‘Nieuwe wetgeving maakt authenticatiemiddelen duurder’

Stijgende kosten spelen een steeds belangrijkere rol in discussies over authenticatiemiddelen. Dat constateert Stichting SIVI, het kenniscentrum voor digitale ontwikkelingen in de verzekeringssector in de onlangs verschenen whitepaper ‘De wereld van Authenticatie volgens SIVI’. Nieuwe wetgeving zorgt ervoor dat authenticatiemiddelen steeds sterker dienen te zijn en de kosten verschuiven van gebruiker naar aanbieder.

eHerkenning

Eén van de onderwerpen die aan bod komen in de whitepaper is eHerkenning, een open stelsel van de overheid waarop private leveranciers onder toezicht van de overheid middelen mogen aanbieden voor authenticatie, oftewel digitale herkenning. Private leveranciers kunnen middelen aanbieden, deze worden momenteel onderzocht. SIVI constateert hierbij diverse voordelen zoals keuzevrijheid en potentieel lagere kosten door marktwerking. Ook het niet gebonden zijn aan een werkplek bij het inloggen, vindt SIVI een belangrijk voordeel. Dit is momenteel wél het geval bij de huidige standaard voor inloggen bij verzekeraars.

Inloggen moet veiliger

Op dit moment is voor consumenten van aanbieders van online diensten een login met gebruikersnaam en wachtwoord de regel. Omdat alles hierbij online gebeurt, kan de identiteit van degene met de inlog echter nooit 100 procent worden gegarandeerd. De Algemene Verordening Gegevensbescherming (AVG) vereist security by design, waarmee wordt bedoeld dat wanneer er persoonsgegevens in een systeem omgaan er met de meest veilig geldende standaarden moet gewerkt worden, zo constateert SIVI. Er moet dus het nodige gaan veranderen om aan de wet te voldoen. De organisatie ziet nu meerdere ‘groepen’ authenticatiemiddelen als optie voor de toekomst, waaronder publieke middelen zoals DigiD. Publieke middelen zijn ontwikkeld door de overheid en alleen inzetbaar zijn binnen het BSN-domein zoals gemeenten, pensioenen en zorgverzekeraars. Een privaat authenticatiemiddel is bijvoorbeeld het door de Betaalvereniging opgezette IDIN, waarbij consumenten die willen inloggen naas gebruikersnaam en wachtwoord het bancaire inlogmiddel nodig hebben.

Multimiddelenstrategie

Er is ook een middenweg voor inloggen: Idensys: dit is een samenwerking tussen overheid en private partijen. SIVI lijkt in het rapport positief over Idensys. ‘Dit leidt tot moderne, gebruiksvriendelijke middelen met sterke verificatie en op het hoogste betrouwbaarheidsniveau: tweefactorauthenticatie. Idensys is inzetbaar in zowel het publieke als private domein en past uitstekend binnen de door de overheid beoogde multimiddelenstrategie.’ De komende periode worden diverse toekomstige inlogmiddelen onderzocht voor de verzekeringsbranche: DigiD, IDIN, Idensys of een ander inlogmiddel zoals NotarisID. Daarbij vormen de transactiekosten van het authenticatiemiddel een belangrijk punt’, schrijft SIVI. ‘Kunnen de transactiekosten laag worden gehouden als met de hele verzekeringsbranche voor hetzelfde authenticatiemiddel wordt gekozen?’, vraagt de vereniging zich af.

Kosten nemen toe

Dat de kosten voor authenticatie toenemen, is wat SIVI betreft géén vraag. 'Het kostenplaatje speelt een steeds belangrijkere rol. Enerzijds omdat de kosten simpelweg toenemen met het toenemend gebruik van authenticatiemiddelen. Anderzijds omdat ook het kostenmodel verschuift: waar voorheen de gebruiker betaalde, gaat nu ook de dienstverlener een bijdrage leveren aan het gebruik van moderne middelen.'

De whitepaper van SIVI is hier te vinden.