Programma eID Project Afsprakenstelsel Auteur Eric Verheul Bezoekadres: Herman Gorterstraat 5 3511EW Utrecht www.eid-stelsel.nl
Gespreksnotitie over punten van consensus en discussie binnen het Nederlandse eID afsprakenstelsel.
Inlichtingen bij Gerrit-Jan ‘t Eind Carlo Koch E
[email protected] E carlo.koch @logius.nl Datum 14 oktober 2014
1
Doel van dit document
Deze notitie doet een voorstel voor de beschrijving van de uitgangspunten binnen het eID afsprakenstelsel waar consensus over is en van de uitgangspunten waar discussie over is, waaronder de toepassing van pseudonimisering. Het doel van de notitie is een gemeenschappelijke basis te krijgen met eID deelnemers en zal worden besproken op de vergadering van maandag 20 oktober met eID deelnemers.
2
Inleiding en doelstelling
De Nederlandse maatschappij verandert in hoog tempo van een fysiek georiënteerde naar een digitaal georiënteerde. Veel organisaties (waaronder banken) bouwen hun fysieke kantoren af en gaan over naar digitale dienstverlening. Ook voor de Nederlandse overheid is de digitale dienstverlening belangrijk: de ambitie van het kabinet is alle overheidsdiensten in 2017 volledig digitaal te kunnen aanbieden aan burgers en bedrijfsleven. Binnen de Europese Unie komt het belang voor veilige en betrouwbare online identificatie naar voren in de zogenaamde eIDAS richtlijn die onder meer voorziet in de Europese harmonisatie van elektronische identificatie. Essentieel voor het slagen van de verandering naar een digitaal georiënteerde maatschappij is dat burgers zich betrouwbaar online kunnen authenticeren1 bij de overheid en bedrijfsleven zoals ze dat ook in de fysieke wereld kunnen. Het Nederlandse eID Stelsel wil dit mogelijk maken. Via het stelsel kan een burger veilig en betrouwbaar zijn identiteit aangeven en aanvullende persoonlijke informatie over zichzelf (ook wel attributen genoemd) doorgeven aan anderen. Deze aanvullende informatie kan bijvoorbeeld zijn dat hij: ouder dan 18 is, relevant voor gok sites of voor het kopen van bepaalde producten, jonger is dan 18, relevant voor kinderwebsites, een abonnement heeft, relevant voor on-line content dienstverleners, handelt namens een organisatie of namens een andere burger.
1
Een authenticatie omvat twee stappen. De gebruiker geeft een identiteit (identificatie) op en bewijst vervolgens deze identiteit te hebben. In de fysieke wereld bestaat dat bijvoorbeeld uit het geven van een identiteitsdocument, in de elektronische wereld met een authenticatiemiddel (bijvoorbeeld een one-timepassword generator) gekoppeld aan de gebruiker door de verstreker van dat middel. Pagina 1 van 9
Zoals aangegeven in het eID Stakeholder document2 moet het stelsel recht doen aan de volgende belangen: A. Betrouwbaarheid In essentie betekent dit dat het stelsel beschikbaar moet zijn en dat ‘identificatiediefstal’ binnen het stelsel niet mogelijk is. B. Gebruikersgemak/toegankelijkheid/marktwerking Het stelsel moet eenvoudig te gebruiken zijn voor burgers. Er moet ook een ruime keuze zijn van middelen die de burger kan gebruiker, waar onder die van private partijen. C. Privacy Binnen het eID stelsel zullen persoonsgegevens worden verwerkt. Deze verwerkingen moeten conform de Wet bescherming persoonsgegevens (Wbp) zijn en diens voorziene opvolger de Europese verordening gegevensbescherming. Essentieel daarbij is de wijze waarop het eID stelsel invulling geeft aan het data minimalisatie beginsel, i.e. dat alleen wordt verwerkt wat ‘minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt’ (Artikel 5c, EU privacy verordening). D. Toekomstvastheid/uitbreidbaarheid Het eID stelsel moet niet alleen de problemen van vandaag kunnen oplossen maar moet zo flexibel en robuust zijn dat het toekomstige vragen en belangen rond elektronische identificatie kan adresseren. E. Betaalbaarheid Het eID stelsel moet betaalbaar zijn. F. Misbruik kan eenvoudig ontdekt en opgespoord worden Het is van belang dat er vertrouwen is in het eID Stelsel bij alle partijen. Om die reden moet misbruik eenvoudig ontdekt en opgespoord kunnen worden. Noot: feitelijk is dit niet geformuleerd als belang in het eID Stakeholder document maar als eis. Vanuit verschillende dialogen met stakeholders vanuit het eID programma en op basis van analyses binnen het programma zelf, zijn de genoemde belangen iteratief omgezet in nadere uitgangspunten en vervolgens in eisen en een eID ontwerp. Dit memo behandelt in hoofdlijn de resultaten van dit iteratieve verslag en gaat in op de uitgangspunten waar consensus over lijkt te bestaat en licht toe bij welke uitgangspunten discussie bestaat. Deze vastlegging bevindt zich in Sectie 3. Een van de belangrijkste discussiepunten is rond privacy, met name rond de reikwijdte van het bovengenoemde data minimalisatie beginsel. Om deze discussie verder te faciliteren, is in Sectie 4 een drietal vragen geformuleerd rond deze reikwijdte. Daarbij is ook de situatie vergeleken met het Belgische, Duitse en Oostenrijkse eID stelsel.
2
‘Stakeholders, belangen en ontwerpeisen programma eID, versie 1.0, 21 januari 2014’. Beschikbaar op http://www.eid-stelsel.nl/. De belangen zijn enigszins samengevat om reden van toegankelijkheid.
Pagina 2 van 9
3
Overzicht van consensus en belangrijkste discussiepunten
In onderstaande tabel zijn in de eerste kolom de eID belangen uit de introductie opgetekend. De tweede kolom bevat aspecten van het betreffende belang waar consensus over bestaat vanuit de reeds gevoerde dialogen met stakeholders. De laatste kolom bevat aspecten van het betreffende belang waarover discussiepunten bestaan. Belang A. Betrouwbaarheid
3
Consensus Binnen Europees verband is reeds veel aandacht gegeven aan de betrouwbaarheid van elektronische identificatie. Dit is gebeurd vanuit het zogenaamde STORK project3 dat deze eigenschappen heeft vervat in een viertal betrouwbaarheidsniveaus. Deze worden op dit moment ook nog verder uitgewerkt in Europees verband in het kader van de zogenaamde eIDAS richtlijn. Er is brede consensus dat de uiteindelijke niveaus afgeleid vanuit STORK een bruikbare classificatie zijn binnen het eID stelsel. Mede vanuit de gebruikersgemak/ toegankelijkheid en ontzorging eisen bestaat er brede consensus voor het gebruik van een federatief model gebaseerd op de SAML standaard. Dit is een opzet vergelijkbaar met DigiD en iDEAL. De gebruiker wordt vanuit de dienstverlener gedirigeerd naar een ‘authenticatiedienst’ waar de gebruiker zich moet identificeren. De authenticatiedienst verstrekt de uitslag aan de dienstverlener in een digitaal getekend SAML bericht. Er bestaat consensus dat een dergelijk model de vereiste
Zie https://www.eid-stork.eu/dmdocuments/public/D2.3_final._1.pdf.
Belangrijkste discussiepunten Een discussiepunt is wat het minimale STORK authenticatie niveau is dat wordt toegelaten binnen het eID stelsel. Een ander discussiepunt is of er een centrale rol bestaat voor de overheid bij het voorkomen van persoonsverwisselingen. Wat daarbij voorkomen moet worden is dat personen met vrijwel dezelfde persoonsgegevens verwisseld kunnen worden binnen het eID stelsel. Er zijn bijvoorbeeld alleen al 120 personen binnen LinkedIn die ‘Bert de Vries’ heten. Hoe wordt nou voorkomen dat de ene ‘Bert de Vries’ zich voor de andere kan uitgeven? In een eID stelsel waar verschillende soorten deelnemers (authenticatiediensten maar ook attribuutdiensten) bestaan, is dit een complexer probleem dan het lijkt. Een conceptueel eenvoudige oplossing zou er uit bestaan als alle eID deelnemers het Burgerservicenummer zouden mogen gebruiken zoals in het Belgische eID stelsel het geval is. Dit is echter bij Nederlandse wet uitgesloten. Een alternatief is dat de overheid op een andere manier deze kwestie helpt op te lossen, bijvoorbeeld door Burgerservicenummer afgeleiden
Belang
Consensus betrouwbaarheid kan leveren aan het eID.
B. Gebruikersgemak/ toegankelijkheid/ marktwerking
C. Privacy
Deelname van identificatie middelen van private partijen aan het eID stelsel vormt een grote bijdrage vormen voor het gebruikersgemak en de toegankelijkheidseis. De toepassing van een federatief model gebaseerd op de SAML standaard ondersteunt dit ook. Daarbij bestaat ook consensus dat vanuit gebruikersgemak de verschillende middelen naast elkaar kunnen worden gebruikt en ook compatibel moeten zijn. Het eerste betekent bijvoorbeeld dat de gebruiker zowel kan aanloggen bij een dienstverlener met een bankpas vanaf zijn laptop en dat hij vanaf zijn tablet kan aanloggen met bijvoorbeeld een biometrisch middel. Het tweede betekent dat in beide gevallen de gebruiker bij hetzelfde ‘account’ uitkomt. Er bestaat consensus dat privacy bescherming essentieel is binnen het eID stelsel.
Belangrijkste discussiepunten beschikbaar te stellen aan deelnemers. Dit laatste wordt ook door de Oostenrijkse overheid gedaan door middel van versleuteling van het Burgerservicenummer. Een discussiepunt kan vervolgens zijn of een centrale rol voor de identiteitvaststelling alleen van toepassing is op de Stork niveau’s 3 en hoger. Geen essentiële discussiepunten rond nadere invulling van dit belang onderkend.
Een discussiepunt is de reikwijdte van het data minimalisatie beginsel (Artikel 5c, EU privacy verordening) en in hoeverre procedurele bescherming een alternatief kan vormen. Een argument tegen verregaande data minimalisatie is dat eID deelnemers toch op andere wijzen over persoonsgegevens van gebruikers beschikken of kunnen beschikken en dat de betrokkenen dus toch al vertrouwen moeten hebben in de procedurele privacy bescherming bij de deelnemers. Een argument voor verregaande data minimalisatie is dat dit
Belang
Consensus
D. Toekomstvastheid/ uitbreidbaarheid
Er bestaat consensus dat Toekomstvastheid/uitbreidbaarheid essentieel is binnen het eID stelsel. De toepassing van een federatief model gebaseerd op de SAML standaard ondersteunt dit ook. Er bestaat consensus dat betaalbaarheid essentieel is binnen het eID stelsel. De toepassing van een federatief model gebaseerd op de SAML standaard ondersteunt dit ook omdat gebruik kan worden gemaakt van bestaande producten.
E.
F.
Betaalbaarheid
Misbruik kan eenvoudig ontdekt en opgespoord worden
Er bestaat consensus dat dit belang essentieel is binnen het eID stelsel.
Belangrijkste discussiepunten de grootste zekerheid geeft. Daarbij is de gedachte dat een dienstverlener, ook als hij gehackt wordt, niets kan verliezen dat hij niet heeft. Een ander argument voor is dat de privacy toezichthouders, zoals het CBP, menen dat het technisch afdwingen van privacy bescherming verreweg de voorkeur verdient boven procedurele invulling daarvan. De toezichthouders hebben daar de naam Privacy Enhancing Technologie (PET) aan verbonden. De voorkeur voor PET komt ook expliciet terug in de aanstaande Europese privacy verordening die het Wbp zal gaan vervangen. Op basis van de gevoerde discussies zijn drie vragen geformuleerd die de discussiepunten rond dit onderwerp kunnen helpen duiden. Geen essentiële discussiepunten rond nadere invulling van dit belang onderkend.
Nog geen consensus over het business model, er is wel een voorstel opgesteld door een expertgroep. Verbonden met deze materie is de discussie over een eventueel publiek middel waar ook nog geen consensus over bestaat. Omdat er nog geen consensus is over de mate van technische bescherming van persoonsgegevens, is de discussie over hoe opsporingsdiensten deze moeten kunnen doorbreken, nog niet gevoerd. Concreet: als dienstverleners altijd identificerende gegevens krijgen van de authenticatiediensten dan zal een opsporingsverzoek vaak kunnen worden afgehandeld door dienstverleners.
Belang
Consensus
Belangrijkste discussiepunten Discussie over de rol die een authenticatiedienst heeft bij detectie en opsporing.
4
Drie vragen rond de reikwijdte van data minimalisatie
Voor de formulering van de vragen schetsen we eerst de context waarin een gebruiker, laten we hem Bert de Vries noemen, zich zal identificeren bij een digitale dienstverlener aangesloten op het eID stelsel. Daarbij is uitgegaan van een federatief model gebaseerd op SAML. Er is consensus voor de toepassing van dit model vanuit diverse belangen. Zie Sectie 3. Net zoals bij iDEAL zal een gebruiker die wil aanloggen bij een dienstverlener, zeg een webwinkel, worden gevraagd een authenticatiedienst te kiezen. Nadat de gebruiker zijn keuze heeft gemaakt wordt hij doorgestuurd naar de gekozen authenticatiedienst waar hij zich moet authenticeren. De aanname is dat de authenticatiedienst – op basis van een voldoende sterk registratieproces en een voldoende sterk middel – in staat is de identiteit te bepalen van de gebruiker. Na afloop hiervan stuurt de authenticatiedienst de gebruiker weer door naar de dienstverlener. Daarbij geeft de authenticatiedienst de uitslag van de authenticatie door aan de dienstverlener. Dit gebeurt in de vorm van een digitaal getekend bericht. Bij een succesvolle authenticatie zal het bericht ook informatie bevatten waarmee de dienstverlener de gebruiker kan opzoeken in zijn administratie. Vraag 1 Plaatst de authenticatiedienst altijd direct identificerende gegevens, zeg de volledige naam, van de gebruiker in het bovenstaande bericht bestemd voor de dienstverlener? Noot: Merk op dat om persoonsverwisselingen te voorkomen de volledige naam niet volstaat (zie boven), maar daar gaan we hier gemakshalve even aan voorbij. Als het antwoord op deze vraag ‘ja’ is, betekent dit dat elke dienstverlener aangesloten op het eID stelsel altijd te weten komt wie de gebruiker is (‘Bert de Vries’), ook in gevallen waar dit helemaal niet nodig is. In veel gevallen, zal de dienstverlener daar toch wel achter komen omdat de gebruiker dit de dienstverlener zelf zal vertellen. Bijvoorbeeld omdat er een postpakketje moet worden afgeleverd op een woonadres. Of omdat er elektronisch betaald wordt via iDEAL waarbij ook de naam van de gebruiker wordt doorgegeven. In gevallen waar de dienst zelf ook digitaal is (e.g. video, muziek, nieuws, software), is er geen noodzaak voor de dienstverlener om een woonadres te weten. Het aantal van dergelijke diensten, waarbij de dienstverlener feitelijk geen postadres of andere persoonsgegevens nodig heeft, zal in de toekomst alleen maar toenemen. Een betaling kan ook anoniem gebeuren via BITCOIN of PayPal. De fundamentele consequentie van het ‘ja’ antwoord is dat daarmee de gebruiker feitelijk geen optie heeft zijn identiteit niet door te geven als hij gebruik wil maken van het eID stelsel. Bij een predominante positie van het eID stelsel betekent dit dus de gebruiker geen alternatief heeft dan zijn identiteit door te geven. Er zullen in de toekomst steeds meer technologieën beschikbaar zullen komen om anoniem te zijn op het internet. Een eID stelsel dat altijd identificerende gegevens doorgeeft, doet de werking hiervan teniet. Registratie van de identiteit bij de dienstverlener introduceert daarbij niet alleen risico’s van misbruik door de dienstverlener zelf maar ook risico’s als de dienstverlener wordt gehackt. Verder ontstaan er risico’s dat de registraties van (gehackte) service dienstverleners worden gekoppeld op basis van de direct identificerende gegevens.
Pagina 7 van 9
Als het antwoord op deze vraag ‘nee’ is, betekent dit dat de authenticatiedienst een niet identificerend gegeven moet verstrekken aan de dienstverlener. Dit staat ook wel bekend als een pseudoniem. Het potentiele belang van pseudoniemen blijkt uit het feit dat ze reeds een plek hebben gekregen in de Europese richtlijn rond de elektronische handtekening uit 1999 en diens opvolger de eIDAS verordening. Ter illustratie: het Belgische en Oostenrijkse eID stelsel geven de volledige naam van de burger door aan de dienstverlener alsmede een (versleutelde) versie van het Burgerservicenummer. Bij deze stelsels is het antwoord op vraag 1 aldus ‘ja’. Het Duitse eID stelsel geeft daarentegen altijd een pseudoniem af. Daar is het antwoord op vraag 1 aldus ‘nee’. Overigens is het pseudoniem daar ook afhankelijk van de dienstverlener waar de gebruiker aanlogt, zodat het bovenstaande koppelrisico ook wordt geadresseerd. Vraag 2 Mag de authenticatiedienst in deze context altijd registreren wat de (verschillende) pseudoniemen zijn die een gebruiker heeft bij de verschillende dienstverleners? De context van deze vraag is dat de eerste vraag met ‘nee’ is beantwoord en dat de authenticatiedienst altijd een pseudoniem verstrekt aan de dienstverlener in plaats van direct identificerende gegevens. Als het antwoord op deze vraag ‘ja’ is, dan stelt dat de pseudoniemregistratie van de authenticatiedienst in staat om vast te stellen dat twee pseudoniemen bij verschillende dienstverleners bij dezelfde persoon horen. Ook stelt dit de pseudoniemregistratie in staat om een pseudoniem van een persoon bij dienstverlener A om te zetten naar diens pseudoniem bij dienstverlener B. Dit betekent dat de pseudoniemregistratie van de authenticatiedienst een waardevol object is. Het stelt immers in staat om de gebruiker registraties van dienstverleners onderling te koppelen. Daarbij, doordat authenticatiediensten onderling compatibel moeten zijn, zullen alle pseudoniemregistraties bij de authenticatiediensten in essentie hetzelfde zijn, hetgeen het risico van compromittatie4 weer vergroot. Een dergelijke compromittatie kan het gevolg zijn van een frauduleuze medewerker of door een hack. Ter illustratie: het Duitse eID stelsel maakt het onmogelijk dat een andere partij dan de dienstverlener het pseudoniem van de gebruiker kan bepalen, laat staan dit te registreren. Daar is het antwoord op vraag 2 aldus ‘nee’. Vraag 3 Is het acceptabel dat de authenticatiedienst kennis krijgt van welke dienstverlener de gebruiker gebruik wil maken? Deze vraag is nauw verbonden met de deelname van private authenticatiediensten aan het eID stelsel. Dit zal een partij kunnen zijn die reeds een andere dienstverlening relatie heeft met de gebruiker en van daaruit de gebruiker heeft voorzien van een authenticatiemiddel. Denk bijvoorbeeld aan banken, telco’s of de overheid zelf. Hoe acceptabel is het dat deze partijen inzicht (kunnen) krijgen in de dienstverleners waar de gebruiker gebruik van maakt? Als hypothetische (en enigszins gechargeerde) voorbeelden: is het acceptabel is dat de situatie ontstaat dat een gebruiker bij zijn bank een levensverzekering wil afsluiten terwijl de gebruiker elke dag via zijn bank aanlogt bij een on-line kliniek voor de behandeling van een ernstige ziekte?5 4
Iedere aantasting van het vertrouwen in het exclusief gebruik van een component door bevoegde personen. 5 Met dit voorbeeld willen we niet suggereren dat personen met een ernstige ziekte geen levensverzekering Pagina 8 van 9
is het acceptabel dat de situatie ontstaat dat een gebruiker bij een belastingaangifte aangeeft geen eigen vermogen te hebben, terwijl de gebruiker elke dag via een overheidsmiddel aanlogt bij een on-line spaarbank? is het acceptabel dat de situatie ontstaat dat het contract van een gebruiker bij zijn telco afloopt en dat de gebruiker via het eID stelsel een nieuw account aanvraagt bij een andere telco?
Een meer formeel tegenargument tegen het antwoord ‘ja’ op vraag 3, is dat uit de hypothetische voorbeelden blijkt dat authenticatiediensten in sommige gevallen bijzondere persoonsgegevens verwerken. Dit zijn krachtens artikel 16 van de Wet bescherming persoonsgegevens ‘persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging’. Volgens hetzelfde artikel is de verwerking van bijzondere persoonsgegevens verboden. Ter illustratie: in het Duitse eID stelsel is er geen andere partij in het stelsel dan de dienstverlener zelf die weet heeft dat de gebruiker van zijn diensten gebruik maakt. De dienstverlener kan daarbij alleen de identiteit van de gebruiker achterhalen met diens toestemming.
kunnen afsluiten. Dergelijke informatie kan de beslissing van de bank echter beïnvloeden en schetst daarmee de mogelijke ongewenstheid dat de bank hier kennis van krijgt vanuit zijn rol als authenticatiedienst.
Pagina 9 van 9
