berichtenverkeer end-to-end encrypted. 3. De afbakening tussen het Burger-/ BSN-Domein en het consumentendomein zorgt eveneens voor een afbakening van deze twee typen authenticaties waardoor veiligheid wordt bevorderd. De technische hiervoor te hanteren beveiligingsstandaarden voorzieningen door eid Deelnemers en Dienstaanbieders in hun respectievelijk backoffice systemen zijn nog niet voorzien. Hierbij valt bijvoorbeeld ook te denken aan de beveiliging en het beheer van de geheime sleutels bij eid Deelnemers en Dienstaanbieders Aanbevelingen 1. Neem in het Afsprakenstelsel specifiek voorwaarden op voor de beveiliging van persoonsgegevens bij de eid Deelnemers. Het is van belang dat de maatregelen specifiek en in voldoende mate ook in de technische omgeving van IT werkelijkheid worden genomen. 2. Neem in de richtlijnen voor de Stelsel Audit op dat voldoende bewijslast door de auditors wordt verzameld uit de IT werkelijkheid en niet uitsluitend bewijslast wordt verzameld uit procedures en managent processen informatiebeveiliging. Het risico bestaat anders dat de IT auditor een oordeel geeft over informatiebeleid en informatiebeveiligingsprocessen en niet over de werkelijk gerealiseerde beveiligingsmaatregelen (in de IT werkelijkheid) 3. Overweeg het hanteren van een verplicht transparantierapport van de eid Deelnemer waarin periodiek verslag wordt gedaan over beveiligingsincidenten, afwikkeling van incidenten, gerealiseerde beveiligingsniveau en andere hygiëne factoren aangaande gerealiseerde informatiebeveiliging in de IT werkelijkheid. Een IT auditor kan de betrouwbaarheid van deze rapportages toetsen 4. Definieer in het afsprakenstelsel concrete normen voor de te toetsen IT objecten. Zie ook de vorige aanbevelingen hierover. 5. Neem in het Afsprakenstelsel een voorziening en regeling op voor het melden van beveiligingsincidenten en datalekken binnen de eid infrastructuur en de eid Deelnemers bij de relevante stakeholders en toezichthouders, waaronder het CBP. 6. Zorg in het Afsprakenstelsel voor op elkaar afstemde richtlijnen over het bewaren van persoonsgegevens voor de toezichthouder, uitvoeringsorganisatie, de eid Deelnemers en de Dienstaanbieders. 7. Hou daarbij rekening met mogelijke gedifferentieerde bewaartermijnen per type verzamelde persoonsgegevens waardoor beveiligingsrisico s voor de betreffende persoonsgegevens worden gereduceerd. 30

31 8. Betrek daarbij ook de relevante wettelijke/sectorale eisen met betrekking tot de bewaring van bepaalde typen van persoonsgegevens. 9. Zorg in ieder geval dat inzichtelijk wordt op basis van welke beleidsmatige en technische gronden bewaartermijnen voor bepaalde typen van persoonsgegevens binnen het eid Stelsel zijn vereist. 10. Zorg dat in het Afsprakenstelsel ook maatregelen zijn voorzien om de persoonsgegevens na afloop van de bewaartermijn te vernietigen. Hierbij dient ook aandacht te worden besteed aan gegevens in loggingen en audittrails. 11. Zorg er tenslotte voor dat de bewaartermijnen en de vernietiging van persoonsgegevens onderdeel uitmaken van de scope van privacy- en/of certificeringsaudits. 12. Voorzie in het Afsprakenstelsel in normen / standaarden voor het beveiligen van persoonsgegevens in backoffice systemen en aangaande de verwerking van audittrails en metadata, waarmee convergentie in de beveiligingsaanpak wordt bewerkstelligd Privacy principe Transparantie Bevindingen Burgers die reeds gebruik maken van bestaande authenticatievoorzieningen als DigiD en e- Herkenning kunnen in zekere zin bekend zijn met de identificatie en authenticatiedoeleinden voor dat deel van het toekomstige eid Stelsel. Zowel aan de kant van de overheid als van marktpartijen zijn er immers verschillende bestaande ICT-voorzieningen die, na migratie, zullen worden opgenomen in het eid Stelsel. Denk hierbij aan: DigiD, DigiD Machtigen, eherkenning en PKIoverheid. Maar in de ontwerpdocumentatie is ook aangegeven dat de werking van het Introductieplateau / eid Stelsel complex is. Dit betekent dat niet op voorhand mag worden aangenomen, dat de werking van het nieuwe eid Stelsel / Introductieplateau voor de Gebruiker, alsmede het gebruik van diens gegevens door relevante eid Deelnemers en Dienstaanbieders transparant is. Nu het eid Stelsel als publieke-privaat stelsel voor elektronische identificatie, authenticatie en autorisatie met bestaande, maar ook met nieuwe partijen samenwerkt, is het noodzakelijk dat de betrokkenen vooraf worden geïnformeerd over het bestendigen of aanvullen van het doel van het verwerken van hun persoonsgegevens binnen het eid Stelsel / Introductieplateau. Dus ook met welke specifieke wijzingen en aanvullingen het eid Stelsel gepaard gaat. Hierbij dient in aanmerking te worden genomen, dat zich binnen het eid Stelsel, afhankelijk van de rol/combinatie van rollen die een component / eid Deelnemer binnen dit Stelsel vervult, bij de betrokkene kenbaar moet zijn of aan de betrokkene kenbaar moet worden gemaakt, voor welk specifiek doel zijn gegevens bij welke component voorwelke rollen worden verzameld en verder verwerkt. Afhankelijk van het gebruik dat een betrokkene (Gebruiker/Belanghebbende) van het eid Stelsel maakt, zal de informatie hier op toegespitst moeten zijn. Hoewel er van mag worden uitgegaan, dat de Gebruiker over de diensten in het eid Stelsel zal worden geïnformeerd, zal hier volledigheidshalve in het Afsprakenstelsel aandacht aan moeten worden besteed. Dit nu is in die samenhang nog niet voorzien in de ontwerpdocumentatie van het eid Stelsel. In het voorgaande is reeds aan de orde gekomen, dat in ontwerpdocumentatie nog niet alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, volledig in kaart zijn gebracht, althans niet zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. Aangezien het ontwerp nog verder wordt uitgewerkt, zullen aanvullende stappen in de verwerkingen en in gegevensuitwisseling in de volgende ontwerpversies worden toegevoegd. Er is in ieder geval geen aanleiding om te veronderstellen dat de beoogde gegevensuitwisselingen niet inzichtelijk in kaart kunnen worden gebracht en vervolgens ook transparant voor de Gebruikers kunnen worden gemaakt Aanbevelingen 1. Neem in de ontwerpeisen van het eid Stelsel / Introductieplateau op, dat in het Afsprakenstelsel geregeld wordt dat aan Gebruikers kenbaar wordt gemaakt welke eid Deelnemers op welke momenten voor welke doeleinden hun persoonsgegevens verwerken. 2. Bewerkstellig hiermee een convergente en met elkaar samenhangende toepassing van het transparantiebeginsel bij alle eid Deelnemers binnen het eid Stelsel. 31

32 3. Ga door met het in kaart brengen van alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. 4. Besteed daarbij ook aandacht aan metadata die binnen het eid Stelsel in systeemloggingen/audittrails wordt verwerkt. 5. Stem, in de veronderstelling, dat er mediacampagnes over de werking van het eid Stelsel zullen komen, de uitvoering van de voorgaande aanbevelingen hier op af. 32

33 2.14 Privacy principe: Rechten van betrokkenen Bevindingen In hoeverre er op onderdelen van het verwerkingsproces in het Introductieplateau eid Stelsel sprake is van het toestemming vragen aan de betrokkene tot het verwerken van diens persoonsgegevens (opt-in), en of de betrokkene deze toestemming dan op een later tijdstip weer kan intrekken (opt-out), is in deze ontwerp fase nog niet geheel te overzien. Om die reden kan ook niet volledig worden nagegaan wat bij een weigering om toestemming te geven, of bij een dergelijke intrekking, de implicatie voor de betrokkene is. In de ontwerp documentatie is nog niet met zoveel worden geregeld via welke procedure betrokkenen de mogelijkheid hebben zich tot de verantwoordelijke te wenden met het verzoek hen mede te delen of hun persoonsgegevens worden verwerkt. Dit geldt ook ten aanzien van derden, die mogelijk bedenkingen hebben tegen een dergelijke mededeling, en in de gelegenheid moeten worden gesteld om hun zienswijze te geven. Nu zijn er op onderdelen aanzetten tot het inzagerecht van betrokkenen gegevens. Hieronder volgen een aantal voorbeelden. Een Authenticatiedienst houdt een audit trail bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eid Stelsel: als een Authenticatiemiddel vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een Authenticatiemiddel is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een Gebruiker heeft afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend, dat een audit trail door een Authenticatiedienst uitsluitend mag worden gebruikt voor het geven van inzicht aan de Gebruiker welk gebruik er van zijn middelen is gemaakt Conclusies 1. In dit stadium van de ontwerpdocumentatie van het Introductieplateau eid Stelsel kan de conclusie worden getrokken dat in potentie de gegevens aanwezig zijn om inzage te geven in de verwerkte persoonsgegevens. Maar procedures en functionaliteit daartoe is niet beschreven. Er kan dus nog niet worden gesproken van op elkaar afgestemde concrete inzage procedures voor betrokkenen (Gebruikers). Althans niet met zoveel woorden waar de norm op doelt. Ook niet hoe eventuele derden, die mogelijk bedenkingen zou kunnen hebben tegen een dergelijke mededeling, in de gelegenheid gesteld kunnen worden om hun zienswijze te geven. Dit geldt evenzeer voor concrete en formele procedures voor het in behandeling nemen van verzoeken van een betrokkenen tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens. 2. Deelnemers aan het eid Stelsel die tot op personen te herleiden gegevens verwerken zijn ieder voor zich, voor wat hun aandeel in de verwerking betreft, verantwoordelijk voor het naleven van privacy- wet en regelgeving. Gezien de data interactie tussen de BSN Koppelregister en de meerdere te onderscheiden overige eid Deelnemers in een identificatie/authenticatie/machtigings/vertegenwoordigings proces, is het voorstelbaar dat een betrokkene, wil hij zijn rechten effectueren, door de bomen het bos niet meer ziet en mogelijk van het kastje naar de muur wordt gestuurd. Dit zou het inzagerecht voor wat betreft het eid Stelsel tot een fictie kunnen maken. 3. Het is nog niet te overzien of er in de ontwerp-documentatie voldoende aandacht is besteed aan de principes van opt-in / opt-out voor Gebruikers van het eid Stelsel en welke attributen dit nu precies betreft. Het lijkt erop dat dit ook afhankelijk is van de functionaliteiten en mogelijkheden die Dienstaanbieders en Authenticatiediensten hiertoe gaan bieden. Er is wel sprake van opt-in omdat een Gebruiker zelf bepaalt of hij of zij van een Authenticatiemiddel gebruik wil maken. In welke mate opt-out realistisch is, is nu niet goed vast te stellen. 33

34 Aanbevelingen 1. Besteed in de volgende ontwerp fasen aandacht aan opt-in / op-out mogelijkheden voor Gebruikers bij de daarvoor in aanmerking komen diensten / attributen. 2. Neem dit indien relevant in het Afsprakenstelsel mee. 3. Besteed in het Afsprakenstelsel aandacht aan procedures voor de eid Deelnemers / Dienstaanbieders voor het effectueren van rechten van betrokkenen (Gebruikers). 4. Overweeg het instellen van een loket waar Gebruikers terecht kunnen ingeval van onduidelijkheden, hulp en geschillen aangaande hun rechten. 5. Geef daarbij handreikingen om convergentie in de afhandeling ervan bij de eid Deelnemers en Dienstaanbieders te bewerkstelligen. 6. Geef ook handreikingen voor een efficiënte en effectieve routing van de afhandeling van deze verzoeken van Gebruikers ingeval de afhandeling ertoe moeten leiden dat meerdere eid Deelnemers zich hiermee moeten gaan bezig houden. Bedenk daarbij ook, dat er omstandigheden kunnen zijn, waarin derden, die mogelijk bedenkingen hebben tegen een dergelijke mededelingen, in de gelegenheid moeten worden gesteld om hun zienswijze te geven. 7. Zorg er ook voor dat het voor de Gebruiker transparant is tot wie welk verzoek inzake welk recht (het beste) kan worden gericht. 8. Neem de voorzieningen voor de rechten van betrokkenen mee in de het Afsprakenstelsel over de verplichte en periodiek uit te voeren certificeringsaudit voor de eid Deelnemers. 9. Overweeg de realisatie van functionaliteit dat een Gebruiker sowieso kan inzien wanneer zijn digitale identiteit gebruikt is en deze transactie dus gelogd is. Dit maakt ook de detectie van misbruik voor de Gebruiker eenvoudiger hetgeen ook kwaliteit verhogend is 34

35 3. Beschrijving Introductieplateau eid Stelsel / Idensys 3.1 Inleiding Als object van onderzoek zijn door BZK aan Mazars de volgende documenten ter beschikking gesteld: 1. Beschrijving Idensys, versie 0.8, d.d. 28 april 2015, status concept. Dit document bevat het volledige ontwerp van het stelsel met alle componenten en hun interacties; 2. Beschrijving Afspraken Stelsel eherkenning 1.9, 10 april 2015; 3. Begrippenlijst eid Afsprakenstelsel; 4. Interface specifications. In het Engels zijn de technische specificaties voor de koppelvlakken in het stelsel beschreven. Ook hoe de verklaringen als SAML-bericht verzonden moeten worden; 5. Request for changes: 1908a, 1928, 1929 en 1932; 6. Logius, Rapportage netto risicoanalyse informatiebeveiliging eid Introductieplateau 6 juli 2015 (PWC) 7. Oplegger bij Stelselrisicoanayse, 15 juli 2015 Voorts zijn door ons eerdere ontwerpdocumenten gebruikt aangaande eid ontwerp, waaronder: 8. Voorwoord eid Afsprakenstelsel 1.0, 2014, waarin tot uiting komt dat deze ontwerpversie uit 5 aparte secties bestaat. Elke sectie heeft een apart document en kan uit meerdere hoofdstukken bestaan; 9. Introductie op het eid Stelsel 1.0, 2014 Hierin wordt de huidige situatie rondom authenticatie en autorisatie uitgelegd en de invloed van het eid Stelsel en de werking ervan aan de hand van de belangrijkste ontwerpeisen beschreven. Tot slot een eenvoudige uitleg van het inlogproces binnen het eid Stelsel; 10. Stakeholders, belangen en ontwerpeisen. Na de beschrijving van de stakeholders en de bijbehorende belangen volgen in detail de aan het eid Stelsel te stellen ontwerpeisen, 2014; Het huidige ontwerp van het Introductieplateau eid Stelsel is, zoals gezegd, nog in een ontwikkelingsfase ten behoeve van de realisatie van pilots. Publieke en private organisaties die digitale diensten aanbieden kunnen (met BZK) aan de hand van deze versie de implementatiemogelijkheden toetsen. Daarnaast is deze versie input voor andere onderdelen van het eid Stelsel zoals wetgeving, toezicht, beheer, testomgevingen, privacy- en risicoanalyses, usability, etc. Het document is tevens input voor impactanalyses op bestaande diensten en voorzieningen zowel aan de kant van de dienstaanbieders als aan de kant van potentiele deelnemers aan het eid Stelsel. Uitkomsten van deze acties zullen input zijn voor de volgende versies van het ontwerp van het eid Stelsel, waarvan de 2.0-versie is gepland en de activiteiten nu onderhanden zijn. In dit hoofdstuk wordt ten behoeve van de uitvoering van de PIA op basis van de hierboven verantwoorde ontwerpdocumentatie achtereenvolgens inzicht verschaft in: Doelstellingen van het eid Stelsel; De stakeholders bij het eid Stelsel Beoogde resultaten met het eid Stelsel; Ontwerpeisen voor het eid Stelsel; Schets van de werking van het eid Stelsel. Dit gebeurt aan de hand van uit de ontwerp documentatie overgenomen teksten, diagrammen, modellen, en figuren. Dit wordt zo getrouw mogelijk gedaan, maar er is hierbij geen volledigheid nagestreefd. Voor de precieze werking van het eid Stelsel wordt naar de inhoud van de aangehaalde documenten verwezen. Wij hebben per tekstdeel aangegeven uit welk document het tekstdeel is overgenomen. 35

36 3.2 Doelstellingen van eid Stelsel [Tekst afkomstig uit document: Beschrijving Idensys, versie 0.8, d.d. 28 april 2015, status concept ]. Beschrijving Introductieplateau Idensys Vanaf najaar 2015 is Idensys operationeel. Natuurlijke personen kunnen dan inloggen in twee rollen (burger en consument) via Idensys met een passend inlogmiddel bij overheid en bedrijfsleven. In deze paragraaf wordt ingegaan op de doelstelling van Idensys, de functionaliteit, de doorontwikkeling in de vorm van de toevoeging van nieuwe functionaliteit en de werking van het afsprakenstelsel dat eraan ten grondslag ligt. Doelstelling Idensys De algemene doelstelling van Idensys is m het eenvoudig mogelijk te maken voor burgers, bedrijven en overheden om veilig online in te loggen en transacties te kunnen doen bij bedrijven en overheden. Om transacties te kunnen verrichten is informatie nodig voor de dienstaanbieders: Figuur 1: het proces van online identificatie, authenticatie en autorisatie Om dit mogelijk te maken is besloten om te werken met een stelsel waarin diverse identity providers op basis van standaard afspraken (opgenomen in het Afsprakenstelsel) diensten kunnen leveren. Dit wordt verderop nader uitgewerkt. Door met zo n stelsel te werken is het mogelijk om: Dienstaanbieders te ontzorgen. Zij hoeven alleen op een makelaar aan te sluiten om standaard berichten te kunnen ontvangen in zowel het burger- als bedrijvendomein (zie figuur 2). Dienstaanbieders hoeven zelf geen middelen uit te geven of inlogvoorzieningen te beheren. Burgers keuzevrijheid te geven met welke van de beschikbare inlogmiddelen zij willen inloggen bij overheden en bedrijven die zijn aangesloten op Idensys. Bovendien kan de burger met een inlogmiddel bij meerdere diensten inloggen en wordt zijn digitale sleutelbos gereduceerd. Het single point of failure van authenticatiemiddelen op te heffen voor burgerauthenticatie in het BSN-domein. Doordat de dienstverlening binnen Idensys door meerdere partijen wordt uitgevoerd, kan ook bij uitval van een partij de rest van de voorzieningen blijven functioneren. 36

37 Figuur 2: Toelichting op de rol van makelaar en authenticatiedienst Functionaliteit Introductieplateau Idensys Het Introductieplateau bouwt voort op eherkenning. In het Introductieplateau zal het burger/consumentendomein onder het merk Idensys worden aangeboden. Idensys ondersteunt vanaf dit najaar voor dit domein de volgende functionaliteit: Inloggen (Identificeren en authenticeren) op een hoog betrouwbaarheidsniveau (betrouwbaarheidsniveaus 3 en 4) bij de private sector en de overheid. Verstrekken van aanvullende (gevalideerde) persoonsgegevens op basis van user consent 19 : o Geslachtsnaam, voornaam, initialen, geboortedatum-/plaats o Leeftijdsverificatie o Deze informatie wordt door de authenticatiedienst verstrekt en is gevalideerd op basis van een WID. Andere functionaliteiten zoals machtigingen en ontsluiten van andere attribuutregisters zijn nog geen onderdeel van Idensys. Pilots Dit najaar is Idensys operationeel en zullen er aanbieders c.q. identity providers (deelnemers binnen Idensys) toetreden om de inlogdiensten aan te bieden. Overheid en bedrijfsleven (dienstaanbieders binnen Idensys) kunnen aansluiten op Idensys via een makelaar. Zodra burgers over een Idensys middel beschikken, kunnen ze inloggen bij alle organisaties die het Idensys-logo op de site hebben. Alle hoog betrouwbare middelen van deelnemers die zijn toegetreden tot Idensys zijn hiervoor geschikt. Naar verwachting zullen dat in 2015 in ieder geval de huidige leveranciers binnen eherkenning zijn. Mogelijk komen er ook andere leveranciers, zoals notarissen (met Notaris ID) en de overheid (met een publiek middel). Zodra zij zijn toegetreden kunnen hun middelen ook gebruikt worden om via Idensys in te loggen. Voor inloggen in de BSN-sector zal ook het BSN-koppelregister operationeel moeten zijn. De overheid zal omwille van gebruik BSN, betrouwbaarheid en veiligheid willen starten met een 19 User consent: de gebruiker moet expliciet akkoord gaan met het verstrekken van persoonsinformatie voordat een authenticatiedienst dit mag verstrekken. 37

38 beheerste omgeving en beperkte aantallen dienstaanbieders en gebruikers. Vandaar de term pilots. Governance Idensys is gebaseerd op een afsprakenstelsel. Hier wordt in het volgende hoofdstuk nader op ingegaan. Voor het beheer van een afsprakenstelsel is een governance nodig. De governance met betrekking tot het afsprakenstelsel ligt bij een publiek-private governance. Dit is vastgelegd in een Instellingsbesluit van de Minister van EZ. Binnen de gremia van deze governance vindt besluitvorming over de (ontwikkeling) van het afsprakenstelsel plaats. In deze governance wordt op een evenwichtige manier de verschillende belangen afgewogen. Daarvoor is de governance ingericht op basis van een gelijkwaardige positie voor zowel de dienstaanbieders, de deelnemers als de gebruikers. De dienstaanbieders zijn verder onderverdeeld in publieke en private dienstaanbieders. De deelnemers zijn verder onderverdeeld in publieke en private deelnemers en de gebruikers zijn onderverdeeld in burgers/consumenten en bedrijven. De publiek-private governance kent drie gremia: het Strategisch Beraad, het Tactisch Beraad en het Operationeel Beraad. Binnen deze gremia vindt besluitvorming over de (ontwikkeling) van het afsprakenstelsel plaats. Besluiten van het Strategisch Beraad worden voor goedkeuring voorgelegd aan de Minister van Economische Zaken. Hij neemt het advies over tenzij het algemeen belang of het recht zich daartegen verzet. De publiek-private governance wordt ondersteund door een beheerorganisatie. Deze taak is belegd bij Logius. De invloed van de overheid in het afsprakenstelsel kent diverse invalshoeken: De Minister van EZ is eigenaar van het merk Idensys en de stelselverantwoordelijke minister. Hij moet adviezen van het Strategisch Beraad toetsen, is de financier van de beheerorganisatie Afsprakenstelsel Elektronische Toegangsdiensten (en dus van de merken van Idensys en eherkenning) en is de toezichthouder. De overheid is dienstaanbieder en namens de overheid zitten in alle gremia overheidsvertegenwoordigers namens de publieke dienstaanbieders aan tafel. De overheid wordt mogelijk een deelnemer in het stelsel, vanwege het BSN koppelregister, een publiek middel of registers die via Idensys worden ontsloten. Namens de overheid zitten in alle gremia overheidsvertegenwoordigers namens de publieke deelnemers (leveranciers) aan tafel. Naast de publiek-private governance is er nog de publieke governance. Binnen deze publieke governance kan de inbreng van de diverse overheidsvertegenwoordigers in de publiek-private governance worden afgestemd. Aan de kant van de private governance is er ook afstemming, bijvoorbeeld via Nederland ICT voor wat betreft de inbreng van de private deelnemers in de diverse gremia. 38

39 3.3 Stakeholders bij het eid Stelsel [Tekst uit document: Stakeholders, belangen en ontwerpeisen, ] Belangrijke stakeholders bij het eid Stelsel zijn: 20 Beleidsverantwoordelijke ministeries Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Min BZK) Ministerie van Economische Zaken (Min EZ DG Uitvoering) Belanghebbende organisaties Belangenorganisaties College Bescherming Persoonsgegevens (CBP), de Consumentenbond, Bits of Freedom, de Autoriteit Consument en Markt (ACM) en toonaangevende media. Wetenschappers en experts Manifestgroep Publieke eid Deelnemers Logius Gemeenten Private eid-deelnemers Leveranciers eherkenning (ICT) Leveranciers Publieke dienstaanbieders Ministerie van Veiligheid en Justitie Ministerie van Volksgezondheid, Welzijn en Sport Vereniging van Nederlandse Gemeenten (VNG) en Nederlandse Vereniging Voor Burgerzaken (NVVB) Belastingdienst Rijksdienst voor het Wegverkeer (RDW) Uitvoeringsinstituut Werknemersverzekeringen (UWV) Sociale Verzekeringsbank (SVB) Private Dienstaanbieders Financiële Dienstaanbieders Webwinkels 20 Bron: Stakeholders, belangen en ontwerpeisen, par

40 3.4 Randvoorwaarden en ontwerpcriteria Introductieplateau [Tekst ontleent aan document: Beschrijving Idensys, versie 0.8, d.d. 28 april 2015, status concept ]. In aanvulling op de technische afspraken en standaard voor het realiseren van de werking van het afsprakenstelsel, zijn er andere zaken noodzakelijk voor een goede werking. Die komen hieronder aan de orde. Juridica Het afsprakenstelsel bevat niet alleen technische afspraken maar ook juridische afspraken. Dit is noodzakelijk, omdat partijen die gebruik willen maken van Idensys volledig moeten vertrouwen op de juistheid van de berichten die ze ontvangen. Bij juridische zaken van het Introductieplateau moet gedacht worden aan zaken als: - het juridisch kader - de deelnemersovereenkomst - de gebruiksvoorwaarden. Deze documenten bevatten informatie over de besturing van het Introductieplateau, de naleving van het afsprakenstelsel, de overeenkomst tussen de beheerorganisatie en de aanbieders en de minimale gebruiksvoorwaarden waaronder de dienstaanbieders en gebruikers Idensys mogen gebruiken. Toezicht en naleving Deelnemers binnen het Introductieplateau sluiten een contract met de minister van EZ waarin ze verklaren zich te houden aan de afspraken uit het afsprakenstelsel. Aanvullend vindt er toezicht plaats op de naleving van de afspraken. De verantwoordelijkheid voor dit toezicht ligt bij de Minister van EZ. Gedurende het Introductieplateau belegt de Minister van EZ de toezichthoudende taak bij de ADR (Auditdienst Rijk). Nadat er een wettelijk kader voor het toezicht is, zal de toezichthoudende taak naar verwachting bij het Agentschap Telecom komen te liggen. Communicatie en huisstijl Idensys Belangrijk voor het merk is de huisstijl van Idensys. Deze bestaat onder meer uit het logo (beeld- en woordmerk) dat gebruikt wordt in alle communicatie uitingen van Idensys-deelnemers en dienstaanbieders. In het Introductieplateau worden aan het gebruik van de huisstijl eisen gesteld, omdat het Idensys-logo geassocieerd moet worden met betrouwbaarheid en vertrouwen. De communicatie zal in nauwe samenwerking met alle betrokken partijen in de pilots, met name de deelnemers en dienstaanbieders, worden uitgevoerd. De verantwoordelijkheid voor communicatie met klanten/gebruikers blijft de verantwoordelijkheid van de Idensys-deelnemers en de dienstaanbieders. BSN-Koppelregister Tijdens het Introductieplateau is er een BSN-koppelregister. Dit is randvoorwaardelijk voor het realiseren van de doelstelling van Idensys om met private inlogmiddelen te kunnen inloggen in de BSN-sector. Er moet een betrouwbare koppeling tussen een privaat middel en het BSN gelegd kunnen worden. Dit geldt zowel bij de eenmalige uitgifte en registratie als bij iedere transactie. De huidige wetgeving staat niet toe dat iedere (private) authenticatiedienst als bewerker van het BSN wordt aangemerkt. Hiervoor is een BSN-koppelregister binnen het domein van de overheid nodig. In dit BSN-koppelregister wordt het pseudoniem van een persoon, uitgegeven door een authenticatiedienst, gekoppeld aan het BSN. Dit register is eigendom en onder verantwoordelijkheid van het Ministerie van BZK. 40

41 Doorontwikkeling Introductieplateau Het Introductieplateau zal in de loop van de tijd verder ontwikkeld worden. Daarbij moet gedacht worden aan nieuwe functionaliteiten, zoals: machine-naar-machine communicatie, ondertekenen, ondersteuning mobiele apparaten, de koppeling met andere Europese Identiteitssystemen (Pan European Proxy Server, PEPS). Maar mogelijk ook minder zichtbare doorontwikkelingen, zoals verdergaande privacy- en securitymaatregelen, aanpassing van het toezicht, het businessmodel, ontwikkeling van een wettelijk kader voor Idensys. De verantwoordelijkheid voor deze doorontwikkeling ligt bij de publiek-private governance die over Idensys beslist. En daarnaast ook bij de overheid vanwege diens verantwoordelijkheid ten aanzien van betrouwbaarheid, privacy, opsporing en toezicht. Vanuit het eid-programma wordt in 2015 een maatschappelijke discussie gevoerd voor de gewenste afweging tussen privacy, security en fraude-bestrijding. Dit zal input opleveren voor de doorontwikkeling van Idensys. Koppeling Idensys en eherkenning Idensys en eherkenning zijn gebaseerd op hetzelfde afsprakenstelsel, maar voor Idensys zijn er aanvullende voorwaarden en eisen opgesteld. Schematisch ziet het er als volgt uit: Figuur 4: Schematische weergave Idensys en eherkenning 41