Welkom Het eID Stelsel maakt het mogelijk om online te zaken doen met de overheid en het bedrijfs-leven, met één of meer inlogmiddelen. Marije Jurriëns, Business consultant eHerkenning en eID, Logius Marco Eikenaar, Architect eID Stelsel
Aanleiding eID Stelsel En ook: Hoger betrouwbaarheids- niveau DigiD Fall-back voorziening Verkleinen digitale sleutelbos Opheffen scheiding burger/ondernemer Privacy en Security Europees erkennen Kabinetsambitie Digitaal 2017 Aanleiding voor eID Stelsel: Voor overheid - Digitaal 2017: alle overheidsdiensten digitaal - Transacties met een hoger niveau betrouwbaarheid kunnen uitvoeren dan DigiD nu biedt - Fall back creëren voor inlogvoorziening DigiD (bijvoorbeeld DigiD ligt eruit bij Belastingaangifte, ander inlogmiddel mogelijk) - Opheffen ongewenste administratieve scheiding burger/ondernemer Ontzorging: niet zelf meer een inlogvoorziening hoeven te onderhouden DigiD : - overheid steeds meer privacy gevoelige informatie - er moet een stevig niveau bovenop nu single point of failure fall back voorziening Burger/ondernemer domein scheiding ophefffen Europees bruikbaar maken
Aanleiding eID Stelsel Thuiswinkel.org ‘Consumenten, bedrijven en overheden hebben behoefte aan meer zekerheid over degene met wie ze digitaal communiceren.’ Website, januari 2014 ‘Door meer betrouwbare online identificatie kunnen veel meer transacties geheel online worden afgerond.’ Website, december 2013 “Het eID-stelsel biedt webwinkeliers de zekerheid dat een persoon degene is wie hij zegt te zijn, en biedt mogelijkheden tot sluitende leeftijdsverificatie”. Koeriers hoeven dan niet langer leeftijdscontroles uit te voeren. Website, april 2014 ‘De consument heeft vaak meerdere inlogcodes om producten of diensten af te nemen. We willen dat eenvoudiger maken’ Website, april 2014 Niet alleen behoefte bij overheid, de markt haakt daarbij aan breed gedragen: overheid, bedrijfsleven en gebruikers Voor heel BV Nederland Voor bedijfsleven - Fall back inlogvoorziening creëren - Ontzorging: niet zelf meer een inlogvoorziening hoeven te onderhouden - Vereenvoudiging inlog/ vermindering inlogcodes: het voor consumenten gemakkelijker maken om online diensten af te nemen - Vertrouwd toegang -> meer zekerheid over degene met wie ze digitaal communiceren: Tegengaan fraude en oninbare facturen - Gemakkelijker kunnen voldoen aan wettelijke verplichtingen bij (bijvoorbeeld) bepaalde goederen en diensten – bv leeftijdverificatie - Het Europees kunnen erkennen van eID-middelen. Voor gebruiker Veilig(er) online zaken doen Minder wachtwoorden, usernames etc. - verkleinen digitale sleutelbos - Betere bescherming van privacy kostenbesparing
Aanleiding eID Stelsel Hoe goed doen we het? Rank 1 Republic of Korea 2 Netherlands 3 United Kingdom 4 Denmark 5 United States 6 France 7 Sweden 8 Norway 9 Finland 10 Singapore World e-government development leaders 2012 We doen het goed met DigiD: 10 mln accounts 120 mln transacties/jaar = ongekend veel als je het vertaald naar andere landen En ook voor bedrijven blijkt dat digitaal dienstverlening al goed bereikbaar is. Er wordt al veel digitaal gewerkt, we zijn al digitaal minded, dit biedt kansen Stappen voorwaarts maken is wel belangrijk. Thema van vandaag = Dont stop…. Thinking about tomorrow! We willen bijvoorbeeld: - Transacties met een hoger niveau betrouwbaarheid kunnen uitvoeren dan DigiD nu biedt - Fall back creëren voor inlogvoorziening DigiD (bijvoorbeeld DigiD ligt eruit bij Belastingaangifte, ander inlogmiddel mogelijk) – om continuïteitsprobleem op te lossen 10 mln accounts 120 mln transacties/jaar
Online transacties nu… Organisaties bepalen hoe de gebruiker zich identificeert Wat is onze huidige situatie?: Elke organisatie moet geautoriseerde toegang regelen Elke organisatie komt met zijn eigen oplossing/inlogmiddel Organisaties bepalen – ‘pushen’ Elke organisatie bepaald zelf hoe de gebruiker zich identificeert – geautoriseerde toegang. Je krijgt bij iedere organisatie een ander middel (om jezelf (online) te identificeren). Bij de overheid kun je al DigiD en eHerkenning gebruiken. DigiD als burger, eHerkenning als bedrijf of organisatie Voor de bank heb je een bankpas Bij de webwinkels en verzekeraard en andere diensten weer een eigen, andere inlogcode
Online transacties nu… Gevolg: de gebruiker moet talloze usernames, wachtwoorden, etcetera onthouden! Het gevolg? een enorme hoeveelheid/brei aan verschillende middelen: usernames en wachtwoorden om online identiteit aan te geven - met elkaar een enorme sleutelbos gecreëerd; verplicht om deze te laten groeien - die niet altijd op een veilige plek opgeborgen/bewaard worden, los van de hackibility daarvan - voor mij als gebruiker totaal ondoorzichtig waar ik nou vertrouwen in kan hebben-
Online transacties in de toekomst: De gebruiker bepaalt hoe hij zich identificeert bij organisaties. eID Waar gaan we naar toe? Wat moet eID mogelijk maken in de toekomst? - We gaan het omdraaien: de gebruiker staat centraal, de gebruiker (burger, ondernemer, ..) bepaalt zelf hoe hij zich identificeert Burger zelf controle over de samenstelling van zijn sleutelbos - De dienstaanbieder bepaald met welke betrouwbaarheid een gebruiker zich moet identificeren Maar de gebruiker kiest het middel dat hij wil gebruiken (zoals iDeal: gebruiker krijgt bij een financiële transactie de beschikbare banken te zien en kan hij díe bank selecteren waarmee hij een betaling wil doen) Gebruiker heeft een aantal sleutels in handen, maar bepaald zelf hoeveel en waarvoor – zelf verantwoordelijk Als consument, beroepshalve of namens bedrijf Er moeten standaarden en afspraken komen die er voor zorgen dat ik met mijn gekozen sleutel overal terecht kan. eID stelsel: een uniforme set van standaarden en afspraken voor geautoriseerde toegang tot digitale diensten: Vaststellen wie ben je, mag je dit - verklaringen Rollen en verantwoordelijkheden Dit is wat eID mogelijk maakt in de toekomst!
Voor u in de praktijk Maarten Webwinkel Gemeente eID makelaar Inloggen eID 1 Webwinkel eID makelaar Kies de aanbieder van uw eID-middel: 2 Inlogscherm met code via mobiel: Authenticatiedienst 3 Gemeente Webwinkel Welkom Maarten 4 Webwinkel Hoe zal dit er voor U uitzien in de praktijk? Maarten logt in - bijvoobeeld gemeente Noordwijkerhout om vergunning aan te vragen Button eID Kiest zijn eigen inlogmiddel – alle middelen opgenomen in het stelsel – vgl Ideal We moeten nadenken over usability, bijvoorbeeld Maarten krijgt voorkeurlijst Maarten toetst username en pincode (gekregen via mobiel) in Kan zijn vergunning aanvragen Overal waar Maarten wil inloggen, op dezelfde manier Hij kan ook attributen meegeven, bijvoorbeeld leeftijdsgrens – alcohol kopen bij webwinkel Maarten
Voor iedere dienstaanbieder een eigen authenticatiemiddel Zo werkt het nu Voor iedere dienstaanbieder een eigen authenticatiemiddel Dienstaanbieders Maarten krijgt van iedere organisatie een eigen authenticatie-middel Dit is de huidige situatie. Belangrijkste boodschap: gebruiker Maarten beschikt over één inlogmiddel per organisatie Het zijn allemaal point solutions Hoe is het ontstaan, het probleem waar we nu mee zitten? Elke dienstverlener aan de rechter kant verplicht jou om zijn inlogmiddel te gebruiken als ondernemer vraag ik en vergunning aan bij de gemeente met eHerkenning voor mijn burgerkant moet ik DigiD gebruiken voor mijn verzekeraar, Aegon moet ik hun wachtwoord gebruiken voor bank smartcard met reader gekregen Dienstaanbieders rollen hun eigen technologie uit, wat niet uitwisselbaar is naar die burger
Zo werkt het eID Stelsel Dienstaanbieders Gebruikers standaardisatie Maarten Als gebruiker zelf kiezen hoeveel en welke inlogmiddelen je wilt gebruiken om in te loggen bij dienstaanbieders. Ontkoppeling van middelen en diensten/de 2 werelden uit elkaar Dienstaanbieder hoeft zelf geen sleutels meer uit te rollen, ze gaan een standaard gebruiken die ze in hun website inbouwen. gebruiker kiest een hoogwaardig middel dat voldoet aan die standaard Komt maar 1 button, hier kunt u inloggen met eID je weet dat je met die sleutel, mits betrouwbaarheid voldoende is, overal binnen komt Stelsel is een standaardisatie traject: bouw een standaard, aanbod enorme variatie aan technologieën. Ilse eID Stelsel
Belang van standaardisatie Ontzorgen door standaardisatie Technologie onafhankelijk Voorbeeld Standaardisatie: energiemaatschappijen De afgesproken standaard = 220V Voor het aanbieden van energie zetten maatschappijen hun eigen technologie in Maar de stroom die eruit komt is 220V -> de standaard. Als U aansluit op het eID Stelsel – wordt de toegang standaard; de 220V De Plug is de standaardisatie 220V; eID Mensen kunnen altijd bij jullie terecht. altijd Toegang onafhankelijk van het inlogmiddel/ dus onafhankelijk van de technologie eID: middelen leveranciers – hebben eigen technologie Met al die partijen afspraken maken, leveranciers aan tafel, afspraken maken, koppelvlakken definieren Als het maar 220V is Hoeft maar 1 inlogbutton in te bouwen Technologie gedreven
Van middelen per domein/sector Burger Consument Sectorale middelen Naam-wachtwoord Overheid Bedrijven en sectoren Nu heeft ieder domein/sector eigen middelen in gebruik: Elke dienstverlener verplicht jou om zijn sleutel te gebruiken Overheid: heeft al en stap gezet om de sleutelbos te verkleinen: eHerkenning o.a voor bedrijven en organisaties en DigiD voor burgers maar nog onderscheid burger/bedrijf = probleem als ZZPer: Burger en Ondernemer – mag BSN niet gebruiken Bedrijven: eigen middelen, bijvoorbeeld webwinkels, verzekeraars, social media (FB, LinkedIn) Zelf investeren vaak geen fallback optie kosten niet inbare facturen omdat identiteit van klanten onbetrouwbaar met moeite/tegen hoge kosten aanvullende info (verifiëren kredietwaardigheid, voldoen leeftijdsgrens) Sector : nog veel eigen middelen, niet bruikbaar buiten de sector. bancaire sector (bankpas met reader) zorgsector (zorgpas) advocatuur - (advocatenpas) Je wilt van middelen per domein of sector…. Ondernemer
Naar één stelsel voor alle domeinen Burger Consument Eén standaard voor online identificatie Naam-wachtwoord Overheid Bedrijven en sectoren …. naar 1 standaard voor alle domeinen - door een afsprakenstelsel - en het samenbrengen van de bestaande middelen voor online transacties, zowel van overheid als commerciële sector. Dus niet een point solution voor de overheid of voor de webwinkels, maar op niveau van BV Nederland regelen. Ondernemer
Ontwerpeisen eID Stelsel Ontzorgen van overheden en bedrijven Keuzevrijheid en gebruiksgemak Veilig, betrouwbaar, bescherming van privacy Stimuleren van marktwerking Technologieonafhankelijk en toekomstvast Toezicht en opsporing mogelijk Ontzorgen van dienstverlenende organisaties organisaties niet meer zelf de toegang tot hun dienstverlening te regelen; sluiten aan op eID dezelfde standaarden voor zowel portaaldiensten als M2M diensten Dienstaanbieder bepaalt op basis van verklaringen of de gebruiker de gewenste handeling mag uitvoeren = autorisatiebesluit Keuzevrijheid en gebruiksgemak gebruiker kiest zelf hoeveel middelen hij wil gebruiken en voor welke dienst (zoals iDeal). overstappen moet makkelijk zijn: behoud van PseudoID (zoals tel nummer behoud) keuze voor nieuw middel en PseudoID Veilig,betrouwbaar - het hoogste betrouwbaarheidsniveau komt beschikbaar. Bescherming van privacy (bescherming persoonlijke levenssfeer – Wet Bescherming Persoonsgegevens) De gebruiker bepaalt zelf welke informatie hij online met wie deelt (attributen). Organisaties krijgen alleen de informatie over een persoon of organisatie(s) die ze nodig hebben (bv >18jaar) Gebruik van pseudoniemen, naar elke dienstaanbieder een ander pseudoniem (andere identiteit); kunnen niet vergelijken voorkomen van hotspots van informatie Stimuleren van marktwerking private organisaties kunnen toegangsdiensten leveren (‘privaat waar het kan, publiek waar het moet’.) Technologieonafhankelijk en toekomstvast Afspraken over de rollen en de relaties, ingevuld op basis van eigen, innovatieve technologie (wel koppelvlakken en taal gestandaardiseerd) Toezicht en opsporing blijven mogelijk Indien vermoeden van identiteitsfraude, kunnen opsporingsactiviteiten uitgevoerd worden binnen geldende wettelijke kader.
Ontwerpeisen in balans privacy gebruiksgemak opsporing en toezicht Belangrijke opgave voor het programma: Ontwerp & afspraken maken die recht doen aan een goede afweging tussen privacy, gebruiksgemak en opsporing. Dit vraagt (soms) ook politieke keuzes. De drie ontwerpeisen: gebruikersgemak bevorderen, privacy garanderen, en toezicht en opsporing inrichten zijn vanuit hun aard conflicterende eisen. Bij veel gebruikersgemak kan de privacy moeilijker worden gegarandeerd. Bij veel privacy bevorderende maatregelen is opsporing en toezicht weer moeilijker. Daarom wordt in het ontwerp van het eID Stelsel steeds een weloverwogen afweging gemaakt tussen deze drie ontwerpeisen.
Online transacties met eID kredietwaardig machtiging leeftijd 3. Bevoegdheden Je kunt toestemming geven om bij het inloggen aanvullende gegevens uit te wisselen over wat je mag (namens een ander). 1. Identificatie De organisatie vraagt online wie je bent. 2. Authenticatie Met een zelfgekozen inlogmiddel vertel je de organisatie wie je bent (inloggen). Hoe gaat een online transactie met eID werken? Wat zijn de mogelijkheden met eID? 3 stappen: Identificatie (wie?): een organisatie vraagt wie je bent Authenticatie (bewijzen): je kiest een middel waarmee je verteld wie je ben Bevoegdheden: je geeft aan wat je mag (handel namens jezelf* of een ander) Machtiging: ik mag deze dienst gebruiken namens een ander (wettelijke bevoegdheid) – bijvoorbeeld als medewerker van een bedrijf Attributen: ik geef informatie over mezelf – bijvoorbeeld ik ben ouder dan 18, ik ben kredietwaardig, beroepsgroep, BSN (als organisatie deze mag ontvangen)…
eID achter de schermen Dienstaanbieders Gebruikers Machtigings- dienst Maarten Authenticatie- dienst eID Makelaar Hoe aansluiten? Zo werkt het voor U: Je sluit een contract met een ICT leverancier, die noemen we eID makelaar Dienstaanbieders sluiten al hun eDiensten aan via eID Makelaar Overheid: nu 2 stekkers (DigiD en eH), straks maar 1 stekker De Makelaar regelt dit voor jou, ook de migratie van DigiD en eHerkenning Gebruiker kiest waar hij middel aan schaft, machtigingen registeert en attributen Attributen- dienst Ilse
Betrouwbaarheidsniveaus uw organisatie User name / password Welke betrouwbaarheidsniveaus? Gebruiker logt in met een inlogmiddel bij bijvoorbeeld de overheid: Username + wachtwoord + token of sms tot hoogste betrouwbaarheidsniveau PKI overheid Betrouwbaarheid bepaald op basis van middel zelf en uitgifte Gebaseerd op STORK
U bepaalt het niveau per eDienst uw organisatie Vergunningaanvraag U bepaald als dienstaanbieder zelf het gewenste betrouwbaarheidsniveau bijvoorbeeld: afspraak maken bij gemeente laag niveau, medische gegevens opvragen hoog niveau
Wie doen mee Publiek-private samenwerking: vertegenwoordigers van overheid en bedrijfsleven werken samen aan de realisatie van het eID Stelsel Het is een publiek-private samenwerking: overheid, markt en wetenschap Vertegenwoordigers van overheid en bedrijfsleven De ministers van EZ en BZK zijn opdrachtgever - Ook NVVB en VNG zijn betrokken! eID-platform Bestuurlijk strategisch: bespreekt allerlei kwesties bij de totstandkoming van het eID Stelsel zoals de inrichting, de governance, de afspraken die gemaakt worden om diensten te kunnen leveren binnen het eID Stelsel.
Voordelen voor u en uw gebruikers Diensten op hogere betrouwbaarheid, veilig ontsluiten / veilig en betrouwbaar toegang geven tot uw digitale dienstverlening informatie die je krijgt is juist weet wie er aan de andere kant van de lijn zit (leeftijdsgrens gepasseerd, mag handtekening zetten, …) minder fraude – kunnen opsporingsactiviteiten uitgevoerd worden binnen geldende wettelijke kader. overheid houdt toezicht (toezichthouder, fraudeopsporing) waardoor meer burger diensten kunnen worden ontsloten (zoals diensten aan nabestaanden, privacy gevoelige informatie (medisch), …) gebruik in Europa – vanmorgen over verschillende Europese initiatieven gehoord Alle middelen binnen eID stelsel bruikbaar in Europa (niet alleen overheid eID). Bijvoorbeeld: Belgen staan NLs middel toe Gebruikersgemak: Kies zelf middel en hoeveel middelen hij wil gebruiken en voor welke dienst (zoals iDeal). verkleinen van de sleutelbos: 1 of beperkte set van middelen gebruiken om veilig online zaken te doen met meerdere organisaties meer digitale dienstverlening overstappen moet makkelijk zijn: behoud van PseudoID (zoals tel nummer behoud) keuze voor nieuw middel en PseudoID Bescherming privacy (bescherming persoonlijke levenssfeer – Wet Bescherming Persoonsgegevens) Betrouwbaar persoonlijke informatie uitwisselen: Zelf toestemming geven welke informatie hij online met wie deelt (attributen). dienstaanbieder krijgt enkel gegevens die nodig zijn voor dienst/enkel partijen die daar recht op hebben volledig anoniem: gebruik van pseudoniemen (pseudoID), naar elke dienstaanbieder een ander pseudoniem (andere identiteit); kunnen niet vergelijken voorkomen van hotspots van informatie
Wat betekent het voor uw organisatie? Realisatie benodigde ICT-voorzieningen Kleinschalige pilots Ontwerp 1.0 Ontwerp 2.0 Programma eID jan 2014 najaar 2014 2015 op weg naar 2017 Continueer of start met DigiD en eHerkenining Analyse bestaande en nieuwe eDiensten bepalen betrouwbaarheidsniveau’s Waar staan we? Versie 1.0 top down ontwerp vanuit de overheid eID platform opgericht – vertegenwoordigers – publiek –private samenwerking Markt bij elkaar brengen: leveranciers en dienstaanbieders POC/POT : is het werkbaar? Begin 2015 eerste pilots in productie Beproevingen: Toetsen of wat we hebben bedacht werkt POC – testen usability – werkt dit voor de gebruiker POT – is het technisch te realiseren eH en DigiD duurzame investeringen, migreren mee naar eID Nu instappen garandeert je opname in eID In 2014: Verder werken aan het ontwerp Uitproberen in publiek-private samenwerking – POC, POT 2014/2015: Inrichten toezicht, beheer, besturing voorbereiding migratie DigiD en eHerkenning Leveranciers ontwikkelen eID-diensten Dienstaanbieders sluiten aan 2015: Eerste gebruikers loggen in via eID Voorbereiding DigiD en eHerkenning naar het eID Stelsel
Meer info: www.eid-stelsel.nl