De overheid werkt al een jaar in het diepste geheim aan een DigiD-kaart als alternatief voor DigiD. Hierin werkt het samen met ict-professor Bart Jacobs van de Radboud Universiteit Nijmegen. Jacobs is bedenker van een kaart die sterk lijkt op de DigiD-kaart van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en hij ontving overheidsgeld om zijn eigen vinding te onderzoeken. Hierdoor zijn potentiële leveranciers van de DigiD-kaart buitenspel komen te staan.
De informatie over de geheime samenwerking tussen BZK en Bart Jacobs kwam naar buiten via een procedure Wet openbaarheid bestuur (WOB). AET Europe, een potentiële leverancier van de DigiD-kaart, maakte de gang van zaken aanhangig. Eigenaar Reinoud Weijman voerde in 2007 met succes en rechtszaak tegen het ministerie van BZK inzake een onderhandse aanbesteding, bekend als eNIK DigiD. AET levert geavanceerde oplossingen voor digitale veiligheid. Volgens Weijman bleef het niet alleen bij onderzoek en gebruikte Jacobs zijn maatschappelijke positie om ‘zijn’ kaart aan te prijzen bij ambtenaren en minister Opstelten als alternatief voor DigiD. Hierdoor dreigen potentiële leveranciers miljoenenorders mis te lopen.
Marktconsultatie
Onlangs werd bekend dat er in de toekomst een fysieke chipkaart nodig is om in te loggen met DigiD. Daarom konden potentiële leveranciers van de DigiD-kaart zich in de zomer van 2013 melden bij het verantwoordelijke ministerie van Binnenlandse Zaken tijdens de zogenoemde marktconsultatie. Normaal gesproken kan het bedrijfsleven met de overheid praten over mogelijke oplossingen, zonder dat de overheid al stuurt op een bepaalde oplossing.
Uit e-mails tussen hoogleraar Bart Jacobs en rijksambtenaren blijkt echter het tegendeel. Al sinds 2012 wordt er in het geheim gewerkt aan een DigiD-kaart die overeenkomt met de gevraagde oplossing uit de marktconsultatie. Jacobs kreeg van het ministerie honderdtwintigduizend euro om de nieuwe identiteitskaart te onderzoeken. Dit bedrag overstijgt de aanbestedingsgrens. Door de voorkeursbehandeling staan potentiële leveranciers op het gebied van digitale veiligheid praktisch buitenspel. In totaal gaat de DigiD-kaart naar verwachting 250 miljoen euro kosten.
Lobby
Jacobs voert niet alleen onderzoek uit, maar hij zou ook samen met ambtenaren een nieuw systeem ontwikkelen. ‘Daarna begint er een waar charmeoffensief voor de DigiD-kaart’, meent Weijman. ‘Zo gebruikt Jacobs zijn maatschappelijke positie als hoogleraar digitale veiligheid en als lid van de Cyber Security Raad om ‘zijn’ vinding te promoten bij hoge ambtenaren en minister Opstelten. Ook andere lobbymiddelen worden ingezet, waaronder een etentje (‘diner pensant’), een gesprek met minister Opstelten, een reis naar Berlijn en een diner in de Reichstag.’
Bovendien hebben ambtenaren invloed op onafhankelijk advies dat Jacobs schrijft voor de Cyber Security Raad, zo oordeelt Weijman. ‘Het advies gaat over de bestrijding van cybercrime met de DigiD-kaart. Ook in het programma Kassa promoot Jacobs zijn versie van de DigiD-kaart en voorspelt dat de pas gebruikt kan worden voor een leeftijdscheck bij de aanschaf van alcohol of het opslaan van een elektronisch patiëntendossier (epd). Deze voorspelling komt ‘verrassend’ genoeg ook voor in de marktconsultatie. In Nieuwsuur pleit Jacobs voor investeringen in nieuwe veiligheidsmaatregelen, terwijl hij daar achter de schermen zelf aan werkt.’
PKI Overheid
Weijman vindt de sturing van het ministerie opvallend, omdat met de DigiD-kaart nog amper ervaring is. ‘Bovendien moeten burgers naast hun bestaande identiteitspapieren een nieuwe kaart aanschaffen. Betere, beproefde en goedkopere alternatieven voor het DigiD-stelsel krijgen echter geen kans. Een voorbeeld hiervan zijn de digitale certificaten die de overheid al jaren gebruikt om via internet te communiceren met ruim honderdduizend bedrijven en burgers. Met de komst van de DigiD-kaart is het onzeker dat bedrijven hun miljoeneninvesteringen in dit systeem, PKI Overheid, ooit terugzien.’
Ook zetten experts volgens Weijman vraagtekens bij de functies van de nieuwe pas, zoals leeftijdscontrole en het opslaan van het epd. ‘Hiervoor zijn al voldoende middelen voorhanden, zoals het paspoort of rijbewijs en de zogenoemde UZI-pas voor medici. Alsof dit nog niet erg genoeg is, leeft er bij het ministerie het idee om de nieuwe kaart te laten personaliseren (‘op naam stellen’) door de Rijksdienst Wegverkeer. Door deze concurrentievervalsing of inbesteding hebben bedrijven die soortgelijke diensten leveren het nakijken. Niet alleen is deze handelwijze rationeel niet te verklaren, maar staat deze ook haaks op de onlangs in werking getreden Wet Markt en Overheid.’
Wat wetenschapper betreft is Bart niet bijster bij de tijd. Plus het feit dat hij wel erg makkelijk over bestaande wetgeving springt.
DigiD is bedacht voor de overheid. En als Bart van plan is om die rol te verbreden naar bijvoorbeeld commerciële instelling als een slijter dan zal hij dat voor een rechter mogen uitleggen. En een politicus die denkt daar een wet voor te kunnen verzinnen mag dan sterk in de schoenen staan want dan zal de Nederlandse grondwet moeten worden veranderd na toetsing aan de Europese wet. Oftewel die toekomst plannen zijn bij voorbaat al mislukt.
En natuurlijk voor de veiligheid is het verre van slim om allerlei functionaliteiten te gaan mengen. Alsof de sleutel van je huis ook maar even gekoppeld kan worden aan die van je auto, je fiets en kluis op het werk. Technisch gezien kan het gewoon, maar slim is het niet echt.
@vincent
Er zijn ook landen waar je nog steeds met alleen een wachtwoord kan internetbankieren. Dat op zich zegt niets.
Als kundig IT’ers horen wij hier hoge edoch redelijke eisen bij te stellen. Iets wat Bart blijkbaar als advies hard nodig heeft.
Identiteitskaart, Verblijfsvergunning, Rijbewijs, OV-chipkaart en nu DigiD-kaart. Hoeveel kaarten van de overheid komen er nog bij? Waarom bijv. de indentiteitskaart niet samenvoegen met DigiD-kaart?
Waarom weer iets nieuws uitvinden? Belgie gebruikt al jaren een identiteitskaart met daarop chip die voor authenticatie gebruikt wordt.
Aantal applicaties/instellingen die met deze eid werkt is duidelijk groter dan met digid, en gaat zelfs zover dat je het als particulier kunt gebruiken voor electronisch signature op pdf of voor XAdES certificaten.
http://eid.belgium.be/nl/
Hopelijk is een gedegen onderzoek bestaande oplossingen binnen europa onderdeel van de project scope….
@M Bos
Denk eens heel goed na wat je zegt. Wil je écht alles op een kaart hebben? Is dat écht wat je wil?
Wil je dat de overheid al je gegevens in kan zien zonder een gerechtelijk bevel? Wil je dat je bank al je gegevens in kan zien zonder gerechtelijk bevel. Wil je dat je supermarkt al je gegevens in kan zien zonder gerechtelijk bevel? Want daar pleit je nu eigenlijk voor.
Hier is toch helemaal niets geheim aan. Iedereen die dit onderzoeksproject een beetje van de zijlijn gevolgd heeft, weet dat de kennis- en technologieontwikkeling centraal staan. Uiteraard aspireren dergelijke onderzoekers een roll-out van hun bevindingen naar de praktijk, maar dat betekent helemaal niet dat marktpartijen buiten spel staan. Het Rijk zal op termijn echt wel tot aanbesteding overgaan van productie, distributie en beheer. Wat Jacobs doet beperkt zich tot een kleinschalig proof of concept. Snap werkelijk niet waar AET zich in dit stadium druk om maakt. Een co-operatieve houding lijkt me inhoudelijk vele malen zinniger en commercieel ook veel kansrijker.
Beste redactie,
Bij mij is een aanbestedingsgrens van 130.000 bekend voor dit jaar. Ook daarvoor lag de grens al op 125.000. Het bedrag ligt dus NIET boven de aanbestedingsgrens.
@johan @peter Zou het kunnen zijn dat de pas een api heeft waarmee alleen relevante informatie beschikbaar word gesteld aan relevante partijen? Lees: de slijter krijgt alleen te horen dat hij wel/niet mag verkopen.
Dat jij dan die api niet kunt mis-gebruiken om jouw nieuwsgierigheid tevreden te stellen is verwacht ik het slimme en veilige resultaat van de opdracht. Anders is het niet echt een onderzoeksopdracht waardig.