'Wetsvoorstel online authenticatie mist essentiële onderdelen'

Finger Print Authentication

Marktpartijen kregen de kans mee te denken over de nieuwe Wet generieke digitale infrastructuur (GDI). Deze consultatie was ook wel nodig, want het concept is op verschillende punten nog niet goed genoeg uitgedacht.

Door Thea van Oosterhout

In Nederland zijn we al jaren gewend om via DigiD in te loggen bij overheidsdiensten. Dat gaat veranderen door de Europese eIDAS-verordening; de Nederlandse overheid moet nu de betrouwbaarheid en veiligheid van online authenticatiemiddelen onder de loep nemen. Het huidige DigiD blijkt bijvoorbeeld niet te voldoen aan de nieuwe standaarden.

Ecosysteem

De overheid heeft hiervoor een speciale wet in het leven wordt geroepen. Deze Wet generieke digitale infrastructuur (GDI) creëert een ecosysteem aan authenticatiemiddelen die worden gebruikt door de overheid en organisaties die administreren op basis van Burgerservicenummers (BSN), zoals zorg-, pensioen- en inkomensverzekeraars. Marktpartijen kregen de kans mee te denken over deze wet. Deze consultatie was ook wel nodig, want het concept is op verschillende punten nog niet goed genoeg uitgedacht. Grofweg zijn er drie onderdelen die nog aan duidelijkheid te wensen over laten: de inrichting, de businessmodellen en de techniek.


Aanbod

Dienstaanbieders zoals overheden en verzekeraars zijn erbij gebaat dat de burger en consument de keuze heeft tussen verschillende authenticatiemiddelen. Middels authenticatie kunnen verzekeraars het digitale dienstenaanbod uitbreiden en identiteitsfraude en gegevensdiefstal tegengaan. Deze wet betekent echter wel dat ze verschillende inlogmiddelen zullen moeten aanbieden.

Zogeheten ontsluitingsdiensten kunnen helpen door al deze middelen te ontsluiten via één connectie. In het wetsvoorstel is onvoldoende duidelijkheid over de spelregels en dus het businessmodel van deze ontsluitingsdiensten. Als je een goed functionerend en betrouwbaar stelsel van online authenticatiemiddelen wilt opzetten, dan is het belangrijk om van tevoren goed na te denken over uitvoeringsregels en het toezicht hierop. Het zou daarom goed zijn als de overheid structureel overleg zou hebben met deze ontsluitingsdiensten om de uitvoeringsregels af te stemmen.


Toezicht

Ook is het onduidelijk of alle overheidsinstanties en zorg-, pensioen- en inkomensverzekeraars verplicht worden om bepaalde authenticatiemiddelen aan te bieden. Zo ja, dan ligt het voor de hand om als overheid toezicht te houden op de marktpartijen die deze authenticatiediensten kunnen inrichten en een officieel certificeringstraject in te richten. De wet is echter nog niet duidelijk over de rol die de overheid zelf inneemt. In de huidige opzet is de overheid zowel verantwoordelijk voor het bepalen van de commerciële tarieven die ontsluitingsdiensten en aanbieders van authenticatie-middelen mogen vragen als inkoper van deze diensten.


Techniek

Het huidige wetsvoorstel stuurt te veel op technologische standaardisering. Ook worden verouderde technologieën voorgeschreven. De laatste jaren hebben ict-dienstverleners geleerd dat alternatieve standaarden vaak sneller te verwerken en eenvoudiger te interpreteren zijn. Dit pleit ervoor om de praktische invulling aan de markt over te laten, met als bijkomend voordeel dat door keuzevrijheid meer innovatie plaats kan vinden. Kortom: dat de overheid marktpartijen heeft gevraagd om mee te denken, is mooi. Nu is het zaak om ook met deze partijen aan tafel te gaan zitten. Met de kennis, ervaring en expertise die beschikbaar is, kan de overheid aan een compleet en definitief wetsvoorstel werken.


  • Thea van Oosterhout is Senior Product Manager bij CM

Dit artikel werd eerder gepubliceerd bij Zorgvisie.nl

Meer over authenticatie




Verder lezen

Vorige Study summary: De rol van mobiel in het succes van de Financiële sector
Volgende Met SMS de grens over: ken de internationale regels en gewoontes
Terug Terug naar nieuwsoverzicht

Interessant? Deel het met je netwerk!

Over de auteur

CM

Connect met CM via

LinkedIn, Twitter.