Het kabinet stelt de besluitvorming over de ontwikkeling van het eID-stelsel uit. Er worden voorlopig geen onomkeerbare beslissingen genomen over de nieuwe standaard voor e-dienstverlening. Eerst moet via pilots ervaring opgedaan worden met online identificatiemiddelen. Pas daarna worden knopen doorgehakt over de standaard die op termijn DigiD moet vervangen. De proefprojecten starten vanaf de tweede helft van 2015. Dat blijkt uit een nieuwsbericht over de voortgang van de eID-standaard.
Daaruit blijkt dat het kabinet de invoering van het eID-stelsel verder voor zich uitschuift. Op prinsjesdag 2014 beloofde het kabinet namelijk nog om voor het einde van 2014 de knoop door te hakken over de invoering van de eID-standaard.
Die nieuwe standaard moet burgers en bedrijven veilige en betrouwbare toegang verlenen tot online dienstverlening van overheid en bedrijfsleven. Maar voor het tot definitieve besluiten komt en om zorgvuldigheid te betrachten wil de overheid eerst verschillende proeven uitvoeren.
Op dit moment biedt de overheid twee verschillende manieren van inloggen: burgers gebruiken DigiD en ondernemers eHerkenning. Daarnaast hebben bedrijven hun eigen systemen om hun klanten online te herkennen, van gebruikersnaam en wachtwoord tot smartcards en tokens. Het eID-stelsel wordt de standaard voor inloggen bij online dienstverlening. Burgers, consumenten en ondernemers kunnen dan uit meerdere hoogwaardige inlogmiddelen zelf het middel kiezen waarmee ze bij een organisatie willen inloggen. Zij zijn daardoor niet afhankelijkheid van één elektronisch identificatiemiddel; bijvoorbeeld bij uitval of storingen zijn andere opties van inloggen mogelijk.
ID-bewijs en bankpas
De overheid ziet het als zijn taak om burgers te voorzien van identiteitsdocumenten waarmee zij hun identiteit kunnen bewijzen. De overheid wil deze mogelijkheid ook voor de digitale wereld bieden. Daarom wordt gestart met pilots waarbij fysieke wettelijke identiteitsdocumenten zoals identiteitskaart, rijbewijs, vreemdelingendocument en ‘geprivilegieerdenpas’ geschikt gemaakt worden om als digitaal inlogmiddel te gebruiken.
Inloggen met de identiteitskaart of het rijbewijs wordt alleen mogelijk op websites van de overheid en van organisaties die een publieke taak uitvoeren en dus niet op websites van bedrijven. Andersom wordt in pilots het gebruik van geschikte inlogmiddelen van bedrijven op websites van de overheid en de bovenbedoelde organisaties beproefd, zoals een bankpas.
Misbruik informatie
In het persbericht over de voortgang van eID staat: ‘Alleen inlogmiddelen die aan de eisen van het eID-stelsel voldoen, worden toegelaten. De kans op misbruik met persoonlijke informatie neemt daardoor af. En organisaties weten met meer zekerheid of hun klant ook echt is wie hij zegt dat hij is. Organisaties die digitale diensten ontsluiten via het eID Stelsel krijgen bovendien alleen toegang tot die informatie die strikt noodzakelijk is voor het uitvoeren van hun taak of gevraagde dienst. Een online slijter krijgt bijvoorbeeld alleen te zien of een persoon ouder dan achtien jaar is. De slijter krijgt dus niet de geboortedatum of het burgerservicenummer van die persoon te zien.’
Bezorgd
Eerder sprak brancheorganisatie Nederland ICT zijn bezorgdheid uit over de invoering van DigiD-opvolger eID. De brancheorganisatie waarschuwde voor de complexiteit van het nieuwe systeem voor de beveiliging van digitale informatie-uitwisseling tussen burgers, bedrijven en de overheid.
Hier kunnen bedrijven en eWinkels mooi gebruik van maken door het toepassen van een two pass authentificatie met een sms en wachtwoord. Als het wachtwoord ook nog flexibel wordt dmv vingerafdruk dan wordt een threes pass constructie ook nog mogelijk.
Nederland ICT preekt weer voor eigen parochie natuurlijk. En de politiek weet dat het eID een lastig onderwerp is dat je niet voor verkiezingen moet aanpakken.
Het eID plan is dan ook te ambitieus en breed opgezet om überhaupt maar te kunnen slagen. Om nog maar te zwijgen van de bewust verzwegen mogelijke function creep die deze implementatie behelst.
Trouwens zijn onze zuiderburen ons al behoorlijk lang voor waar daar hebben ze al een werkend systeem. Alleen is die kaart inherent onveilig.
En organisaties weten met meer zekerheid of hun klant ook echt is wie hij zegt dat hij is.
Foute aanname. Organisaties weten alleen met zekerheid dat degene die inlogt ook daadwerkelijk de identitieitskaart van de persoon waar men op inlogt in handen heeft. Dat hoeft natuurlijk niet dezelfde persoon te zijn als wie inlogt.