Idensys: Een standaard voor elektronische identificatie

Via het internet kunnen diverse zaken bij de Nederlandse overheid worden geregeld. Inzicht in belastingen, studiefinanciering of gemeentelijke gegevens is vertrouwelijk en het is daarom belangrijk dat dit inloggen op een veilige manier gebeurt. Door middel van een DigiD-code kan je identiteit worden geverifieerd en zodoende zijn de internetomgevingen van de overheid beveiligd. Om het aanbod van betrouwbare inlogmethoden uit te breiden, is er door de overheid en andere organisaties een standaard voor inloggen ontwikkeld, Idensys.

Online inloggen voor overheidsdiensten met de DigiD

Met een DigiD is het mogelijk om in te loggen op websites van de overheid en zorgverleners. Deze DigiD is eigenlijk een combinatie van een gebruikersnaam en wachtwoord. Naast deze gebruikersnaam en wachtwoord is er voor het gebruik van sommige diensten nog een tweestapsverificatie vereist. Hierbij wordt er een code naar je mobiele telefoon gestuurd en moet deze vervolgens bij het inloggen worden ingevuld.

Het College Bescherming Persoonsgegevens gaf in 2015 al aan dat het DigiD-systeem niet veilig genoeg is en dat de tweestapsverificiatie eigenlijk een verplichting moet zijn bij alle online te regelen zaken. Bovendien zijn er ook diverse incidenten geweest met de DigiD in het verleden. Zo wisten criminelen de persoonlijke gegevens van diverse Groningse studenten te verzamelen en daarmee via internet een nieuwe DigiD aan te vragen. Vervolgens werd de activatiecode uit de brievenbus gestolen en hadden ze zodoende toegang tot het online systeem.

Idensys

Idensys, ook wel bekend onder de naam eID, is een standaard voor digitaal inloggen en is ontwikkeld vanwege de toenemende digitalisering en behoefte aan veiligheid op het internet. Het valt eigenlijk te zien als een overkoepelend systeem waaronder diverse inlogmethoden vallen. Er worden strenge eisen gesteld aan inlogmethoden op het gebied van veiligheid en privacy om mee te kunnen doen aan Idensys. Diverse organisaties werken aan de ontwikkeling van inlogmethoden voor Idensys, zoals KPN en Digidentity.

Een belangrijk speerpunt in de ontwikkeling van Idensys is dan ook deze keuzevrijheid: de burger kan uit verschillende geverifieerde methodes kiezen om in te loggen. Voorbeelden hiervan zijn wachtwoordbevestiging op de telefoon, het gebruik van de chip uit je identiteitskaart of gezichtsherkenning via een applicatie. Door deze ontwikkeling zullen de overheid en andere instanties niet langer afhankelijk zijn van één enkele inlogmethode. Mocht er bijvoorbeeld een storing zijn in het DigiD-systeem, dan zijn er door Idensys nog diverse andere beveiligde inlogmethoden waarmee wel kan worden ingelogd.

Pilots en invoering

Er werden in 2016 diverse pilots gehouden om de werking van Idensys te testen. Een groep van 30.000 burgers is verzameld om met Idensys in te gaan loggen voor diensten op het internet. Tijdens deze pilot kon er bij diverse instellingen worden ingelogd met Idensys, zoals de Belastingdienst en PostNL. De resultaten van deze pilots worden gebruikt voor de exacte invulling van Idensys en de bijbehorende inlogmethoden.

Publieke en private instellingen

Een belangrijke verandering ten opzichte van de DigiD is dat Idensys voor zowel publieke als private instellingen gebruikt kan worden. Idensys is dan ook ontwikkeld door bijvoorbeeld zowel het Ministerie van Economische Zaken als door diverse private dienstverleners. Een van de doelen van Idensys is het verminderen van het aantal gebruikersnamen en wachtwoorden van mensen in deze tijd van digitalisatie, terwijl tegelijkertijd de veiligheid wordt verhoogd. Door Idensys een standaard te maken voor zowel overheidsinstellingen als private dienstverleners is het zodoende mogelijk om het online gebruiksgemak van burgers te verbeteren. Zodoende kan een burger met hetzelfde inlogsysteem online winkelen, zijn belastingaangifte doen en een ziekenhuisafspraak veranderen. Een ander voordeel is dat alle organisaties die gebruik willen maken van Idensys aan bepaalde veiligheids- en privacyvoorschriften moeten voldoen.

Veiligheid en privacy

Ondanks dat dus diverse organisaties en overheidsinstellingen gebruik zullen maken van Idensys, zijn de achterliggende datasystemen niet met elkaar verbonden. Dit houdt in dat de ene website geen informatie kan verkrijgen over jouw eventuele bezoeken aan andere websites en vice versa. Bovendien zal gebruik worden gemaakt van pseudoniemen. Als je inlogt bij een bepaalde organisatie, zal je een willekeurige naam (pseudoniem) worden toegewezen. Ook hierdoor wordt ervoor gezorgd dat het inlogsysteem losstaat van de website zelf.

Hoewel alle inlogmethoden aan bepaalde veiligheidseisen moeten voldoen, zijn er toch nog enkele verschillen tussen de methoden die tot de Idensys standaard behoren. Deze verschillen worden aangegeven door verschillende betrouwbaarheidsniveaus, die uiteenlopen van niveau 2 tot niveau 4. Niveaus 2 heeft hierbij relatief het laagste veiligheidsniveau en kan worden gebruikt bij diverse webwinkels en andere private instellingen. Zo is bijvoorbeeld niveau 2+ vergelijkbaar met het huidige DigiD-systeem en bestaat het bijvoorbeeld uit een gebruikersnaam, wachtwoord en verificatiecode via de telefoon. Er zijn echter ook nog inlogmethoden met betrouwbaarheidsniveaus 3 en 4 waarbij er nog meer verificatie van je identiteit vereist is. Deze methoden moeten bijvoorbeeld worden gebruikt voor het wijzigen van gegevens voor de gemeentelijke administratie. Zo wordt er bijvoorbeeld extra verificatie met gezichtsherkenning ontwikkeld, wat wordt gezien als betrouwbaarheid op niveau 3, of kan een chip uit je identiteitskaart worden gebruikt.

Opvolger van de DigiD?

De overheid heeft aangegeven dat Idensys een aanvulling is op het huidige DigiD-systeem en daarmee niet de DigiD vervangt. Er zitten diverse voordelen aan een systeem met meerdere, beveiligde inlegmethoden en die voordelen zullen door de aanvulling met Idensys worden benut. Zodoende kunnen burgers dan zelf kiezen of ze met DigiD, Idensys of een andere methode willen inloggen.