Qiy – pilot persoonlijk digitaal domein: ‘de burger centraal’. 1.
Inleiding. Kan een gemeente een persoonlijk digitaal domein uitgeven aan alle burgers? Dat is kortweg de vraag die beantwoord moet worden via een pilot met Qiy. In het kader van ‘Doorbraak in Dienstverlening’ zijn de mogelijkheden al eens beschreven (zie bijlage). Op dat moment bleek de tijd nog niet rijp te zijn voor grootschalige invoering van een persoonlijk digitaal domein. Dat lijkt nu wel het geval te zijn. Immers de digitale wereld heeft een enorme vlucht genomen. Op allerlei plaatsen overal in de wereld worden gegevens verzameld over burgers. Deze worden opgeslagen, geanalyseerd en hergebruikt: burgers raken de controle over hun gegevens kwijt en worden niet zelden geconfronteerd met de uitwassen van ‘het systeem’. Burgers worden steeds meer geconfronteerd met digitale fraude en misbruik van identiteit: als zij eenmaal in een dergelijke situatie verzeild raken, is een uitweg moeilijk te vinden en is de ellende vaak niet te overzien. Een burger moet in de digitale wereld voortdurend op zijn hoede zijn. Als het aantal incidenten zich opstapelt, dreigt dat de betrouwbaarheid en veiligheid van het systeem te ondergraven. Daarom is het van belang, dat burgers meer grip krijgen op hun eigen gegevens. Dat kan door hen een persoonlijk digitaal domein te geven. 2. Qiy, een persoonlijk digitaal domein. Het idee om de burgers een persoonlijk digitaal domein te geven, stamt uit 2005 en is in de afgelopen jaren op vele plaatsen uitgedragen en toegelicht. Zij die er kennis van hebben genomen zijn enthousiast en zien mogelijkheden om het in hun eigen beleidsveld toe te passen. Of het nu gaat om jeugdzorg, cultuur, banken, telecombedrijven, burgerzaken; de specialisten zien de voordelen van de nieuwe filosofie. Deze worden in de bijlage beknopt beschreven. Maar de weg is lang. De filosofie leidt tot een omkering van de werkelijkheid. Niet de burger gaat naar allerlei websites waar versplinterde informatie over hem (of haar) is vastgelegd. Nee, de burger beschikt over zijn gegevens en beheert de gegevens zelf door de toegang tot zijn (of haar) gegevens bij bedrijven, overheden en instellingen. Middels zijn (of haar) Qiy domein kan de burger deze gegevens, anoniem en/of gevalideerd ook weer ter beschikking stellen van bedrijven, overheiden en instellingen. Zo houdt de burger grip op zijn digitale wereld. En omdat Qiy een extra laag is, die al het andere in tact laat, kan de overgang soepel verlopen. Uiteindelijk leidt een breed gebruik van Qiy wel tot verandering van het totale landschap. De burger heeft niet alleen meer grip op de gegevens, het beheer van gegevens kan een stuk efficiënter. Nu maken bedrijven allerlei profielen van hun klanten: bij het gebruik van Qiy kan een klant er voor kiezen om zijn profiel beschikbaar te stellen, zonder zijn identiteit prijs te geven. Bedrijven kunnen zo beschikken over actuele informatie en hoeven zaken niet langer duizendvoudig vast te leggen. Inmiddels is een project ‘Qiy scheme’ gestart, dat op 5 januari 2015 gelanceerd is; grote bedrijven gaan Qiy in 2015 actief uitdragen naar hun klanten. Op 6 januari start een transitie programma voor de komende 3 jaar om de Qiy standaard, het afsprakenstelsel, de implementaties en applicaties door te blijven ontwikkelen. Een belangrijke factor is het toekennen van een Qiy aan een klant of burger. Een Qiy kan worden uitgegeven door een bank of een werkgever, maar het biedt natuurlijk meerwaarde als deze wordt uitgegeven door de instantie die primair verantwoordelijk is voor de persoonsgegevens; de gemeente. Vraag is dan ook, of de gemeente een Qiy zou kunnen uitgeven. Wat moet er geregeld worden om dit te doen, juridisch en praktisch? En hoe past het in het grote geheel? In de ‘pilot’ zal dit nader onderzocht worden.
3. Perspectief voor het persoonlijk digitaal domein. Qiy vormt een extra laag op het internet. Als bedrijven, overheden en instellingen op die laag zijn aangesloten, kunnen zij contact leggen met de burger. En de burger kan natuurlijk contact leggen met bedrijven, overheden en instellingen. Vraag is dan natuurlijk, hoe Qiy in het systeem past? Hoe is de relatie met de basisregistratie personen (BRP)? Hoe is de relatie met Mijn Overheid? En hoe is de relatie met de nieuwe eID? In de pilot moet blijken, op welke wijze Qiy gekoppeld kan worden aan de BRP. Hoe gaan we dat doen? Met welke waarborgen moet uitgifte door de gemeente omkleed worden? Hoe gaan we de koppeling tussen Qiy en het Burgerservicenummer vormgeven? Wie gaat de koppeling beheren? Hoe wordt de veiligheid gegarandeerd? Zijn er kosten mee gemoeid en wie gaat die betalen? Als we deze vragen naar tevredenheid beantwoorden, ontstaat een mooi perspectief. Door de koppeling van Qiy aan het BRP, ontstaat tevens een verbinding met Mijnoverheid. Mijnoverheid is de site waar steeds meer individuele informatie samenkomt, die de overheid in beheer heeft. Mijnoverheid gaat in de komende jaren groeien, omdat de belastingdienst de aanslagen via deze berichtenbox gaat afwikkelen. Dus heeft een burger zijn informatie binnen Qiy verzameld, dan hoeft hij alleen een link te leggen met Mijnoverheid en dan heeft hij alles bij elkaar. Qiy en Mijnoverheid gaan dus prima samen. En als de brug er ligt tussen BRP en Qiy, dan zijn er veel toepassingen denkbaar: uitgifte van Qiy aan balie gemeentehuis; diverse ‘burgerzaken’, zoals vaststellen identiteit, geboorte-aangifte; vaststelling identiteit, authenticatie; aangifte BPR; aangifte verhuizen; paspoort, rijbewijs, formulierenwinkel; uittreksel; verhuizingen; vergunningen; parkeerplaatsen; aanvragen; dienstverlening op het terrein van de drie decentralisaties: werk, zorg en jeugd; werk en inkomen; aansluiting ‘Mijnoverheid’; cultuur. Daarnaast is het de vraag hoe Qiy zich verhoudt tot de eID-stelsel dat momenteel door BZK ontwikkeld wordt. Het eID Stelsel wordt ontwikkeld als standaard voor online identificatie en vaststelling van bevoegdheden. Private en publieke organisaties maken afspraken met elkaar over eisen die ze stellen aan veiligheid, betrouwbaarheid en bescherming van privacy. Daarnaast komt er een beheerorganisatie die zorgt voor het beheer van de afspraken, met de overheid als toezichthouder. Het stelsel brengt publieke en private inlogmiddelen samen. In het stelsel worden bestaande inlogsystemen en authenticatiemiddelen opgenomen die aan de afspraken voldoen. Denk aan DigiD voor burgers, eHerkenning voor ondernemers, logins bij banken en gebruikersnaam- en wachtwoord- combinaties voor webwinkels.
Dienstverlenende organisaties die aansluiten kunnen via deze middelen toegang geven tot hun online dienstverlening. Burgers, consumenten en ondernemers kiezen zelf het middel waarmee ze bij een organisatie willen inloggen om een dienst af te nemen of informatie uit te wisselen. Het eID en Qiy zijn aanvullend op elkaar. Waar eID zich richt op een veilige en makkelijke inlog kan eID perfect worden ingezet om toegang te verkrijgen tot iemands Qiy domein. Middels het Qiy domein kan de burger vervolgens toegang verkrijgen zijn (of haar) gegevens bij bedrijven, overheden en instellingen. Dit kunnen dus ook identificierende gegevens zijn. 4. Het kader: de tijd is rijp. We hebben als overheid in de afgelopen jaren flinke progressie geboekt: in het kader van het Nationaal uitvoeringsprogramma (NUP) is een aantal basisregistraties ontwikkeld of deze staan in de steigers. Daarom heen ontstaat een infrastructuur die ertoe leidt, dat alle informatie verbonden is. Het voordeel is, dat burgers niet voortdurend dezelfde informatie hoeven op te lepelen en dat fraude lastiger wordt. Het nadeel is, dat een kleine onvolkomen-heid in één van de basisregistraties of misbruik van gegevens, enorme gevolgen kan hebben voor de persoon in kwestie. En omdat steeds meer gegevens overal vastliggen, is de kans steeds groter, dat daarin verschillen ontstaan die teruggemeld, beoordeeld en gecorrigeerd moeten worden. Dat wordt een enorme en steeds maar weer groeiende berg van gegevens, die gecontroleerd en gecheckt moet worden. Het komt overeen met het schrikbeeld dat opdoemt uit het WRR-rapport over de ‘i-Overheid’. Het moet mogelijk zijn om daarvoor een alternatief te vinden. Daarnaast hebben gemeenten zich beter georganiseerd. Het principe ‘ieder voor zich’ heeft plaats gemaakt voor samenwerking. Samenwerking tussen gemeenten op regionaal en subregionaal niveau, samenwerking in gebruikersverenigingen, samenwerking met netwerkpartners, maar zeker ook samenwerking op landelijk niveau. De oprichting van het Kwaliteits Instituut Nederlandse Gemeenten (KING) in 2009. Daar waar de Vereniging van Nederlandse Gemeenten (VNG) zich grofweg richt op beleidsvoorbereiding en bestuur, is KING vooral actief ten aanzien van de verdere uitvoering. Het ontwerp van een ‘basis-gemeente’, het werken met een softwarecatalogus, de iNup-academy, de uitwisseling van goede voorbeelden op het KING-platform zijn goede voorbeelden van een groeiende verantwoordelijkheid van gemeenten. De tijd is rijp om een stap verder te zetten. Standaardisering en uniformering kunnen leiden tot flinke besparingen en kan tijd, ruimte en energie vrij maken, om dat te doen waar een gemeente primair verantwoordelijk voor is: kwaliteit, maatwerk te leveren aan burgers en bedrijven door excellente dienstverlening. We staan aan de vooravond van een nieuwe tijd . Technologie ontwikkelt zich in hoog tempo en wij zullen daarin mee moeten. We zullen de basis die we aan het leggen zijn, verder moeten vervolmaken in de komende jaren. ‘De basis op orde’ is een belangrijke voorwaarde om de dienstverlening verder te verbeteren. Maar het is niet genoeg. We zullen de snelheid van implementatie, vernieuwing en innovatie stevig moeten opvoeren om bij te blijven. We krijgen een stevige steun in de rug door het aantreden van de Digicommisaris, Bas Eenhoorn, die met alle overheden een generieke digitale infrastructuur gaat ontwerpen die in de komende vier jaar zal worden ingevoerd. En dat zal nog lastig genoeg zijn. Er ligt al heel veel digitaal vast. Het komt er vooral op aan een ‘wij-gevoel’ te creëren een goed ontwerp te maken met een goede ‘governance’ met inbreng van alle geledingen, heldere afspraken te maken over financiering en wetgeving et cetera. Maar ook dat is niet genoeg. We zullen de burger veel meer moeten betrekken bij het werk dat we doen. De burger moet meer grip en verantwoordelijkheid krijgen bij het beheer van zijn of haar digitale gegevens. De burger wordt op dit moment vooral benaderd als een doelgroep die zo goed mogelijk bediend moet worden. Maar of het nu ontwikkelingen in de ruimtelijke, de sociale of de bestuurlijke sfeer gaat, de burger wordt steeds meer medespeler en netwerkpartner.
We zullen de burger serieus moeten nemen en dat kan door hem een persoonlijk digitaal domein te geven. ‘Qiy’ is geen product, maar open standaard voor het interoperabel uitwisselen van persoonlijke data in combinatie met een afsprakenstelsel, waarin burgers, bedrijven en overheden elkaar veel gemakkelijker kunnen vinden. Als gemeenten willen we de invoering van Qiy faciliteren door uitgifte van een digitale identiteit aan de balies van het gemeentehuis. Immers, gemeenten zijn de houders van de Basisregistratie Personen. Tijdens een startbijeenkomst op 30 september hebben de gemeenten Eindhoven, Tilburg, ’sHertogenbosch, Hollands Kroon, Molenwaard, Uden en Boxtel belangstelling getoond. Daarnaast waren vertegenwoordigers van de Manifestpartijen (SVB), BZK als toehoorder aanwezig. De Nederlandse Vereniging van Burgerzaken (NVVB) fungeert als kartrekker en heeft de eerste fase van ‘Qiy-scheme’ mee geparticipeerd en wil het project verder uitbouwen en tot concrete actie komen. Voor een beschrijving: zie bijlage 2. 5. Pilotproject ‘Persoonlijk digitaal domein: de burger centraal’. Kan een gemeente een persoonlijk digitaal domein uitgeven aan alle burgers? Dat is kortweg de vraag die beantwoord moet worden via een pilot met Qiy. In het verlengde daarvan is het de vraag, of de functionaliteit zoals Gemboxx die biedt ten aanzien van de burgerzakenmodules ook ontsloten kan worden via het Qiy Trust Framework. Zodat de burger vanuit zijn persoonlijke domein de beschikking heeft over (gevalideerde) gegevens en deze ook weer ter beschikking kan stellen aan partijen individuen en organisaties- die gebruik maken van Qiy. De burger wordt op deze manier deel van de digitale keten. Zowel Gemboxx als Qiy zien beiden de toegevoegde waarde om de bovenbedoelde koppeling realiseren. De gemeente Boxtel ziet de meerwaarde van het project en is bereid om een bedrag van € 25.000,op tafel te leggen om de mogelijkheid te onderzoeken om te komen tot uitgifte van een Qiy aan de burger. We hebben minimaal nog twee partners (en als het kan meer) nodig die een zelfde bedrag op tafel leggen, zodat we in 2015 met de landelijk opererende partners van ‘Qiy-scheme’ ten behoeve van de burger een doorbraak kunnen forceren op het persoonlijk digitale domein. Het wordt hoog tijd, dat de burger meer grip krijgt opde digitale wereld. Via dit project wordt dat mogelijk gemaakt. Wie doet er mee?
Jan Fraanje, Boxtel, 21 november 2014
Bijlage 2: De gemeente van de toekomst; eID en regie op eigen gegevens (notitie van de Nederlandse Vereniging van Burgerzaken (NVVB)) Inleiding Zonder innovatie geen toekomst. Ook de NVVB tracht de maatschappelijke ontwikkelingen in het juiste perspectief te plaatsen en te relateren aan de beoogde veranderingen binnen en buiten de vereniging. Nooit eerder hebben zoveel (publieke en private) partijen, waaronder de NVVB. zich gecommitteerd om samen de toekomst vorm te geven. De middelen zijn schaars en de Nederlandse burger wil vaker een dienstverleningsvorm welke aansluit bij zijn of haar behoefte. De vele veranderingen vragen binnen de gemeentelijke muren om innovatie en creativiteit. Gemeenten geven aan dat hun burgers hebben steeds meer behoefte hebben aan plaatsonafhankelijke dienstverlening via het daarvoor best beschikbare kanaal. Om aan deze behoefte te voldoen is een veilige en gevalideerde digitale identiteit nodig. Gelet op de diverse Rijksprogramma’s (eID, Digitaal 2017, Mijnoverheid.nl, eJustice etc.) zullen de gemeenten in de nabije toekomst geconfronteerd worden met nieuwe wet- en regelgeving en nieuwe vormen van organiseren. Een aantal gemeenten zijn klaar om het meervoudig gebruik van gegevens, het bieden van één overheidsportaal, een digitale kluis, het digitaliseren van informatie en transacties etc. op te nemen in haar gemeentelijke bedrijfsvoering. Deze zogenaamde koplopergemeenten zijn bereid hun productenen dienstenaanbod te digitaliseren en af te stemmen op de keten, maar vooral op haar lokale burgers en bedrijven. Om dat te kunnen doen is er ruimte nodig, ruimte in wetgeving, in financiële ondersteuning en qua doorlooptijd. Vraag Diverse gemeenten willen vooruitlopend op de uitgifte van een digitale identiteit (eID) en om onder andere te voldoen aan Europese richtlijnen in relatie tot data protectie (welke voorschrijven dat burgers beschikkingsrecht hebben, inzicht moeten krijgen in eigen gegevens en correctierecht hebben op de eigen gegevens) starten met een pilot. Een pilot die zich richt op deze nieuwe identiteit en het bijbehorende afsprakenstelsel en de relatie met de huidige processen waarbij een fysieke identiteit moet worden vastgesteld. Enerzijds om de dienstverlening vanuit de lokale overheid te verbeteren en anderzijds om het gevaar van identiteitsfraude terug te dringen. Uitgangspunten voor de pilot zouden kunnen zijn:
Meervoudig gebruik van gegevens; Burgers en bedrijven beschikken, hebben inzicht, corrigeren en dus ‘beheren’ zelf de eigen gegevens (privacy by design); Gemeenten hebben de rol als kwaliteitsbewaker en toetser; De fysieke identiteit is direct gekoppeld aan de digitale identiteit (One ID); Toetsing van de One ID vindt regelmatig plaats door middel van nog te bepalen identificatiemiddelen/methoden; De gemeentelijke producten en dienstenaanbod worden gedigitaliseerd; Er is een directe koppeling met andere digitale diensten en producten van de overheid (Belastingdienst, UWV ec.); Mijnoverheid.nl is de plek waar alles samenkomt en vanuit georganiseerd kan worden.