Zo, dat was een lange aanloop. Vier blogs in mijn Digidem-serie over de vraag of er een markt is voor Identity Providers. En er was natuurlijk een heel goede reden om die vraag te stellen. Ik begon mijn serie met te melden dat ik, na 10 jaar, eindelijk blij ben met DigiD maar dat de overheid nu juist heeft besloten om het hele DigiD-concept overboord te zetten. En ik was net zo gelukkig met DigiD: een gratis digitale identiteit die ik bij de hele overheid kon gebruiken en bij mijn zorgverzekeraar en bij mijn pensioenverzekeraar en, als ik nog zou studeren, bij mijn opleidingsinstituut. Perfecte oplossing (afgezien van de eerder geschetste privacy-aspecten), ik kan met één digitale identiteit inloggen op allerhande sites en het kost me ook nog eens niets.

Beter kan niet, toch?

Nee, voor mij niet. Maar onze overheid is om één of andere reden van mening dat het voor haar wel beter kan. DigiD is duur en niet veilig genoeg, heet het. Tenminste, dat is het uitgangspunt. O ja, DigiD is ook een Single Point of Failure. Als de inlogserver het niet doet, dan is het systeem stuk en voor de politiek is dat natuurlijk een imagodingetje.

Voor de overheid is er dan één gouden oplossing: publiek-private samenwerking. Door publiek-private samenwerking kan de overheid de beoogde doelen bereiken en kost het de overheid ook nog eens minder geld dan als ze het zelf zou doen. Strak plan, behalve dat er dan wel een paar andere struikelblokken worden opgericht. Zeker in het geval van de vervanging van DigiD.

Publiek-private samenwerking betekent dat het private domein mee moet doen. En het verschil tussen publiek en privaat is efficiency, BTW en de winstmarge. Dus wij, burgers, zouden voordeel uit de publiek-private samenwerking kunnen krijgen als door de efficiency die de private partijen kunnen bereiken maar de overheid niet, de kostprijs lager uitvalt, ondanks dat nog wel even de winst voor die private partijen plus de BTW moeten worden goedgemaakt.

En dat kan goed het geval zijn, als de marktpartij maar brood zien in het product, het risico aandurven én uit de te behalen marge voldoende risico-compensatie kunnen halen, zelfs al zijn de risico’s bij overheids-IT-projecten heel hoog (alhoewel, die worden eigenlijk steeds volledig door de overheid gedragen…). Er moet dus een afzetmarkt buiten de overheid zijn. Ja, beste overheid, publiek-private samenwerking kan wel geld opleveren, maar alleen als de marktomstandigheden zich daartoe lenen en de productvereisten (inclusief allerlei governance-overheadcomplexiteit) succes niet bij voorbaat uitsluiten.

Als er nu eens geen markt is voor herbruikbare identiteiten, dan wordt een publiek-private identiteit duurder, omdat de overheid, en dus wij als belastingbetaler, niet alleen opdraait voor de kosten, maar ook voor de BTW en de natuurlijk de voorgespiegelde winst van de private partij. Voorbeelden genoeg… Zorg, Openbaar Vervoer, Onderwijs, Post. Veel sectoren waar geen echte commerciële markt bestaat (misschien omdat het om overheidskerntaken of nutstaken gaat, om ‘natuurlijke’ monopolies) en de overheid dus impliciet en zeker ook expliciet voor de kosten opdraait, die wij, burgers dan toch weer mogen betalen. Kan de DigiD-opvolger goedkoper worden dan DigiD? Ja, maar alleen als er een open markt bestaat.

Dus, Idensys moest er komen. Publiek-private samenwerking. Maar zonder markt. Want zoals ik in de vorige blogs heb laten zien, is er geen business case voor een Identity Provider en hierdoor hebben marktpartijen eigenlijk geen zin om identity provisioning diensten aan te bieden. Ja, maar André, er zijn toch voorbeelden van commerciële identity providers die het goed doen? Kijk maar naar Engeland, daar zijn alleen maar private identity providers, de overheid doet dat niet. Dat klopt, maar zonder subsidie van diezelfde overheid, zou er ook in Engeland geen private identity provider zijn die de dienst zou kunnen leveren. De business case rust volledig op het financieringsmodel met overheidssubsidie als essentiële component. Als iemand dat 'markt' wil noemen, dan mag dat van mij, maar dat is niet de definitie van publiek-private samenwerking, noch van ‘markt’.

Dus, gaat Idensys vliegen? Nee. Ik verwacht het niet. Niet zonder subsidies.

Ja maar, er starten dit jaar toch allerhande pilots voor Idensys? Het bestaat dus toch al? Tsja, pilot… De meeste van die federatieprojecten stonden al langer gepland. En onder de vlag van Idensys is er nu management aandacht en dus komen er middelen (subsidies…) vrij. Maar nieuw? Pilot?

Laat ik wel even duidelijk maken dat ik niets heb tegen subsidie. Als voor een dienst geen volwassen commerciële markt bestaat, dan kan de overheid die diensten via het subsidie-instrument in leven houden. Graag zelfs, dat zorgt voor diversiteit door solidariteit, samen de kosten van noodzakelijke, maar te kostbare zaken dragen.

Zie je dan een alternatief voor Idensys? Ja natuurlijk, plenty:

Federeren maar… Laat de overheid gewoon vanaf nu de bank-identiteiten accepteren om mee in te loggen en meteen ook maar een stel andere providers, zoals Facebook en Twitter. Prima, lekker makkelijk en heel snel te regelen. En laat met de aansluiting op 'BankID' nou net een pilot starten in het komende voorjaar (https://tweakers.net/nieuws/105927/banken-gaan-inloggen-bij-webwinkels-en-overheidsdiensten-mogelijk-maken.html) …

Natuurlijk moet er nog steeds een koppeling worden gemaakt tussen de betreffende digitale identiteit en ons BSN. Want hoe weet de overheid immers wie er inlogt? O, verdraaid, nee, gaat niet werken… was dat niet hetzelfde grootste probleem van DigiD? De ontbrekende verificatie van de echte identiteit? En dat gaat Idensys op de een of andere manier op een betaalbare manier wel oplossen…?

Ander idee: zorg ervoor dat BSN niet meer geheim moet zijn. En laat elke partij dat BSN maar als unieke sleutel gebruiken. Lekker handig. Privacy? Hoezo? BSN is toch alleen maar een attribuut van onze burgeridentiteit. Als het alleen maar een attribuut is, dan is diefstal veel minder spannend dan als je het als geheime digitale identiteit inzet. Hoe vaker een burger het BSN moet gebruiken, hoe sneller misbruik ook wordt gedetecteerd. Gelukkig dat het BSN van bijvoorbeeld ZZP’ers  allang publieke informatie is; inclusief huisadres door wie dan ook op te vragen bij de Kamers van Koophandel. Dat geheimhouden van het BSN is dus eigenlijk allang achterhaald.

En nog een idee: waarom zouden we niet het Belgische model kunnen overnemen? Ik heb die vraag wel eens gesteld, maar een beter antwoord dan 'het voldoet niet aan alle eisen' heb ik eigenlijk nog niet gehoord. En dan bekruipt mij opnieuw het gevoel dat 'het beste' de vijand is van 'het goede'. Wij zijn hier al jaren op zoek naar het beste, terwijl we al jaren gewoon iets redelijks hadden en goeds hadden kunnen hebben. Als we het DigiD gewoon maar bij de balie van de gemeente hadden moeten ophalen… Zucht..

Maar die internationale component dan, het cross border identificeren en authenticeren, waar onze overheid zich in Europees verband zo sterk voor maakt, hoe moet dat dan? Want onze digitale identiteiten moeten daar klaar voor zijn en dat is complex en dus heel duur en dus een Idensys onderwerp. Nou, ik waag dat te betwijfelen. Niet dat het duur is, maar dat het complex is. Federatie op zich is niet heel complex meer. Federatie doen we elke dag al als we ergens met een social media account inloggen. Maar het complexe is wel dat we nu een Idensys willen inrichten om ook cross-border te kunnen opereren, terwijl dat hele cross-border verhaal nog niet is uitgewerkt. Ik voorzie een blanco cheque als we marktpartijen Idensys laten doen met de opdracht om ook een nog niet bekende cross-border component toe voegen. Cross-border zou ook gewoon federatie moeten zijn, met in de federatieovereenkomst afspraken over de attributen voor authenticatieniveau en betrouwbaarheidsniveaus van IdP's.  Veel praktischer. En veel goedkoper. Niks duur aan. Dat doet me eraan denken dat ik even het OpenID Exchange framework OIX moet onderzoeken. Help me even herinneren…

De hele discussie rondom Idensys wordt volgens mij eigenlijk nodeloos veel complexer gemaakt dan nodig.

Laten we de overheid eens als een gewone service provider beschouwen: Als we naar andere service providers kijken, dan zien we bij die partijen de trend van toenemende federatie, het gebruik maken van extern identiteiten. Dat zijn identiteiten van service providers die we óók bij andere service providers kunnen gebruiken. Zoals eerder vermeld is er geen business case voor een dedicated IdP, maar er is wel een business case voor een Service Provider die zijn bezittingen (digitale identiteiten) wil laten hergebruiken. Denk aan Google, Facebook en Twitter. Wat je ermee kunt? Dat is aan de  service provider die in de federatie de externe identiteiten wil vertrouwen. Laat mij inloggen met @meneer om belastingaangifte te doen of om een vergunning aan te vragen. Wat is het risico? Mijn privacy? OK, laat Twitter daar maar geld aan verdienen als ik dat zelf goed vind. Maar verder? Dat kan ik niet bepalen, dat is een zaak van de service provider, de overheid. Als de overheid zich gewoon als service provider opstelt, dan hebben we geen kapitalen kostend Idensys en dus ook geen subsidies nodig. Dan hebben we alleen een service provider nodig die vaststelt dat ik @meneer ben en die me op basis daarvan toegang biedt.

Dat is een business case van jewelste…

PS: Er is meer kritiek op idensys. Pilab heeft het aspect privacy beoordeeld:  Zie ook dit interessante artikel van de Correspondent. En er zijn meer zorgen over de business case

post author image

Over admin

Matthijs is director bij PwC’s Forensic Technology Solutions. Zijn specialismen zijn threat intelligence en incident response. Daarnaast creëert hij cybersecurity awareness bij bedrijven door het inzetten van de Game of Threats die door PwC is...

Meer over admin

    Leave A Comment