Wetsvoorstel online authenticatie mist essentiële onderdelen

Marktpartijen kregen de kans mee te denken over de nieuwe Wet generieke digitale infrastructuur (GDI). Deze consultatie was ook wel nodig, want het concept is op verschillende punten nog niet goed genoeg uitgedacht.
Thea van Oosterhout.jpg

In Nederland zijn we al jaren gewend om via DigiD in te loggen bij overheidsdiensten. Dat gaat veranderen door de Europese eIDAS-verordening; de Nederlandse overheid moet nu de betrouwbaarheid en veiligheid van online authenticatiemiddelen onder de loep nemen. Het huidige DigiD blijkt bijvoorbeeld niet te voldoen aan de nieuwe standaarden.

Ecosysteem
De overheid heeft hiervoor een speciale wet in het leven wordt geroepen. Deze Wet generieke digitale infrastructuur (GDI) creëert een ecosysteem aan authenticatiemiddelen die worden gebruikt door de overheid en organisaties die administreren op basis van Burgerservicenummers (BSN), zoals zorg-, pensioen- en inkomensverzekeraars.

Marktpartijen kregen de kans mee te denken over deze wet. Deze consultatie was ook wel nodig, want het concept is op verschillende punten nog niet goed genoeg uitgedacht. Grofweg zijn er drie onderdelen die nog aan duidelijkheid te wensen over laten: de inrichting, de businessmodellen en de techniek.

Aanbod
Dienstaanbieders zoals overheden en verzekeraars zijn erbij gebaat dat de burger en consument de keuze heeft tussen verschillende authenticatiemiddelen. Middels authenticatie kunnen verzekeraars het digitale dienstenaanbod uitbreiden en identiteitsfraude en gegevensdiefstal tegengaan. Deze wet betekent echter wel dat ze verschillende inlogmiddelen zullen moeten aanbieden. Zogeheten ontsluitingsdiensten kunnen helpen door al deze middelen te ontsluiten via één connectie.
In het wetsvoorstel is onvoldoende duidelijkheid over de spelregels en dus het businessmodel van deze ontsluitingsdiensten. Als je een goed functionerend en betrouwbaar stelsel van online authenticatiemiddelen wilt opzetten, dan is het belangrijk om van tevoren goed na te denken over uitvoeringsregels en het toezicht hierop. Het zou daarom goed zijn als de overheid structureel overleg zou hebben met deze ontsluitingsdiensten om de uitvoeringsregels af te stemmen.

Toezicht
Ook is het onduidelijk of alle overheidsinstanties en zorg-, pensioen- en inkomensverzekeraars verplicht worden om bepaalde authenticatiemiddelen aan te bieden. Zo ja, dan ligt het voor de hand om als overheid toezicht te houden op de marktpartijen die deze authenticatiediensten kunnen inrichten en een officieel certificeringstraject in te richten.
De wet is echter nog niet duidelijk over de rol die de overheid zelf inneemt. In de huidige opzet is de overheid zowel verantwoordelijk voor het bepalen van de commerciële tarieven die ontsluitingsdiensten en aanbieders van authenticatie-middelen mogen vragen als inkoper van deze diensten.

Techniek
Het huidige wetsvoorstel stuurt te veel op technologische standaardisering. Ook worden verouderde technologieën voorgeschreven. De laatste jaren hebben ict-dienstverleners geleerd dat alternatieve standaarden vaak sneller te verwerken en eenvoudiger te interpreteren zijn. Dit pleit ervoor om de praktische invulling aan de markt over te laten, met als bijkomend voordeel dat door keuzevrijheid meer innovatie plaats kan vinden.
Kortom: dat de overheid marktpartijen heeft gevraagd om mee te denken, is mooi. Nu is het zaak om ook met deze partijen aan tafel te gaan zitten. Met de kennis, ervaring en expertise die beschikbaar is, kan de overheid aan een compleet en definitief wetsvoorstel werken.

Thea van Oosterhout is Senior Product Manager bij CM

2 REACTIES

  1. Over vijf jaar moet tachtig procent van de chronische zieken en veertig procent van alle Nederlanders direct toegang hebben tot de eigen medische gegevens via internet of mobiele applicaties. De eIDAS-verordering zal hier stevig van toepassing zijn. In de consultatiefase zijn er geen vragen of opmerkingen uit de hoek van de zorgportaalaanbieders gekomen. Ik vraag me af of ze in relatie tot de bovenstaande doelstelling voldoende betrokken zijn bij deze wetsverandering.

  2. Lees alle reacties
  3. Sterker nog Thea en Gijs – je kan/moet ook een digitale kopie (kunnen) krijgen van je zorggegevens. Daar past ook gebruik van voldoende identificatie/authenticatie bij. Dit betreft burger in een zelfstandige rol (niet binnen portaal van zorgorganisatie) die gegevens krijgt, beheert, verrijkt en weer deelt – of dat laat doen. Hiervoor zie ik nog onvoldoende regelingen en faciliteiten …

Geef je reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.