Transcript 1 Doel van dit document 2 Inleiding en doelstelling

Programma eID
Project Afsprakenstelsel
Auteur
Eric Verheul
Bezoekadres:
Herman Gorterstraat 5
3511EW Utrecht
www.eid-stelsel.nl
Gespreksnotitie over punten van consensus en discussie
binnen het Nederlandse eID afsprakenstelsel.
Inlichtingen bij
Gerrit-Jan ‘t Eind
Carlo Koch
E [email protected]
E carlo.koch @logius.nl
Datum 14 oktober 2014
1
Doel van dit document
Deze notitie doet een voorstel voor de beschrijving van de uitgangspunten binnen het eID
afsprakenstelsel waar consensus over is en van de uitgangspunten waar discussie over is,
waaronder de toepassing van pseudonimisering. Het doel van de notitie is een
gemeenschappelijke basis te krijgen met eID deelnemers en zal worden besproken op de
vergadering van maandag 20 oktober met eID deelnemers.
2
Inleiding en doelstelling
De Nederlandse maatschappij verandert in hoog tempo van een fysiek georiënteerde naar een
digitaal georiënteerde. Veel organisaties (waaronder banken) bouwen hun fysieke kantoren af
en gaan over naar digitale dienstverlening. Ook voor de Nederlandse overheid is de digitale
dienstverlening belangrijk: de ambitie van het kabinet is alle overheidsdiensten in 2017 volledig
digitaal te kunnen aanbieden aan burgers en bedrijfsleven. Binnen de Europese Unie komt het
belang voor veilige en betrouwbare online identificatie naar voren in de zogenaamde eIDAS
richtlijn die onder meer voorziet in de Europese harmonisatie van elektronische identificatie.
Essentieel voor het slagen van de verandering naar een digitaal georiënteerde maatschappij is
dat burgers zich betrouwbaar online kunnen authenticeren1 bij de overheid en bedrijfsleven
zoals ze dat ook in de fysieke wereld kunnen. Het Nederlandse eID Stelsel wil dit mogelijk
maken. Via het stelsel kan een burger veilig en betrouwbaar zijn identiteit aangeven en
aanvullende persoonlijke informatie over zichzelf (ook wel attributen genoemd) doorgeven
aan anderen. Deze aanvullende informatie kan bijvoorbeeld zijn dat hij:

ouder dan 18 is, relevant voor gok sites of voor het kopen van bepaalde producten,

jonger is dan 18, relevant voor kinderwebsites,

een abonnement heeft, relevant voor on-line content dienstverleners,

handelt namens een organisatie of namens een andere burger.
1
Een authenticatie omvat twee stappen. De gebruiker geeft een identiteit (identificatie) op en bewijst
vervolgens deze identiteit te hebben. In de fysieke wereld bestaat dat bijvoorbeeld uit het geven van een
identiteitsdocument, in de elektronische wereld met een authenticatiemiddel (bijvoorbeeld een one-timepassword generator) gekoppeld aan de gebruiker door de verstreker van dat middel.
Pagina 1 van 9
Zoals aangegeven in het eID Stakeholder document2 moet het stelsel recht doen aan de
volgende belangen:
A. Betrouwbaarheid
In essentie betekent dit dat het stelsel beschikbaar moet zijn en dat ‘identificatiediefstal’
binnen het stelsel niet mogelijk is.
B. Gebruikersgemak/toegankelijkheid/marktwerking
Het stelsel moet eenvoudig te gebruiken zijn voor burgers. Er moet ook een ruime keuze
zijn van middelen die de burger kan gebruiker, waar onder die van private partijen.
C. Privacy
Binnen het eID stelsel zullen persoonsgegevens worden verwerkt. Deze verwerkingen
moeten conform de Wet bescherming persoonsgegevens (Wbp) zijn en diens voorziene
opvolger de Europese verordening gegevensbescherming. Essentieel daarbij is de wijze
waarop het eID stelsel invulling geeft aan het data minimalisatie beginsel, i.e. dat alleen
wordt verwerkt wat ‘minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt’
(Artikel 5c, EU privacy verordening).
D. Toekomstvastheid/uitbreidbaarheid
Het eID stelsel moet niet alleen de problemen van vandaag kunnen oplossen maar moet zo
flexibel en robuust zijn dat het toekomstige vragen en belangen rond elektronische
identificatie kan adresseren.
E. Betaalbaarheid
Het eID stelsel moet betaalbaar zijn.
F. Misbruik kan eenvoudig ontdekt en opgespoord worden
Het is van belang dat er vertrouwen is in het eID Stelsel bij alle partijen. Om die reden
moet misbruik eenvoudig ontdekt en opgespoord kunnen worden. Noot: feitelijk is dit niet
geformuleerd als belang in het eID Stakeholder document maar als eis.
Vanuit verschillende dialogen met stakeholders vanuit het eID programma en op basis van
analyses binnen het programma zelf, zijn de genoemde belangen iteratief omgezet in nadere
uitgangspunten en vervolgens in eisen en een eID ontwerp. Dit memo behandelt in hoofdlijn de
resultaten van dit iteratieve verslag en gaat in op de uitgangspunten waar consensus over lijkt
te bestaat en licht toe bij welke uitgangspunten discussie bestaat. Deze vastlegging bevindt
zich in Sectie 3. Een van de belangrijkste discussiepunten is rond privacy, met name rond de
reikwijdte van het bovengenoemde data minimalisatie beginsel. Om deze discussie verder te
faciliteren, is in Sectie 4 een drietal vragen geformuleerd rond deze reikwijdte. Daarbij is ook
de situatie vergeleken met het Belgische, Duitse en Oostenrijkse eID stelsel.
2
‘Stakeholders, belangen en ontwerpeisen programma eID, versie 1.0, 21 januari 2014’. Beschikbaar op
http://www.eid-stelsel.nl/. De belangen zijn enigszins samengevat om reden van toegankelijkheid.
Pagina 2 van 9
3
Overzicht van consensus en belangrijkste discussiepunten
In onderstaande tabel zijn in de eerste kolom de eID belangen uit de introductie opgetekend. De tweede kolom bevat aspecten van het betreffende belang
waar consensus over bestaat vanuit de reeds gevoerde dialogen met stakeholders. De laatste kolom bevat aspecten van het betreffende belang waarover
discussiepunten bestaan.
Belang
A. Betrouwbaarheid
3
Consensus

Binnen Europees verband is reeds veel aandacht gegeven
aan de betrouwbaarheid van elektronische identificatie. Dit
is gebeurd vanuit het zogenaamde STORK project3 dat
deze eigenschappen heeft vervat in een viertal
betrouwbaarheidsniveaus. Deze worden op dit moment
ook nog verder uitgewerkt in Europees verband in het
kader van de zogenaamde eIDAS richtlijn. Er is brede
consensus dat de uiteindelijke niveaus afgeleid vanuit
STORK een bruikbare classificatie zijn binnen het eID
stelsel.

Mede vanuit de gebruikersgemak/ toegankelijkheid en
ontzorging eisen bestaat er brede consensus voor het
gebruik van een federatief model gebaseerd op de SAML
standaard. Dit is een opzet vergelijkbaar met DigiD en
iDEAL. De gebruiker wordt vanuit de dienstverlener
gedirigeerd naar een ‘authenticatiedienst’ waar de
gebruiker zich moet identificeren. De authenticatiedienst
verstrekt de uitslag aan de dienstverlener in een digitaal
getekend SAML bericht.

Er bestaat consensus dat een dergelijk model de vereiste
Zie https://www.eid-stork.eu/dmdocuments/public/D2.3_final._1.pdf.
Belangrijkste discussiepunten

Een discussiepunt is wat het minimale STORK authenticatie
niveau is dat wordt toegelaten binnen het eID stelsel.

Een ander discussiepunt is of er een centrale rol bestaat voor
de overheid bij het voorkomen van persoonsverwisselingen.
Wat daarbij voorkomen moet worden is dat personen met
vrijwel dezelfde persoonsgegevens verwisseld kunnen worden
binnen het eID stelsel. Er zijn bijvoorbeeld alleen al 120
personen binnen LinkedIn die ‘Bert de Vries’ heten. Hoe wordt
nou voorkomen dat de ene ‘Bert de Vries’ zich voor de andere
kan uitgeven?
In een eID stelsel waar verschillende soorten deelnemers
(authenticatiediensten maar ook attribuutdiensten) bestaan, is
dit een complexer probleem dan het lijkt. Een conceptueel
eenvoudige oplossing zou er uit bestaan als alle eID
deelnemers het Burgerservicenummer zouden mogen
gebruiken zoals in het Belgische eID stelsel het geval is. Dit is
echter bij Nederlandse wet uitgesloten. Een alternatief is dat
de overheid op een andere manier deze kwestie helpt op te
lossen, bijvoorbeeld door Burgerservicenummer afgeleiden
Belang
Consensus
betrouwbaarheid kan leveren aan het eID.
B. Gebruikersgemak/
toegankelijkheid/
marktwerking

C. Privacy
Deelname van identificatie middelen van private partijen
aan het eID stelsel vormt een grote bijdrage vormen voor
het gebruikersgemak en de toegankelijkheidseis. De
toepassing van een federatief model gebaseerd op de
SAML standaard ondersteunt dit ook.

Daarbij bestaat ook consensus dat vanuit
gebruikersgemak de verschillende middelen naast elkaar
kunnen worden gebruikt en ook compatibel moeten zijn.
Het eerste betekent bijvoorbeeld dat de gebruiker zowel
kan aanloggen bij een dienstverlener met een bankpas
vanaf zijn laptop en dat hij vanaf zijn tablet kan aanloggen
met bijvoorbeeld een biometrisch middel. Het tweede
betekent dat in beide gevallen de gebruiker bij hetzelfde
‘account’ uitkomt.
Er bestaat consensus dat privacy bescherming essentieel is
binnen het eID stelsel.
Belangrijkste discussiepunten
beschikbaar te stellen aan deelnemers. Dit laatste wordt ook
door de Oostenrijkse overheid gedaan door middel van
versleuteling van het Burgerservicenummer.

Een discussiepunt kan vervolgens zijn of een centrale rol voor
de identiteitvaststelling alleen van toepassing is op de Stork
niveau’s 3 en hoger.
Geen essentiële discussiepunten rond nadere invulling van dit
belang onderkend.



Een discussiepunt is de reikwijdte van het data minimalisatie
beginsel (Artikel 5c, EU privacy verordening) en in hoeverre
procedurele bescherming een alternatief kan vormen.
Een argument tegen verregaande data minimalisatie is dat eID
deelnemers toch op andere wijzen over persoonsgegevens van
gebruikers beschikken of kunnen beschikken en dat de
betrokkenen dus toch al vertrouwen moeten hebben in de
procedurele privacy bescherming bij de deelnemers.
Een argument voor verregaande data minimalisatie is dat dit
Belang
Consensus
D. Toekomstvastheid/
uitbreidbaarheid
Er bestaat consensus dat Toekomstvastheid/uitbreidbaarheid
essentieel is binnen het eID stelsel. De toepassing van een
federatief model gebaseerd op de SAML standaard
ondersteunt dit ook.
Er bestaat consensus dat betaalbaarheid essentieel is binnen
het eID stelsel. De toepassing van een federatief model
gebaseerd op de SAML standaard ondersteunt dit ook omdat
gebruik kan worden gemaakt van bestaande producten.
E.
F.
Betaalbaarheid
Misbruik kan
eenvoudig ontdekt
en opgespoord
worden
Er bestaat consensus dat dit belang essentieel is binnen het
eID stelsel.
Belangrijkste discussiepunten
de grootste zekerheid geeft. Daarbij is de gedachte dat een
dienstverlener, ook als hij gehackt wordt, niets kan verliezen
dat hij niet heeft. Een ander argument voor is dat de privacy
toezichthouders, zoals het CBP, menen dat het technisch
afdwingen van privacy bescherming verreweg de voorkeur
verdient boven procedurele invulling daarvan. De
toezichthouders hebben daar de naam Privacy Enhancing
Technologie (PET) aan verbonden. De voorkeur voor PET komt
ook expliciet terug in de aanstaande Europese privacy
verordening die het Wbp zal gaan vervangen.

Op basis van de gevoerde discussies zijn drie vragen
geformuleerd die de discussiepunten rond dit onderwerp
kunnen helpen duiden.
Geen essentiële discussiepunten rond nadere invulling van dit
belang onderkend.



Nog geen consensus over het business model, er is wel een
voorstel opgesteld door een expertgroep.
Verbonden met deze materie is de discussie over een
eventueel publiek middel waar ook nog geen consensus over
bestaat.
Omdat er nog geen consensus is over de mate van technische
bescherming van persoonsgegevens, is de discussie over hoe
opsporingsdiensten deze moeten kunnen doorbreken, nog niet
gevoerd. Concreet: als dienstverleners altijd identificerende
gegevens krijgen van de authenticatiediensten dan zal een
opsporingsverzoek vaak kunnen worden afgehandeld door
dienstverleners.
Belang
Consensus
Belangrijkste discussiepunten
 Discussie over de rol die een authenticatiedienst heeft bij
detectie en opsporing.
4
Drie vragen rond de reikwijdte van data minimalisatie
Voor de formulering van de vragen schetsen we eerst de context waarin een gebruiker, laten we
hem Bert de Vries noemen, zich zal identificeren bij een digitale dienstverlener aangesloten op
het eID stelsel. Daarbij is uitgegaan van een federatief model gebaseerd op SAML. Er is
consensus voor de toepassing van dit model vanuit diverse belangen. Zie Sectie 3.
Net zoals bij iDEAL zal een gebruiker die wil aanloggen bij een dienstverlener, zeg een
webwinkel, worden gevraagd een authenticatiedienst te kiezen. Nadat de gebruiker zijn keuze
heeft gemaakt wordt hij doorgestuurd naar de gekozen authenticatiedienst waar hij zich moet
authenticeren. De aanname is dat de authenticatiedienst – op basis van een voldoende sterk
registratieproces en een voldoende sterk middel – in staat is de identiteit te bepalen van de
gebruiker. Na afloop hiervan stuurt de authenticatiedienst de gebruiker weer door naar de
dienstverlener. Daarbij geeft de authenticatiedienst de uitslag van de authenticatie door aan de
dienstverlener. Dit gebeurt in de vorm van een digitaal getekend bericht. Bij een succesvolle
authenticatie zal het bericht ook informatie bevatten waarmee de dienstverlener de gebruiker
kan opzoeken in zijn administratie.
Vraag 1
Plaatst de authenticatiedienst altijd direct identificerende gegevens, zeg de volledige
naam, van de gebruiker in het bovenstaande bericht bestemd voor de dienstverlener?
Noot: Merk op dat om persoonsverwisselingen te voorkomen de volledige naam niet volstaat
(zie boven), maar daar gaan we hier gemakshalve even aan voorbij.
Als het antwoord op deze vraag ‘ja’ is, betekent dit dat elke dienstverlener aangesloten op het
eID stelsel altijd te weten komt wie de gebruiker is (‘Bert de Vries’), ook in gevallen waar dit
helemaal niet nodig is. In veel gevallen, zal de dienstverlener daar toch wel achter komen
omdat de gebruiker dit de dienstverlener zelf zal vertellen. Bijvoorbeeld omdat er een
postpakketje moet worden afgeleverd op een woonadres. Of omdat er elektronisch betaald
wordt via iDEAL waarbij ook de naam van de gebruiker wordt doorgegeven.
In gevallen waar de dienst zelf ook digitaal is (e.g. video, muziek, nieuws, software), is er geen
noodzaak voor de dienstverlener om een woonadres te weten. Het aantal van dergelijke
diensten, waarbij de dienstverlener feitelijk geen postadres of andere persoonsgegevens nodig
heeft, zal in de toekomst alleen maar toenemen. Een betaling kan ook anoniem gebeuren via
BITCOIN of PayPal.
De fundamentele consequentie van het ‘ja’ antwoord is dat daarmee de gebruiker feitelijk geen
optie heeft zijn identiteit niet door te geven als hij gebruik wil maken van het eID stelsel. Bij
een predominante positie van het eID stelsel betekent dit dus de gebruiker geen alternatief
heeft dan zijn identiteit door te geven. Er zullen in de toekomst steeds meer technologieën
beschikbaar zullen komen om anoniem te zijn op het internet. Een eID stelsel dat altijd
identificerende gegevens doorgeeft, doet de werking hiervan teniet.
Registratie van de identiteit bij de dienstverlener introduceert daarbij niet alleen risico’s van
misbruik door de dienstverlener zelf maar ook risico’s als de dienstverlener wordt gehackt.
Verder ontstaan er risico’s dat de registraties van (gehackte) service dienstverleners worden
gekoppeld op basis van de direct identificerende gegevens.
Pagina 7 van 9
Als het antwoord op deze vraag ‘nee’ is, betekent dit dat de authenticatiedienst een niet
identificerend gegeven moet verstrekken aan de dienstverlener. Dit staat ook wel bekend als
een pseudoniem. Het potentiele belang van pseudoniemen blijkt uit het feit dat ze reeds een
plek hebben gekregen in de Europese richtlijn rond de elektronische handtekening uit 1999 en
diens opvolger de eIDAS verordening.
Ter illustratie: het Belgische en Oostenrijkse eID stelsel geven de volledige naam van de burger
door aan de dienstverlener alsmede een (versleutelde) versie van het Burgerservicenummer.
Bij deze stelsels is het antwoord op vraag 1 aldus ‘ja’. Het Duitse eID stelsel geeft daarentegen
altijd een pseudoniem af. Daar is het antwoord op vraag 1 aldus ‘nee’. Overigens is het
pseudoniem daar ook afhankelijk van de dienstverlener waar de gebruiker aanlogt, zodat het
bovenstaande koppelrisico ook wordt geadresseerd.
Vraag 2
Mag de authenticatiedienst in deze context altijd registreren wat de (verschillende)
pseudoniemen zijn die een gebruiker heeft bij de verschillende dienstverleners? De
context van deze vraag is dat de eerste vraag met ‘nee’ is beantwoord en dat de
authenticatiedienst altijd een pseudoniem verstrekt aan de dienstverlener in plaats van direct
identificerende gegevens.
Als het antwoord op deze vraag ‘ja’ is, dan stelt dat de pseudoniemregistratie van de
authenticatiedienst in staat om vast te stellen dat twee pseudoniemen bij verschillende
dienstverleners bij dezelfde persoon horen. Ook stelt dit de pseudoniemregistratie in staat om
een pseudoniem van een persoon bij dienstverlener A om te zetten naar diens pseudoniem bij
dienstverlener B. Dit betekent dat de pseudoniemregistratie van de authenticatiedienst een
waardevol object is. Het stelt immers in staat om de gebruiker registraties van dienstverleners
onderling te koppelen.
Daarbij, doordat authenticatiediensten onderling compatibel moeten zijn, zullen alle
pseudoniemregistraties bij de authenticatiediensten in essentie hetzelfde zijn, hetgeen het
risico van compromittatie4 weer vergroot. Een dergelijke compromittatie kan het gevolg zijn
van een frauduleuze medewerker of door een hack.
Ter illustratie: het Duitse eID stelsel maakt het onmogelijk dat een andere partij dan de
dienstverlener het pseudoniem van de gebruiker kan bepalen, laat staan dit te registreren.
Daar is het antwoord op vraag 2 aldus ‘nee’.
Vraag 3
Is het acceptabel dat de authenticatiedienst kennis krijgt van welke dienstverlener
de gebruiker gebruik wil maken?
Deze vraag is nauw verbonden met de deelname van private authenticatiediensten aan het eID
stelsel. Dit zal een partij kunnen zijn die reeds een andere dienstverlening relatie heeft met de
gebruiker en van daaruit de gebruiker heeft voorzien van een authenticatiemiddel. Denk
bijvoorbeeld aan banken, telco’s of de overheid zelf. Hoe acceptabel is het dat deze partijen
inzicht (kunnen) krijgen in de dienstverleners waar de gebruiker gebruik van maakt?
Als hypothetische (en enigszins gechargeerde) voorbeelden:

is het acceptabel is dat de situatie ontstaat dat een gebruiker bij zijn bank een
levensverzekering wil afsluiten terwijl de gebruiker elke dag via zijn bank aanlogt bij een
on-line kliniek voor de behandeling van een ernstige ziekte?5
4
Iedere aantasting van het vertrouwen in het exclusief gebruik van een component door bevoegde
personen.
5
Met dit voorbeeld willen we niet suggereren dat personen met een ernstige ziekte geen levensverzekering
Pagina 8 van 9


is het acceptabel dat de situatie ontstaat dat een gebruiker bij een belastingaangifte
aangeeft geen eigen vermogen te hebben, terwijl de gebruiker elke dag via een
overheidsmiddel aanlogt bij een on-line spaarbank?
is het acceptabel dat de situatie ontstaat dat het contract van een gebruiker bij zijn telco
afloopt en dat de gebruiker via het eID stelsel een nieuw account aanvraagt bij een andere
telco?
Een meer formeel tegenargument tegen het antwoord ‘ja’ op vraag 3, is dat uit de
hypothetische voorbeelden blijkt dat authenticatiediensten in sommige gevallen bijzondere
persoonsgegevens verwerken. Dit zijn krachtens artikel 16 van de Wet bescherming
persoonsgegevens ‘persoonsgegevens betreffende iemands godsdienst of levensovertuiging,
ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende
het lidmaatschap van een vakvereniging’. Volgens hetzelfde artikel is de verwerking van
bijzondere persoonsgegevens verboden.
Ter illustratie: in het Duitse eID stelsel is er geen andere partij in het stelsel dan de
dienstverlener zelf die weet heeft dat de gebruiker van zijn diensten gebruik maakt. De
dienstverlener kan daarbij alleen de identiteit van de gebruiker achterhalen met diens
toestemming.
kunnen afsluiten. Dergelijke informatie kan de beslissing van de bank echter beïnvloeden en schetst
daarmee de mogelijke ongewenstheid dat de bank hier kennis van krijgt vanuit zijn rol als authenticatiedienst.
Pagina 9 van 9