Adviescommissie Authenticatie en Autorisatie Bedrijven (A3 Bedrijven) EINDRAPPORTAGE
Cor Franke Voorzitter
Achtergrond • steeds meer contacten tussen overheid en bedrijven vinden langs elektronische weg plaats – dienstverlening (7 * 24) – efficiency
• voor elektronische communicatie zijn identificatie, authenticatie en autorisatie van cruciaal belang, vandaar inzet van EL&I op eHerkenning
Aanleiding instellen commissie • bij de ontwikkeling van eHerkenning is een aantal obstakels aan het licht gekomen, die de groei van het stelsel op korte termijn blokkeren
• de commissie is in het leven geroepen om – oplossingen en voorstellen te ontwikkelen om deze blokkades weg te nemen – voorstellen te doen voor een snelle groei van het gebruik van eHerkenning
Uitdagingen • het Diginotar-incident en de ontwikkelingen rond cybercriminaliteit – als er geen vertrouwen is in het stelsel gaan snelle groei en breed gebruik ook niet lukken
• gebruik BSN binnen eHerkenning niet mogelijk (met name lastig voor eenmanszaken) • wettelijk kader rond Markt en Overheid
Opzet van het advies De commissie redeneert vanuit de gewenste eindsituatie:
een eenvoudig en robuust stelsel e-herkenning dat het vertrouwen heeft van burgers, bedrijven en overheid en dat breed gebruikt kan worden voor de authenticatie en autorisatie van bedrijven
Opzet van het advies (vervolg) • op de weg naar die eindsituatie zijn (transitie)voorzieningen nodig om de markt de kans te geven producten en diensten te ontwikkelen en gecontroleerd te groeien • over twee á drie jaar nadere besluiten nemen over deze voorzieningen
Opzet van het advies (…vervolg) • deze voorzieningen zijn in ieder geval nodig rond – identificatie en authenticatie van eenmanszaken – machtigingen rond machine-machine-verkeer (met de Belastingdienst)
Kernpunten advies (inhoud) • stelsels voor burgers en bedrijven op elkaar laten aansluiten – gelijke standaards en koppelvlakken – snelle ontwikkeling van “DigiD-hoog” dat ook in private (business) omgevingen gebruikt kan worden • pseudoniem in plaats van BSN • betrouwbaarheidsniveau 4
• zolang “DigiD-hoog” er niet is eenmanszaken toestaan DigiD en DigiD Machtigen te gebruiken • Belastingdienst richt machtigingsregister in met beperkte functionaliteit, voor machtigingen van bedrijven aan fiscaal dienstverleners (m2m-verkeer), beheer machtigingen met eHmiddelen
Kernpunten advies (omvang) • marktpartijen krijgen de tijd in hun rol te groeien zodat het stelsel binnen enkele jaren klaar is voor grootschalig gebruik • de markt is tweezijdig (“kip-ei”), dus gerichte actie aan beide zijden van de markt nodig – aanbod vergroten van elektronische diensten die met eHerkenning zijn ontsloten – vraag naar middelen stimuleren
• streven naar een zo kort mogelijke groeifase – voortijdige uittreding van marktpartijen voorkomen – na de groeifase bedruipt de markt zichzelf
Bevorderen snelle groei • ontwikkelen applicaties die snelle groei bevorderen (KvK, VOG, m2m) • eHerkenning als tweede sleutel in bestaande applicaties • uitfaseren van organisatie- en sectorgebonden middelen
en aanvullend daarop…. • inzichtelijk maken van kosten van middelen en bieden van ondersteuning bij keuze • creëren tijdelijke geldstroom om de aanschaf van middelen te stimuleren • mogelijk maken en bevorderen gebruik in andere domeinen (B2B, G2G, …)
Beveiliging en continuïteit (1) • dienstaanbieders – risicoanalyse elektronische diensten – voorkomen “single points of failure” – in SLA’s reële “service levels” afspreken
• marktpartijen – normenkader – frequente toetsing op opzet, bestaan en werking – meldingsplicht
Beveiliging en continuïteit (2) Aandachtspunt: De commissie stelt vast dat de razendsnelle ontwikkelingen rond veiligheid vragen vraagt om een goede afweging tussen geldigheidsduur van identiteitsdragers enerzijds en het niveau van veiligheid anderzijds
Overige aandachtspunten • verspreiden van het gedachtengoed rond eHerkenning buiten kring van “insiders” • gerichte aandacht op hoog niveau voor implementatie eHerkenning in andere domeinen dan B2G • voorkomen dat overheidsdienstaanbieders kiezen voor een te laag betrouwbaarheidsniveau voor hun diensten
Reactie opdrachtgevers op advies • advies besproken met opdrachtgevende DG’s • vandaag publicatie advies • twee van de opdrachtgevende DG’s spreken vandaag op dit congres
