Verrassend kritisch onderzoek Rekenkamer over eID-stelsel

De Algemene Rekenkamer(AR) publiceerde op 8 september 2016 een zeer kritisch rapport over de vernieuwing van het stelsel voor digitale identificatie en authenticatie, het zogenaamde eID-stelsel. Het rapport is bedoeld voor gebruik door de Tweede Kamer om die in staat te stellen gefundeerde keuzes te maken over de definitieve inrichting van het eID-stelsel. De bedoeling van het rapport is dat het kabinet richting Tweede Kamer duidelijkheid schept over de randvoorwaarden van het eID-stelsel. Op de website van de AR is een korte samenvatting te vinden. Het rapport is kritisch over de bezigheden van de overheid, met name van het ministerie van Binnenlandse Zaken. Verrassend is het, omdat de AR nu eens niet achteraf begrotingen en budgetten onder de loep neemt, maar proactief in het ontwikkelstadium al luid aan de bel trekt. Naast waarschuwingen over de financiële kant van de stelselvernieuwing, geeft de AR ook aan dat het niet duidelijk is wie welke verantwoordelijkheden draagt, dat de “governance” niet ondubbelzinnig geregeld is. De AR mengt zich in dit geval op heel terechte gronden in het ontwikkelingsproces van een zeer privacygevoelig onderwerp in plaats van een boekhoudkundige controle achteraf. Het bijzondere aan het rapport is ook dat het de reactie erop bevat van de verantwoordelijke minister van Binnenlandse Zaken, Ronald Plasterk, plus de repliek van de AR.

eID

Al enige tijd wordt er gewerkt aan de opvolger van de DigiD. Die opvolger werd lange tijd het eID genoemd, het elektronisch identificatiemiddel. Het is een identificatie- en authenticatiemiddel voor burgers om digitaal te communiceren met de overheid. Om burgers en bedrijven in staat te stellen veilig online (overheids)diensten af te nemen of hun zaken met de overheid digitaal te regelen, moeten zij hun identiteit kunnen aantonen door gebruik van een zogeheten authenticatiemiddel, zoals nu DigiD voor burgers of eHerkenning voor bedrijven. DigiD met daarbij SMS-notificatie is niet afdoend, zodat mede in het licht van de toekomstige digitale mogelijkheden de noodzaak ging ontstaan voor andere en ook meer zekere inlogmogelijkheden. Het DigiD vormde ook een “single point of failure”. Als  er iets mee mis gaat dan zou er geen uitwijkmogelijkheid zijn.

Middelen

Er komen nu verschillende authenticatiemiddelen

• De overheid zelf ontwikkelt enkele, die worden aangeduid als publieke eID-middelen. Het gaat daarbij bijv. om moderne officiële overheids-identiteitsmiddelen(paspoort, rijbewijs, ID-kaart), die voorzien zijn van een chip en door smartphones met een Near Field Chip(NFC) uit te lezen zijn. Ik berichtte er al eerder over. Het principe heet Remote Document Authentication. Voor dit type middelen is de minister van Binnenlandse zaken verantwoordelijk.
• De tweede categorie zijn de authenticatiemiddelen, onder de merknaam eHerkenning en Idensys, die gebaseerd zijn op publiek/private samenwerkingsverbanden. Het gaat hierbij om het afsprakenstelsel elektronische toegangsdiensten(ETD-stelsel). Hiervoor is de minister van Economische Zaken verantwoordelijk.
• De derde categorie is de inzet van bankmiddelen(bankpas en kaartlezer) in het publieke domein. Het omvat de toepassing van authenticatiemiddelen van banken (merknaam: iDIN). Met deze inlogmiddelen van banken wordt het straks mogelijk om elektronisch belastingaangifte te doen. De werking is vergelijkbaar met het gebruik van iDeal voor betalingen. De staatssecretaris van Financiën is hiervoor verantwoordelijk.

U ziet dat het om een verscheidenheid aan middelen gaat met wel drie verantwoordelijke ministeries.

Conclusies rekenkamer

Samenvattend is het beeld van de Algemene Rekenkamer, dat tot en met het voorjaar van 2016 nog niet is voldaan aan een aantal onderzochte belangrijke randvoorwaarden.

• De verantwoordelijkheden voor het eID-stelsel zijn niet eenduidig belegd en de governancestructuur is nodeloos ingewikkeld.
• Op wezenlijke onderdelen van het eID-stelsel moeten nog besluiten worden genomen of uitgewerkt, bijvoorbeeld over de eisen waaraan nieuwe middelen moeten voldoen, over de privacybescherming en het toezicht.
• Een actuele integrale business case en alternatievenafweging ontbreken vooralsnog, waardoor niet duidelijk is wat de totale kosten zullen zijn (voor 2016 en 2017 heeft de minister € 23 miljoen extra aan ontwikkelingskosten uitgetrokken). Er is evenmin een duidelijk antwoord op de vraag wat de nieuwe digitale identificatiemiddelen de individuele burger gaan kosten.
• Een integrale visie op de inrichting van het toezicht voor het eID-stelsel ontbreekt.

De minister van Binnenlandse Zaken probeerde de AR gerust te stellen over deze kritiek. Daarover heen stelt de AR dan weer, dat de minister haar met het gegeven commentaar absoluut niet gerust stelt.

Privacybescherming?

Wat betreft de privacybescherming merkt de AR nog iets opmerkelijks op. In de pilotfase van de het eID-stelsel is er bijv. geen ”end-to-end encryptie”. Dit wil zeggen dat er geen versleuteling van gegevens is vanaf het begin( gebruiker) tot het einde(de dienstverlener). Om de privacy optimaal te beschermen is ”end-to-end encryptie” gewenst. Het is nog onduidelijk of dit voor het uiteindelijke stelsel het geval is. Ditzelfde probleem van onvolledige end-to-end encryptie speelt ook bij het Landelijk SchakelPunt(LSP) voor de uitwisseling van medische data tussen zorgaanbieders. Daar zijn de gegevens binnen de centrale computer van het LSP kortdurend onversleuteld aanwezig als een zorgaanbieder gegevens opvraagt bij een andere zorgaanbieder.

 Verantwoordelijkheid nemen

Het is uitzonderlijk, maar wel zeer terecht, dat de Algemene Rekenkamer wat betreft de voorgenomen inrichting van het eID-stelsel haar maatschappelijke verantwoordelijkheid neemt ten aanzien van overheidsbeslissingen. Het doel van dit rapport is om ervoor te zorgen dat het kabinet duidelijkheid schept over de randvoorwaarden van de definitieve inrichting van het eID-stelsel. De AR biedt de Tweede Kamerleden op deze wijze extra informatie, die een tegenwicht kan vormen voor wat de bewindslieden inbrengen.

W.J. Jongejan