Impactanalyse Qiy afsprakenstelsel binnen het gemeentelijk domein

Impactanalyse Qiy afsprakenstelsel binnen het gemeentelijk domein Versie DEFINITIEF 1 november 2015 Maurice van Erven / Tjerk Venrooy 1

1 Samenvatting Met de groei van de digitale economie doen steeds meer mensen online zaken met bedrijven, overheden en met elkaar. Dit leidt tot een steeds grotere hoeveelheid gegevens, waarbij het individu beperkte controle en overzicht heeft op de inhoud en verstrekking van die gegevens. Online zijn wordt steeds meer een gedoe : continu inloggen om persoonlijke gegevens weg te brengen of op te halen. Het resultaat is dat niemand meer weet waar al die data blijft en wat ermee gebeurt. Online vertrouwen neemt steeds meer af en de roep om meer privacy wordt daardoor alleen maar sterker. De oplossing voor dit probleem is burgers de regie geven over hun eigen gegevens waarbij zij zelf beslissen met wie ze welke gegevens willen delen. De Qiy Foundation werkt samen met een aantal grote private en publieke organisaties aan de ontwikkeling van een onafhankelijk afsprakenstelsel dat regie op gegevens mogelijk maakt. Het Qiy Afsprakenstelsel bestaat uit onafhankelijke governance, een open standaard en de bijbehorende spelregels. Het Qiy Afsprakenstelsel sorteert hiermee reeds voor op de veranderende rol van overheid en verwachtingen van het individu in de digitale wereld, rekening houdend met op handen zijnde wetswijzigingen op het gebied van data- en privacybescherming. Bij gebruikmaking van implementaties op basis van het Qiy Afsprakenstelsel voldoet een organisatie die persoonlijke gegevens verzamelt bovendien automatisch aan veel van de overige verplichtingen die uit de nieuwe regelgeving voortvloeien: - Privacy by design - Gegevensbescherming by design en by default - Toestemming van de betrokkene op een wijze waaruit blijkt dat deze zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt - Gegevensminimalisering - Beperking van doeleinden - Minimale gegevensverwerking en minimale opslag. Inmiddels is op basis van het Qiy Afsprakenstelsel een schaalbare en veilige infrastructuur beschikbaar die het Trust Framework wordt genoemd. Een infrastructuurimplementatie op basis van het Qiy Afsprakenstelsel voegt feitelijk een nieuwe laag toe aan het internet: een trustlaag die borgt dat aangesloten partijen zich organisatorisch, juridisch en technisch aan de regels houden voor de omgang met persoonlijke gegevens. Als burger krijgt men binnen die trustlaag de beschikking over een zogenaamde Qiy Node, ook nog wel Qiy Domein genoemd. Dit is geen ingewikkeld proces. Een Qiy Node kan ontstaan doordat een applicatie of een website gebruik maakt van het Qiy Afsprakenstelsel en automatisch een Qiy Node activeert als men die nog niet heeft. Zowel individuen als organisaties als banken, dienstverleners en de overheid kunnen zich op deze trustlaag aansluiten. Het individu bepaalt zelf welke gegevens hij of zij met andere partijen wil delen op het moment dat er persoonlijke gegevens worden gevraagd, van woonadres tot betaalgegevens en van WOZ-waarde tot werkgeversverklaring. Daarbij kunnen organisaties zich abonneren op gegevens van de burger, die rechtstreeks van een betrouwbare bron (zoals de gemeente, de 2

belastingdienst of de werkgever) afkomen. Dit verlaagt kosten, verhoogt het vertrouwen door het gebruik van authentieke gegevens en biedt hele nieuwe mogelijkheden. In opdracht van de gemeente Boxtel is een onderzoek uitgevoerd of, en zo ja op welke manier, implementaties op basis van het Qiy Afsprakenstelsel door de gemeente ingezet kunnen worden om burgers de regie te geven over hun eigen gegevens. In de analoge wereld is de gemeentebalie immers al decennia de plek waar de fysieke identiteit van de burger wordt vastgesteld en wordt gekoppeld aan een paspoort, rijbewijs of ID-kaart. De gemeente is bij uitstek de plek om een persoonlijk Qiy Node of Domein te verstrekken en eventueel direct te koppelen aan gegevens die over de betreffende burger door de gemeente beschikbaar gesteld worden. Vanuit de gemeenten Boxtel en Rotterdam is vervolgens aan de hand van verschillende customer journeys gekeken of een gemeente een persoonlijk Qiy Domein kan uitgeven aan alle burgers en welke toepassingsmogelijkheden het Qiy Afsprakenstelsel voor gemeenten biedt. De customer journeys en een aantal interviews met stakeholders hebben deze impactanalyse opgeleverd. De customer journeys en de modelimplementatie is te raadplegen via onderstaande links: - Ontsluiten gevalideerde persoonsgegevens via baliebezoek gemeente https://www.digital-me.nl/wp-content/uploads/burgercentraal/1/assets/player/keynotedhtmlplayer.html#2 - Ontsluiten gevalideerde persoonsgegevens via website gemeente https://www.digital-me.nl/wp-content/uploads/burgercentraal/1/assets/player/keynotedhtmlplayer.html#14 - Ik wil een woning van woningbouwvereniging Humanitas https://www.digital-me.nl/wp-content/uploads/burgercentraal/1/assets/player/keynotedhtmlplayer.html#26 - Ik wil een Uittreksel BRP beschikbaar stellen aan woonstichting Sint Josehp https://www.digital-me.nl/wp-content/uploads/burgercentraal/1/assets/player/keynotedhtmlplayer.html#70 - Ik wil de beschikkingen van toegekende minimaregelingen en WMO voorzieningen kenbaar maken aan mijn nieuwe gemeente na verhuizing https://www.digital-me.nl/wp-content/uploads/burgercentraal/1/assets/player/keynotedhtmlplayer.html#77 De impactanalyse heeft geleid tot meer duidelijkheid over de werking en toepasbaarheid van het Qiy Afsprakenstelsel. Hieruit is gebleken dat het Qiy Afsprakenstelsel veel potentieel heeft, maar dat het voor grootschalige implementeerbaarheid binnen de overheid nog te vroeg is. De overheid dient haar positie ten aanzien van het Qiy Afsprakenstelsel te bepalen en de juridische mogelijkheden voor het ontsluiten van gevalideerde persoonsgegevens moeten nog in kaart worden gebracht. Positiebepaling Voordat een gemeente aan de slag kan gaan met het toepassen van het Qiy Afsprakenstelsel, is het van belang dat de overheid als geheel een positie inneemt ten aanzien van het Qiy Afsprakenstelsel. Om dit te kunnen doen, zal eerst een aantal beleidsvragen positief beantwoord moeten worden op een voldoende gezaghebbend beleidsmatig niveau. Verschillende beleidsvragen zijn al geadresseerd in dit rapport (hoofdstuk 5). Het gaat hierbij om de governance van het Qiy Afsprakenstelsel, 3

vergezeld van audits op de veiligheid en privacy van beschikbare implementaties die men in zou willen zetten. Primaire Longtail acties overheid 1. Beoordeel de huidige Governance en neem actief deel in de Work Stream Governance en zorg dat de inbreng van kennis en kunde leidt tot een resultaat waar de overheid achter staat. 2. Beoordeel de wijze waarop momenteel het veilig uitwisselen van informatie wordt geborgd met de implementatie van het Qiy Afsprakenstelsel en neem actief deel in de Work Stream Functionality & Technology en zorg dat de inbreng van kennis en kunde leidt tot een resultaat waar de overheid achter staat. 3. Beoordeel de wijze waarop momenteel binnen het Qiy Afsprakenstelsel de privacy is geborgd. Neem actief deel in de Work Stream Rules & Regulations en zorg dat de inbreng van kennis en kunde leidt tot een resultaat waar de overheid achter staat. Actie te beleggen bij Programma regie op gegevens Programma regie op gegevens Programma regie op gegevens Voorgestelde betrokkene VNG/KING VNG/KING Qiy foundation VNG/KING Qiy foundation Juridische mogelijkheden Er zijn verschillende wetten die raakvlak hebben met het ontsluiten van gevalideerde persoonsgegevens. In dit onderzoek is gekeken naar de positie van de wet BRP, de Wet bescherming persoonsgegevens en de wet EBV 1. Het is niet gelukt om de wettelijke context volledig te duiden. Dit dient te gebeuren voordat het ontsluiten van gevalideerde persoonsgegevens grootschalig kan worden ondersteund. Primaire Longtail acties overheid 14. Vaststellen of de ontsluiting van persoonsgegevens via het persoonlijk Qiy Domein valt onder de wet BRP, de Wet bescherming persoonsgegevens of de wet EBV. Vervolgens de wettelijke mogelijkheden in kaart brengen. Actie te beleggen bij Programma regie op gegevens Voorgestelde betrokkene VNG/KING RvIG Nadat de primaire longtailacties zijn beantwoord dienen de secundaire longtailacties zoals benoemd in dit rapport te worden opgevolgd. Het is van belang dat de opdrachtgever van dit onderzoek deze positiebepaling agendeert en bewaakt dat de longtailacties worden uitgevoerd. De programma s Digitale Agenda 2020 (VNG/KING) en het rijksprogramma Regie op Gegevens zijn twee gremia waar het onderwerp Regie op Gegevens is geadresseerd. Het is aan te bevelen om de inhoud van deze rapportage 1 Elektronisch berichtenverkeer met de Belastingdienst. Deze wet is 6 oktober 2015 behandeld in de eerste kamer en is al zonder amendementen in de tweede kamer vastgesteld. 4

mee te nemen in beide initiatieven om daarmee de voorgestelde longtailacties uit dit rapport op te laten volgen. Wanneer de positiebepaling positief uitvalt, is er de mogelijkheid dat de overheid participeert in de governance van het Qiy afsprakenstelsel (zoals de Raad van Toezicht) en doorontwikkeling (de diverse Work Streams) van het Qiy Afsprakenstelsel. Daarnaast is het ten zeerste aan te bevelen om vanuit de overheid in samenwerking met de Qiy Foundation breed te communiceren indien er grootschalig gebruik kan worden gemaakt van het Qiy Afsprakenstelsel. Dit is voor gemeentelijke koepelorganisaties randvoorwaardelijk gebleken om een standpunt uit te dragen over de inzet van het Qiy Afsprakenstelsel in het gemeentelijk domein. Mogelijkheden De overheid kan een belangrijke rol vervullen in het helpen vormgeven van de digitale identiteit en het vertrouwen dat daarvan uit mag gaan. De roep om een andere kijk op gegevensverstrekking wordt onder andere op Europese schaal inmiddels al uitgewerkt in onderwerpen als dataportabiliteit (de mogelijkheid om gegevens en identiteit over te dragen van het ene elektronische platform naar het andere). Het Qiy Afsprakenstelsel heeft de mogelijkheden in zich om invulling te geven aan dergelijke vraagstukken. Het feit dat het Qiy Afsprakenstelsel internationaal in de belangstelling staat en dat de Qiy Foundation actief in gesprek is met de Europese Commissie, en vertegenwoordigers van o.a. Estonia, Finland en België geeft aan dat de visie steeds meer draagvlak krijgt. Het uitgifteproces van een persoonlijk Qiy Domein vanuit de gemeente is aangetoond en kan bij elk gewenst baliemoment worden ingezet. Juridisch kan de gemeente een verordening opstellen die het mogelijk maakt om gegevens uit de lokale BRP beschikbaar te stellen aan het individu. Technisch zijn de consequenties te overzien en kan hergebruik worden gemaakt van bestaande standaarden. De financiële impact hebben gemeenten zelf in de hand, aangezien ze vrij zijn om een bedrag in rekening te brengen voor het verstrekken van identificerende gegevens. In een drietal customer journeys is de toegevoegde waarde van de inzet van het Qiy Afsprakenstelsel verkend. Hieruit blijken kansen voor meer efficiënte dienstverlening door de gemeente richting de burgers en bedrijven: - Procesverbetering - Kostenverlaging - Minder fouten - Meer transparantie - Hogere tevredenheid bij de burger Naast een aantal customer journeys is er ook een modelimplementatie uitgewerkt in de gemeente Boxtel door haar huidige softwareleverancier Gemboxx. Hierbij is zowel het koppelen van het persoonlijk Qiy Domein aan de gemeentelijke registratie als het ontsluiten van deze gegevens aan een derde partij mogelijk gemaakt. Op basis van een beperkte proefimplementatie (één leverancier bij één gemeente) is het echter ook nog te vroeg om te stellen dat grootschalige implementatie mogelijk is. Conclusie Het project heeft aangetoond op welke manier het ontsluiten van gevalideerde persoonsgegevens via het persoonlijk Qiy Domein kan worden vormgegeven. Ook is 5

aangetoond dat het inzetten van het Qiy Afsprakenstelsel kansen biedt voor meer efficiënte dienstverlening door de gemeente richting de burgers en bedrijven. Voordat echter een uitspraak kan worden gedaan over de grootschalige implementeerbaarheid van het Qiy Afsprakenstelsel dienen de vier acties die in deze rapportage zijn bestempeld als primaire longtail acties te worden opgevolgd. Het is van belang dat de opdrachtgever van dit onderzoek deze positiebepaling agendeert en bewaakt dat de longtail acties worden uitgevoerd. Het programma Digitale Agenda 2020 van VNG/KING en het rijksprogramma Regie op Gegevens zijn twee gremia waar het onderwerp Regie op Gegevens is geadresseerd en hier kunnen de longtail acties landen. 6

2 Inhoudsopgave 1 Samenvatting... 2 2 Inhoudsopgave... 7 3 Inleiding... 8 3.1 Aanleiding... 8 3.2 Doel impactanalyse... 9 3.3 Onderzoeksopzet... 10 4 Het Qiy Afsprakenstelsel... 11 4.1 Toelichting Qiy Foundation en Qiy Afsprakenstelsel... 12 4.2 De governance van Qiy... 13 4.3 Qiy principes: de rechten van het individu... 14 4.4 Qiy in de praktijk... 15 4.5 Work Streams... 17 5 Qiy en de overheid... 19 5.1 Governance... 19 5.2 Veiligheid & privacy... 23 5.3 Conclusie... 27 6 Impactanalyse voor het ontsluiten van gevalideerde persoonsgegevens aan een persoonlijk Qiy Domein... 30 6.1 Customer journey gevalideerde persoonsgegevens... 30 6.2 Organisatorisch... 32 6.3 Juridisch... 34 6.4 Techniek... 38 6.5 Financieel... 40 6.6 Conclusie... 41 7 Verkenning toepassingsmogelijkheden van het Qiy Afsprakenstelsel... 44 7.1 Gemeentelijke toepassingen van het Qiy Afsprakenstelsel... 44 7.2 Implementatievraagstukken... 45 7.3 Relevantie gemeentelijke dienstverleningsprocessen... 47 7.4 Conclusie... 50 Bijlage A Overzicht van betrokken partijen... 52 Bijlage B : Out of scope... 53 7

3 Inleiding Kopieën van paspoorten en rijbewijzen vormen een belangrijke bron van identiteitsfraude. Het aantal slachtoffers per jaar is de afgelopen jaren fors gestegen van ongeveer 75.000 in 2007 naar 612.000 in 2012. De schade lag in 2012 op ruim 350 miljoen euro en over de afgelopen jaren (vanaf 2007) opgeteld de schade 2,8 miljard 2. In de fysieke wereld is een kopietje van een paspoort gauw gemaakt, maar heb je geen zicht op wie dat kopietje vervolgens gebruikt. In de steeds verder digitaliserende wereld is dit probleem misschien nog wel groter: persoonsgegevens worden op allerlei websites gevraagd én gedeeld, zonder dat je daar als individu zicht op hebt. Overheden hebben een belangrijke rol als het gaat om het beheer van persoonsgegevens en de uitgifte van identiteiten. Gemeenten zijn beheerder van de basisregistratie personen (BRP) en verstrekken paspoorten, ID- en rijbewijzen. Op dit moment is er nog geen digitale identiteit die gelijkwaardig is aan het fysieke paspoort. Het is al helemaal niet mogelijk om als individu zicht te hebben op alle gegevens die er over jou op internet rondgaan. De Qiy Foundation werkt sinds 2007 aan de realisatie van een Afsprakenstelsel dat als doel heeft het individu regie te geven op persoonlijke gegevens. Hierbij wordt gewerkt aan organisatorische afspraken, juridische afspraken en technische afspraken in combinatie met een open standaard. Het geheel maakt een Nieuw Internet mogelijk waarbij het individu regie over zijn gegevens krijgt. Het koppelen van een digitale identiteit aan dit persoonlijke adres is een cruciale randvoorwaarde om het Trust Framework te laten werken. Het individu heeft met een persoonlijk Qiy Domein toegang tot het Trust Framework en kan hierdoor beschikken over zijn persoonlijke data en kan deze data, gevalideerd en/of anoniem, ter beschikking stellen aan individuen en organisaties die eveneens aangesloten zijn op het Trust Framework (conform de onderliggend afspraken zoals vastgelegd in het Qiy Afsprakenstelsel). Op deze wijze krijgt de burger de regie op zijn eigen gegevens terug. Dit onderzoek verkent de mogelijkheid van de realisatie en toepassing van een digitale identiteit met behulp van de traditionele rol die gemeenten in de fysieke wereld al vervullen. Wanneer een digitale betrouwbare identiteit mogelijk wordt, kan anders naar gemeentelijke dienstverlening worden gekeken. De mogelijkheden, maar vooral ook de beperkingen, belemmeringen en vraagstukken die op dit moment nog een dergelijke identiteit in de weg staan, worden in dit onderzoek behandeld. 3.1 Aanleiding In opdracht van de gemeente Boxtel is een projectplan opgesteld om te verkennen hoe de infrastructuur van het Qiy Afsprakenstelsel ingezet kan worden om burgers de regie te geven over hun eigen gegevens en of het verleggen van de regiefunctie naar de burger leidt tot efficiëntere dienstverlening door de gemeentelijke overheid in de zin van 2 https://www.rijksoverheid.nl/actueel/nieuws/2013/06/06/aantal-slachtoffers-id-fraude-gestegenschade-gedaald. 8

procesverbetering, kostenverlaging, minder fouten, meer transparantie en een hogere tevredenheid bij de burger. In de analoge wereld is de gemeentebalie immers al decennia de plek waar de fysieke identiteit van de burger wordt vastgesteld en wordt gekoppeld aan een paspoort, rijbewijs of ID-kaart. De gemeente is bij uitstek de plek om een persoonlijk Qiy Domein te verstrekken. In dit project wordt gekeken of de gemeente hier een rol in kan vervullen en zo ja, op welke wijze het uitgifteproces van een persoonlijk Qiy Domein aan de gemeentebalie moet worden vormgegeven. Vanuit de gemeenten Boxtel en Rotterdam is aan de hand van verschillende modelimplementaties gekeken of een gemeente een persoonlijk digitaal domein kan uitgeven aan alle burgers en welke toepassingsmogelijkheden het Qiy Afsprakenstelsel voor gemeenten biedt. Daarnaast is het concept van het Qiy Afsprakenstelsel vanuit gemeentelijk perspectief onderwerp van onderzoek geweest, wat samen met de resultaten van de modelimplementaties heeft geleid tot deze impactanalyse. 3.2 Doel impactanalyse De gemeenten Boxtel en Rotterdam, maar ook een aantal andere relevante overheidspartijen hebben via interviews hun zienswijze op de werkwijze en gebruik van het Qiy Afsprakenstelsel gegeven. Bijlage A geeft het overzicht van de betrokkenen. Deze interviews zijn afgenomen met onderstaande onderzoeksvragen als gespreksonderwerp: Doelstelling Impactanalyse - Onderzoek onder welke condities het Qiy Afsprakenstelsel door de overheid kan worden toegepast. - Focus hierbij op het ontsluiten van gevalideerde persoonsgegevens naar het persoonlijk Qiy Domein door de gemeente. - Verken tevens de bredere toepassingsmogelijkheden van het Qiy Afsprakenstelsel voor gemeenten en burgers. De drie onderdelen van de doelstelling worden in aparte hoofdstukken behandeld (hoofdstuk 5-7). Per onderdeel zijn onderzoeksvragen geformuleerd waarbij middels icoontjes is aangegeven in welke mate de vraag is beantwoord: De onderzoeksvraag is positief beantwoord.! De onderzoeksvraag behoeft opvolging. X De onderzoeksvraag is negatief beantwoord. Tevens zijn per onderzoeksvraag één of meerdere acties benoemd om geconstateerde knelpunten/vraagpunten op te lossen. Per actie is tevens een voorgestelde actiehouder en zijn één of meerdere voorgestelde betrokkenen opgenomen. Noot: Voor een aantal onderzoeksvragen geldt dat de vraag vanuit het perspectief van het Qiy Afsprakenstelsel kan worden beantwoord, maar dat de overheid hier nog geen 9

standpunt over heeft ingenomen. In die gevallen wordt de vraag vanuit beide perspectieven beantwoord en per onderdeel voorzien van haar eigen icoon. 3.3 Onderzoeksopzet Eind mei 2015 is gestart met de impactanalyse op de toepasbaarheid van het Qiy Afsprakenstelsel in het gemeentelijk domein en het uitgeven van persoonlijk Qiy Domeinen in het bijzonder. Deze impactanalyse is het resultaat van de stappen zoals opgenomen in onderstaande tabel. Vaststellen scope - Verzamelen van beschikbare relevante documentatie; - Vaststellen onderzoeksvragen met kernteam; Analyse - Gesprekken gevoerd met de Qiy Foundation en de gemeenten Rotterdam en Boxtel om kader en richting van de impactanalyse te bepalen; - Het Qiy Afsprakenstelsel onder de aandacht gebracht bij VNG/KING, commissie GDI, Digicommissaris, gemeentelijke koepelorganisaties, Logius, Rijksdienst voor Identiteitsgegevens (RvIG) en het programma Regie op Gegevens. Het overzicht van betrokken organisaties en personen is als 0 toegevoegd; - Op basis van interviews destilleren van de belangrijkste thema s, kritische succesfactoren en showstoppers; - Aanvullende vraagstukken uit de interviews binnen scope ondergebracht bij de betreffende thema s. Conceptrapportage - Specifieke bevindingen / hoofdstukken terugleggen bij relevante stakeholders - Conceptrapportage opstellen en in totaliteit aan geïnterviewde terugleggen met verzoek te reageren. Iteratie - Ontvangen opmerkingen verwerken en definitieve versie opleveren. Eindrapportage - Eindrapportage wordt opgeleverd aan opdrachtgever. - Opdrachtgever levert eindrapportage op aan stakeholders en bewaakt opvolging longtail acties. 10

4 Het Qiy Afsprakenstelsel Controle over je eigen gegevens begint met een eigen veilige plek op het internet. Een persoonlijk en interoperabele identiteit ontbreekt in de huidige digitale wereld. Een woud aan inlogcombinaties en persoonlijke informatie wordt op vele plaatsen opgeslagen, terwijl je niet weet wat van jou op welke plek is vastgelegd. In de huidige digitale wereld heb je dus geen eigen plek, een eigen adres. Je moet bij tal van websites opnieuw inloggen en overal je gegevens achterlaten. Figuur 1 geeft hiervan een illustratie. Figuur 1: De digitale wereld van vandaag Wanneer we vandaag opnieuw het internet zouden mogen ontwerpen, geeft dat de mogelijkheid om te werken vanuit de gebruiker. Wanneer het individu centraal staat en daadwerkelijk deel uitmaakt van het netwerk, wordt het idee over delen van gegevens wezenlijk anders. Je logt in op je digitale identiteit en de deelnemers -individuen en organisaties- aan dit Trust Framework kunnen na toestemming van het individu (=jij) gebruik maken van jouw gegevens. Het Qiy principe Mijn gegevens waarborgt dat deze gegevens niet zonder mijn toestemming met derden partijen mogen worden gedeeld. Figuur 2 geeft hiervan een illustratie. 11

Figuur 2: De digitale wereld op basis van het Qiy Afsprakenstelsel De Qiy Foundation werkt hierbij samen met allerlei verschillende partijen, waaronder AEGON, APG, Accenture, ABN Amro, Intrasurance, Motiv, VWS, Ziggo, NvvB, SVB, SIDN, Vodafone en nog vele anderen. Belangrijk onderdeel van het Qiy Afsprakenstelsel is de positie van het individu, de burger. Het eerder genoemde persoonlijke adres heet in Qiy termen een persoonlijk Qiy Domein of een Qiy Node. In het Engels wordt het woord Node gebruikt en wordt Qiy vaak kort en krachtig uitgelegd met de woorden: You are a Node in the System. Overigens wordt het Qiy Afsprakenstelsel in het Engels aangeduid als Qiy Scheme. In dit rapport kiezen we ervoor om het begrip persoonlijk Qiy Domein en Qiy Afsprakenstelsel te hanteren. De infrastructuur die ontstaat op basis van implementaties conform het Qiy Afsprakenstelsel promoot de Qiy Foundation met de term het Trust Framework. In feite voegt het Qiy Afsprakenstelsel een extra laag aan het internetprotocol toe en ontstaat als het ware een Trust Framework. De term Trust Framework wordt de laatste jaren meer en meer gebruikt en in die zin ook misbruikt. Het is voor de lezer van belang dat hij zich bij het lezen van dit rapport beseft dat marktpartijen, die voldoen aan en implementeren op basis van het Qiy Afsprakenstelsel, delen van het Qiy Trust Framework creëren. De Qiy Foundation noemt al die implementaties samen het Nieuwe Internet. Nieuw is natuurlijk met name het feit dat burgers deel uitmaken van het Nieuwe Internet en de regie krijgen over hun gegevens. Omwille van de leesbaarheid spreken we in dit rapport over het Trust Framework wanneer we het beschikbaar maken van gegevens door individuen en organisatie op basis van het Qiy Afsprakenstelsel bedoelen. 4.1 Toelichting Qiy Foundation en Qiy Afsprakenstelsel De Qiy Foundation is een onafhankelijke non-profit stichting en werkt samen met publieke en private partijen- aan het Qiy Afsprakenstelsel voor het onder regie van de burger delen van diens data. Het Qiy Afsprakenstelsel sorteert hiermee reeds voor op de veranderende rol van overheid en verwachtingen van het individu in de digitale wereld, rekening houdend met op handen zijnde wetswijzigingen op het gebied van data- en privacybescherming. Zowel individuen als organisaties zoals banken, dienstverleners en de overheid kunnen aansluiten op het Trust Framework. Het individu bepaalt zelf welke gegevens hij of zij 12

met andere partijen wil delen op het moment dat er persoonlijke gegevens worden gevraagd, van woonadres tot betaalgegevens en van WOZ waarde tot werkgeversverklaring. Daarbij kunnen individuen zich abonneren op gegevens van elkaar en organisaties kunnen zich abonneren op gegevens van het individu in zijn rol als burger, die rechtstreeks van een betrouwbare bron (zoals de gemeente, de belastingdienst of de werkgever) afkomen. Dit verlaagt kosten, verhoogt het vertrouwen door het gebruik van authentieke gegevens en biedt hele nieuwe mogelijkheden. 4.2 De governance van Qiy De governance structuur van de Qiy Foundation en het Qiy Afsprakenstelsel is uitgebreid beschreven op de website van de Qiy Foundation: https://www.qiyfoundation.org/qiyscheme/. Het is van belang te weten dat deze governance is ontstaan en wordt doorontwikkeld in de werkgroep Governance waar publieke (o.a. BZK en EZ) en private partijen aan deelnemen. Uitgangspunt is een Trias Politica model, waarbij de wetgevende, de uitvoerende en de controlerende macht gescheiden zijn. Figuur 3 geeft het Trias Politica model weer, waarbij onderscheid is gemaakt in de volgende 3 rollen: Figuur 3: Het Trias politica model zoals voor het Qiy Afsprakenstelsel gehanteerd Toelichting Trias politica model - Wetgevende macht: o Onafhankelijke raad van toezicht (Supervisory Board): De Executive Board van de Scheme Authority legt verantwoording af aan de raad van toezicht. Dit wordt een 7-koppige raad van toezicht (momenteel 2-koppig), waarin 13

mensen op persoonlijke titel zitten. Deze raad houdt toezicht met als doel om een open en neutraal afsprakenstelsel te blijven ontwikkelen. o Internationale organisatie (Scheme Authority): Deze organisatie ontwikkelt en beheert de open standaard. De 5 Work Streams (paragraaf 4.5) werken in opdracht van de executive board van de Scheme Authority. o Nationaal niveau (Regional Authority): Op nationaal niveau is de Regional Authority verantwoordelijk voor de implementatie van het Qiy Afsprakenstelsel. - Controlerende macht: Om te kunnen garanderen dat de implementatie van het Qiy Afsprakenstelsel open, transparant en neutraal is en blijft wordt er op zowel wetgevend als op uitvoerend niveau controle uitgeoefend door onafhankelijke partijen. Hiermee wordt afgedwongen dat alle partijen zich houden aan de voorwaarden van de voor hen geldende licentie. - Uitvoerende macht: De rol van Issuer en de rol van Service Provider kunnen ingevuld worden door commerciële en niet-commerciële partijen. Voor alle partijen geldt dat ze zich moeten houden aan de regels van het Qiy Afsprakenstelsel middels de licentievoorwaarden. o Issuers : Een organisatie in de rol van Issuer levert persoonlijk Qiy Domeinen en eventueel aanvullende diensten en/of producten. Zij kunnen dit rechtstreeks leveren aan individuen of via derden. Gemeenten kunnen optreden als Issuer als zij haar burgers wil bedienen door gebruik te maken van het Trust Framework. o Service Provider : leveren toegang tot het Trust Framework en diensten aan partijen die data willen leveren en data nodig hebben. 4.3 Qiy principes: de rechten van het individu Het Qiy Afsprakenstelsel gaat uit van een aantal principes. Deze Qiy Principes omschrijven de rechten van het individu wanneer deze via implementaties op basis van het Qiy Afsprakenstelsel gegevens uitwisselt met andere partijen die gebruik maken van het Qiy Afsprakenstelsel. Alle partijen die diensten aanbieden via het Trust Framework moeten zich aan deze regels houden. Wanneer een partij deze principes niet naleeft, kunnen zij worden uitgesloten van het Trust Framework, waardoor ze geen mogelijkheid meer hebben om toegestane gegevens van het individu te ontvangen. Met de Qiy Principes worden de rechten van het individu geborgd. De twaalf Qiy principes zijn als volgt: Qiy Node (Domein) Een aan mij verstrekte Qiy Node voldoet aan het Qiy Afsprakenstelsel. Via mijn Qiy Node beheer ik mijn gegevens. Mijn gegevens Mijn gegevens mogen alleen met mijn toestemming worden gebruikt. Of die zich nu bevinden bij een organisatie of dat ik ze zelf heb gegeven. Informatieplicht Als een organisatie mijn gegevens wil gebruiken, moeten ze me eerst informeren waarom ze dat willen en hoe vaak. 14

Data minimalisatie Een organisatie mag mij alleen die gegevens vragen die echt nodig zijn voor het beoogde doel, of die gegevens gevalideerd zijn of niet. Waarborgen Wanneer een organisatie een waarborg vraagt over mij, moet de gevraagde waarborg echt nodig zijn voor het beoogde doel. Keuze termijn ter beschikking stellen Ik kan besluiten (een deel van) mijn gegevens éénmalig of voor een bepaalde periode ter beschikking te stellen. Ik kan dit besluit altijd wijzigen, tenzij er een contractuele reden is waarom dit niet kan. Anonimiteit Ik kan mijn gegevens altijd anoniem delen, behalve als dat wettelijk verboden is. In dat laatste geval kan ik kiezen of ik identificerende gegevens wil verstrekken òf dat ik de transactie af wil breken. Toegang Organisaties die deelnemen aan het Qiy Afsprakenstelsel zijn verplicht mij toegang te geven tot mijn gegevens. Dit geldt niet voor anonieme gegevens, maar verder wel voor alle gegevens die over mij gaan, ook als die ontstaan zijn op basis van gegevens die ik ter beschikking heb gesteld. Delen van mijn gegevens Organisaties mogen mijn gegevens alleen delen met een andere partij wanneer ik daarvoor toestemming heb gegeven. Deze toestemming kan niet voor altijd zijn. De enige uitzondering is als organisaties dit verplicht zijn vanwege bestaande wet of regelgeving. Dergelijke uitzonderingen moeten te allen tijde traceerbaar zijn. Bescherming gegevens Iedere partij die deelneemt aan het Qiy Afsprakenstelsel en mijn gegevens gebruikt of erover beschikt, beveiligt deze gegevens volgens de eisen die daar door de Qiy Foundation aan gesteld zijn. Privacy statements Voor iedere organisatie die op basis van het Qiy Afsprakenstelsel met mijn gegevens te maken heeft, hebben deze Qiy Principes voorrang boven hun eigen privacy statements. Klachten & geschillen Als er een klacht is spreek ik eerst de direct betrokken organisatie aan. Dat kan ik doen via hun website. Als dat geen goed resultaat oplevert, mag ik de Geschillencommissie inschakelen. 4.4 Qiy in de praktijk Delen van gegevens met burger als spil bij de informatie-uitwisseling Het Qiy Afsprakenstelsel wordt ingezet voor uitwisseling van informatie door individuen met het publieke en private domein. Het Qiy principe Delen van gegevens biedt scherpe kaders waardoor uitwisseling tot stand wordt gebracht. 15

Het unieke van implementaties op basis van het Qiy Afsprakenstelsel is de burger die als centrale spil fungeert bij het uitwisselen van informatie. Qiy als linked web principe Op basis van het Qiy Afsprakenstelsel kunnen individuen authentieke bronnen ontsluiten. Het persoonlijk Qiy Domein kan gezien worden als een kluis 3.0. Het is daarmee niet een traditionele kluis (vault of storage zoals deze op het huidige internet worden aangeboden) waarin informatie of gegevens worden opgeslagen maar een kluis vol versleutelde verwijzingen naar gegevens. Het persoonlijk Qiy Domein bevat dan zelf ook praktisch geen gegevens, maar alleen verwijzingen waar deze gevonden kunnen worden. Het uitwisselen van informatie via het persoonlijk Qiy Domein gebeurt op 2 manieren: 1. Data / informatie wordt overgedragen: Data wordt overgedragen van partij 1 naar partij 2. Het overdragen van informatie gebeurt op het moment dat partij 2 informatie in dossiers moet opslaan. 2. Burger verleent inzage tot gegevens: Op dit moment blijft de data bij partij 1, maar krijgt partij 2 toegang tot de relevante data na instemming van de burger. Deze data wordt dus niet opgeslagen. Dit gebeurt niet rechtstreeks tussen partij 1 en partij 2, maar de connectie wordt gelegd via het persoonlijk Qiy Domein van de burger. Zo behoudt hij het overzicht en de regie. Het Qiy Afsprakenstelsel gaat uit van linked web principes: de verbinding van de burger op zijn of haar gegevens bij de bron. Via het persoonlijk Qiy Domein houdt de burger overzicht over welke partijen welke gegevens voor welk doel hebben ontvangen. Gelegde connecties kunnen te allen tijde weer worden opgezegd. Inzet van bestaande informatiemodellen en koppelvlakken Het Qiy Afsprakenstelsel gaat over het uitwisselen van gegevens onder regie van de burger. Het gaat niet over de inhoud en semantiek van deze informatie. De inhoud en semantiek worden bepaald door de partijen die informatie met elkaar willen uitwisselen. 16

Voor het gemeentelijk domein geldt dat bestaande informatiemodellen (o.a. RGBZ en RSGB) en koppelvlakken (o.a. Zaak- Documentservices, Prefill eformulieren/rsgb Bevragen) kunnen worden gebruikt voor de informatie-uitwisseling tussen partijen. Dit is verder uitgewerkt in paragraaf 7.2.1. 4.5 Work Streams Voor de doorontwikkeling van het Qiy Afsprakenstelsel werkt de Qiy Foundation samen met haar partners en gebruikers in zogenaamde Work Streams. Op dit moment zijn de volgende vijf Work Streams geformeerd: - Governance - Rules & Regulations - Functionality & Technology - Alignment Vertical Standards - Business De resultaten van deze Work Streams worden beschikbaar gesteld en geïnteresseerde kunnen zich aanmelden om in één of meerdere Work Streams te participeren. Op deze manier wordt aan de open standaard gewerkt. Voor een uitgebreide toelichting wordt verwezen naar https://www.qiyfoundation.org/qiy-scheme/workstreams/. Hieronder een overzicht van het werkgebied van elke Work Stream: Work Stream Governance In deze Work Stream worden regels en procedures die te maken hebben met de besturing van het Qiy Afsprakenstelsel uitgewerkt en vastgelegd in het Rulebook : - Financiële spelregels - Technische werkafspraken - Toevoegingen aan de procedures voor budgetbijdragen en aanmeldingen Aanvullende bijeenkomsten worden georganiseerd over relevante onderwerpen, die wellicht leiden tot onderwerpen die opgenomen dienen te worden in het Rulebook. Work Stream Rules & Regulations Doorontwikkeling van spelregels die het Qiy Afsprakenstelsel bepalen: - Taakomschrijving t.b.v. controlecommissie (Audit Committee) - Spelregels voor de Antitrust Compliance - Taakomschrijving Operational Coordination Group - Regels t.a.v. de rol en selectie van Regional Authorities - Aanvullende bijeenkomsten worden georganiseerd over relevante onderwerpen, die wellicht leiden tot onderwerpen die opgenomen dienen te worden in het Rulebook. Work Stream Functionality & Technology Updates en toevoegingen van alle onderdelen die deel uitmaken van de open Qiy Standaard: - Qiy interfaces & protocollen - Conformiteitvereisten 17

- Veiligheid & privacy overwegingen - Model implementaties Work Stream Alignment Vertical Standards - Aanpassing van de horizontale Qiy Standaard aan verticale gegevensstandaarden als die van SIVI en HDN - Aansluiten van standaardisatie-organisaties - Aanpassen van de semantiek van een data-object aan de vereisten van verticale gegevensstandaarden Work Stream Business Partijen die het belang van samenwerking in het coöperatieve domein zien, realiseren zich dat er een businessmodel nodig is voor de Scheme Authority, dat door de markt wordt geaccepteerd. In deze Work Stream komen onderwerpen aan de orde die de continuïteit en de duurzame groei van de Qiy Foundation ondersteunen. - Doorontwikkeling van het businessmodel voor de Scheme Authority - Doorontwikkeling van de schaalbaarheid van het stelsel - Conformering aan landelijke en Europese wetgeving 18

5 Qiy en de overheid Dit hoofdstuk geeft antwoord op de vraag of het Qiy Afsprakenstelsel kan worden ingezet om de burger regie te geven op eigen gegevens. Het antwoord op deze vraag is positief en om het antwoord op deze vraag te onderbouwen is gekeken naar zowel governance als veiligheid en privacy. 5.1 Governance 5.1.1 Hoe is de governance van het Qiy Afsprakenstelsel geregeld? Qiy Afsprakenstelsel Zoals beschreven in hoofdstuk 4.2 is de governance in detail uitgeschreven op de website van de Qiy Foundation. Doordat gebruik wordt gemaakt van gescheiden rollen in de vorm van het Trias Politica model kan de overheid invloed nemen in de governance van het Afsprakenstelsel. Dit kan door een zetel in de 7-koppige Raad van Toezicht van de Qiy Foundation en tevens door deel te nemen aan de diverse Work Streams (paragraaf 4.5) Overheid De overheid heeft actief geparticipeerd in de Work Stream Governance. Vanuit de Qiy Foundation wordt belang gehecht aan een continuïteit in de vertegenwoordiging van de overheid binnen deze en andere Work Streams.! De overheid heeft de governance echter nog niet breed beoordeeld en daarmee heeft men nog geen standpunt ingenomen over de governance van het Qiy afsprakenstelsel. Belangrijk is wat de definitie is van een breed gedragen besluit en wie daar dan bij betrokken moeten zijn. 5.1.2 Hoe ziet het businessmodel van het Qiy Afsprakenstelsel eruit? Het businessmodel is beschreven op de website van de Qiy Foundation. Het is een transparante vorm van financiering, met een kostenneutrale financieringsstructuur. Mensen en organisaties ondersteunen middels een lidmaatschap het Qiy Afsprakenstelsel. Organisaties die een uitvoerende rol vervullen ( Issuer / Service Provider ) doen dat op basis van een betaalde license to operate. De inhoud hiervan is onderwerp van overleg in de Work Stream Business. De Work Stream Business houdt zich onder andere bezig met het verder ontwikkelen van de financiële modellen. Primair met de focus op het borgen van de continuïteit voor de coöperatieve doorontwikkeling van het Qiy Afsprakenstelsel. Daarnaast worden er in samenwerking met deelnemers ook ideeën ontwikkeld over mogelijke commerciële businessmodellen voor de Issuers en Service Providers. Uiteraard voor zover een en ander past binnen de kaders van geldende regelgeving (mededinging). 19

Het businessmodel van de Qiy Foundation is transparant en beschreven op de website van de Qiy Foundation: https://www.qiyfoundation.org/about-qiy/. De Qiy Foundation wordt gefinancierd vanuit: 1. Lidmaatschappen: Dit zijn partijen die het gedachtegoed achter de Qiy Foundation willen steunen met geld, maar zeker ook met expertise. Alle leden zijn vermeld op de website van de Qiy Foundation (https://www.qiyfoundation.org/membership/) en dragen bij aan de groei van het Qiy Afsprakenstelsel en de acceptatie van de standaard. 2. Coalition of the Willing: Leden die zowel expertise als financiering leveren middels speciale achtergestelde leningen. Tevens mogen deze leden kandidaten voordragen ter versterking van de Raad van Toezicht. 3. Licentie opbrengsten van Issuers en Service Provider : dit licentiemodel is enigszins vergelijkbaar met de wijze waarop de financiering van het World Wide Web (ICANN wereldwijd en SIDN voor Nederland) georganiseerd is. 5.1.3 Hoe verhouden het Qiy Afsprakenstelsel en Idensys zich tot elkaar? Het Qiy Afsprakenstelsel gaat niet over authenticatie, maar wel over identiteit. Authenticatie is een van de hoofdonderwerpen van Idensys. Identiteit is ook onderdeel van Idensys. Daar hebben beide afsprakenstelsels mogelijk een overlap. Ten aanzien van identificerende gegevens en het beschikbaar stellen en uitwisselen daarvan moet worden verkend hoe deze stelsels zich tot elkaar verhouden. Recent heeft er een bespreking plaatsgevonden tussen Idensys en de Qiy Foundation en is de intentie tot nadere samenwerking uitgesproken. Momenteel worden afspraken gemaakt om een verkenning op te starten..! Voor het vaststellen van online identiteiten gaat het Qiy Afsprakenstelsel uit van het gebruik van bestaande authenticatiestelsels. Vanuit meerdere initiatieven wordt momenteel gekeken naar het vastleggen/ontsluiten van attributen om een online identiteit vast te stellen. Twee initiatieven waar Qiy in Nederland van uit gaat zijn eherkenning en Idensys. Voor eherkenning geldt dat de validatie van de identificerende gegevens plaatsvindt door de gegevensmakelaar. Daarmee kan er een beperkte set van gevalideerde attributen met het eherkenningsbericht worden meegezonden. Vanuit Idensys is in de praktische zin nog geen opvolging gegeven aan het onderwerp identiteit. Op basis van de huidige planning wordt dit in 2017 uitgewerkt. In dit onderzoek kan geen uitspraak worden gedaan over de mogelijkheden om digitale identiteiten via andere kanalen dan het gemeentelijk domein te verstrekken. Het uitgangspunt moet zijn dat de identificerende gegevens tussen afsprakenstelsels moeten kunnen worden uitgewisseld. Zodra er meer ervaring met Idensys wordt opgedaan, zoals voorzien in de pilots die eind 2015 gaan starten, kan onderzocht worden op welke manieren beide afsprakenstelsels zich tot elkaar verhouden. 20

5.1.4 Hoe is de continuïteit van het Qiy Afsprakenstelsel gewaarborgd bij het wegvallen van de stichting? De continuïteit bij het wegvallen van de Qiy Foundation wordt geborgd door het feit dat binnen het Qiy Afsprakenstelsel meerdere rollen worden onderscheiden, welke hun werkzaamheden ook kunnen uitvoeren bij het wegvallen van de stichting. Onafhankelijkheid en continuïteit zijn van groot belang voor de rol die de Qiy Foundation wil vervullen: mensen duurzaam in controle laten zijn over hun gegevens middels een afsprakenstelsel. Het Qiy Afsprakenstelsel bestaat uit technische afspraken (open standaard en protocollen), organisatorische afspraken (gebaseerd op een Trias Politica model) en juridische afspraken (rules & regulations, licentieovereenkomsten). De uitvoering van het stelsel is verdeeld over verschillende rollen. Met het theoretisch wegvallen van de stichting valt daarmee niet meteen de bodem uit het stelsel: Issuers en Service Providers bieden hun diensten gewoon aan onder de regels van het stelsel. De Regional Authority vervult haar rol in de regio waarvoor zij verantwoordelijk is. 5.1.5 Wat is het risico van vendor lock-in op het moment dat de overheid het Qiy Afsprakenstelsel gaat inzetten in haar dienstverlening? Qiy Afsprakenstelsel Er is geen risico van vendor lock-in. De rol van Scheme Authority en Regional Authority zijn uniek, maar opereren zonder winstoogmerk. Voor zowel de rol van Issuer als Service Provider geldt dat iedere partij zich kan laten licenseren. Partijen kunnen zich aanmelden via https://www.qiyfoundation.org/access-providers om zich voor een dergelijke licensering aan te melden. Hier ontstaat dus marktwerking. Voor adviesbureaus en IT bedrijven geldt geen licentiestructuur of iets dergelijks. Ook hier blijft dus marktwerking mogelijk. Overheid Het risico van vendor lock-in is vanuit het Qiy Afsprakenstelsel ondervangen. In september 2015 is er echter nog onvoldoende concurrentie en voor een gezond ecosysteem heb je meerdere dienstaanbieders nodig. Hier komt bij dat overheden op basis van de (Europese) aanbestedingswetgeving en lokale verordeningen genoodzaakt zijn om in de meeste gevallen bij meerdere partijen offertes op te vragen. Het is dus van belang dat er op korte termijn een gezond ecosysteem ontstaat. De overheid kan daar overigens ook zelf aan bijdragen door een of meer rollen op te pakken.! De stichting Qiy Foundation is een stichting zonder winstoogmerk en vervult de rol van Scheme Authority en de tijdelijke de rol van Regional Authority. De begroting van de stichting is gebaseerd op kostendekking, zodat de rol van wetgevende macht (zie paragraaf 5.1.1) kan worden uitgevoerd. Met o.a. SIDN wordt momenteel samengewerkt om de rol van Regional Authority verder vorm en inhoud te geven. Op basis van de resultaten kan een open markt consultatie volgen om de meest geschikte 21

partij (dit kan overigens SIDN blijken) te selecteren. Feitelijk is er in de wereld één onafhankelijke beheerder van de standaard in de rol van Scheme Authority en per land één onafhankelijke beheerder van de standaard in de rol van Regional Authority. Beide rollen worden uitgevoerd zonder winstoogmerk. De rollen van zowel Issuer als Service Provider worden ingevuld door marktpartijen (privaat en publiek). Deze partijen betalen een licentie om de rol te kunnen vervullen, maar beslissen zelf over hun businessmodel. Hierin ontstaat dus marktwerking. Het staat adviesbureaus vrij om op het vlak van Regie op Eigen Gegevens expertise te ontwikkelen en te verkopen. In deze rol geldt geen licentiestructuur. Ook voor IT-bedrijven geldt dat zij zonder licentieverplichting applicaties kunnen ontwikkelen. Om deze applicaties aan te sluiten op het Trust Framework zal een samenwerking met een gelicenseerde Service Provider moeten worden gezocht. 5.1.6 Waarom zou de overheid deelnemen aan het Qiy Afsprakenstelsel? Gemeenten De overheid (gemeenten in het bijzonder) heeft vanuit de wetgeving een dominante rol op het creëren en bewaken van een fysieke gevalideerde identiteit. Gemeenten zijn van grote waarde vanwege hun aanwezige expertise en informatiepositie, gecombineerd met het reeds bestaande netwerk van balies bij het creëren van een digitale gevalideerde identiteit. Overheid Een afsprakenstelsel zoals Qiy is geen vast gegeven zoals een product of dienst met een opleverdatum. Het is en blijft het resultaat van een constante collaboratie van publieke en private partijen en de inhoud zal continu aan veranderingen onderhevig moeten blijven als gevolg van o.a. inzichten, maatschappelijke veranderingen, technologische ontwikkelingen en wet- en regelgeving. Het wordt dagelijks onderstreept dat de digitalisering van de samenleving vraagt om meer regie op gegevens door het individu. De overheid vervult daar in het fysieke domein reeds een rol in en zal deze rol logischerwijs ook steeds manifester invullen in het digitale domein. De betrokkenheid van een overheid in het continu proces rondom het Qiy Afsprakenstelsel is ook de enige wijze om het complexe speelveld te begrijpen en te doorgronden en er aan bij te dragen. De betrokkenheid, de expertise en vervolgens het draagvlak vanuit de overheid is van fundamenteel belang voor een duurzame generieke digitale infrastructuur waar digitale zelfbeschikking vanzelf spreekt. De voortschrijdende digitalisering van de maatschappij vraagt om zekerheid over integere behandeling en transport van gegevens, tussen organisaties onder regie van het individu. De gemeentelijke expertise voor het beoordelen en uitgeven van identiteiten en de bijbehorende informatiepositie als beheerder van de lokale persoonsgegevens zijn uniek en onontbeerlijk in het realiseren van een digitale gevalideerde identiteit. Geredeneerd vanuit de verantwoordelijkheid die een gemeente 22

in het fysieke domein van identiteiten vervult, kan er gesteld worden dat er zich een zorgplicht aandient voor het digitale domein. De overheid kan een belangrijke rol vervullen in het helpen vormgeven van de digitale identiteit en het bijbehorende vertrouwen dat daarvan (gevalideerd) uit mag gaan. De roep om een andere kijk op gegevensverstrekking wordt onder andere op Europese schaal inmiddels al uitgewerkt in onderwerpen als dataportabiliteit (de mogelijkheid om gegevens en identiteit over te dragen van het ene elektronische platform naar het andere), dataminimalisatie, platformneutraliteit en de digital single market strategie. Het Qiy Afsprakenstelsel heeft de mogelijkheden in zich om invulling te geven aan dergelijke vraagstukken. Het gebruik van het Qiy Afsprakenstelsel in gemeentelijke processen leidt tot nieuwe mogelijkheden. Daarnaast biedt een persoonlijk Qiy Domein de mogelijkheid om inzage in of beschikking te krijgen over gegevens die niet als authentiek zijn bestempeld in het stelsel van basisregistraties, maar die wel relevant zijn voor een proces (bijvoorbeeld mobiel nummer of emailadres). Vanuit het Qiy Afsprakenstelsel kunnen ook nietauthentieke gegevens gevalideerd worden geleverd, doordat een andere partij een uitspraak kan doen over de betrouwbaarheid of actualiteit van het betreffende gegeven. Het Qiy Afsprakenstelsel heeft de ingrediënten in zich om fundamenteel anders naar gegevensuitwisseling tussen overheid en individu te gaan kijken (en zelfs tussen overheden onderling, na instemming door de burger). 5.2 Veiligheid & privacy 5.2.1 Hoe is de veiligheid van de informatie uitwisseling geborgd? Qiy Afsprakenstelsel De veiligheid van het Qiy Trust Framework wordt verzekerd door de architectuur, de ondersteunende organisaties (Issuers en Service Providers) en de technische infrastructuur. Het Qiy Afsprakenstelsel zorgt er voor dat ondersteunende organisaties gecertificeerde dienstverleners zijn. Deze gecertificeerde dienstverleners bewaken de veiligheid van hun technische infrastructuur en voldoen aan de door het afsprakenstelsel gestelde vereisten omtrent security en privacy. De architectuur is gebaseerd op een netwerkmodel, Qiy Domein beveiligingsperimeter, onafhankelijke en vertrouwde verbindingen en versleutelde gegevensuitwisseling. Overheid De overheid heeft het veilig uitwisselen van informatie nog niet geaudit en getest. Een dergelijke audit is randvoorwaardelijk om vanuit overheidsperspectief een antwoord op deze vraag te kunnen geven.! Vertrouwen hebben in de wijze waarop informatie wordt uitgewisseld tussen bijvoorbeeld burger, verzekeraar en overige dienstverleners is cruciaal. Hoe kunnen we voorkomen dat een man-in-the-middle aanval informatie kan onderscheppen om deze 23

illegaal "af te spelen" op een later tijdstip? Figuur 4 geeft een weergave van de wijze waarop informatie wordt uitgewisseld via het Qiy Trust Framework. Figuur 4: Veilig informatie uitwisselen via het Qiy Trust Framework De burger kan een aanvullende, onafhankelijke en vertrouwde verbinding opzetten naast de directe transactiehandelingen via het web. Dit soort veiligheidsoverwegingen vormen de basis van implementatie op basis van het Qiy Afsprakenstelsel. De beveiligingsmechanismen die ingebouwd zijn in de architectuur, zorgen ervoor dat aanvallen niet op een grootschalige wijze kunnen worden uitgevoerd. Daar zit mede de kracht van het Qiy Afsprakenstelsel. 5.2.2 Hoe is de privacy geborgd? Qiy Afsprakenstelsel Privacy is geborgd op 3 niveaus: juridisch, technisch en organisatorisch. Juridisch en organisatorisch gelden de Qiy principes (paragraaf 4.3). Technisch wordt alle data end-to-end versleuteld en is er een strikte rollenscheiding. Informatie-uitwisseling vindt uitsluitend plaats op basis van toestemming van de burger, waarbij duidelijk wordt aangegeven waarvoor de burger toestemming geeft. Deze toestemming kan te allen tijde door de burger weer worden ingetrokken. Overheid De overheid dient de wijze waarop de privacy is geborgd binnen het Qiy Afsprakenstelsel te auditen voordat een uitspraak kan worden gedaan op de vraag of de wijze waarop de privacy is geborgd aansluit bij de kaders vanuit de overheid.! Transparantie en privacy voor de burger worden voor een belangrijk deel gerealiseerd door de mogelijkheden die geborgd zijn in het Qiy Afsprakenstelsel voor het uitwisselen 24