01 eformulieren 02 DIGITALE IVF POLI 03 EGEM 04 DIGITALE PIONIERS 05 ICT-VERNIEUWING IN DE V&V-SECTOR 06 RECHTWIJZER 07 STICHTING NEDERLAND BREEDBANDLAND 08 TELEBLIK 09 DigiD 10 BOUWSTENEN VOOR BERICHTENUITWISSELING IN DE STRAFRECHTSKETEN TUSSEN OVERHEDEN
EEN WACHTWOORD-GEBRUIKERS- NAAMCOMBINATIE IS GENOEG VOOR DE MEESTE DIENSTVERLENING DigiD Eén inlogcode voor elektronisch zakendoen met de overheid. Dat is wel zo makkelijk voor iedereen. Op die manier hoeven overheidsorganisaties niet allemaal hun eigen authenticatiemiddel te ontwikkelen, terwijl burgers genoeg hebben aan een enkele inlogcode. Die code is er nu: DigiD.
VAN BURGERPIN NAAR DIGID O p d it m om entzijn de SVB, het CW I, de IB-groep, het C V Z, h e t U WV, de Belastingdienst en een groeiend aantal gem eenten al aangesloten op DigiD. Dat dit voornam elijk uitvoeringsorganisaties u it de SU W I-keten zijn is niet toevallig, om dat de SU W I-keten inm iddels verregaand is geautom atiseerd. W at er nog ontbrak was een betrouw baar authenticatiemiddel. Ludwig Oberendorff, beleidsmedewerker van h e t m inisterie van BZK was van overheidswege betrokken bij dit deels m et PRIMA-geld gefinancierde p ro ject om dat authenticatiem iddel daadwerkelijk te ontw ikkelen. Oberendorff: In 2004 heeft een aantal grote uitvoeringsorganisaties u it de SU W I-keten een M anifest uitgebracht over sam enwerking en een eigen authenticatiesysteem. De rijksoverheid werkte op dat ogenblik aan een eigen PKI*, maar dat liep vertraging op. Toen is de Manifestgroep z e lf een systeem gaan bouw en waarm ee burgers zich bij die organisaties digitaal konden identificeren, en dat systeem is ook uitgetest in de gemeente Enschede. Al snel o n tsto n d toen het inzicht dat dit een systeem was dat in heel N ederland zou kunnen w orden gebruikt door veel m eer organisaties. D ebedenkervan DigiD is O lf Kinkhorst, directeur van het Bureau K eteninform atisering W erk en Inkom en (BKWI): Het BKWI heeft als ICT-ondersteuner van een aantal grote uitvoeringsorganisaties de behoefte geconstateerd aan m iddelen om klanten over het internet b eter v a n dienst te kunnen zijn. Essentieel is daarbij de herk en n in g van de klant. PKI bleek te hoog gegrepen om dat d it to e n niet op korte term ijn en op een betaalbare m anier kon w orden geïmplementeerd. Verder zochten wij naar een * PKI o f Public Key Infrastructure is het gehele pakket aan organisatorische en technische maatregelen dat nodig is voor de veilige communicatie tussenpersonen e n /o f systemen. * * H e t adm inistratienum m er dat in de backoffice van gem eenten/ Gemeentelijke Basisadministratie wordt gebruikt. m ethode om eenvoudige dienstverlening te ondersteunen m et eenvoudige m iddelen. Een wachtwoord-gebruikersnaamcombinatie is echt genoeg voor de meeste dienstverlening van de overheid. H et is altijd moeilijk te zeggen wie nou precies de bedenker is geweest, m aar op een gegeven m om ent heb ik wel de term Burgerpin geïntroduceerd. Vanaf dat m om ent is er vanuit de M anifestgroep en het m inisterie van BZK een gezamenlijk traject ontstaan om een eenvoudig authenticatiem iddel te realiseren. Later kreeg deze de naam DigiD en die naam is bedacht door een extern bureau. NATIONALE UITROL De D igid -voorziening w erkt richting afnemers m et het sofi- of a-num m er* *. Dat betekent dat DigiD niet zomaar door iedereen voor de dienstverlening kan w orden ingezet. Er was een goed centraal beheer nodig. Ludwig Oberendorff: De zes leden van de M anifestgroep begrepen al snel dat als DigiD ook buiten de SU W I-keten zou worden gebruikt er een breed beheer m oest komen. Dat dit op term ijn door de rijksoverheid zou m oeten gebeuren lag voor de hand. Het beheer van DigiD is daarom aanvankelijk overgedragen aan ICTU en later overgegaan naar de Gemeenschappelijke Beheer Organisatie (GB O. O verheid), die beheer inkoopt bij de Belastingdienst. Deze laatste is nu dus afnemer én operationeel beheerder van DigiD. H et aantal diensten via DigiD groeit voortdurend. Op 5 oktober 2 0 0 4 is de voorziening onder de naam DigiD beschikbaar gekomen en inm iddels w ordt deze door zo n 6 m iljoen Nederlanders gebruikt. Burgers kunnen nu al digitaal kinderbijslag of AOW aanvragen (SVB) en bij een toenem end aantal gem eenten - nu 174 - aankloppen voor vergunningen, de betaling van een parkeerboete of gemeentelijke belastingen, een berekening van de OZB of inzage in de W OZ-taxatie. Vanaf 2007 is DigiD zelfs verplicht voor de elektronische belastingaangifte. Hoewel DigiD voor de meeste transacties m et de overheid volstaat zijn er natuurlijk ook gevallen
OOK VOOR UITWISSELING VAN STRIKT VERTROUWELIJKE GEGEVENS waarin strikt vertrouwelijke gegevens worden uitgewisseld. H et is niet de bedoeling dat die op straat belanden. DigiD m oet daarom vooral ook veilig zijn en dat bereiken we door de koppeling m et gestapelde authenticatie. AUTHEIMTICATIE OP DRIE NIVEAUS DigiD berust op een gebruikersnaam en een w achtwoord, zodat m isbruik van die gegevens niet ondenkbeeldig is. Stel dat iemand de belastingaangifte altijd door zijn of haar partner laat doen en beiden besluiten op een gegeven m om ent uit elkaar te gaan. Dan ontstaat er dus een probleem, al is dat ook weer sim pel op te lossen door een nieuw w achtw oord aan te vragen. Bovendien w erkt DigiD m et verschillende authenticatieniveaus, zoals het verzenden van een transactiecode via SMS. O lf K inkhorst gelooft dat het m et het m isbruik van anderm ans gegevens niet zo n vaart zal lopen: Geen enkel middel is veilig netzom in als een slot veilig kan zijn als je deur van bordkarton is gemaakt. Je m oetje beveiligingsmaatregelen dus nooit laten afhangen van een enkel m iddel, m aar je m oet je proces veilig inrichten. Voorbeeld: je kunt een kapvergunning aanvragen m et je DigiD, maar de vergunning krijg je pas als de betaling binnen is bij de gemeente. Je kunt in veel transacties ook een terugkoppeling geven naar het bekende GB A-adres van de persoon, zodat je je niet zo m akkelijk voor een ander kunt uitgeven zonder dat deze h e t op een of andere m anier merkt. Dat doe je niet voor de aanm elding van grofvuil, m aar wel voor belangrijker transacties. Verder kun je m et je basale DigiD n iet veel meer dan sim pele adm inistratieve handelingen doen. De uitbreiding m et SM S-authenticatie brengt de beveiliging overigens al op een w at hoger niveau. Er zullen zich altijd wel problem en voordoen, m aar - zoals eerder gezegd - als je h e t proces goed hebt ingericht vallen grappenm akers snel door de m and. Bovendien is er niet veel aan om uren te besteden aan h et invullen van iem ands belastingform ulier, als d ie persoon dat zelf ook doet en er dus bij de Belastingdienst v an zelf een alarm bel gaat rinkelen. In het ergste geval heb je er even last van, maar m eer ook niet. De praktijk w ijst overigens u it dat zelfs websites van bedrijven die een eigen authenticatie hebben op basis van w at de klant zelfheeft opgegeven (naam, adres, e-mail) erg w einig last hebben v an m isbruik. H et zal ongeveer even veel zijn als het m isbruik van antw oordkaarten waarm ee je iemand kunt opgeven voor de boekenclub. De schatting van de M anifestgroep is dat DigiD nu de authenticatie voor ongeveer 80% v an alle digitale processen bestrijkt. De SMS-controle m a a k t die authenticatie nog veiliger. H et ultiem e niveau zal op den duur enikzijn, de elektronische Nederlandse Id en titeits- Kaart. Dit is een functionaliteit op het identiteitsbew ijs die de burger in staat m oet stellen een elektronische handtekening te zetten, zich elektronisch te identificeren en berichten te beveiligen. De enik heeft dezelfde voordelen als D igid m aar is nog veiliger. Burgers hoeven n iet m e er n aar h et loket m aar k u n n en op ieder m om ent o v erh e id sd ie n sten afnem en op de m om enten die hun het beste u itk o m e n. De overheid zet tegelijkertijd een stap naar v erd e re autom atisering van de dienstverlening: ze is m in d e r tijd kw ijt aan h et handm atig invullen van fo rm u lie re n en h e t controleren van de identiteit. Ook frau d eb estrijd in g w ordt zo eenvoudiger.
BREED DRAAGVLAK D igid is nooit af, al was het alleen m aar om dat er heel veel organisaties zijn die eveneens gebruik w illen gaan maken van d it even eenvoudige als doeltreffende identificatiem iddel. O m dat DigiD op dit m om ent w erkt m et het sofi- of a-num m er kan dit formeel niet, om dat alleen overheden hiervan gebruik mogen maken. Maar wie w eet w at er in de toekom st nog allemaal te gebeuren staat. In elk geval neem t N ederland m et het systeem van drie authenticatieniveaus volgens Ludwig Oberendorff een tam elijk unieke positie in, al hebben andere landen inm iddels al een sm artcard in om loop m et hetzelfde doel als de enik. Oberendorff: België heeft m et een chip op de identiteitskaart een soort aanbodm odel en technisch lopen ze daarmee voorop. Maar w e k u n n en zeggen dat Nederland het m et die gelaagde authenticatie, waarbij een overheidsinstantie de burger afhankelijk van de transactie kan vragen om een authenticatie op basis-, m idden- of hoog niveau, heel goed doet. Dat het m et D igid zo ver is gekomen heeft vooral te m aken m et de goede samenwerking. Oberendorff: W at DigiD uniek m aakt is dat het een m eerpartijenproject is dat snel tot goede resultaten heeft geleid. De ontw ikkeling was een zaak van de M anifestgroep in sam enwerking m et de gem eente Enschede, de open source softw are is een door SURF betaalde dóórontw ikkeling van een applicatie voor h e t beheer van studie-uitslagen, het BKWI heeft gezorgd voor de ontw ikkeling van een beheervoorziening en de B elastingdienst heeft betaald voor het initiële beheer. Het geld van PRIMA is - samen m et een bijdrage van BZK - dan ook alleen gebruikt om doorontwikkelingskosten te financieren. De echte kosten zijn overigens die van het beheer, en die komen nu voor rekening van de GB O. O verheid. Als overheid zijn we in die zin gelukkig dat we van de M anifestgroep een echt hands-on systeem hebben gekregen dat w erk t en relatief goedkoop is. Ik hecht er dan ook aan dat de lauw eren terechtkom en waar ze horen, bij de leden van de M anifestgroep die DigiD mogelijk hebben gem aakt. PROJECT DEPARTEMENT PERIODE BIJDRAGE