4.1.1. Vertrouwen
Het is belangrijk dat iedereen op een veilige en betrouwbare manier gebruik kan maken van publieke diensten. Dit vraagt dat de identiteit van een gebruiker wordt vastgesteld en gecontroleerd als deze een dienst wil afnemen. Daarbij is vertrouwen een kernwoord. Voor veel maatschappelijke processen is het vertrouwen dat je zaken doet met de juiste organisatie of persoon cruciaal. Een dienstverlener wil kunnen vertrouwen op de identiteit van gebruikers; het is een vertrouwende partij. Daarvoor moet deze dienstverlener kunnen vertrouwen op partijen die verklaringen kunnen afgeven over de identiteiten van deze gebruikers. Voor het bouwen van vertrouwen kunnen partijen gebruik maken van vertrouwensnetwerken, waarin zij onderling afspraken hebben gemaakt. Burgers willen erop kunnen vertrouwen dat organisaties op een zorgvuldige manier omgaan met hun persoonsgegevens.
Het doel van de herziene eIDAS verordening is om EU-breed vertrouwen te creëren en daarmee de condities voor een veilige digitale ruimte, voor zowel burgers als bedrijven. Om vertrouwen te creëren tussen partijen zijn er vertrouwensdiensten nodig die hierin kunnen ondersteunen. De eIDAS verordening beschrijft deze vertrouwensdiensten. Het gaat onder meer om diensten voor het zetten van elektronische handtekeningen (door mensen), het elektronisch verzegelen van gegevens (door een organisatie), het creëren van elektronische verifieerbare verklaringen, het creëren van elektronische tijdstempels en het beschermen en bewijzen van elektronische uitwisseling van gegevens. Deze diensten worden aangeboden of ondersteund door leveranciers in de markt en zijn voor organisaties inzetbaar voor het ondersteunen van het verstrekken van toegang en het uitwisselen van gegevens.
In meer algemene zin vraagt vertrouwen expliciete aandacht voor een aantal morele en publieke waarden. Daarbij staan gebruikers centraal. De volgende figuur geeft een overzicht van voor toegang relevante waarden en hun impact: privacy, transparantie, keuzevrijheid, veiligheid, toegankelijkheid en gebruikersvriendelijkheid. Gebruikers willen dat hun privacy is geborgd, dat ze inzicht hebben in hun gegevens en alle handelingen m.b.t. toegang en dat ze kunnen kiezen welke diensten ze wel of niet afnemen en welke identificatiemiddelen ze daarbij gebruiken. Ze verwachten dat de veiligheid van de diensten is geborgd. Tegelijkertijd verwachten ze dat deze diensten wel toegankelijk en gebruikersvriendelijk zijn. Daarmee wordt niemand buitengesloten en wordt het gebruikers niet onnodig ingewikkeld gemaakt. In de volgende paragrafen worden deze waarden en hun impact verder uitgewerkt.
4.1.2 Privacy, transparantie en keuzevrijheid
Privacy gaat over het beschermen van de persoonlijke levenssfeer. Dat kun je niet los zien van transparantie en keuzevrijheid. Toegang gaat in de basis over het uitwisselen van identiteitsgegevens. Gebruikers willen dat deze identiteitsgegevens worden beschermd, maar willen daarbij ook inzicht in welke identiteitsgegevens nodig zijn voor het afnemen van een dienst. Als zij vinden dat de gevraagde gegevens niet in verhouding staan tot de waarde die de dienst levert, dan willen zij ervoor kunnen kiezen deze dienst niet af te nemen. Belangrijke kanttekening daarbij is dat dit met name geldt voor private diensten. Publieke diensten zijn voor een groot deel wettelijk bepaald en gebruikers hebben daarbij veelal niet de luxe om te kiezen deze diensten niet af te nemen. Privacy, transparantie en keuzevrijheid zijn ook de kern van regie op gegevens. Ook in de gegevensruimtes zoals voorgesteld in de Europese datastrategie hebben genoemde waarden een belangrijke rol. Partijen bepalen zelf aan wie zij hun gegevens in een gegevensruimte willen verstrekken en zijn daar alleen toe bereid alleen als zij vertrouwen hebben in de identiteit en bevoegdheden van andere partijen. Dit wordt ook wel datasoevereiniteit genoemd. De standaarden en richtlijnen die daarbij worden voorgeschreven vanuit de eIDAS verordening en de daaruit voortvloeiende uitvoeringsverordeningen zijn daarbij sterk bepalend en hebben dus ook voor gegevensuitwisseling veel impact. De volgende paragrafen gaan in op een aantal andere aspecten en oplossingen die relevant zijn in het kader van privacy, transparantie en keuzevrijheid.
Een belangrijk aspect van privacy is dataminimalisatie. Organisaties zouden niet meer gegevens moeten verwerken dan wat nodig is voor hun gebruiksdoel (en waarvoor ook een grondslag bestaat). Als het bijvoorbeeld voldoende is om te weten dat iemand 18 jaar of ouder is, zou niet de geboortedatum moeten worden uitgewisseld maar volstaat een ja/nee antwoord. Op basis van het antwoord kan bijvoorbeeld toegang tot een dienst worden geweigerd. Het experiment besluit BRP (2024) sorteert hier op voor door uitwisseling van informatieproducten in plaats van alle (onderliggende) gegevens mogelijk te maken. Voor toegang betekent dit bijvoorbeeld dat de toegangsinfrastructuur niet meer gegevens uitwisselt, dan wat noodzakelijk is om toegang te verstrekken. Als voor het afnemen van een dienst de precieze identiteit niet bekend hoeft te zijn, dan zou deze ook niet moeten worden uitgewisseld.
Self Sovereign Identity (SSI) is een visie op toegang en gegevensuitwisseling waarin privacy, transparantie en keuzevrijheid bij elkaar komen en waarin dataminimalisatie een belangrijke rol speelt. Het idee is dat gebruikers zelf meer in controle zijn en zelf bepalen wie hun identiteitsgegevens mag gebruiken en welke identiteitsgegevens ze mogen gebruiken. Het voorkomt ook afhankelijkheid van centrale partijen. Gebruikers creëren zelf een digitale representatie van hun identiteit, verzamelen verklaringen van verklarende partijen en verstrekken ze zelf aan dienstverleners. Verklarende partijen hebben in deze visie ook geen inzicht in de diensten die gebruikers afnemen. Gebruikers kunnen ook dingen over zichzelf verklaren. Ze hebben een persoonlijke omgeving waarin zij hun verklaringen beheren, die niet toegankelijk is voor anderen. Een dienstverlener die wil controleren of de identiteitsgegevens of een verklaring die een gebruiker verstrekt kloppen en nog geldig is kan gebruik maken van een registratie van verifieerbare gegevens. Deze registratie bevat ook gegevens over de (decentrale) identiteiten die gebruikers zelf hebben aangemaakt. Overigens kan een gebruiker ook besluiten een verklaring niet volledig door te geven aan een dienstverlener, maar alleen een subset of afgeleid gegeven (zoals dat deze ouder dan 18 jaar is). Dit heet ook wel een verifieerbare presentatie. Het zorgt er dus voor dat een dienstverlener alleen beschikt over de gegevens die relevant zijn voor het doel. De volgende figuur geeft een overzicht van de rollen en gegevensstromen. De scope van SSI is nadrukkelijk breder dan toegang; veel van de verklaringen zullen over gegevens gaan die voor toegang niet relevant zijn. Er zijn al allerlei oplossingen om SSI te ondersteunen, in de vorm van personal data management oplossingen (ook wel: wallets).
De EDI Wallet zoals voorgesteld in de eIDAS 2.0 verordening kun je zien als een invulling van SSI. Het biedt een Europees gestandaardiseerde manier om verifieerbare verklaringen uit te wisselen, op basis van specifieke standaarden. De EDI wallet is bruikbaar als identificatiemiddel (op betrouwbaarheidsniveau hoog), maakt het mogelijk om transacties en documenten te ondertekenen en ondersteunt het delen van gegevens. Gebruikers kunnen zelf verifieerbare verklaringen ophalen en bepalen zelf aan wie ze deze verklaringen verstrekken. Hiermee wordt het voor burgers en organisaties mogelijk om meer zelf in controle te komen van de gegevens die ze delen met dienstverleners. In tegenstelling tot de SSI visie wordt vooral gebruik gemaakt van door de overheid uitgegeven identiteitsgegevens die ook in andere Europese lidstaten kunnen worden gebruikt. Het is wel mogelijk om bij het gebruik van de EDI wallet als identificatiemiddel een pseudoniem te gebruiken. De eIDAS verordening onderkent dat er onderscheid is in gekwalificeerde en niet gekwalificeerde verklaringen. Gekwalificeerde verklaringen voldoen aan extra eisen en zijn uitgegeven door toegelaten vertrouwensdienstverleners die aan gestelde eisen voldoen, waardoor ze extra zekerheden bieden. De verordening gaat ervanuit dat elke lidstaat één of meerdere EDI wallets erkent en deze beschikbaar stelt aan haar burgers en bedrijven. De lidstaat voorziet de wallet(s) van identiteitsgegevens waarmee de persoon zichzelf kan identificeren en toegang kan krijgen tot zowel publieke als private diensten. Met de EDI wallet ontstaat er een nieuw soort identificatiemiddel. Er zullen in de toekomst mogelijk ook andere publieke en private identificatiemiddelen beschikbaar komen voor burgers en bedrijven. Er zal bijvoorbeeld een publiek (gratis) zakelijk identificatiemiddel beschikbaar worden gesteld, die in ieder geval bij de Belastingdienst kan worden gebruikt (motie van der Molen). Gebruikers kunnen zelf kiezen welk identificatiemiddel ze willen gebruiken, passend bij het gevraagde betrouwbaarheidsniveau.
In voorgaande wordt duidelijk dat verifieerbare verklaringen in de toekomst een belangrijke rol zullen krijgen in de context van SSI in algemene in en de EDI wallet in het bijzonder. Wij zien dat verifieerbare verklaringen ook los van deze ontwikkelingen waardevol zijn. Door gebruik te maken van verifieerbare verklaringen is het mogelijk om te controleren dat gegevens valide, integer, authentiek en geldig zijn. Ze zorgen voor een mate van vertrouwen in de gegevens die worden uitgewisseld. Het onderscheid tussen toegang en gegevensuitwisseling vervaagt ook door het gebruik van verifieerbare verklaringen. Verifieerbare verklaringen kunnen gaan over identiteitsgegevens die relevant zijn voor toegang, maar kunnen ook relevant zijn voor het verlenen van de diensten zelf en voor gegevensuitwisseling in meer algemene zin. Er is synergie gewenst tussen de afspraken, standaarden en voorzieningen voor gegevensuitwisseling en voor toegang. Verifieerbare verklaringen maken ook meer decentrale gegevensuitwisseling mogelijk. Dat betekent voor toegang dat identiteitsgegevens uit allerlei bronnen kunnen komen. Dat geldt ook voor machtigingen, die uiteindelijk ook gewoon identiteitsgegevens zijn. Dat betekent dat het belang van centrale machtigingsvoorzieningen afneemt. Alhoewel veelvoorkomende vormen van machtiging daarmee prima kunnen en moeten worden ondersteund, zullen er daarnaast dus vooral ook allerlei decentrale machtigingsregistraties zijn. Gebruikers willen wel hun verstrekte en ontvangen machtigingen op één plaats kunnen inzien. In meer algemene zin hebben afspraken de voorkeur boven standaarden boven voorzieningen.
4.1.3 Veiligheid
Gebruikers en dienstverleners moeten erop kunnen vertrouwen dat dienstverlening op een veilige manier verloopt. Organisaties moeten voldoende beveiligingsmaatregelen nemen om de impact van mensen met kwade bedoelingen zoveel mogelijk te beperken. Voor diensten moet duidelijk zijn wat het gevraagde betrouwbaarheidsniveau is, zodat ook duidelijk is welke identificatiemiddelen gebruikt kunnen worden. Ook bij het verstrekken van machtigingen is belangrijk dat het betrouwbaarheidsniveau bekend en vastgelegd is. Het vaststellen van het betrouwbaarheidsniveau van diensten is een kern van de Wdo. Er is een nieuwe versie van de handreiking betrouwbaarheidsniveaus, die aanvullend is op de Wdo en de Regeling betrouwbaarheidsniveaus. De EDI wallet maakt het mogelijk om een gebruiker te authenticeren op niveau hoog. Er zouden ook andere middelen beschikbaar moeten zijn op niveau hoog, zodat gebruikers niet gedwongen worden de EDI wallet te gebruiken. Uit onderzoek van Logius blijkt dat dit met de huidige identificatiemiddelen zou kunnen door gebruik te maken van remote identity proofing.
Er is toenemend aandacht voor zero-trust. De algemene standaard voor informatiebeveiliging (ISO 27002:2022) benoemt expliciet dat organisaties ‘zero trust’-beginselen behoren te overwegen. Deze algemene standaard is ook de basis voor de nieuwe Baseline Informatiebeveiliging Overheid (2.0), die ook verplicht zal worden voor overheidsorganisaties in de context van de nieuwe Cyberbeveiligingswet. Zero-trust betekent dat er niet van wordt uitgegaan dat gebruikers, apparaten en het netwerk vertrouwd kunnen worden. Alle toegang tot resources wordt voortdurend geverifieerd en gevalideerd. Contextuele en adaptieve toegangscontrole is ook een expliciet onderdeel van zero-trust. Het betekent verder ook dat toegang wordt beperkt tot dat wat strikt noodzakelijk is voor het uitvoeren van taken (least privilege). Als er sprake is van een inbraak of ander ernstig incident dan moet snel kunnen worden ingegrepen, en gecompromitteerde partijen moeten snel kunnen worden ontkoppeld van de toegangsinfrastructuur.
Organisaties zullen verder specifiek aandacht moeten geven aan allerlei nieuwe cyberdreigingen en een deel van de (overheids)organisaties wordt daar door de Europese NIS2-richtlijn ook toe gedwongen. Er geldt een zorg-, melding- en registratieplicht en organisaties vallen onder toezicht. Dit betekent bijvoorbeeld dat zij expliciet een risicobeoordeling moeten uitvoeren, gebruik moeten maken van sterke authenticatie en dat ze een plicht hebben om incidenten binnen 24 uur te melden. Dit laatste vraagt om detectie en monitoring van security-relevante gebeurtenissen. Er zou ook landelijk inzicht moeten zijn mogelijke identiteitsfraude, zodat over de grenzen van authenticatiediensten heen misbruik kan worden gedetecteerd en afgehandeld. Overheidsorganisaties hebben daarin een bijzondere positie omdat ze vaak als essentiële entiteiten worden beschouwd. Dit betekent dat ze een cruciale rol spelen in de continuïteit van essentiële diensten en dat een verstoring van hun netwerk- en informatiesystemen aanzienlijke gevolgen kan hebben voor de samenleving en de economie. De impact van beslissingen van de overheid op het leven van mensen kan ook heel groot zijn. Overheden kunnen net als bedrijven echter op voorhand niet zomaar vertrouwd worden. De overheid bestaat ook gewoon uit mensen is daarmee inherent gevoelig voor fouten en verkeerde intenties. Daarom zouden er extra waarborgen voor overheidsorganisaties moeten zijn voor risico's met betrekking tot privacy en informatiebeveiliging.
Het is verder belangrijk dat organisaties de streefbeeldafspraken voor de informatieveiligheidsstandaarden van Forum Standaardisatie naleven en de verplichte standaarden uitvragen en implementeren. Er is ook specifieke aandacht nodig voor de impact van quantum computing om er voor te zorgen dat versleutelde gegevens onleesbaar blijven. Dit vraagt om quantumveilige cryptografische oplossingen. Het NCSC adviseert organisaties om een actieplan op te stellen.
4.1.4 Toegankelijkheid en gebruikersvriendelijkheid
Het is belangrijk dat iedereen toegang kan krijgen tot diensten, waarbij toegang tot digitale diensten speciale aandacht vraagt. Iedereen moet mee kunnen doen in het digitale tijdperk. Er moet specifiek rekening worden gehouden met mensen die digitaal minder vaardig zijn of die om een andere redenen specifieke aandacht vragen. Het onderscheid tussen digitale en niet-digitale kanalen is in zekere zin ook niet zo relevant meer. Mensen willen op allerlei momenten bepaalde diensten afnemen, gebruiken het kanaal dat ze op dat moment handig vinden en schakelen op een later moment ook weer net zo makkelijk naar een ander kanaal. Toegang moet worden ondersteund door gebruiksvriendelijke voorzieningen en met voldoende instructies door mensen die dat nodig hebben. Naast toegang voor eindgebruikers is er ook toegang tussen systemen noodzakelijk. Daarbij moeten organisaties in andere landen geautomatiseerd toegang kunnen krijgen tot Nederlandse publieke diensten en vice versa. Daarbij zou het voldoende moeten zijn om een Europees gekwalificeerd certificaat te hebben. Vergelijkbaar zouden gebruikers in andere landen ook grensoverschrijdend machtigingen moeten kunnen verstrekken.Er is een goede balans nodig tussen veiligheid en gebruikersvriendelijkheid. Gebruikers zouden niet moeten worden lastig gevallen met beveiligingsmaatregelen die meer zekerheid creëren dan nodig is voor specifieke gevallen. We moeten ervoor zorgen dat de dienstverlening van de overheid voldoende toegankelijk blijft en geen onnodige drempels opwerpt. Het vaststellen van het juiste betrouwbaarheidsniveau voor toegang tot een bepaalde dienst is daarbij essentieel. Een te hoog betrouwbaarheidsniveau leidt bij gebruikers tot extra handelingen en extra kosten. Gebruikers moeten verder bij het inloggen zoveel mogelijk uniforme ervaring hebben. Bij het inloggen moet daarbij standaard met machtigen en wettelijke vertegenwoordiging rekening worden gehouden. Mensen moeten zich namelijk altijd kunnen laten vertegenwoordigen. Gebruikers die inloggen hebben daarmee naast hun eigen bevoegdheden ook bevoegdheden die horen bij de partijen die ze vertegenwoordigen. Gebruikers willen bij voorkeur ook maar één keer inloggen.
id-57896b8c4e854e7b92ed667986aa09ee