De commissie Snellen, voor de Modernisering van de Gemeentelijke Basis Administratie, hanteert het begrip identiteit in twee verschillende betekenissen. In enge zin is het de beperkte set eigenschappen om een persoon uniek te identificeren – de kern van het huidige GBA-stelsel. In brede zin is dat het samenhangende beeld dat er van iemand bestaat. Voor deze laatste categorie lanceert ‘Snellen’ het op zich goede idee van een digitale kluis. Hoewel de commissie probeert aan beide begrippen recht te doen, heeft dit volgens Maarten van den Broek geleid tot een wat onevenwichtig advies.
‘GBA in de toekomst’, het rapport dat de commissie Modernisering van de GBA (de commissie Snellen) onlangs heeft gepubliceerd, draagt als ondertitel ‘Gemeentelijke Basis Administratie persoonsgegevens als spil voor de toekomstige identiteitsinfrastructuur’. Het begrip identiteit speelt dan ook een belangrijke rol in het rapport en wordt in twee verschillende betekenissen gebruikt. Het begrip identiteit in enge zin is de beperkte set eigenschappen of gegevens waarmee een persoon uniek geïdentificeerd kan worden. Het verstrekken van een identiteit aan personen en het kunnen verifiëren van iemands identiteit kan met recht beschouwd worden als de spil van een identiteitsinfrastructuur en is nadrukkelijk een overheidstaak. Dit is ook de kern van het huidige GBA-stelsel.
Het begrip identiteit in brede zin is het samenhangende beeld dat de persoon zelf en anderen van hem hebben. De commissie Snellen probeert in haar advies aan beide identiteitsbegrippen recht te doen. Dit heeft geleid tot een wat onevenwichtig advies. Voor wat betreft identiteit in enge zin wordt vastgehouden aan het bestaande stelsel, maar de problemen rond het huidige stelsel lijken door het advies niet te worden opgelost. Voor wat betreft identiteit in brede zin wordt het nieuwe en op zich goede idee van een digitale kluis gelanceerd. Het rapport gaat helaas nauwelijks in op de implicaties van dit idee voor het GBA-stelsel.
In historisch perspectief
Het GBA-stelsel is in de jaren tachtig ontworpen met als belangrijkste doel ‘het binnen de publieke sector efficiënter werken met persoonsgegevens’. Door twee vernieuwingen in te voeren werd dit doel gerealiseerd. Op de eerste plaats is het registreren van gegevens op papieren persoonskaarten vervangen door registratie in een geautomatiseerd systeem, en op de tweede plaats worden gemeenten en afnemers in de publieke sector via geautomatiseerd berichtenverkeer op de hoogte gesteld van wijzigingen in persoonsgegevens en kunnen zij gegevens opvragen.
Slechts een beperkt deel van de persoonsgegevens is opgenomen in het GBA-stelsel. Dit betreft gegevens ten behoeve van drie aspecten: het vaststellen en waarborgen van de identiteit (geboorte, overlijden, identificerende eigenschappen en identiteitspapieren); het vaststellen van de verhouding tussen de staat en haar inwoners (nationaliteit, verblijfstitel en het inschrijvingsadres als de plaats waar een inwoner in juridische zin voor de overheid bereikbaar is); en het vaststellen van de verhouding tussen burgers (familierecht en erfrecht).
De gegevens in de GBA zijn grotendeels gebaseerd op juridische feiten vastgelegd in akten en beschikkingen.
Bij de vormgeving van het GBA-stelsel is nauw aangesloten bij de vigerende administratieve procedures.
Zo is de persoonskaart min of meer een-op-een vertaald naar de persoonslijst of PL in het geautomatiseerde systeem.
Wat de gegevensuitwisseling tussen gemeenten en de gegevensverstrekking aan afnemers betreft, is die net zo ingericht als het per post verzenden van berichten. De reactietijd is ruwweg hetzelfde als bij het per post aanvragen van informatie, namelijk 2x 24 uur, en wordt door afnemers als de politie en de centra voor werk en inkomen als problematisch ervaren.
De GBA is een decentraal stelsel. Gemeenten kiezen dus een GBA-systeem dat het beste aansluit bij hun eigen infrastructuur, administratieve organisatie en behoeften. Er zijn nu circa zeven verschillende GBA-systemen in gebruik. Wijzigingen in het GBA-stelsel dienen in al deze systemen te worden doorgevoerd en dat is een kostbare zaak.
Bovendien kan er niet naar personen worden gezocht op basis van slechts enkele gegevens. Afnemers hebben slechts toegang tot gegevens, indien ze de persoon uniek en eenduidig kunnen identificeren. Voor de politie is dit problematisch, want in 30 procent van de bevragingen krijgt ze geen antwoord, omdat ze over onvoldoende of onjuiste gegevens beschikt.
Dit in de jaren tachtig ontworpen en gebouwde GBA-stelsel is heel succesvol. Er worden nu tientallen miljoenen berichten per jaar verwerkt en er zijn honderden afnemers in de publieke sector op aangesloten.
Identiteit in enge zin
Eerst verdient het verstrekken van een identiteit enige aandacht, vervolgens het verifiëren ervan.
De ontwikkelingen rond internet leiden ertoe dat steeds meer diensten virtueel worden verleend, waarbij de afnemer zich alleen digitaal bekend maakt. Er is derhalve behoefte aan middelen om mensen langs digitale weg te identificeren. Van oudsher verstrekt de gemeente identiteitsbewijzen en lijkt zij de aangewezen instantie voor het verstrekken van een digitale identiteit. Binnen de GBA beschikt de gemeente over de gegevens om iemand te identificeren en heeft ervaring met het verifiëren van de identiteit van de persoon aan wie een identiteitspapier wordt verstrekt.
Welke rol wil de overheid op dit gebied spelen? Gaat ze zelf optreden als ’trusted third party’ of laat ze dit over aan commerciële aanbieders? Gaat ze naast een chipcard met biometrische gegevens ook eenvoudiger digitale certificaten uitgeven? Wie gaat de infrastructuur beheren voor het verifiëren van de geldigheid van certificaten en chipcards en wie die voor de lezers van de biometrische gegevens? Op dit soort vragen rond het verstrekken en controleren van een digitale identiteit gaat de commissie Snellen niet in, terwijl een goede infrastructuur hiervoor toch de spil vormt van een toekomstige identiteitsinfrastructuur.
Dan het verifiëren van een identiteit; hierboven is als uitgangspunt gekozen dat iemand zich wil identificeren met daarvoor door de overheid ter beschikking gestelde middelen, maar mensen zijn hiertoe lang niet altijd bereid of in staat. Denk bijvoorbeeld aan een inbreker of aan de slachtoffers van een ramp.
Gegevens op basis waarvan identificatie kan plaatsvinden, worden nu alleen vastgelegd voor bijzondere categorieën personen, bijvoorbeeld de vingerafdrukken of het DNA-profiel van mensen die voor een misdrijf veroordeeld zijn. Zeker waar het gaat om biometrische gegevens die personen onwillekeurig achterlaten, zoals vingerafdrukken en DNA-profielen, lijkt deze terughoudendheid terecht. Waar het gaat om een kenmerk dat alleen met toestemming van de betrokkene kan worden geraadpleegd, bijvoorbeeld een irisscan, lijkt het vastleggen minder bezwaarlijk. De commissie kiest niet echt positie in dergelijke voor het inrichten van een nieuwe identiteitsinfrastructuur essentiële vragen. Naar het opnemen van biometrische gegevens in de GBA adviseert de commissie nader onderzoek te doen. Tegenover het opnemen van een DNA-profiel staat de commissie heel terughoudend.
De problemen die de politie ondervindt bij het verifiëren van iemands identiteit worden slechts ten dele opgelost door de invoering van een Landelijk Raadpleegbare Directory uit het advies – met nog steeds dezelfde restricties op het zoeken als bij papieren persoonskaarten. De politie kan straks weliswaar eenvoudiger nagaan of iemand zou kunnen zijn die hij zegt te zijn. Maar wanneer een onjuiste of onvolledige identiteit is verstrekt, kan de politie verder niets.
Vernieuwing van het stelsel
De commissie adviseert slechts beperkte wijzigingen door te voeren in het GBA-stelsel. Tegelijkertijd pleit ze ervoor de gemeentelijke GBA-systemen te vervangen door een gratis GBA-startpakket dat zal worden aanbesteed bij één leverancier. Marktpartijen kunnen extra functionaliteit rond het startpakket ontwikkelen in de vorm van extra modules waarmee een gemeente haar GBA-systeem kan toesnijden op haar behoeften. De commissie Snellen noemt als voordelen van deze aanpak: het eenvoudiger kunnen aanpassen van de functionaliteit; het niet langer afhankelijk zijn van een paar leveranciers; en vermindering van de onderhoudskosten bij wijzigingen in het GBA-stelsel.
Op het eerste gezicht lijkt dit een aantrekkelijk concept, maar het heeft ook een aantal nadelen. Ten eerste hanteren niet alle gemeenten dezelfde infrastructuur. Het ziet er immers naar uit dat op een termijn van een jaar of vijf het merendeel van de gemeenten zal werken met Oracle of SAP als software-infrastructuur. Voor het GBA-startpakket zal ook een software-infrastructuur gekozen moeten worden. Voor een aantal gemeenten zal het GBA-startpakket niet aansluiten bij hun software-infrastructuur en het adopteren ervan zal hen het nodige geld kosten. Wie gaat gemeenten deze kosten vergoeden?
Ten tweede zijn de aanvullende modules afhankelijk van het GBA-startpakket. Wanneer het startpakket geen gebruikersinterface bevat, dan is er sprake van een zeer hechte koppeling tussen startpakket en aanvullende modules en bij een wijziging in het GBA-stelsel zullen de aanvullende modules samen met het startpakket geschouwd en getoetst moeten worden. Wanneer het startpakket ook de gebruikersinterface bevat, is de vraag hoe grote gemeenten een andere procesinrichting kunnen hanteren dan kleine. Wanneer zowel grote als kleine gemeenten goed met het GBA-startpakket uit de voeten kunnen, is de vraag welke functionaliteit nog onderdeel kan zijn van de aanvullende modules.
En ten derde heeft de praktijk geleerd, dat het ineens vervangen van een complex, in de loop van de jaren gegroeid systeem grote risico’s met zich meebrengt. Essentiële kenmerken ervan worden bij het herontwerp vaak over het hoofd gezien en het nieuwe systeem blijkt niet te functioneren. Deze problemen worden nog eens vergroot door de opdeling in een voor alle gemeenten geldend startpakket en additionele modules voor bijzondere behoeften.
Wanneer het GBA-stelsel op de huidige voet wordt voortgezet, ontstaat binnen de termijn van een jaar of acht die de commissie voor de vernieuwing voor ogen staat waarschijnlijk de situatie dat er nog twee gemeentelijke GBA-systemen over zijn: een op Oracle gebaseerd systeem met Centric als leverancier en een op SAP gebaseerd systeem met Pink Roccade als leverancier.
Omdat deze twee systemen evolutionair voortkomen uit bestaande systemen, zullen ze naar alle waarschijnlijkheid de door grote en kleine gemeenten gewenste functionaliteit bieden. Het is zeer de vraag of afhankelijkheid van één leverancier financieel zoveel aantrekkelijker is dan het werken met twee aanbieders, zeker wanneer ook de risico’s van de migratie naar een startpakket met aanvullende modules in ogenschouw worden genomen.
Samenhangend beeld
De overheid verwerkt persoonsgegevens in een groot aantal verschillende registraties, die alle gegevens over een ander aspect van de persoon vastleggen. De overheid heeft daarmee een heel gefragmenteerd beeld van de burger. Dit is in overeenstemming met de regelgeving rond het verwerken van persoons(gerelateerde) gegevens, want die verbiedt gegevens uit verschillende registraties samen te voegen tot een samenhangend beeld van de burger. Binnen het huidige GBA-stelsel worden gegevens daarom alleen aan de publieke sector beschikbaar gesteld en dit is ook nog aan strenge regels onderworpen.
De burger ondervindt om twee redenen hinder van dit gefragmenteerde beeld. Enerzijds is het lastig de over hem vastgelegde gegevens te controleren. Om de burger namelijk te beschermen tegen handelen van de overheid op basis van onjuiste gegevens, heeft hij het recht de over hem vastgelegde gegevens in te zien. In de praktijk komt hier niet veel van terecht, omdat de drempel nogal hoog is. De burger dient van allerhande registraties een opgave te vragen.
Anderzijds moet de burger gegevens vaak meer dan eens verstrekken. Gegevens die reeds aan de ene overheidsinstantie ter beschikking zijn gesteld worden opnieuw gevraagd door een andere overheidsinstantie. Zou het niet handiger zijn, als gegevens maar één keer verstrekt hoeven te worden? Voor private organisaties geldt hetzelfde. Ook zij vragen allerlei gegevens aan de burger die de overheid reeds beschikbaar heeft. Private organisaties hebben daarnaast een eigen belang bij het ontlenen van gegevens aan overheidsregistraties. Aan een overheidsregistratie ontleende gegevens zijn waarschijnlijk juist en de organisatie hoeft deze gegevens niet zelf meer te verifiëren.
Digitale kluis
De commissie Snellen heeft een nieuw idee gelanceerd om deze problematiek op te lossen, de zogenaamde digitale kluis. De overheid stelt elke burger een digitale kluis ter beschikking en vult deze met gegevens uit eigen registraties. De burger kan via internet zijn digitale kluis in. Op die manier kan de burger eenvoudig nagaan wat in de verschillende overheidsregistraties over hem bekend is.
Via de digitale kluis kan de burger zelf de samenhang bepalen in het beeld dat de overheid van hem heeft. De burger autoriseert overheidsinstanties simpelweg voor het gebruik van meer gegevens dan zij strikt nodig hebben. De burger heeft hier belang bij, want hoe samenhangender het beeld dat de overheid van de burger heeft, hoe beter de overheid de burger ook van dienst kan zijn.
De burger kan daarnaast derden autoriseren gegevens uit zijn kluis te betrekken en hoeft dan niet langer hen zelf gegevens te verstrekken. Desgewenst kan de burger ook zelf gegevens toevoegen in zijn digitale kluis. Aangezien deze gegevens niet door een onafhankelijke instantie geverifieerd zijn, is het maar de vraag hoeveel belang anderen eraan zullen hechten.
Het realiseren van de digitale kluis is geen sinecure. Er dient namelijk een totaal nieuw stelsel ontwikkeld te worden dat minstens zo complex is als het GBA-stelsel (zie kader).
Het idee van de digitale kluis biedt grote voordelen, maar de realisatie ervan zal langs de weg van de geleidelijkheid moeten verlopen. Zodra de belangrijkste infrastructurele elementen beschikbaar zijn (het standaard uitwisselformaat en het identificatie- en autorisatiestelsel), zouden geleidelijk overheidsregistraties en derden kunnen aansluiten op de digitale kluis. Zo kan in de praktijk getoetst worden hoe groot de behoefte aan een digitale kluis is.
Onvoldragen advies
Door het begrip identiteit een centrale plaats te geven in haar rapport heeft de commissie de aan haar gestelde vragen breed geïnterpreteerd. Het begrip identiteit als de beperkte verzameling eigenschappen of gegevens op basis waarvan een persoon uniek te identificeren is, vormt de spil van iedere identiteitsinfrastructuur. En het huidige GBA-stelsel biedt de basis hiervoor. Op de noodzakelijke uitbreiding van het stelsel om digitale identiteiten te verstrekken en te verifiëren wordt in het rapport echter niet ingegaan. Het advies lijkt ook niet te voorzien in de wens van afnemers als de politie om eenvoudiger iemands identiteit te verifiëren of vast te stellen.
Wat betreft de functionele vernieuwing van het huidige GBA-stelsel is de commissie niet erg ambitieus. Het gaat primair om het toepassen van nieuwe technologie om knelpunten op te lossen. De totale vervanging van de huidige gemeentelijke systemen is daarentegen wel behoorlijk ambitieus. De commissie weegt de door haar voorgestelde oplossing niet af tegen het alternatief om het huidige stelsel zich evolutionair te laten ontwikkelen.
De digitale kluis is een fraai concept om burgers zeggenschap te geven over het beeld dat derden van hem hebben. In het advies wordt helaas nauwelijks aandacht besteed aan de invoering. Voorwaardelijk zijn een overheidsdatamodel, een standaard uitwisselformaat en een infrastructuur voor de digitale identificatie van personen en organisaties. Gegeven de huidige stand van zaken op deze terreinen is grootschalige invoering van de digitale kluis op zijn vroegst tegen het einde van dit decennium te verwachten.
Maarten Van De Broek Software Architect Pink Roccade Civility
Digitale ‘kluizenaars’
Het inrichten van de zogeheten ‘digitale kluis’ is niet eenvoudig. Er is namelijk een geheel nieuw stelsel nodig dat zeker zo complex is als het GBA-stelsel.
Enkele elementen uit dit stelsel zijn:
Een (data)model voor het samenhangende beeld dat de overheid van de burger heeft
Onderdeel hiervan is de harmonisatie van allerhande begrippen. Denk bijvoorbeeld aan de verschillen in de begrippen partner, loon en huishouden in wet- en regelgeving. In een aantal gevallen zal deze harmonisatie leiden tot aanpassing van bestaande wet- en regelgeving.
Een standaard uitwisselformaat
De digitale kluis zal gevoed worden vanuit allerhande overheidsregistraties. Wijzigingen in gegevens zullen via zogenaamde kennisgevingsberichten aan de kluis doorgegeven moeten worden. Overheidsorganisaties en derden zullen gegevens uit de kluis willen (kunnen) halen. In sommige gevallen zullen zij via kennisgevingsberichten vanuit de kluis van wijzigingen op de hoogte gesteld willen worden en in andere gevallen willen zij via vraag- en antwoordberichten gegevens opvragen.
Aansluiting van overheidsregistraties op de digitale kluis
Met de definitie van een uitwisselformaat is nog maar een fractie van het werk gedaan. De verschillende overheidsregistraties zullen aangepast moeten worden, zodat bij wijziging in gegevens automatisch een bericht naar de kluis wordt gestuurd.
Een identificatie- en autorisatiestelsel
Leveranciers en afnemers van gegevens dienen zich op een betrouwbare manier te kunnen identificeren. Er is derhalve een stelsel van digitale identificaties nodig, waarmee niet alleen burgers maar ook organisaties c.q. systemen zich digitaal kunnen identificeren.
De autorisaties worden nu centraal beheerd en dit is behoorlijk complex. Bij de digitale kluis beheert elke burger de autorisatieregels voor zijn eigen kluis. De kunst zal zijn hiervoor een voldoende simpel systeem te ontwikkelen, dat de burger in staat stelt zelf zijn kluis te beheren.
Het systeem voor de digitale kluis
Het systeem voor de digitale kluizen beheert een samenhangend beeld van de burger en centraliseert in de een of andere vorm een grote hoeveelheid informatie over individuele burgers. Hoe kan misbruik van een dergelijk systeem voorkomen worden?
