Risiconiveau voor elke digitale dienst

Hoe risicovoller de online dienstverlening is, hoe hoger het niveau van de veiligheid moet zijn. Dat is het uitgangspunt van een regeling die overheden verplicht om het betrouwbaarheidsniveau van digitale diensten te bepalen, waarvoor momenteel een internetconsultatie plaatsvindt. Het niveau bepaalt de mate van benodigde beveiliging. Er is een vertaling voor gemeenten beschikbaar.

Risico’s

Het is een soort versnelde risicoanalyse van de veiligheid van de dienstverlening. ‘Hoe groter het risico dat uit ongeautoriseerd of onveilig gebruik van die dienst aanzienlijke schade voortvloeit, hoe groter de zekerheid moet zijn omtrent de identiteit van de gebruiker’, staat in het concept van de regeling.

 

Substantieel

Er zijn drie niveaus: laag, substantieel en hoog. Als gegevens algemeen bekend worden geacht, is het lage betrouwbaarheidsniveau voldoende - inloggen hoeft dan niet heel moeilijk te zijn. Bijzonder gevoelige gegevens die persoonlijke vrijheden en grondrechten betreffen, krijgen het niveau substantieel. Dit betreft bijvoorbeeld etniciteit, geloofsovertuiging, biometrische gegevens, gegevens van strafrechtelijke aard en informatie over arbeidsongeschiktheidsuitkeringen.

 

Gezondheidsgegevens

Als gezondheidsgegevens, wanneer ze in verkeerde handen vallen, niet stigmatiserend werken, reputatie- of gezondheidsschade opleveren of tot chanteerbaarheid kunnen leiden, dan zijn ze ook van substantieel niveau. Zijn deze risico’s er wel, dan hebben ze het hoogste niveau. Alles wat een hoog risico vormt voor de persoon in kwestie valt onder deze categorie.

 

Medisch beroepsgeheim

‘Uiteraard zijn de genoemde voorbeelden niet limitatief’, staat in de concept-regeling. ‘Zo valt het inzien van een compleet medisch dossier onder niveau hoog als het dossier informatie bevat dat reputatieschade kan opleveren, stigmatiserend kan werken, schade kan opleveren aan de gezondheid of voor de betrokken persoon chantabel kan zijn… In zijn algemeenheid geldt dat bij gegevens, die onder het medisch beroepsgeheim vallen, sprake is van classificering ‘hoog’.’

 

Economische positie

Behalve persoonsgegevens zijn er ook verschillende niveaus voor basisregistraties, het burgerservicenummer en gegevens van economisch belang. Als fraude, misbruik of onjuiste identificatie bijvoorbeeld zodanig ingrijpend is voor de economische positie van burgers of bedrijven, dan is het passende betrouwbaarheidsniveau hoog.

 

Opnieuw inloggen

Hoe groter de zekerheid moet zijn, hoe hoger het niveau van de beveiliging. Als men via een portal toegang kan krijgen tot verschillende diensten, dan kan de gebruiker na inloggen alleen de diensten zien waartoe het betrouwbaarheidsniveau toegang geeft. ‘Tot de diensten met een hoger betrouwbaarheidsniveau heeft hij dan geen toegang; wil hij deze toch afnemen, dan moet hij opnieuw inloggen.’

 

Extra kosten

Er kan niet meer voor alle diensten met hetzelfde middel worden ingelogd, dus er moeten door de dienstverleners wellicht nieuwe middelen worden aangeschaft. ‘Hiermee zijn extra kosten, tijd en inspanningen (o.a. activeringshandelingen, mogelijk specifieke apparatuur) gemoeid.’ Gebruikers moeten oplettend zijn, maar de overheid verwacht dat naleving eenvoudig is en dat er vanzelf een routine ontstaat. ‘Er staat iets tegenover: burgers en bedrijven kunnen veiliger en betrouwbaarder inloggen bij de overheid.’

 

Beredeneerde afweging

De Vereniging van Nederlandse Gemeenten (VNG) heeft een instrument ontwikkeld waarmee gemeenten kunnen bepalen welk betrouwbaarheidsniveau nodig is voor welke dienst en daarmee het soort authenticatiemiddel. Bij het opstellen van de regeling is echter bewust gekozen om niet een afvinklijst te maken of te kiezen voor een algemene oplossing, omdat van belang is dat ‘een beredeneerde afweging wordt gemaakt’ bij het classificeren van diensten.