Professional Documents
Culture Documents
toegepast-natuurwetenschappelijk
onderzoek / Netherlands Organisation
for Applied Scientific Research
Eemsgolaan 3
Postbus 1416
9701 BK Groningen
www.tno.nl
TNO-rapport
T +31 50 585 70 00
F +31 50 585 77 57
info-ict@tno.nl
Datum 16-04-2010
Alle rechten voorbehouden. Niets uit dit rapport mag worden vermenigvuldigd en/of openbaar gemaakt door middel
van druk, fotokopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande schriftelijke toestemming
van TNO.
Indien dit rapport in opdracht werd uitgebracht, wordt voor de rechten en verplichtingen van opdrachtgever en
opdrachtnemer verwezen naar de Algemene Voorwaarden voor onderzoeksopdrachten aan TNO, dan wel de
betreffende terzake tussen de partijen gesloten overeenkomst.
Het ter inzage geven van het TNO-rapport aan direct belanghebbenden is toegestaan.
© 2010 TNO
TNO-rapport | 2 / 46
Inhoudsopgave
1 Inleiding .......................................................................................................................... 4
1.1 Achtergrond en probleemstelling..................................................................................... 4
1.2 Doel en verloop van het onderzoek ................................................................................. 5
1.3 Opzet en methoden van het onderzoek ............................................................................ 6
1.4 Toelichting begrippen ...................................................................................................... 7
1.5 Leeswijzer...................................................................................................................... 10
6 Referenties .................................................................................................................... 44
TNO-rapport | 3 / 46
Tabellen
Tabel 1: Identificerende gegevens BV BSN .................................................................. 13
Figuur 1: Sectoraal gebruik DigiD................................................................................. 29
Tabel 2: Overzicht penetratie en daadwerkelijk gebruik van 3 typen implementaties, op
basis van IDABC (2009) .......................................................................... 34
Figuur 2: Oostenrijkse "citizen card"............................................................................. 35
Figuur 3: Het 4 partijen model voor IdM....................................................................... 38
Figuren
TNO-rapport | 4 / 46
1 Inleiding
1
Voor definitie van begrippen, zie paragraaf 1.4
2
http://www.minbzk.nl/actueel/kamerstukken/@125524/antwoorden-op_e
TNO-rapport | 5 / 46
De kennisvraag betrof de potentiële inzet van BSN, DigiD en PIP (Persoonlijke Internet
Pagina) als instrumenten van e-dienstverlening naar bedrijven en burgers3. Met deze
stap zouden private instanties toegang krijgen tot de gegevens die aan deze
instrumenten ten grondslag liggen (en ze mogelijkerwijs ook kunnen aanvullen). Op dit
moment is dat niet, of slechts in beperkte mate, mogelijk. De veronderstelling bij
aanvang van het onderzoek was dat bedrijven behoefte hebben aan het gebruik van deze
instrumenten om online identificatie en authenticatie van hun klanten te
vergemakkelijken. Tevens was de gedachte dat van deze toegang een economische
impuls uitging.
Het oorspronkelijke doel van het onderzoek viel in twee delen uiteen: 1) het in kaart
brengen van de onderliggende wensen en behoeften van het bedrijfsleven naar het
medegebruik van deze instrumenten, en de economische effecten en mogelijke risico’s
met het oog op privacybescherming hiervan te onderzoeken en 2) om op basis van deze
behoeften mogelijke alternatieven van publiek private samenwerking op het gebied van
online identificatie en authenticatie te schetsen voor het medegebruik van BSN, DigiD
en PIP. In de loop van het onderzoek hebben de onderzoekers vanwege de gevonden
resultaten een aantal wijzigingen in het onderzoek moeten doorvoeren. Deze wijzingen,
de oorzaken hiervan en gemaakte keuzes worden hieronder uiteen gezet.
Uit de desk research en interviews met partijen uit het bedrijfsleven (zie volgende
paragraaf) blijkt dat vooral partijen uit de financiële sector de behoefte uiten aan
medegebruik van BSN. De behoefte van deze partijen is vooral gericht op de interne
bedrijfsvoering en bestaat uit (ruimere) toegang tot en gebruik van het BSN en toegang
tot NAW-gegevens zoals opgeslagen in het Gemeentelijk Bevolkingsregister (GBA).
Behoefte aan het medegebruik van DigiD en PIP is niet gevonden. De veronderstelling
dat private partijen de overheidsinstrumenten BSN, DigiD en PIP mede willen
3
Alliantie Vitaal Bestuur (2008) Kennisvragen aan de Alliantie Vitaal Bestuur 2008. Door: BZK, EZ en de
Belastingdienst
TNO-rapport | 6 / 46
Deel een van het onderzoek bestaat uit de inventarisatie van de behoeften van het
bedrijfsleven. De inventarisatie is uitgevoerd op basis van desk research interviews.
Ook is een analyse uitgevoerd naar de economische effecten en de gevolgen voor de
bescherming van privacy van de wensen. Op basis van de desk research zijn partijen
geïdentificeerd met de grootste behoefte aan medegebruik van voorzieningen voor
identificatie en authenticatie. De onderzoekers hebben een beperkt aantal partijen
gevonden die deze behoefte hebben geuit: het bankwezen, het verzekeringswezen en
VNO-NCW. De onderzoekers hebben de branche-organisaties van het bank- en
verzekeringswezen en VNO-NCW uitgenodigd voor interviews, maar het bleek lastig
om hun mondelinge inbreng te verkrijgen. Uiteindelijk hebben de onderzoekers
gesproken met één vertegenwoordiger van een branchevereniging van de financiële c.q.
/verzekeringssector.. Er is gesproken met het Ministerie van Financiën. In de
aanvullende interviews is gesproken met Wehkamp en met een online dienstaanbieder
in de telecommunicatiesector, die ook anoniem wil blijven.4.
Deel twee bestaat uit een beschrijving van verschillende alternatieven van publieke
private samenwerking om online identificatie en authenticatie te vergemakkelijken. De
4
De resultaten van het onderzoek zijn gebaseerd op een beperkt aantal interviews. Bij de interpretatie van
het onderzoek dient dit in acht te worden genomen.
TNO-rapport | 7 / 46
Deze paragraaf licht de belangrijkste begrippen met betrekking tot online identificatie
en authenticatie toe.
1.4.1 Identiteit
Identiteit is een containerbegrip. De literatuur kent verschillende uitwerkingen en
stromingen rondom het begrip identiteit, zoals cultureel, antropologisch, sociaal,
psychologisch of filosofisch. Een psychologische opvatting van identiteit relateert
bijvoorbeeld aan het zelfbeeld van een individu, het zelfvertrouwen en individualiteit.
Bij sociale wetenschappen wordt identiteit in een sociale context gezien, en kan
identiteit ook relateren aan unieke karakteristieken van een bepaald groep individuen
(zoals natie, sociale klasse e.d.).
Voorbeelden van kenmerken van een individu zijn: de naam, geslacht, woonplaats,
leeftijd, opleiding, BSN, nummer van het paspoort/rijbewijs, maar ook aankopen bij
postorderbedrijf, inkopen bij de supermarkt, nummer bij de verzekering, pseudoniemen
op internet, haarkleur, huidskleur enzovoort. Naam, adres en woonplaats (NAW-
gegevens) zijn belangrijke identificerende gegevens. Daarnaast is, in ieder geval in de
5
Voor meer informatie over verschillende opvattingen over identiteit, zie bijvoorbeeld Cofta, P. (2009)
Towards a better citizen identification system; Identity in the Information Society
6
Cameron, K. The laws of identity, http://www.identityblog.com/?p=352/
TNO-rapport | 8 / 46
communicatie met de overheid, het BSN belangrijk. Het is een uniek kenmerk dat één
bepaald persoon identificeert. Door andere identificerende gegevens aan een dergelijke
unieke identifier te koppelen zijn ze eenvoudiger terug te vinden en te combineren. Dit
is één van de redenen waarom de overheid het BSN heeft geïntroduceerd voor de
communicatie met burgers, en communicatie over een burger tussen verschillende
overheidsinstanties. Als bedrijven met overheden willen communiceren over een
burger, dan gaat dat in sommige gevallen ook via het BSN. Maar het kan ook aan de
hand van de NAW-gegevens (bijvoorbeeld als een deurwaarder of een advocaat wil
weten of een persoon is ingeschreven op een bepaald adres).
Een digitale identiteit is een “verzameling uitspraken - claims genoemd – door een
digitaal subject over zichzelf of over een ander digitaal subject”7.
De claims koppelen (een verzameling van) attributen aan een individu, waarmee deze
kan worden geïdentificeerd. In relatie tot digitale identiteit wordt ook vaak het begrip
partiële identiteit8 gehanteerd9. Per context of situatie (bijvoorbeeld vrije tijd, op het
werk of anders) kan een andere verzameling aan attributen volstaan om een individu te
identificeren. De benodigde mate van identificatie en authenticatie verschilt daarom per
context. Onderscheid maken tussen verschillende vormen en contexten speelt een
belangrijke rol bij het waarborgen van privacy van gebruikers, klanten of burgers. Met
het oog op privacybescherming van klanten en burgers, is het onwenselijk als er meer
informatie (attributen) verstrekt moet worden dan strikt noodzakelijk10. De vraag hierbij
is welk type digitale identiteit (welke attributen) nodig of acceptabel is in een bepaalde
context.
− Persoonlijk: een zelfbedachte identiteit voor een langere relatie met een website of
dienst, waarbij bijvoorbeeld naam en e-mailadres worden verstrekt. Een voorbeeld
is identiteit op de website van de krant, waarop een gebruiker geabonneerd is.
7
Cameron, K. The Laws of Identity, http://www.identityblog.com/?p=352/
8
Hansen et. al. (2008) Identity management throughout one’s whole life. Information Security Technology
Report, Volume 13-2, pp. 83-94.
9
Voor meer informatie over het gebruik van gedeelde identiteiten, zie Hof, S. en Leenes, L. (2010)
Gedeelde en samengestelde identiteiten in de publieke dienstverlening.
10
Zie ook Artikel 8 van de Wet bescherming persoonsgegevens betreffende de rechtmatige grondslag voor
de verwerking van persoonsgegevens.
11
De vormen zijn gebaseerd op Cameron, K. The Laws of Identity. Beschikbaar op:
http://www.identityblog.com/stories/2004/12/09/thelaws.html
TNO-rapport | 9 / 46
1.4.2 Authenticatie
Authenticatie is het controleren of een geclaimde identiteit ook waar is. Met andere
woorden: ‘kan er worden aangetoond (geverifieerd) dat een individu inderdaad is wie
hij of zij zegt te zijn’12. Dit gebeurt door het overleggen van specifieke bewijzen die de
claim kunnen ondersteunen. Er zijn verschillende middelen die als bewijs kunnen
dienen, afhankelijk van de gemaakte claim. Zo kan gesproken taal een nationaliteit
aannemelijk maken, en een trouwring laat zien of iemand getrouwd is. Uiterlijke
kenmerken geven indicaties over geslacht (‘vrouw’ of ‘man’) maar ook over leeftijd. In
een online omgeving is het overeenkomen van naam en wachtwoord voldoende om
toegang te krijgen een bepaalde dienst. De te overleggen bewijzen worden ook wel
zogenaamde credentials genoemd (zie volgende paragraaf).
Na authenticatie kan een autorisatie volgen om vast te stellen of het individu toegang
heeft of mag worden verleend tot bijvoorbeeld een dienst, website, gebouw of ruimte.
1.4.3 Credential
Het paspoort en het rijbewijs zijn oorspronkelijk ontworpen als credentials voor het
contact met de overheid. Inmiddels hebben ze echter ook in contacten tussen private
12
ITU (2006) Digital Life. Beschikbaar op: http://www.itu.int/osg/spu/publications/digitalife/docs/digital-
life-web.pdf
TNO-rapport | 10 / 46
partijen een belangrijke rol gekregen voor het bewijzen van de identiteit. Dat is min of
meer spontaan gebeurd. In de digitale omgeving bestaan zulke algemeen geaccepteerde
credentials nog niet of nauwelijks. Dit betekent dat een partij, die de identiteit van een
ander online wil vaststellen, niet kan terugvallen op een gemakkelijke en algemeen
aanvaarde methode van identificeren., wat de ontwikkeling van diensten via internet
kan belemmeren. Dienstverlening is immers lastig als er geen duidelijkheid is over de
vraag met wie men handelt. Een algemeen geaccepteerde vorm van identificatie kan de
handel via internet vergemakkelijken en zo de digitale diensteneconomie stimuleren en
innoveren. De vraag is of dit ook een door de overheid uitgegeven digitale identiteit
dient te zijn (of hier behoefte aan bestaat). In dit onderzoek wordt daarom gekeken naar
potentieel medegebruik van overheidsinstrumenten voor online identificatie en
authenticatie.
1.5 Leeswijzer
Hoofdstuk twee bestaat uit de inventarisatie van de wensen van het bedrijfsleven.
Hoofdstuk drie bestaat uit de economische analyse en mogelijke risico’s. In hoofdstuk
vier worden de alternatieven geschetst. In hoofdstuk vijf volgen de conclusies en
aanbevelingen.
TNO-rapport | 11 / 46
Dit hoofdstuk geeft een overzicht van de wensen van het bedrijfsleven ten aanzien van
het gebruik van overheidsinstrumenten zoals BSN, DigiD en PIP. De onderzoekers
hebben dit overzicht opgesteld aan de hand van desk research en (aanvullende)
interviews. Uit het onderzoek blijkt dat de behoefte van geïnterviewde partijen in de
financiële sector zich vooral richt op het gebruik van BSN, en specifiek een ruimer
gebruik van BSN dan nu volgens de wet is toegestaan. Het hoofdstuk begint daarom
met het schetsen van de huidige regels rondom het gebruik van het BSN. Daarna volgt
de inventarisatie van gevonden wensen, De onderzoekers hebben vastgesteld dat er
geen behoefte is gevonden aan het medegebruik van de instrumenten DigiD en PIP als
zodanig. Deze worden daarom niet behandeld.
Het gebruik van het BSN is wettelijk geregeld in de Wet algemene bepalingen
burgerservicennumer (Wabb). Het gebruik van het BSN door het bedrijfsleven is op dit
moment alleen in specifieke gevallen mogelijk: het gaat op dit moment vaak om het
verstrekken van gegevens door het bedrijfsleven aan een overheidsorganisatie, of om
organisaties die vroeger tot de overheid behoorden (zoals ziekenhuizen en
zorgverzekeraars). Voorbeelden zijn het vastleggen van het BSN van werknemers door
werkgevers met het oog op de afdracht van belastingen aan de Belastingdienst, of
zorgverleners die het BSN gebruiken om informatie over patiënten te delen). De Wet
gebruik burgerservicenummer in de zorg (Wbsn-z) is sinds juni 2008 van kracht en
regelt het gebruik van het BSN in de zorgsector regelt. Het gebruik van het BSN in de
zorg is gemotiveerd met een bijzonder maatschappelijk belang dat het toestaan van het
gebruik van het BSN in de zorg dient. Het gebruik is beperkt tot deze wettelijk
omschreven taak. Op dit moment is een wetsvoorstel in voorbereiding dat het ruimer
gebruik van het BSN door kredietinstellingen en verzekeraars moet regelen13 (zie verder
paragraaf 2.2.4).
Naast het gebruik van het nummer BSN in communicatie tussen verschillende
instanties, kan door bevoegde instanties ook gebruik worden gemaakt van de
Beheervoorziening BSN (hierna BV BSN). Met de BV BSN kan op dit moment alleen
door partijen die daartoe bevoegd zijn worden vastgesteld of een identiteitsdocument
geldig is en kunnen de achterliggende persoonsgegevens worden gecontroleerd. Dit
gebeurt door middel van 5 typen vragen die zijn afgeleid uit de Wabb (Artikel 14, 15 en
16). Op dit moment mogen alleen overheidsorganisaties en niet-overheidsorganisaties
waarvoor een vergewisplicht geldt of die daartoe wettelijk bevoegd zijn, alle 5 de
13
TK 2007-2008 31 237, 31 238 Wijziging van de Wet identificatie bij dienstverlening en de Wet melding
ongebruikelijke transacties en de Samenvoeging van de Wet identificatie bij dienstverlening en de wet
melding ongebruikelijke transacties (wet ter voorkoming van witwassen en financieren terrorisme). Nota ter
aanleiding van het verslag. 02-04-2008.
TNO-rapport | 12 / 46
14
Zie Wet algemene bepalingen burgerservicenummer, artikel 14, 15 en 16 en Agentschap BPR,
Handleiding BSN gebruikers
TNO-rapport | 13 / 46
Categorie Groep
Persoon Identificatienummer
Naam
Geboorte
Geslacht
Onderzoek
Nationaliteit Nationaliteit
Onderzoek
Overlijden Overlijden
Onderzoek
Inschrijving Opschorting
Geheim
Onderzoek
Verblijfplaats Gemeente
Adreshouding
Adres
Locatie
Emigratie
Land van inschrijving
Onderzoek
15
Agentschap BPR, Handleiding BSN gebruikers
TNO-rapport | 14 / 46
Uit de interviews met ondernemingen, die online handelen, blijkt dat zij behoefte
hebben aan het vergemakkelijken online identificatie en authenticatie. Zij gaan er echter
vanuit dat het niet mogelijk is om toegang te krijgen tot BSN, DigiD, PIP en/of het
GBA en beschouwen dit als een gegeven.
16
Actal (2007) Verslag van de bijeenkomst ‘BSN in het bedrijfsleven’. Den Haag. 11-06-2007.
17
CBP (2006) Expertmeeting BSN voor bedrijven? Verslag. 30 januari 2006
18
Brief VNO-NCW 05/13.524/Gf/CV.166 Inzake het wetsvoorstel burgerservicenummer 30 312, gericht an
de Vaste Commissies voor Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Justitie van
de Tweede Kamer. 28-10-2005. Beschikbaar op: http://www.vno-
ncw.nl/web/servlet/nl.gx.vno.client.http.StreamDbContent?code=1404
TNO-rapport | 15 / 46
Daarnaast geven partijen aan dat met het BSN als intern ordeningsinstrument klanten
eenvoudiger zijn terug te vinden bij het bestaan van verschillende deeladministraties
(bijvoorbeeld van verschillende divisies van een bedrijf). Bij overnames en fusies
kunnen de (deel-)administraties eenvoudiger tot 1 administratie worden samengevoegd
en geaggregeerd tot een compleet klantbeeld. NAW-fouten als gevolg van dubbelingen
zouden dan voorkomen kunnen worden. Het Ministerie van Binnenlandse Zaken heeft
in een brief aan de Kamer begin 2008 aangegeven dat het de verbetering van de interne
bedrijfsvoering op basis van dit gebruik van het BSN beschouwt als een interne
gelegenheid van bedrijven19. Zoals eerder vemeld, geldt in algemene zin dat er voor een
ruimer gebruik BSN een wettelijke basis moet zijn. Het Ministerie ziet in dit argument
daarom geen aanleiding om een bijzonder maatschappelijk belang te creëren die dit type
gebruik van het BSN mogelijk zou maken. Het gebruik van het BSN voor de interne
bedrijfsvoering is dus niet toegestaan.
19
TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het
burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008.
20
Zie voor een uitgebreid verslag:
http://www.actal.nl/actal_sites/objects/watdoetactal/Privacy/Verslag_BSN_in_het_bedrijfsleven.pdf
TNO-rapport | 16 / 46
Daarnaast wordt de mogelijkheid tot fraude verder beperkt doordat de identiteit van een
klant geverifieerd kan worden. Verder is het mogelijk om andere gegevens,
bijvoorbeeld omtrent overlijden, in te zien. Ook hier zijn de partijen terughoudend met
inzicht geven in de orde van grootte van het probleem, waardoor het kwantificeren van
de geleden schade niet mogelijk is.
2.2.4 Wens 4: Eenvoudiger uitvoering van taken van publiek belang (‘herendiensten’)
De Nederlandse Vereniging van Banken (NVB) heeft in 2005 de behoefte aan ruimer
gebruik van het BSN door banken geuit23. Volgens de NVB is dit nodig omdat de
overheid steeds vaker een beroep doet op de banken – als poortwachter van het
financiële stelsel – bij de uitvoering van taken van publiek of maatschappelijk belang of
voor zogenaamde ‘herendiensten’. Deze taken hebben o.a. betrekking op het bestrijden
van terrorismefinanciering en witwassen van gelden en om ander misbruik van het
financiële stelsel te voorkomen. Deze taken zijn o.a. geregeld in de Wet ter voorkoming
van witwassen en financiering van terrorisme (Wwft), Wet op het financieel toezicht
(Wft) Wet Melding Ongebruikelijke Transacties (MOT), de Wet Identificatie bij
dienstverlening (Wid), maar ook op bijvoorbeeld de Algemene Wet inzake
Rijksbelasting (AWR) voor de renseignering.
De banken zouden met het ruimer gebruik van het BSN hun verplichtingen in het kader
van deze verschillende wetten en voorschriften eenvoudiger kunnen nakomen. Onder
deze verplichtingen vallen onder andere het identificeren en daarnaast authenticeren van
de klant en het correct vastleggen van die gegevens, het doorgeven van de
cliëntgegevens aan de overheid, maar ook het verzamelen van cliëntgegevens om
cliënten te kunnen informeren over te verkopen producten (in het kader van de
zorgplicht). Daarnaast wordt ook gekeken naar toekomstige toepassingen zoals de
mogelijkheid van een vooringevulde aanslagbelasting (Via). Daarvoor zal gebruik
gemaakt moeten worden van de gegevens die banken en verzekeraars over hun klanten
hebben. Ook de branchevereniging voor de financiële en verzekeringssector geeft aan
dat zij om dezelfde redenen een ruimer gebruik van het BSN wenselijk achten.
21
Brief VNO-NCW aan de Tweede Kamer. Oktober 2005
22
Brief VNO-NCW 06/11.711/Gf/CV.104 Hoofdlijnen commentaar en enkele vraagpunten bij Nota naar
aanleiding van het Verslag bij de BSN-wet (30312 nr. 7)
23
Position Paper NVB, 1 september 2005
TNO-rapport | 17 / 46
Op dit moment is een wetsvoorstel in voorbereiding dat het ruimer gebruik van het BSN
door kredietinstellingen regelt24. De consultatieversie voor de ‘Wet gebruik
burgerservicenummer in de financiële sector’ is in december 2009 gepubliceerd25. Het
Ministerie van Financiën gaat ervan uit dat een bijzonder maatschappelijk belang
gemoeid is met het gebruik van het BSN in de financiële sector. In de consultatieversie
van het wetsvoorstel wordt voorgesteld dat kredietinstellingen, verzekeraars (inclusief
levensverzekeraars, uitvaartverzekeraars en schadeverzekeraars), gevolmachtigde
agenten of ondergevolmachtigde agenten het BSN kunnen gebruiken. De genoemde
partijen kunnen gebruik maken van het BSN o.a. in het kader van: de verificatie van de
identiteit van een cliënt, het voorkomen van overkreditering of problematische groei
van schulden, de uitvoering van een overeenkomst waarbij de cliënt partij is, en het
nemen van precontractuele maatregelen naar aanleiding van een verzoek van een cliënt
die noodzakelijk zijn voor het sluiten van een overeenkomst waarbij de cliënt partij is.
24
TK 2007-2008 31 237, 31 238 Wijziging van de Wet identificatie bij dienstverlening en de Wet melding
ongebruikelijke transacties en de Samenvoeging van de Wet identificatie bij dienstverlening en de wet
melding ongebruikelijke transacties (wet ter voorkoming van witwassen en financieren terrorisme). Nota
naar aanleiding van het verslag. 02-04-2008.
25
Wetsvoorstel gebruik BSN in financiële sector - consultatieversie
http://www.minfin.nl/Actueel/Consultaties/2009/12/Gebruik_burgerservicenummer_door_kredietinstellinge
n_en_verzekeraars en memorie van toelichting
TNO-rapport | 18 / 46
Deze wens staat los van de wens voor een ruimer gebruik van het BSN, maar betreft de
regels voor het gebruik van de persoonsgegevens die in de GBA zijn opgenomen. De
toegang tot het GBA is vastgelegd in de Wet gemeentelijke basisadministratie
persoonsgegevens en de Wet bescherming persoonsgegevens. Op dit moment kan het
GBA al worden geraadpleegd door verschillende partijen zonder dat daarvoor het BSN
van de persoon in kwestie vereist is26. Zo hebben pensioenverzekeraars bijvoorbeeld
(krachtens wet) toegang tot het GBA voor het opstellen van het Uniforme Pensioen
Overzicht (UPO). De gegevens mogen worden gebruikt voor het opstellen en versturen
van de UPO, maar niet voor andere doeleinden (zoals communicatie naar de klant naar
aanleiding van, of met betrekking tot, andere producten van de verzekeraar). Dit
betekent dat de pensioenverzekeraar op de hoogte kan zijn van de actuele situatie van
een klant naar aanleiding van het opstellen en versturen van de UPO (bijvoorbeeld
verhuisd en partner overleden), maar deze informatie niet mag gebruiken in de
communicatie voor andere producten zoals een aanbieding voor een verzekering (deze
post wordt naar het oude huisadres gestuurd).
26
TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het
burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008.
TNO-rapport | 19 / 46
inefficiënt proces, dat bovendien kopers afschrikt. Partijen geven aan dat ook hun
klanten deze procedure vervelend vinden.
Voorts heeft deze onderneming op dit moment personeel in dienst om dit proces uit te
voeren en de per post opgestuurde documenten (kopieën van paspoorten e.d.)
controleert. Soms schakelt deze partij daar een derde partij bij in (Experian), maar de
gegevens van deze partij blijken vaak verouderd. Hoewel deze ondernemer graag
manieren ziet om dit proces efficiënter en effectiever te laten verlopen, kon hij zich
moeilijk voorstellen dat een dergelijk systeem zou bestaan en hoe dit zou werken. Wel
noemde hij een aantal randvoorwaarden. Het zou vertrouwd moeten worden door
klanten, en bovendien ook in overeenstemming moeten zijn met de bescherming van
hun privacy. Bovendien zouden de telecomproviders, voor wie deze partij
abonnementen verkoopt, ook akkoord moeten gaan met een dergelijk systeem. Deze
partijen gaan er vanuit dat het niet mogelijk is om toegang te krijgen tot BSN, DigiD,
PIP en/of het GBA. Daarnaast is gebruikersvriendelijkheid een belangrijk uitgangspunt.
Zo vindt deze ondernemer bijvoorbeeld een identificatiesysteem als DigiD niet
gebruikersvriendelijk genoeg. Dit betreft met name de manier om een DigiD account
aan te vragen en te behouden.
Wehkamp gaf aan dat zij alternatieve manieren voor online identificatie en authenticatie
van klanten zouden waarderen. Tegelijkertijd hebben zij hun eigen systeem van
identificatie wel op orde. Wehkamp geeft ook aan dat zij over het algemeen weinig
problemen hebben met onjuiste adresgegevens. De klant bestelt producten en dient
daarbij zijn/haar adres op te geven. Dat geeft een bepaalde zekerheid dat de persoon op
het opgegeven adres woont. Volgens Wehkamp blijkt uit marktonderzoeken dat
consumenten eenvoudiger manieren van identificatie en authenticatie wensen. Zij
vinden het vervelend dat zij zich bij iedere site weer op een andere wijze moeten
identificeren. Daarom zijn zij ook geïnteresseerd in de ontwikkeling van open,
gebruiksvriendelijke systemen zoals Open ID, waarbij klanten geen afzonderlijke
gebruikersnaam en wachtwoord voor een dienstaanbieder hoeven te onthouden, maar
kunnen volstaan met het opgeven van de Open ID identiteit en waarbij op een
betrouwbare en privacy-vriendelijke manier gegevens uitgewisseld kunnen worden27.
In het volgende hoofdstuk volgt een analyse van de hierboven beschreven wensen van
het bedrijfsleven.
27
http://openid.net/, http://nl.wikipedia.org/wiki/OpenID
TNO-rapport | 20 / 46
Uit het vorige hoofdstuk blijkt dat de wensen voor het gebruik van het BSN bij het
bedrijfsleven uiteen vallen in verschillende functies:
1. Intern ordeningsinstrument in de administratie;
2. Gegevensverkeer tussen partijen in een keten/sector;
3. Gebruik van de beheervoorziening BSN voor achterliggende identificatiegegevens
4. Gemakkelijker uitvoeren van publieke taken (‘herendiensten’)
5. Accurate NAW-gegevens door ruimere toegang tot het GBA
6. Eenvoudige en betrouwbare manieren van online identificatie en authenticatie
Doel
Het doel van het bedrijfsleven bij het BSN als intern ordeningsinstrument is in 2
hoofdpunten te vatten: 1) een compleet, correct en geaggregeerd klantbeeld door het
samenvoegen van klantgegevens van verschillende afdelingen, divisies of zelfs
bedrijven in geval van fusies. 2) Het beperken van mogelijkheid tot fraude door op meer
adressen ingeschreven te staan. Het gebruik van het BSN kan voorkomen dat iemand
onder dezelfde naam zich op meerdere adressen kan inschrijven. Dit komt volgens
geïnterviewde partijen bijvoorbeeld voor als dezelfde persoon verschillende adressen
opgeeft en dan fraudeert, bijvoorbeeld door steeds weer te claimen bij de
reisverzekering.
Kosten
De te maken kosten door de financiële sector voor de invoering van het BSN in hun
klantenadministratie kunnen als laag worden ingeschat. Uit de interviews blijkt dat veel
organisaties in deze sector nu vaak al over het BSN van hun klanten beschikken. In de
financiële sector gebruiken pensioenverzekeraars bijvoorbeeld het BSN bijvoorbeeld bij
de uitvoering van de pensioenregeling en banken en levensverzekeraars gebruiken het
BSN voor de renseignering. Daarnaast wordt voor het afnemen van allerlei typen
diensten vaak een identiteitsbewijs gevraagd waar het BSN ook op vermeld staat
(bijvoorbeeld bij het afsluiten van een abonnement voor een mobiele telefoon). Dit
betekent dat de administratiesystemen van veel bedrijven ‘als het ware al
voorgeprogrammeerd zijn op opname van het BSN’.28
28
CBP (2006) Expertmeeting BSN voor bedrijven? Verslag. 30 januari 2006.
TNO-rapport | 21 / 46
Baten
Het gebruik van het BSN als intern ordeningsinstrument kan voor het bedrijfsleven
kosten besparen. Anderzijds zijn minder ingrijpende methoden denkbaar om hetzelfde
doel te bereiken (bijvoorbeeld door sterke vormen van identiteitsmanagement). Het is
lastig om inzicht te hebben in de kosten van een nieuw te ontwikkelen
identiteitsmanangement. Dit kan meer kosten dan gebruik van een al bestaand systeem
en het BSN.
Hoewel de voordelen van het beter kunnen bestrijden van dit type fraude duidelijk zijn,
zijn de daadwerkelijke financiële baten van deze bestrijding moeilijk in te schatten. Er
zijn cijfers bekend over van de omvang van fraude in Nederland, maar het zal maar
voor een deel daarvan gaan om fraude met als oorzaak ingeschreven staan op meerdere
adressen. Nader onderzoek naar de omvang van dit type fraude kan helpen om deze
baten beter op waarde te schatten.
Risico’s
De risico’s bij het gebruik van BSN als intern ordeningsinstrument betreffen met name
de bescherming van de persoonlijke levenssfeer, e.g. privacyrisico’s. Deze risico’s
betreffen de toenemende kans op koppelingen van achterliggende bestanden en
databanken, ook terwijl niet vaststaat of deze gegevens ook correct zijn. Fouten in de
database of fout gebruik kan grote gevolgen hebben. Door het combineren en
analyseren van verschillende typen informatie kan een zeer gedetailleerd beeld van een
individu worden opgebouwd29. Het samenvoegen van gegevens kan daarnaast gebeuren
zonder het inlichten van klanten / burgers of zonder hen de mogelijkheid te bieden om
aan te geven dat ze dit niet te willen (‘opt-out’).
De baten van een breder gebruik van BSN door het bedrijfsleven bestaan uit het
efficiënter kunnen voeren van de administratie. Onderzoekers kunnen zich vinden in de
analyse van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties uit 200830,
dat het hier gaat om een privaat belang van de ondernemingen en niet om een algemeen
maatschappelijk belang. De onderzoekers schatten de besparingen als gering, want op
andere wijzen kan hetzelfde doel bereikt worden, bijvoorbeeld door zelf te investeren in
een sterk identiteitsmanagementsysteem. Een economische impuls kan met name
uitgaan van toetreding van nieuwe partijen tot de markt of van het ontstaan van nieuwe
diensten. Daarvan is hier geen sprake. Om die reden achten wij de baten beperkt. Dit
moet worden afgewogen tegen de risico’s voor de bescherming van de persoonlijke
levenssfeer.
29
Voor meer informatie over risico’s van profiling zie bijvoorbeeld Solove, D. (2004) The digital person:
Technology and privacy in the information age. NYU Press: New York. Voor een gedetailleerd overzicht
over de ontwikkelingen in profiling en de (juridische) impact daarvan zie: Hildebrandt, M. & Gutwirth, S.
(Eds) (2008) Profiling the European Citizen: Cross-Disicplinary perspectives. Springer.
30
TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het
burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008.
TNO-rapport | 22 / 46
Doel:
Het doel van het bedrijfsleven is het vergemakkelijken van het uitwisselen van
gegevens met elkaar en/of met de overheid.
Kosten
Ook hier lijken de kosten van gebruik van het BSN voor dit doel als laag te kunnen
worden ingeschat. Deze lijken vergelijkbaar met de kosten van het invoeren van het
BSN als gebruik als intern ordeningsinstrument. Voor partijen die het BSN wel
gebruiken voor specifiek geformuleerde taken, maar dat voor gegevensverkeer met
bepaalde partijen niet mogen, betekent het dat kosten van het verwijderen van het BSN
nu vervallen. Deze kosten zijn laag, want dit hoeft maar eenmaal te gebeuren.
Baten
In domeinen waarin de grenzen tussen publiek en privaat vervagen, zoals de zorg, het
onderwijs of sociale verzekeringen, worden in toenemende mate gegevens uitgewisseld
tussen partijen. Het BSN kan daarbij door sommige partijen in de keten wel worden
gebruikt en door andere niet. Door het BSN te gebruiken bij het gegevensverkeer tussen
alle betrokken partijen, kunnen administratieve lasten worden verlaagd en lijkt de kans
op fouten te worden verminderd. Mogelijk zijn er alternatieven voor het gebruik van het
BSN die minder ingrijpend zijn (dat wil zeggen, waar geen unieke identifier wordt
gebruikt voor het uitwisselen van gegevens).
Risico’s
Ook bij dit type gebruik van het BSN zijn privacyrisico’s aanwezig.
Gegevensuitwisseling op basis van een uniek persoonsnummer verhoogt de kans op
koppelingen tussen gegevens die voorheen gescheiden waren. Het gebruik van het BSN
bij het gegevensverkeer betekent dat een uniek gebonden persoonsnummer voor steeds
meer doeleinden, in meerdere sectoren en door een groeiend aantal partijen kan worden
gebruikt. Hoewel de kans op fouten wellicht afneemt (gegevens hoeven maar 1 keer te
worden ingevoerd), zijn de gevolgen van een fout waarschijnlijk groter. De fout kan
zich sneller verspreiden door de verschillende systemen en bij verschillende partijen.
Daarnaast is het voor een burger moeilijk te overzien waar de fout is gemaakt en hoe de
fout kan worden gecorrigeerd. Ten derde verwachten de onderzoekers bij een breder
gebruik van het BSN dat de kans op identiteitsfraude (door illegaal gebruik te maken
van andermans BSN) toeneemt: ‘door de veel bredere toepassing van het BSN zal deze
vorm van identiteitsdiefstal aanzienlijk lucratiever worden en dus vaker voorkomen en
grotere gevolgen hebben’.31 Tijdens de invoering van het BSN vormden deze punten
ook onderdeel van de bezwaren die door het College Bescherming Persoonsgegevens
(CBP) werd aangevoerd32.
31
Brief CBP z2005-1198. Inzake Voorstel van Wet algemene bepalingen burgerservicenummer (30 312) aan
de leden van de Vaste Commissie voor Binnenlandse Zaken en Koninkrijksrelateis Tweede Kamer. 25-10-
2008.
32
Zie voetnoot 32.
TNO-rapport | 23 / 46
3.3 Wens 3 en 4: Gebruik van de beheervoorziening BSN (o.a. voor nakomen publieke
taken)
Doel
De wens om gebruik te maken van de BV BSN betreft het verkrijgen van zekerheid
over de geldigheid van de gegevens die gebruikt worden voor de identificatie. Het doel
is gerelateerd aan het type verificatievraag dat wordt gesteld. Deze valt in twee typen
uiteen:
− Het verifiëren van de geldigheid van het identiteitsbewijs en / of het opgegeven
BSN stimuleert een juiste identificatie van een klant en beperkt verschillende
mogelijkheden tot fraude.
− Het ophalen en verifiëren van bijbehorende identificerende gegevens zou het
mogelijk maken om oninbare vorderingen wegens ‘zoekgeraakte klanten’ toch te
innen.
Kosten
Ook voor dit type gebruik kunnen de kosten als gemiddeld tot laag worden ingeschat.
Er kan immers gebruik worden gemaakt van een bestaand systeem (BV BSN). Met een
grotere bevraging van het systeem kunnen de kosten voor het gebruik van systeem wel
toenemen. Organisaties dienen voor dit type gebruik te worden aangesloten op de
beheervoorziening (BV BSN).
Baten
De kosten van fraude met schadeverzekeringen worden geschat op € 900 miljoen per
jaar. Het is onduidelijk in welke mate een juiste identificatie dit schadebedrag terug kan
dringen. Het is duidelijk dat het eenvoudiger kunnen nakomen van de herendiensten
efficiëntievoordeel oplevert. Partijen hebben echter geen kwantificatie van deze
voordelen gegeven.
De omvang van het aantal oninbare vorderingen werd in 2006 geschat op 2,6%. Het is
onduidelijk met welk bedrag deze 2,6% gemoeid is. Identificatie via BSN en de BV
BSN zou deze fraude mogelijk kunnen verminderen. Dit argument geldt echter alleen
als de achterliggende gegevens uit de GBA correct zijn. Het ophalen en verifiëren van
bijbehorende identificerende gegevens biedt ook andere voordelen, waaronder gemak
voor de klant. Een voorbeeld is de attestatie de vitae, waarbij de klant ouder dan 65 jaar
niet ieder jaar meer hoeft aan te tonen dat hij/zij inderdaad ouder is dan 65 jaar.
TNO-rapport | 24 / 46
Risico’s
Evenals de baten, hangen ook de mogelijke risico’s samen met het soort verificatievraag
dat wordt gesteld. Bij het verifiëren van de geldigheid van het identiteitsbewijs en / of
het opgegeven BSN lijken de risico’s met het oog op de bescherming van privacy
beperkt. Organisaties verkrijgen geen additionele informatie op basis van deze vraag; er
wordt alleen teruggegeven of het overhandigde bewijs geldig is. Dit verandert wanneer
ook bijbehorende identificerende gegevens kunnen worden opgehaald. Deze gegevens
zijn privacygevoelig. Deze vragen maken het mogelijk om deze gegevens toe te voegen
aan de administratiesystemen van private partijen en mee te nemen in het combineren
en analyseren van data. Bovendien lijken hier zowel de kosten als baten beperkt (2,6%
oninbare vorderingen). Mogelijk zijn ook hier alternatieven mogelijk die minder
ingrijpend zijn om tot hetzelfde doel te komen (zie hoofdstuk vier).
Doel
Het op ieder moment kunnen beschikken over de juiste NAW gegevens, en eventueel
andere gegevens (nationaliteit).
Kosten
De te maken kosten voor permanente toegang tot het GBA zullen verschillen per
organisatie. Vooral in de financiële sector, voor zover het gaat om ondernemingen met
een wettelijke taak, bestaat de ‘open verbinding’ (real-time) met het GBA al en zullen
er weinig additionele kosten nodig zijn. Organisaties die nog niet op het GBA zijn
aangesloten, zullen hun elektronische communicatiesystemen zo moeten inrichten dat
ze gebruik kunnen maken van de zogenaamde afnemerslijsten.
Baten
Het belangrijkste voordeel van een permanente toegang tot het GBA is het actueel
houden van de klantadministratie. Daarnaast betekent dit voor organisaties die nu al een
dergelijke ‘open verbinding’ hebben – vaak in relatie tot het uitvoeren van een
specifieke taak (zoals uitkering van pensioenen) – dat ze deze actuele informatie dan
ook voor andere doeleinden kunnen gebruiken. Een veel genoemd voorbeeld uit de
interviews is dat een verzekeraar op de hoogte is van het overlijden van een klant, maar
deze informatie niet mag gebruiken in relatie tot andere verzekeringsproducten die de
betreffende klant bij de verzekeraar heeft. Het is echter ook mogelijk om deze gegevens
via andere wegen te verkrijgen, bijvoorbeeld via deurwaarders of andere derde partijen
(zoals Experian).
TNO-rapport | 25 / 46
Risico’s
Een voortdurende toegang tot het GBA door verschillende partijen brengt bepaalde
risico’s met zich mee. Adres, woonplaats en andere gegevens uit het GBA (zoals
nationaliteit) zijn privacygevoelige informatie. Het verstrekken van deze informatie zou
gebonden moeten worden aan een belangenafweging, waarbij de belangen van het
verstrekken afgewogen dienen te worden tegen de belangen van het individu waar om
het gaat. Bij het voortdurend en automatisch verstrekken van deze gegevens worden
ongewenste inbreuken op de persoonlijke levenssfeer (op verschillende manieren) snel
gemaakt.
Doel
Een algemeen geaccepteerd systeem (zie paragraaf 1.4.3) om online personen te
identificeren en authenticeren, conform de wens die is geuit door online handelaars.
Kosten
Het ontwerpen en onderhouden van een dergelijk systeem brengt kosten met zich mee.
Als het gaat om een systeem, dat direct of indirect (eventueel deels) door de overheid
gefinancierd en in stand gehouden wordt, dan draagt de overheid (de belastingbetaler)
deze kosten. Bij een privaat systeem worden die kosten privaat gedragen. Afhankelijk
van het business-model leveren de gebruikers een bijdrage, bijvoorbeeld per keer dat ze
het systeem gebruiken. Hoe hoog de kosten zijn, is niet duidelijk. Op dit moment wordt
er internationaal onderzoek gedaan naar een dergelijk systeem.
Baten
Eenvoudigere manieren van online identificatie kunnen de kosten voor online
dienstverleners verlagen. Dit betreft zowel efficiëntie door digitalisering van papieren
processen (bijvoorbeeld het niet meer per post hoeven sturen van paspoort en
contracten) als het feit dat er minder personeel nodig zal zijn om de overhandigde
credentials van klanten te controleren of hiervoor derde partijen in te huren. Bovendien
kunnen alternatieve, laagdremplige manieren voor online identificatie en authenticatie
de toetreding van nieuwkomers in de markt bevorderen. Op dit moment zijn deze
alternatieven nog niet in gebruik. In zijn algemeenheid kan worden beredeneerd dat
eenvoudiger toetreden tot de markt de dynamiek in die markt verhoogt. Het
kwantificeren van de verwachte positieve effecten is echter lastig omdat systeem er nog
niet is.
Risico’s
De risico's voor de privacybescherming hangen af van het ontwerp van het systeem. Via
de wet kunnen eisen gesteld aan de inrichting. Als er verschillende systemen naast
elkaar bestaan (zoals bij de creditcard), dan heeft de klant de keuze. Mogelijk laat hij
het belang van de privacy daarbij meewegen.
TNO-rapport | 26 / 46
3.6 Conclusie
Uit ons onderzoek blijkt bij de financiële sector een behoefte voor medegebruik van het
BSN en andere bijbehorende diensten (BV BSN, permanente toegang tot het GBA). Uit
bovenstaande analyse wordt duidelijk dat de voordelen verbonden aan een ruimer
gebruik van het BSN vooral gericht zijn op kostenbesparing bij de interne
bedrijfsvoering. Andere mogelijke voordelen bestaan uit de beperking van
fraudemogelijkheden, het terugbrengen van het aantal oninbare vorderingen (als
onderliggende gegevens uit het GBA kloppen) en het nakomen van publieke taken (de
zogenaamde herendiensten).
De voordelen van een mogelijk ruimer gebruik van het BSN liggen voor deze
ondernemingen vooral bij een (beperkte) besparing op administratieve kosten en in het
beperken van fouten. Hier wordt geen grote economische impuls van verwacht. Daar
komt bij dat de risico’s voor het beschermen van de persoonlijke levenssfeer toenemen
doordat een uniek persoonsgebonden identificatienummer voor steeds meer doeleinden,
in meer sectoren en door een groeiend aantal partijen kan worden gebruikt.
Onderzoekers kunnen zich vinden in de analyse van het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties uit 200833, dat het hier gaat om een privaat belang van de
ondernemingen en niet om een algemeen maatschappelijk belang. Er zijn risico’s voor
de bescherming van de persoonlijke levenssfeer aan een ruimer gebruik van een unieke
identifier (het BSN) (zie vorige paragrafen). Daarnaast zijn alternatieven denkbaar waar
ondernemingen kunnen besparen op de kosten van administratie en waarbij de risico’s
van privacyschendingen lager zijn (zoals klantnummers, rekeningnummers of naam in
combinatie met geboortedatum). Ondernemingen zouden zelf bijvoorbeeld ook unieke
nummers kunnen toewijzen aan klanten door gebruik te maken van sterkere vormen van
identiteitsmanagement en bijbehorende systemen. Voor het nakomen van de publieke
taken (de herendiensten) zijn ondanks de voordelen van gebruik van het BSN dezelfde
risico’s zichtbaar. Hier zou gezocht kunnen worden naar andere methoden waarbij deze
risico’s verkleind worden. Hier wordt in het volgende hoofdstuk aandacht aan besteed.
Een economische impuls kan mogelijk wel worden verwacht als het vaststellen van de
identiteit op internet in zijn algemeenheid makkelijker wordt. Dit kan de dynamiek en
handel op internet bevorderen.
33
TK 2007 2008 30 312 Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het
burgerservicenummer (Wet Algemene Bepalingen burgerservicenummer). 03-03-2008.
TNO-rapport | 27 / 46
4.1 Inleiding
Op basis van hoofdstuk twee kunnen een aantal ontwerpeisen worden geformuleerd
voor deze alternatieven die zowel overheden, bedrijfsleven als burgers delen:
meervoudig gebruik van bestaande middelen voor gemak en efficiëntie, eenvoud
(gebruikersvriendelijkheid), veilige opslag van gegevens en waarborging van privacy
van burgers en klanten. Dit laatste betekent bijvoorbeeld dat zo min mogelijk gebruik
maken van unieke identifiers. Een andere overweging is dat niet om meer attributen (zie
paragraaf 1.4) wordt gevraagd dan strikt noodzakelijk. Deze aspecten spelen een rol bij
de geselecteerde alternatieven. In dit hoofdstuk schetsen wij drie alternatieven, om een
goed (maar zeker niet compleet) beeld te geven van wat er mogelijk is.
− Denkmodel DigiD: een concept gebaseerd op DigiD, maar waar voor iedere sector
een ander persoonlijk sectoraal nummer wordt gebruikt. Idealiter is dit nummer niet
terug te herleiden tot het BSN, en ook niet om te rekenen is naar een ander sectoraal
nummer.
34
Valkenburg, P. en Jurg, P. (2007) Identity Management. Omgaan met Elektronische identiteiten. Sdu
Uitgeves. Den Haag.
TNO-rapport | 28 / 46
Deze opties worden hieronder nader beschreven. Per systeem volgt een analyse op basis
van de volgende beoordelingscriteria.
o Functionaliteit: Hier beoordelen we het algemene functioneren van het
systeem, en wordt beschreven het in hoeverre aan de wensen van het
bedrijfsleven tegemoet komt.
Voorts kan de overheid het ontstaan van een gemakkelijk (privaat) systeem van
identificatie aanjagen door subsidies, door wettelijke eisen op te stellen waar een
dergelijk systeem aan moet voldoen en door zelf gebruik te maken van een betrouwbaar
systeem, als het door private partijen is opgezet. Bij de Open Identity Exchange35 in de
VS speelt de overheid een belangrijke rol bij het reguleren en gebruiken van methoden
35
http://openid.net/2010/03/03/open-identity-exchange-commences-open-government-pilot-national-
institutes-of-health/
TNO-rapport | 29 / 46
4.2.1 Beschrijving
In theorie is het mogelijk om van DigiD over te gaan naar een sectoraal DigiD model.
waarbij na succesvolle identificatie en authenticatie van de gebruiker niet langer het
BSN wordt doorgegeven, maar een persoonlijk sectoraal nummer. Voor iedere sector is
dit een ander persoonlijk sectoraal nummer (zie Figuur 1: Sectoraal gebruik DigiD).
Idealiter is dit nummer niet terug te herleiden is tot het BSN, en ook niet om te rekenen
is naar een ander sectoraal nummer. Details hierover ontbreken echter nog.
Voor het bepalen van een sectoraal nummer bestaat (gegeven de identiteit van een
gebruiker) een aantal mogelijkheden.36 In het eenvoudigste geval wordt er een database
met gebruikers aangemaakt met voor iedere gebruiker de gekozen sectorale nummers,
opgeslagen per sector code.
36
J.-H. Hoepman. “Revocable Privacy”. Privacy & Informatie, 11(3):114-118, June 2008
TNO-rapport | 30 / 46
Door de gehanteerde cryptografische functie is het BSN niet te herleiden, en is het ook
niet mogelijk om gegeven een sectoraal nummer, het sectorale nummer van dezelfde
gebruiker in een andere sector te berekenen.
Dit laatste kan trouwens in bepaalde gevallen als een beperking worden gezien. Immers,
bij het samengaan van twee bedrijven uit twee verschillende sectoren, is niet te bepalen
of twee klanten van die twee bedrijven overeenkomen met één en dezelfde persoon.
Voor dit probleem bestaan alternatieven.38 Daarnaast kan, uit opsporingstechnisch
oogpunt (voor bijvoorbeeld fraudebestrijding) het niet kunnen herleiden van het BSN
ook als een beperking worden gezien. Als dat zo is, dan kan er ook voor worden
gekozen om in plaats van een hashfunctie h gebruik te maken van versleuteling van het
BSN met een door een trusted third party (TTP) beheerde sleutel39. Hierdoor kan het
BSN weer worden achterhaald door de daarvoor aangewezen partij.
De werking van dit DigiD denkmodel zou verder conceptueel vergelijkbaar kunnen zijn
met de oorspronkelijke versie van DigiD, maar er zal waarschijnlijk gebruik gemaakt
worden van gestandaardiseerd berichtenverkeer (SAML 2.040).
Dit DigiD denkmodel zou een publiek systeem kunnen zijn: het wordt door de overheid
betaald en in stand gehouden. Privaat medegebruik zou zich kunnen beperken tot de
sectoren, waarvoor sectorale nummers bestaan.
37
Voor zo’n functie is de inverse moeilijk te berekenen. Normaliter, als ik de waarde f(x) van de functie f op
x kan uitrekenen (bijvoorbeeld f(x)=x+2) dan kan ik de inverse x van f(x) ook uitrekenen (dat is dan namelijk
f(x)-2). Voor een cryptografische hashfunctie h is dat dus niet het geval. Gegeven h(bsn) is het onmogelijk
om bsn uit te rekenen.
38
Voor meer informatie, zie G. Moniava, “Extending DigiD to the Private Sector (DigiD-2)”, Master’s
thesis, Department of Mathematics and Computing Science, Technische Universiteit Eindhoven, 2008.
39
Zie voetnoot 31.
40
Voor meer informatie, zie Oasis Group, “Security Assertion Markup Language (SAML) V2.0 Technical
Overview”, 25 March 2008
TNO-rapport | 31 / 46
4.2.2 Analyse
Functionaliteit Dit systeem kan een sectoraal nummer als identifier gebruiken. Idealiter
is deze identifier niet te herleiden tot het BSN, of tot een sectoraal nummer voor
dezelfde gebruiker in andere sector. Dit maakt uitwisseling van gegevens over klanten
tussen verschillende (private en publieke) partijen in een keten en uitwisseling met de
overheid alleen binnen de sector mogelijk. Het ondersteunt dan niet het uitwisselen van
gegevens tussen partijen uit verschillende sectoren. Deze ontkoppeling van bestanden
en sectoren maakt fraude bestrijden of voorkomen door achter de ware identiteit van
een gebruiker te komen lastig.
Bij dit DigiD denkmodel zouden er gradaties van “identificeerbaarheid” kunnen worden
aangeboden. Zo kan een gebruiker bijvoorbeeld alleen worden gevraagd om een
bepaalde eigenschap (bijvoorbeeld of deze ouder is dan 18 jaar) te vragen. In de huidige
opzet van DigiD wordt een vaste set aan attributen gevraagd die niet in elke context
noodzakelijk zal zijn. De architectuur van een dergelijk systeem zal waarschijnlijk
DigiD-specifiek blijven en niet gebaseerd zijn op open standaarden.
Met dit systeem wordt het BSN dan niet doorgegeven aan private partijen. Het zal
daarmee niet tegemoet komen aan de wens van gevestigde partijen in de financiële
sector om het BSN als intern ordeningsinstrument te kunnen gebruiker (wens 1). Als
een sectoraal nummer wordt gebruikt als identifier van klanten en burgers, ondersteunt
het wel de wens voor gegevensverkeer tussen partijen (zowel publiek als privaat)
binnen een keten en/of sector (wens 2). Het is dan ook mogelijk om klanten te
identificeren en authenticeren en de verplichtingen voortvloeiend uit de zogenaamde
herendiensten na te komen (wens 3 en 4). Het denkmodel DigiD zal waarschijnlijk niet
de toegang tot het GBA regelen (zie ook genoemde wettelijke kaders in hoofdstuk twee
rondom het gebruik van het GBA).
Haalbaarheid Juridisch lijken er minder bezwaren aan het denkmodel DigiD te kleven,
omdat het BSN niet wordt doorgegeven aan partijen. Dit hangt echter wel af van de
precieze manier waarop de sectorale nummers in de praktijk gegenereerd gaan worden.
Technisch gezien zijn er geen problemen te verwachten.
Overige afwegingen De openheid van het DigiD denkmodel zal ten aanzien van DigiD
verbeteren door het gebruik van SAML 2.0 als berichtenstandaard. De architectuur en
het ontwerp van denkmodel DigiD zal waarschijnlijk niet gebaseerd zijn op open
standaarden.
Aantrekkelijkheid voor burgers en bedrijfsleven: ten opzichte van DigiD lijkt het
denkmodel DigiD voor de bescherming van privacy van burgers een aantrekkelijker
alternatief. Er wordt gewerkt met sectorale gegevens, in plaats van met het BSN. Dit
betekent dat gegevens niet zo gemakkelijk gekoppeld kunnen worden en bovendien
minder gemakkelijk in handen van derden komen. De aantrekkelijkheid hangt ook af
van welke gegevens worden doorgegeven. Het systeem kan een oplossing bieden voor
een aantal van de geïdentificeerde risico’s in hoofdstuk drie op het gebied van de
privacybescherming Ook kan op deze manier een steeds algemener gebruik en
verspreiding van het BSN bij steeds meer partijen worden voorkomen. Aan de andere
kant sluit de gebruikersvriendelijkheid van dit systeem echter niet volledig aan bij de
wensen van private partijen en klanten. Dit betreft vooral het aanmaken van een account
(als dit op dezelfde manier gebeurt als bij het huidige DigiD systeem).
4.3.1 Beschrijving
41
Federal Chancellery, ICT Strategy Unit “Administration on the Net. An ABC Guide to E-Government in
Austria”, January 2006; Herbert Leitold, Arno Hollosi, Reinhard Posch “Security Architecture of the
Austrian Citizen Card Concept”, 18th Annual Computer Security Applications Conference (ACSAC 2002),
9-13 December 2002, Las Vegas, NV, USA. IEEE Computer Society, pp 391-402; R. Posch. “What Is
Needed to Allow e-Citizenship?” R. Traunmüller and K. Lenk (Eds.): EGOV 2002, LNCS 2456, pp. 45–51,
2002.
TNO-rapport | 33 / 46
42
www.buergerkarte.at
43
www.a-sit.at
44
IDABC (2009) eID Interoperability for PEGS: update of Country Profiles Study: Austrian Country
Profile. July 2009
45
Idem.
46
Federale Overheidsdienst Economie (2008) Toekomstgerichte studie over de potentiële economische
mogelijkheden van het gebruik van de identiteitskaart en de elektronische handtekening. FOD, België.
TNO-rapport | 34 / 46
Tabel 2: Overzicht penetratie en daadwerkelijk gebruik van 3 typen implementaties, op basis van IDABC
(2009)
De Bürgerkarte bevat een zogenaamde Person Identity Link47. Dit is in essentie een in
SAML formaat opgeslagen certificaat dat de naam, geboortedatum en een zogenaamde
sourcePIN als identificerende gegevens bevat, en tenminste één publieke sleutel bevat.
Het certificaat is ondertekend door de sourcePIN Register Authority.
De sourcePIN is een uniek, persoonsgebonden nummer. In feite is het niet meer dan het
versleutelde ZMR (Zentrales Melderegister) nummer, wat overeenkomt met ons
Burgerservicenummer (BSN). Een sourcePIN is dus in theorie terug te herleiden naar de
bijbehorende ZMR, als de encryptiesleutel bekend is. Deze sleutel wordt beheerd door
de sourcePIN Register Authority, welke een onderdeel is van de Oostenrijkse Data
Protection Commission.
47
Holosi, Karlinger “XML Definition of the Person Identity Link” version 1.2.2, 2005-02-14, Federal Staff
Unit for ICT Strategy, Technology and Standards.
TNO-rapport | 35 / 46
Voor identificatie wordt nooit direct de sourcePIN gebruikt. In plaats daarvan wordt een
sector-specific Personal Identifier (ssPIN) gebruikt. Deze wordt berekend uit de
sourcePIN van de gebruiker en een sectornummer dat overeenkomt met de sector van
dienst waar de gebruiker zich aanmeldt. Dit is dus vergelijkbaar met de sectorale
nummers van het denkmodel DigiD. In Oostenrijk wordt voor het berekenen van de
ssPIN uit de sourcePIN een hashfunctie gebruikt, zodat de sourcePIN nooit meer te
berekenen is gegeven de ssPIN.
Het aanmelden en authenticeren bij een dienst verloopt als volgt (zie Figuur 2:
Oostenrijkse "citizen card"). Authenticatie van de gebruiker wordt afgehandeld door de
MOA-ID (waar MOA staat voor Module for Online Applications). Voor authenticatie
wordt de Bürgerkarte gebruikt. Deze zet een handtekening over de challenge die hij
ontvangt van de MOA-ID, en als deze handtekening klopt, zet de MOA-ID de
bijbehorende sourcePIN (die hij uit de Identity Link haalt) om naar de ssPIN voor de
dienst.
Net zoals bij het denkmodel Digid gaat het hier om een systeem dat door de overheid
ontwikkeld is. In het Oostenrijkse systeem kunnen private partijen gebruik maken van
het systeem met eigen diensten (zoals de bankkaarten).
TNO-rapport | 36 / 46
4.3.2 Analyse
Functionaliteit Door het gebruik van een sectoraal nummer (de ssPIN) dat als
identificatie overheidswege in stand wordt doorgegeven aan de afnemende dienst, en de
gebruikte versleuteling, is uitwisseling van gegevens over klanten tussen partijen alleen
binnen dezelfde sector mogelijk. Deze ontkoppeling van bestanden en sectoren maakt
fraude bestrijden of voorkomen (door op één of andere manier achter de ware identiteit
van een gebruiker te komen) lastig.
Met dit systeem wordt de unieke identifier niet meegegeven aan private partijen. Het
komt daarmee niet tegemoet aan de wens van gevestigde partijen in de financiële sector
om het BSN als intern ordeningsinstrument te kunnen gebruiker (wens 1). Het
Oostenrijkse systeem ondersteunt, net als het denkmodel DigiD, wel de wens voor
gegevensverkeer tussen partijen (zowel publiek als privaat) binnen een keten en/of
sector (wens 2). Met dit systeem is het ook mogelijk om klanten te identificeren en
authenticeren en de verplichtingen op basis van de zogenaamde herendiensten na te
komen (wens 3 en 4). Het systeem regelt niet de toegang tot het GBA (zie ook
genoemde wettelijke kaders in hoofdstuk twee rondom het gebruik van het GBA). Een
bijkomend voordeel is dat het systeem is bedoeld om synergie te creëren door gebruik
van het systeem door de private sector. Hierdoor zou ook de waarde voor burgers (en
klanten) kunnen toenemen.
4.4.1 Beschrijving
Het 4-partijen model is gebaseerd op een andere manier van elektronische herkenning
van burgers en/of bedrijven48. Aanleiding voor de ontwikkeling van dit model is dat er
in de huidige situatie vele verschillende manieren voor online identificatie en
authenticatie zijn, die niet allemaal veilig en betrouwbaar zijn. Daarnaast is de grote
verscheidenheid aan gebruikte authenticatiemiddelen (tokens, kaarten e.d.) onhandig en
niet efficiënt. Nu steeds meer transacties online plaats vinden, kan deze situatie de kans
op fraude en het wantrouwen bij gebruikers vergroten. Het doel van 4-partijenmodel is
dat er gedeeld gebruik wordt gemaakt van (bestaande) middelen om gebruikers online
te identificeren en authenticeren. Voorbeelden zijn de authenticatiemiddelen die de
banken gebruiken, of middelen die de overheid gebruikt. Het model is technologie
neutraal.
Private partijen kunnen profiteren van de ontwikkeling van dit model: partijen zijn
minder afhankelijk van het uitgeven van eigen authenticatiemiddelen. Dit is ook voor
kleine en nieuwe dienstverleners van belang.49 Hierdoor zou een impuls gegeven
kunnen worden gegeven aan de online handel.
In dit model werken markt en overheid samen in een open netwerk. Beide kanten van
het netwerk kunnen door marktpartijen worden ingevuld en ontwikkeld. De overheid
treedt hier op in een kaderstellende rol, en is afnemer van authenticatie-dienstverlening.
De uitwerking hiervan wordt in Figuur 4 geschetst.
48
Leendert Bottelberghs, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport.
49
Zie bijvoorbeeld CapGemini (2008) Vraagstuk eHerkenning: Bedrijven en Instellingen. Rapport in
opdracht van ICTU, Programma Machtiging- en Vertegenwoordigingsvoorziening (GMV).
TNO-rapport | 38 / 46
Het 4-partijen model maakt gebruikt van een zogenaamd ‘scheme’ (oftewel spelregels).
In dit 4-partijen model wordt het concept van een “payment scheme” toegepast zoals
dat onder meer gebruikt is in de wereld van de credit cards.50. In dit model voor
identiteitsmanagement wordt de traditionele rol van identiteitsidentiteitsprovider (IdP)
gesplitst in twee onafhankelijke rollen. De eerst rol is die van uitgever (issuer) van
identificerende middelen (tokens, certificaten, username-password combinaties, en
dergelijke). De tweede rol is de rol van acceptant (acquirer, relying party) van
identificerende middelen. De gebruiker kiest een issuer naar eigen keuze en heeft dus
een zakelijke relatie met de issuer en kan meerdere identiteitsproviders hebben.
Onderdeel van de overeenkomst is het vastleggen van een identiteit, en de keuze van het
bijbehorende authenticatiemiddel. In theorie heeft de gebruiker binnen dit model een
totaal vrije keuze van identiteitsprovider (openID, cardspace, een bank token, e.d.), voor
zover deze door de belangrijkste acquirers ondersteund worden (zie onder).
Een dienstaanbieder kiest een acquirer, en heeft een zakelijke relatie met de acquirer.
De acquirer biedt de dienstverlener de mogelijkheid om een verschillende
authenticatiemiddelen te kunnen accepteren, zonder dat de dienstverlener zelf
onderscheid hoeft te maken of daarvoor actief ondersteuning hoeft te bieden. De
acquirer kiest voor een binnenkomend authenticatiemiddel zelf de issuer die dat middel
kan verifiëren, en stuurt het authenticatiemiddel ter verificatie door aan desbetreffende
issuer. Als alles klopt, stuurt de acquirer een desbetreffend bericht door aan de acquirer,
samen met de identiteit van de gebruiker.
50
Leendert Bottelberghs, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport.
TNO-rapport | 39 / 46
4.4.2 Analyse
aan de wensen van organisaties als ook het kunnen beschermen van de klant / burger51.
Voor organisaties is het vrij toegankelijk en er ontstaat dan een algemeen geaccepteerd
systeem voor identificatie en authenticatie.
51
Leendert Bottelberghs, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport.,
CapGemini (2008) Vraagstuk eHerkenning: Bedrijven en Instellingen. Rapport in opdracht van ICTU,
Programma Machtiging- en Vertegenwoordigingsvoorziening (GMV).
52
Federale Overheidsdienst Economie (2008) Toekomstgerichte studie over de potentiële economische
mogelijkheden van het gebruik van de identiteitskaart en de elektronische handtekening. FOD, België.,
Leendert Bottelberghs, Chiel Liezenberg: Verkenning e•Herkenning DigiD als Scheme, Innopay rapport.,
TNO-rapport | 41 / 46
4.5 Conclusie
De sectorale opzet van het denkmodel DigiD heeft als voordeel dat het BSN niet wordt
meegegeven aan private partijen terwijl er wel online identificatie en authenticatie van
burgers en klanten mogelijk is. Daarnaast wordt gegevensuitwisseling tussen partijen
binnen dezelfde sector mogelijk, maar omdat er wordt gewerkt met sectorale nummers
kunnen gegevens tussen sectoren niet zo gemakkelijk gekoppeld worden. Een steeds
algemener gebruik en verspreiding van het BSN bij steeds meer (private) partijen kan
zo worden voorkomen. Aan de andere kant betekent dit wel dat binnen één sector
(bijvoorbeeld de financiële sector) gebruikers nog steeds traceerbaar en koppelbaar zijn.
De sectorale opzet van het denkmodel DigiD neemt de privacyrisico’s bij privaat
medegebruik slechts ten dele weg. Andere nadelen van deze oplossing zijn een mogelijk
beperkte ervaren gebruiksvriendelijkheid, en dat er geen gradaties van
identificeerbaarheid worden aangeboden. De architectuur van het systeem zal
waarschijnlijk DigiD-specifiek blijven; het is niet gebaseerd op open standaarden.
De Oostenrijkse Bürgerkarte kent grotendeels dezelfde voor- en nadelen als het DigiD
denkmodel. Wel kent het Oostenrijkse systeem een aantal extra voordelen, zoals meer
functionaliteiten, zoals elektronische handtekeningen, open standaarden en open voor
gebruik door private partijen. Tegelijkertijd blijkt dat het daadwerkelijke gebruik van
het Oostenrijkse systeem zowel door ondernemers als door burgers nog relatief laag is.
Mogelijk zijn genoemde oorzaken uit België (complexiteit en onvoldoende
gebruiksvriendelijkheid, gebrek aan informatie over de mogelijkheden en wantrouwen
bij de eindgebruikers) ook een verklaring voor het relatief lage gebruik van dit systeem.
Hiervoor is nader onderzoek nodig.
Het vier-partijen model heeft als voordeel dat het meer flexibiliteit biedt ten opzichte
van de bovenstaande alternatieven. Verschillende identiteitsproviders en acquirers met
verschillende wijzen van authenticatie kunnen in dit systeem naast elkaar bestaan.
Afhankelijk van de context en type dienst kan voor een bepaalde identity provider en
acquirer worden gekozen. Ook kunnen kleine partijen en nieuwe toetreders gebruik
maken van een al bestaande infrastructuur hetgeen de dynamiek in de markt verhoogt
en de handel op internet mogelijk een impuls zou kunnen krijgen. Aan de andere kant
zijn de vertrouwensrelaties in dit systeem complexer. Ook het ondersteunen van
verschillende technieken voor online identificatie en authenticatie maken de technische
realisatie van het systeem complex. Om in de toekomst te kunnen voldoen aan de
wensen van burgers, overheid en private partijen op het gebied van online identificatie
en authenticatie lijkt het gebruik van het 4-partijen model de meeste aanknopingspunten
te bieden. Dit is wel afhankelijk van hoe het systeem wordt ingericht. Een aanzet tot de
TNO-rapport | 42 / 46
ontwikkeling van een 4-partijenmodel is het netwerk voor eHerkenning.53 Het betreft
hier een relatief nieuw concept in de wereld van identiteitsmanagement. Gezien de
complexiteit en onzekerheden over de technische realisatie hiervan en de daaruit
voortvloeiende privacy en beveiligingsrisico’s is nader onderzoek daarom gewenst. In
2009 is op dit onderwerp een nieuw onderzoek vanuit de Alliantie Vitaal Bestuur
gestart door TNO, TILT en Universiteit Twente.
53
Ministerie van Economische Zaken “Netwerk voor eHerkenning”, brochure, April 2009.
TNO-rapport | 43 / 46
5 Conclusie en aanbevelingen
De kennisvraag betrof de potentiële inzet van BSN, DigiD en PIP als instrumenten van
e-dienstverlening naar bedrijven en burgers. Met deze stap zouden private instanties
toegang krijgen tot de gegevens die aan deze instrumenten ten grondslag liggen (en ze
mogelijkerwijs ook kunnen aanvullen). Uit het onderzoek is gebleken dat de wensen en
behoeften van het bedrijfsleven vooral gericht zijn op het ruimer gebruik van BSN met
oog op de interne bedrijfsvoering. Daarnaast is er behoefte aan eenvoudige manieren
van online identificeren.
6 Referenties
Actal (2007) Verslag van de bijeenkomst ‘BSN in het bedrijfsleven’. Den Haag. 11-06-
2007.
Alliantie Vitaal Bestuur (2008) Kennisvragen aan de Alliantie Vitaal Bestuur 2008.
Door: BZK, EZ en de Belastingdienst
Federal Chancellery, ICT Strategy Unit “Administration on the Net. An ABC Guide to
E-Government in Austria”, January 2006.
Hansen, M., Pfitzmann, A., Steinbrecher, S.. (2008) Identity management throughout
one’s whole life. Information Security Technology Report, Volume 13-2, pp. 83-94
Hildebrandt, M. & Gutwirth, S. (Eds) (2008) Profiling the European Citizen: Cross-
Disicplinary perspectives. Springer.
Hoepman, J.H.. “Revocable Privacy”. Privacy & Informatie, 11(3):114-118, June 2008.
TNO-rapport | 45 / 46
Holosi, Karlinger “XML Definition of the Person Identity Link” version 1.2.2, 2005-02-
14, Federal Staff Unit for ICT Strategy, Technology and Standards.
IDABC (2009) eID Interoperability for PEGS: update of Country Profiles Study:
Austrian Country Profile. July 2009. http://ec.europa.eu/idabc/servlets/Doc?id=32296
Leitold, H., Arno Hollosi, Reinhard Posch “Security Architecture of the Austrian
Citizen Card Concept”, 18th Annual Computer Security Applications Conference
(ACSAC 2002), 9-13 December 2002, Las Vegas, NV, USA. IEEE Computer Society,
pp 391-402.
Ministerie van Financiën. Brief van de Minister van Financiën FM 2008-1851 M inzake
Wetsvoorstel in voorbereiding aan de Tweede Kamer der Staten Generaal. 03-09-2008
Neuman, B.C. and Ts'o, T. (1994). Kerberos: An Authentication Service for Computer
Networks, IEEE Communications, 32(9):33-38. September 1994.
Solove, D. (2004) The digital person: Technology and privacy in the information age.
NYU Press: New York.