‘Kip-en-eiprobleem’ voor Idensys

Idensys, de nieuwe standaard om in te loggen bij de overheid en bedrijfsleven, kan overheidsdienstverlening op termijn flink gaan verbeteren. Voor het zover is moeten er eerst diverse grote uitdagingen in de weg, dat schrijft kenniscentrum voor de verzekeringsbranche SIVI in een onlangs uitgebrachte whitepaper.

Privacy een belangrijk issue

Vooralsnog lijkt het geplande gebruik van het Burgerservicenummer(BSN)-koppelregister de ‘hete aardappel’ voor inloggen bij de overheid, pensioenfondsen en zorgverzekeraars. De gebruiker van de nieuwe inlogstandaard heeft -zoals het er nu naar uitziet- alleen direct contact met de authenticatiedienst, oftewel de private partij die de inlogmiddelen levert. De gebruiker uploadt bij die dienst een paspoort. Er wordt vervolgens door die authenticatiedienst een combinatie van het BSN en andere gegevens doorgegeven aan het BSN-koppelregister. Als alles klopt, wordt er vervolgens aan de gebruiker een pseudoniem toegewezen dat wordt gekoppeld aan het BSN.

Pseudoniemen

De authenticatiedienst ontvangt vervolgens het pseudoniem en slaat het BSN daarbij niet op. Wanneer er wordt ingelogd bij een van de diensten waarvoor BSN vereist is, wordt het pseudoniem en het versleutelde BSN aan de organisatie geleverd. Volgens SIVI is het problematisch dat het BSN in dit proces verwerkt wordt. Diverse privacyexperts waarschuwen hierbij voor risico’s. Er wordt door de koppeldienst echter gebruik gemaakt van polymorfe pseudoniemen, deze zijn gebaseerd op een cryptografische bewerking. Er is daardoor geen database nodig, bovendien zien ze er elke keer anders uit, waardoor niet meer te zien is welke gebruiker er gebruik maakt van een dienst.

Kip-en-eiprobleem
SIVI bespeurt tevens een kip-en-eiprobleem. ‘Terwijl Idensys vereist dat private partijen authenticatiemiddelen ontwikkelen, zullen die pas op grote schaal instappen als Idensys breed geaccepteerd wordt. Daarnaast vormt de koppeling van nieuwe middelen aan de huidige systemen ook bij Idensys een uitdaging, zeker bij partijen die geen gebruik mogen maken van het BSN’, zo schrijven de auteurs van de whitepaper. Idensys maakt geen gebruik van het Burgerservicenummer, omdat deze ook te gebruiken is bij private partijen. ‘Op enkele uitzonderingen na mogen die echter geen gebruik maken van het BSN. Daarom verstrekt Idensys voor de identificatie van de consument alleen een pseudoniem en enkele persoonsgegevens, maar geen BSN.’ Volgens SIVI kan DigiD inmiddels op brede steun rekenen, maar heeft het nog wel diverse tekortkomingen. ‘Aan de overheid de taak om Idensys als een geloofwaardig alternatief op/naast DigiD te presenteren.’

De volledige whitepaper is hier te vinden