Er bestaat geen goede en breed ondersteunde identiteitsoplossing voor consumenten die op een veilige manier gebruik willen maken van online diensten. In het cidSafe project (safe consumer identity) hebben vijf partners samengewerkt aan een visie rondom herbruikbare identiteiten, en de haalbaarheid hiervoor onderzocht. Het gaat hier om een betrouwbare oplossing, die zich flexibel aanpast aan toekomstige ontwikkelingen en die breed gebruikt kan worden voor allerlei interacties, vooral als deze privacy- of fraudegevoelig zijn.

Het uiteindelijke doel van cidSafe was een doorbraak te bewerkstelligen voor een veilige en gemakkelijke digitale sleutel voor algemeen gebruik door consumenten op het internet. De initiële focus van cidSafe lag op de financiële sector omdat daar de behoefte aan een betrouwbaar authenticatie-oplossing voor consumenten het grootst en meest urgent lijkt. Het was nadrukkelijk de bedoeling dat een oplossing zich zou verbreden naar meerdere sectoren. 

cidSafe heeft gelopen in 2010, met een staartje in het eerste kwartaal van 2011. Deze webpagina geeft een overzicht van het project en de uitkomsten.

De partners

In cidSafe werkten samen:

·         Rabobank (www.rabobank.nl)

·         Loyalis (APG) (www.loyalis.nl)

·         DigiNotar (www.diginotar.nl)

·         SIVI (www.sivi.org)

·         Novay (coördinator, www.novay.nl)

cidSafe was een project binnen het innovatieprogramma Service Innovatie & ICT (www.siict.nl).

Achtergrond

Dienstverlening via het internet heeft een grote vlucht genomen in Nederland. Voor dienstverleners biedt online dienstverlening veel potentie voor kostenbesparing en nieuwe diensten, en consumenten blijken het in toenemende mate te omarmen. Voor veel diensten is het nodig om met voldoende zekerheid de identiteit van de consument vast te stellen, vooral als het gaat om privacy-gevoelige informatie en bij fraudegevoelige diensten, maar ook wanneer er vanuit wetgeving of bedrijfsbeleid een zorgplicht is.

De huidige situatie op het internet is zo dat de consument voor elke dienst een ander authenticatiemiddel nodig heeft om zichzelf kenbaar te maken. Meestal is dit een combinatie van gebruikersnaam en wachtwoord. De zogenaamde digitale sleutelbos die hiermee gepaard gaat is erg gebruikersonvriendelijk, onder meer omdat gebruikers de specifieke gebruikersnamen en wachtwoorden vergeten als ze niet frequent gebruikt worden. Het is ook erg duur vanwege de beheerslasten die hiermee gemoeid zijn. Daarnaast brengt dit een groeiend aantal beveiligingsproblemen met zich mee door diefstal van of fraude met digitale identiteiten.

Dit kan opgelost worden met een betrouwbare en herbruikbare digitale identiteit. Een betrouwbare identiteit vereist een veilig authenticatiemiddel, veiliger dan gebruiksnaam/wachtwoord aangezien dit erg phishing gevoelig is, en een goed registratieproces, bijvoorbeeld door voor afgifte van de digitale identiteit fysiek iemands paspoort te controleren. Zowel een veilig authenticatiemiddel als een goed registratieproces is duur. Hergebruik betekent dat een consument dezelfde identiteit kan gebruiken bij meerdere online dienstenaanbieders. Dit is gebruikersvriendelijk omdat de consument dezelfde authenticatiemiddelen veel vaker kan gebruiken (en dus zijn wachtwoorden beter kent). Ook is het goedkoper omdat de kosten van deze herbruikbare identiteit gedeeld kunnen worden door meerdere dienstenaanbieders.

Visie: marktoplossing binnen een trust framework

De wettelijke beperkingen rondom het gebruik van DigiD (zie de flyer over DigiD hieronder) en de onzekerheid rond de elektronische Nederlandse Identiteitskaart (eNIK) maken een overheidsoplossing zeer onwaarschijnlijk. Het cidSafe project heeft zich daarom geconcentreerd op een marktoplossing. Zo’n marktoplossing kent diverse grote uitdagingen, met name betrouwbaarheid, schaalbaarheid en marktintroductie. Voor betrouwbaarheid en schaalbaarheid is een trust framework een goede benadering. In een trust framework (ook wel afsprakenstelsel genoemd) worden afspraken gemaakt over betrouwbaarheid (meestal via auditing van identiteitsproviders), het business model, de veiligheidseisen en privacy van de gebruiker van de identiteit. Ook worden in een trust framework afspraken gemaakt over schaalbaarheid, zoals interoperabiliteit en het gemak waarmee dienstenaanbieders kunnen aansluiten. Een belangrijk onderdeel van het trust framework is een governance orgaan waarin belanghebbenden vertegenwoordigd zijn. Dit orgaan controleert de afspraken en beheert het trust framework. Het wordt verder aan de markt overgelaten wie de identiteitsproviders worden, inclusief welke authenticatiemiddelen ze gebruiken zolang deze en het registratieproces binnen de regels van het trust framework passen.

Markt introductie

Voor een succesvolle marktintroductie is het vooral noodzakelijk dat er al bij de start een hoge penetratie van de digitale identiteiten is onder consumenten. Vanwege de benodigde investeringen die nodig zijn voor een veilige identiteit brengt dit met zich mee dat bestaande identiteiten hergebruikt moeten kunnen worden. Met name banken zijn hier goed voor gepositioneerd, omdat dit vertrouwde partijen zijn die gezamenlijk het overgrote deel van alle volwassen Nederlanders al voorzien hebben van een digitale identiteit die gebruikt wordt voor online bankieren. Ook bijvoorbeeld mobiele operators zijn goed gepositioneerd.

Rol overheid en eHerkenning

Hoewel het hierboven geschetste trust framework primair een marktaangelegenheid is, is het om een brede maatschappelijk acceptatie te krijgen, en om het vertrouwen te vergroten, wenselijk zo niet noodzakelijk dat de overheid een rol heeft als toezichthouder. Hierom, en omdat de trust framework benadering goed aansluit bij de aanpak van eHerkenning voor bedrijven die het ministerie van EL&I aan het introduceren is, ontstaat er een potentiële win-win situatie als een consumer-2-business trust framework aansluiting vindt bij eHerkenning. Dit biedt ook praktische voordelen voor zowel consumenten als online dienstenaanbieders, waaronder meer hergebruik en schaalvergroting.  

Haalbaarheid

Belangrijk voor de haalbaarheid van een trust framework aanpak zoals hierboven geschetst, is dat er drie (groepen van) partijen een commitment uitspreken hiervoor, namelijk:

1.     Dienstenaanbieders – zij moeten duidelijk maken dat ze externe identiteitsproviders gaan gebruiken, en welke eisen ze stellen.

2.     Identiteitsproviders – hoewel het trust framework open is, en identiteitsproviders die aan de eisen voldoen ook later moeten kunnen toetreden, is het nodig dat een initiële groep van identiteitsproviders met een voldoende grote dekking onder consumenten zich commit.

3.     De overheid – niet alleen om het vertrouwen in het trust framework te vergroten, maar ook om te voorkomen dat er niet alsnog een overheidsoplossing op de markt wordt gebracht, die de investeringen van de identiteitsproviders teniet zou doen.

Als de noodzaak en urgentie niet bij al deze drie (groepen van) partijen in voldoende mate gevoeld wordt, is haalbaarheid van een trust framework onwaarschijnlijk.

Resultaten project

Er zijn drie publiek beschikbare projectresultaten:

- Een overkoepelend cidSafe whitepaper "cidSafe: een visie voor een betrouwbare en herbruikbare consumenten identiteit" - https://doc.novay.nl/dsweb/Get/Document-127759 

- Een whitepaper "cidSafe: Consumenten identiteiten: analyse van buitenlandse cases" - https://doc.novay.nl/dsweb/Get/Document-127762

- Een flyer "Geen gebruik DigiD in de financiële sector, De implicaties van de nieuwe sectorwet"- https://doc.novay.nl/dsweb/Get/Document-127760 

Meer informatie 

Maarten Wegdam, projectmanager cidSafe.