DigIdem 1

Zo’n 10 jaar geleden werd DigiD gepresenteerd als het digitale paspoort waarmee wij ons konden identificeren op de websites van de overheid. En het bleek een bijzonder en in verschillende opzichten ook uniek en innovatief paspoort. Innovatief, want DigiD is een van de eerste voorbeelden van een Identity 2.0 identiteit, namelijk een identiteit die het mogelijk maakt op een site in te loggen zonder dat je een account op die site hoeft te hebben. Je kunt hetzelfde DigiD op verschillende sites gebruiken.

Maar dat dat van die meerdere sites bestaat pas een paar jaar. 10 jaar geleden kon je je DigiD vrijwel nooit en nergens gebruiken, alleen om belastingaangifte te doen. Ik was een vroege gebruiker van DigiD. En k heb misschien wel 5 keer een nieuw DigiD aangevraagd omdat ik steeds het wachtwoord of mijn identiteit vergat (nee, ik schrijf niets op). En ik ben niet de enige die daar last van had.

Naarmate er meer websites gebruik maken van DigiD, wordt de waarde ervan groter. Naast de aangifte, kun je ook inloggen bij gemeentes, zorgverzekeraars, pensioenverzekeraars, het wordt waarachtig een handige identiteit. Ik ben tegenwoordig zelfs wel blij met DigiD, afgezien van die domme keuze om de activeringscode per post te versturen. Heel vreemde keuze en die bleek ook regelmatig te resulteren in diefstal van de digitale paspoorten. En dat probleem is natuurlijk niet helemaal nieuw. Al in 2006 beschreef ik de bezwaren tegen DigiD op Wikipedia.

En nee, daar is niets mee gebeurd, behalve dat er een SMS inlogfunctie aan DigiD werd toegevoegd. Maar ja, dat compenseert die vreemde uitreiking per post natuurlijk niet: een keten is zo sterk als de zwakste schakel en dat is dus die verzending per post. Nee, er gebeurt niets mee. Sterker nog, de minister heeft aangegeven er eigenlijk helemaal geen geld voor over te hebben om het niveau van beveiliging op orde te brengen. 

Als dat nou gewoon eens opgelost zou worden (dus als een minister nu eens geld over heeft voor echte beveiliging in plaats van te wachten op al maar weer nieuwe concepten), dus als je gewoon je digitale paspoort op dezelfde manier kunt aanvragen als een papieren paspoort... Want het concept van DigiD is verder eigenlijk wel prima.

Maar DigiD haalt naar verwachting het derde lustrum niet. In 2017 moet er een andere oplossing zijn, de overheid wil dat burgers zich met een nieuwe identiteit, eID, gaan aanmelden. En daar gaat wel wat door veranderen. eID moet een digitaal paspoort zijn dat overal gebruikt kan worden. En daar houdt het niet op. Er zullen vermoedelijk meerdere aanbieders van eID paspoorten verschijnen. En dat wordt wel heel spannend, want hoe werkt dat nou?

Een papieren paspoort is in vrijwel de hele wereld bruikbaar omdat de verstrekker ervan vertrouwd wordt door de partij die het paspoort moet accepteren. En voor digitale paspoorten zal dat niet anders zij. Een DigiD is bruikbaar omdat de websites waar je DigiD kunt gebruiken de verstrekker ervan vertrouwen. Hoe gaat dat in z'n werk als andere partijen eID gaan verschaffen? Wanneer vertrouwt een website een eID van een willekeurige verstrekker? Daar heb ik wel ideeën over: Dat vergt een identiteitenverstrekker die betrouwbaar is: die betrouwbare techniek gebruik, betrouwbaar personeel in dienst heeft en die betrouwbare processen gebruikt. En dat moet voor de buitenwacht ook nog eens transparant zijn. Dat wordt duur. Hoe duur? Heel duur. Ik zal dat in mijn volgende artikel (zeer binnenkort) op ingaan.

Ik vrees dat er voor eID alleen een business case bestaat als identity providers er brood in zien. En dat kan op drie manieren: ik ga betalen voor mijn digitaal paspoort, websites gaan betalen voor externe authenticatie of identity providers gaan op de een of andere manier geld verdienen aan mijn gegevens die ze in huis hebben. Ik gok op optie 3, maar wie het beter weet mag het zeggen...

Voor liefhebbers hier alvast een mooie analyse over een eID discussie