Nederlandse consumenten kunnen zich met DigiD identificeren bij overheden, onderwijsinstellingen, zorgaanbieders en pensioenfondsen. Thuiswinkel.org wil dat het publieke online identificatiemiddel ook in webwinkels en voor andere private ondernemingen beschikbaar komt. De belangenvereniging stuurde een brandbrief naar Den Haag, mede ondertekend door een handvol andere organisaties. Maar de brief is niet overal goed gevallen.
‘De huidige manier van online identificeren, waarbij bijvoorbeeld een kopie van het paspoort moet worden opgestuurd, is onveilig, onpraktisch en werkt identiteitsfraude in de hand’, stelt Thuiswinkel.org in de brandbrief van november. Hij is gericht aan minister Knops van Binnenlandse Zaken en Koninkrijksrelaties en medeondertekend door de ANVR, INretail, Techniek Nederland, Detailhandel Nederland en de VBIN (Verenigde Betaal Instellingen Nederland). Volgens hen bestaat er een maatschappelijke behoefte aan een publiek online identificatiemiddel (lees: DigiD) in het bedrijfsleven. Ze spreken van ‘een basisvoorziening in de huidige digitale samenleving’. En dus ligt er een kerntaak voor de overheid, aldus de briefschrijvers, die ook wijzen op het belang van eenduidigheid en schaalvoordeel: ‘DigiD is nu nog een kostbare oplossing, maar door het beschikbaar te stellen aan een bredere afzetmarkt dalen de kosten en groeit de financiële ruimte voor innovatie.’ Anderzijds noemen ze ‘keuzevrijheid in identificatiemiddelen van groot belang.’
Daar zit een tegenstrijdigheid in, zegt Marcel van Galen van Qiy Foundation, die consumenten controle wil geven over hun eigen gegevens (zie kader*). ‘Nog afgezien daarvan: kennelijk hebben de ondertekenaars van de brandbrief behoefte aan gevalideerde persoonsgegevens. De eerste vraag zou echter moeten zijn: Waarom eigenlijk? Een webwinkel kan best spullen verkopen aan iemand zonder de identiteit van de klant vast te stellen. In fysieke winkels gebeurt dat immers dag in, dag uit. Als het voor een private partij echt noodzakelijk is om iemands identiteit te verifiëren, dan is de oplossing natuurlijk niet alleen DigID.'
Er zijn andere digitale authenticatie- en identificatieoplossingen beschikbaar die prima functioneren.
Te weinig progressie
Waarom zag Thuiswinkel.org zich dan genoodzaakt een brandbrief te sturen? Volgens beleidsadviseur Just Hasselaar is er de afgelopen jaren te weinig gebeurd om online identificatie veiliger en praktischer te maken voor consumenten, hun ‘digitale sleutelbos’ te verkleinen. ‘De overheid ontwikkelt feitelijk alleen voor eigen omgevingen en laat de BV Nederland stikken. Lekker kopietje paspoort blijven gebruiken, lijkt de boodschap aan het bedrijfsleven.’ Een pilot met het publiek-private afsprakenstelsel Idensys, waarbij marktpartijen authenticatiemiddelen kunnen uitgeven voor burgers annex consumenten (dus ook voor webwinkels), is inmiddels gestaakt. Met iDIN (een samentrekking van identificeren en inloggen) kwam er een privaat stelsel voor inlogmiddelen van banken, maar dat is nog niet de standaard die beheerder Currence met iDeal wel op de betaalmarkt creëerde. Hasselaar constateert dat iDIN niet de volle aandacht van de banken krijgt, mede door de grilligheid van de overheid. Hij benadrukt overigens de goede betrekkingen met Currence.
Amos Kater, binnen Currence verantwoordelijk voor de producten iDeal, iDIN en Incassomachtigen, bevestigt de goede relatie. ‘Ook wij zien de maatschappelijke behoefte aan verbetering van de digitale ID van Nederlandse consumenten. Allereerst om de veiligheid te dienen, maar ook om het makkelijker te maken. Daar zitten we op één lijn met Thuiswinkel.org. In de brandbrief wordt er wel aan voorbij gegaan dat bij inloggen met DigiD standaard burgerservicenummers (BSN) worden verstuurd. Er zijn maar weinig partijen die dat attribuut mogen gebruiken. Bij iDIN wordt een uniek herkenningsnummer voor de gebruiker voor de betreffende acceptant gecreëerd.’
Betaalbaarheid
Hasselaar werpt tegen dat BSN-uitwisseling met een kleine aanpassing uit DigiD kan worden gehaald, waardoor bijvoorbeeld alleen namen en geboortedata worden gecommuniceerd. Maar volgens Kater is dat zo makkelijk nog niet; momenteel levert DigiD niets anders op dan het BSN, waarmee het Basis Register Persoonsgegevens moet worden geraadpleegd voor aanvullende persoonsgegevens van de consument. ‘Een belangrijker punt is wat webwinkeliers eigenlijk voor een identificatie willen betalen. Daar hoor ik ze nooit over. DigiD kost standaard 14 cent per inlog. Consumenten, die een balans zoeken tussen veiligheid en gebruiksgemak, gaan dat niet betalen. Dus dan zullen ondernemers het moeten doen. Voor hen is naast de betrouwbaarheid ook de betaalbaarheid belangrijk; de kosten moeten zogezegd opwegen tegen de baten.’ De adviesprijs van iDIN bedraagt 12 cent bij verschillende aanbieders, een onderhandelbaar tarief dat door banken of wederverkopers wordt bepaald.
Ook bol.com benadrukt in een korte reactie dat een elektronisch identificatiemiddel behalve onder andere veilig, betrouwbaar, gebruiksvriendelijk en praktisch uitvoerbaar, ‘goedkoop moet zijn in verhouding tot de verwachte voordelen van de consument’. Overigens is de eerste voorwaarde die de Twinkle100-aanvoerder noemt dat ‘het systeem door de overheid wordt aangeboden, geautoriseerd en beheerd’. De woordvoerder: ‘We vinden dat de overheid verantwoordelijk is voor het uitgeven van een paspoort. Dus ook voor een digitaal paspoort.’
Marktverstoring
Terug naar Currence en zijn private iDIN-oplossing. De belangrijkste kanttekening die Kater plaatst bij het plan van Thuiswinkel.org zit hem in de ongelijke strijd: ‘Jaarlijks worden er vele miljoenen in DigiD gestopt, allemaal belastinggeld. Prima dat beheerder Logius die 14 cent per inlog krijgt van de overheid, maar als je dat middel open zou stellen voor bedrijven, moet dat van elders komen. Het kan niet zo zijn dat de overheid de inmenging van dit publieke middel in het private domein subsidieert. Als DigiD wordt opengesteld moet het de markt niet verstoren maar écht gaan concurreren met iDIN, waar de banken zwaar in hebben geïnvesteerd. Het is een goed werkend, marktrijp stelsel, te gebruiken door iedere Nederlander met een bankrekening. Bijna heel Nederland dus.'
We zijn niet tegen concurrentie, maar wel voor openheid en een eerlijk speelveld.
Kater vraagt zich hardop af of alleen de overheid een digitaal alternatief voor het paspoort zou kunnen verstrekken, zoals bol.com voorstaat. ‘Voor zeer specifieke toepassingen lijkt dat terecht, bijvoorbeeld om een visum aan te vragen. In feite overal waar je nu ook een fysiek, origineel paspoort moet tonen en een kopie per post niet wordt geaccepteerd. Overal waar die kopie per post nu wél wordt geaccepteerd, kan iDIN een veel betrouwbaarder en veiliger digitaal alternatief bieden.’
IDIN-voorman Kater is het met Van Galen eens dat webwinkels in de meeste situaties helemaal geen origineel digitaal paspoort van staatswege nodig hebben om veilig en betrouwbaar zaken te doen met consumenten. Kater: ‘Voor de doeleinden van de meeste webshops biedt iDIN uitstekende zekerheid over de zorgvuldig door de banken gecontroleerde persoonsgegevens van consumenten. Het voorziet bijvoorbeeld ook in de noodzaak van dataminimalisatie onder de AVG. Met iDIN kunnen alleen die persoonsgegevens aan een acceptant worden verstrekt die strikt noodzakelijk zijn voor de juiste dienstverlening aan de consument. Zoals een simpele indicatie of een consument meerderjarig is, zonder de naam of het adres van die consument prijs te geven.’
Kickstart
Hasselaar benadrukt dat de soep niet zo heet wordt gegeten en dat de openstelling van DigiD niet ten koste hoeft te gaan van andere initiatieven: ‘Wat ons betreft bestaan ze naast elkaar, is het én-én. Maar er is nu behoefte aan een digitaal paspoort, aan eenduidigheid, en het is in het maatschappelijk belang dat dat niet te lang meer duurt. We moeten constateren dat er de afgelopen jaren gewoon weinig is gebeurd en DigiD is nu eenmaal het identificatiemiddel waarover Nederlanders beschikken en waarmee ze bekend zijn. Uiteindelijk is er ruimte voor commerciële partijen genoeg – denk aan inloggen, ondertekenen, beperkte attributenuitwisseling – zij kunnen zich toeleggen op optimale gebruiksvriendelijkheid of bijvoorbeeld specifieke mobiele toepassingen. Maar de consument moet er eerst mee starten en DigiD kan die kickstart aan de markt geven. De behoefte is ijzersterk, dus ik kan me niet voorstellen dat marktpartijen wakker liggen van ons voorstel, dat overigens wordt gesteund door de Autoriteit Persoonsgegevens en de Cyber Security Raad.’
Wet digitale overheid
Hasselaar hoopt dat de openstelling van DigiD een plek krijgt in de Wet digitale overheid, die op de agenda van de Tweede Kamer staat. Dat zal moeten via een amendement, want in het huidige wetsvoorstel is er geen sprake van. Uit de Memorie van Toelichting: ‘Het behoort niet tot de taak van de rijksoverheid om publieke middelen te ontwikkelen en uit te geven die ook voor strikt commerciële transacties als het online kopen van kleding, boeken of meubelen gebruikt kunnen worden.’
Thuiswinkel.org probeert ondertussen politieke medestanders te vinden, Hasselaar heeft goede hoop: ‘Ik verwacht de toezegging dat we in dit jaar, of uiterlijk begin 2021, allemaal een breed toepasbaar digitaal paspoort hebben. De overheid moet die rol gewoon pakken. Ik snap ook wel dat ze geen best track record heeft als het aankomt op digitalisering, dat het best eng is om DigiD open te zetten. Maar er moet iets gebeuren.'
Een kopietje paspoort is echt niet meer van deze tijd.
Reactie Jan Middendorp (Tweede Kamerlid VVD)
Gevraagd naar de visie van de grootste regeringspartij kregen we kort voor het ter perse gaan van dit magazine het volgende antwoord gemaild, van VVD-kamerlid Jan Middendorp: ‘We gaan veel geld besteden om DigiD en de digitale overheid beter en veiliger te laten werken. We moeten daarbij ook kijken of en hoe de vernieuwde DigiD de digitale economie of digitale samenleving zou kunnen helpen. Het is daarbij wel belangrijk dat innovatie bij andere aanbieders van inlogdiensten niet gestopt wordt. Tegelijkertijd moeten we ook nu al verder kijken dan DigiD. De VVD wil alle 17 miljoen Nederlanders online een identiteit te geven. Zo’n online identiteit zou kunnen gaan werken als een paspoort in de fysieke wereld en een enorme stap zijn voor de digitale overheid, economie en samenleving.’
* Self-sovereign identity
‘De oplossing waar we met z’n allen aan zouden moeten werken is self-sovereign identity’, zegt Marcel van Galen van de Qiy Foundation. Zijn stichting ontwikkelde een afsprakenstelsel (het Qiy Scheme) voor de uitwisseling van persoonsgegevens onder regie van de persoon waarop deze betrekking hebben; dit als antwoord op de ongebreidelde verzamelwoede van persoonsgegevens. Consumenten hebben doorgaans geen idee wie er voor welke doelen gebruikmaakt van hun persoonsgegevens. Qiy Foundation wil hun controle geven over hun eigen gegevens. Retailers en andere partijen abonneren zich in feite op de gegevens van individuele klanten. ‘Consumenten bepalen zelf welke interesses, voorkeuren en profielinformatie ze delen.’ In meer technische termen: van geval tot geval kunnen zij een wisselende set van voor een bepaald doel benodigde gevalideerde identiteitsattributen onder eigen regie ter beschikking stellen van een partij die daarom mag vragen. Sinds 2015 wordt op basis van het afsprakenstelsel een netwerklaag ontwikkeld. ‘Het Qiy Trust Network is een gedistribueerd netwerk’, legt Van Galen uit. ‘Marktpartijen kunnen desgewenst hun eigen deel van het netwerk bouwen en daar organisaties op aansluiten die zich aan de regels van het Qiy Scheme houden. Inmiddels staan we aan de vooravond van de start van een consortium, met partijen die allemaal het nut en de noodzaak inzien van een veilige en betrouwbare infrastructuur, waarbij het individu de regie en de controle heeft over zijn gegevens.’
Als ik moet inloggen met DigiD bij een webwinkel zal ik direct afhaken. Datzelfde geldt voor IDIN. Achter beide diensten zitten teveel persoonlijke gegevens die een webwinkel niks aangaat. Bij een fysieke winkel ga ik ook geen kopie van mijn identiteitsbewijs laten maken als ik iets koop.