Waar we vroeger onze identiteit bekend maakten door ons gezicht te laten zien is er door de digitalisering een uitdaging ontstaan. Zonder fysieke aanwezigheid is het makkelijk om te zeggen wie je bent maar bewijzen is wat lastiger, tenminste als het onweerlegbaar moet. Vraagstuk van digitale identiteiten is een maatschappelijk probleem.
Hoewel identificeren en legitimeren beiden gaat om het bewijzen van de identiteit zit het verschil in het middel. Een paspoort heeft dan ook een hogere status dan clubpas van een vereniging. Het is echter opmerkelijk dat een attribuut zoals burgerservicenummer (bsn) toch op een soort van clubpas staat, de zorgpas van verzekeraar. Nu is dit een middel dat we desondanks niet kunnen gebruiken als legitimatiebewijs omdat een veiligheidskenmerk zoals foto ontbreekt. Zorgvuldige legitimatie vereist dan ook overlegging van een ander identiteitsbewijs waarmee bsn’s vergeleken dienen te worden, zodat deze in het proces als gebruikers-ID en/of declaratienummer gebruikt kan worden.
Helaas wordt gemak nog weleens boven de zorgvuldigheid verkozen en blijft die controle vaak achterwege. Het vragen om een identificatie is zinloos en gevaarlijk als controle onvolledig is of zelfs geheel ontbreekt!
Identiteitsdiefstal
In mijn inleiding stelde ik dat het vraagstuk van digitale identiteiten een maatschappelijk probleem is en daarmee bedoel ik het fenomeen van diefstal en groeiende hoeveelheid aan middelen die we nodig hebben. Laten we beginnen met de identiteitsfraude waar volgens het ministerie van binnenlandse zaken in 2012 meer dan zeshonderdduizend burgers slachtoffer van werden, mede omdat het bsn makkelijk te achterhalen was. Nu is het opmerkelijk dat bsn identiteitsfraude faciliteert aangezien we het hier hebben over een gebruikers-ID. Blijkbaar gaat er iets mis in het authenticatieproces zelf, controle bij juiste legitimatie bestaat dan ook uit twee handelingen: het vaststellen van de echtheid van getoonde legitimatiebewijs en het vaststellen dat het legitimatiebewijs hoort bij degene die het toont.
Dat koppelen van (digitale) middelen aan een identiteit onvermijdelijk is, staat buiten discussie, maar de vraag is of dat soms niet wat te lichtvaardig gedaan wordt. Zo wordt het attribuut bsn gebruikt als een gebruikers-ID, als btw-nummer, declaratienummer en waarschijnlijk voor nog wat andere processen. Nogal vervelend dus als het vaststellen of het bsn behoort bij degene die het opgeeft al niet goed gedaan wordt. Daarnaast is het moeilijk om dit nummer geheim te houden omdat het op steeds meer middelen komt te staan.
Identiteitscrisis
De affaire met het bsn vertoont veel overeenkomsten met de paspoortaffaire uit 1984 waarbij ook twee ministeries hun eigen weg bewandelden. Tenslotte adviseert het ministerie van Binnenlandse Zaken ons om het bsn geheim te houden, bij verstrekken van een kopie paspoort dien je dit nummer onleesbaar te maken, maar verplicht de belastingdienst zzp’ers om het bsn als btw-nummer te vermelden op facturen en website. Het middel heiligt het doel, maar schiet deze weleens voorbij als er niet nagedacht wordt over consequenties. Ondertussen is de motie Oosenburg aangenomen die ontkoppeling van btw-nummer en het bsn voorstelt. Opmerkelijk dat juist het bsn bedoeld was om fraude tegen te gaan maar het nu lijkt te faciliteren, wie snapt het nog?
Het is een dooddoener maar beveiliging kost geld, tijd en moeite, terwijl veel oplossingen juist op het tegenovergestelde gericht zijn. We willen tenslotte juist minder digitale identificatiemiddelen dan meer en het principe van single sign on (sso) zorgt voor een toenemende populariteit van diensten zoals IDaaS. Helaas ontbreekt bij deze diensten dus vaak een geïntegreerd kader voor provisioning en beleid, het zijn vooral serviceproviders voor IAM. Terwijl dit de meest gevoelige functie is waar continuïteit van de dienstverlening vaak vanaf hangt zoals we hebben gezien bij Diginotar. Ook hier werd nagelaten om echtheid van legitimatiebewijs te (blijven) controleren en ontbrak integraal beleid terwijl er teveel vertrouwd werd op de techniek. Hoewel ik het nut van diensten zoals IDaaS dus wel inzie baart dus de (commerciële) invulling mij zorgen, niet vanuit technische perspectief maar simpelweg procesmatig.
Identiteitsvisie
Waar we zakelijk vaak maar één gebruikers-ID hebben met misschien twee of meer authenticatie middelen hebben we in het maatschappelijk verkeer hier een stapel van. Zorgpas, bankpassen, paspoort, rijbewijs, bonuskaarten en ga zo maar door. Al deze middelen bevatten stukjes van de (digitale)identiteit die niet altijd gebruikt worden voor de dienst die we afgesproken hebben. Laatst nog kwam ING met het plan om betaalgegevens van klanten te verkopen, commerciële belangen om gedrag aan een persoon te koppelen zijn dan ook groot. Maatschappelijk gezien is dit vanuit het oogpunt van fraudebestrijding nog te verkopen, maar het wordt al gauw discutabel als het een ander doel dient, het middel wordt dan erger dan de kwaal zoals we zien met het burgerservicenummer.
Het wordt dus tijd dat we de visie rond digitale identiteiten herzien, waarbij niet alleen het middel van het proces gescheiden dient te worden, maar er ook meer zekerheden ingebouwd worden tegen misbruik. Want een overheid die haar onderdanen als nummer ziet verliest al gauw het vertrouwen, zeker als er middelen gebruikt worden die door de technologische ontwikkelingen achterhaald zijn.
Wordt vervolgd…
@John
Mee eens maar de praktijk is zoveel weerbarstiger, zie link over gemeente Geldrop die zoiets simpels als ladenkastje controleren al nalaat. En helaas is dit niet het enige voorbeeld want de (lokale) overheid gaat ongelovelijk slecht om met onze persoonsgegevens terwijl ze er steeds meer van krijgen welke ze niet alleen slecht bewaren maar ook nog eens te lang.
Privacy is een heet hangijzer aan het worden nu er inderdaad enige openheid is gekomen door Edward Snowden maar de sancties blijven nog teveel achterwege, de kool en de geit worden gespaard. Heb ondertussen het vervolg gereed gezet voor publicatie….