Saturday, June 9, 2012

Masterclass E-herkenning

Samen met een oude collega bezocht ik in januari 2012 de masterclass E-herkenning in de Jaarbeurs van Utrecht. Frappant om te zien, hoe dit onderwerp in verloop van een jaar of vijf is ontwikkeld. Er lag een jaar of vijf geleden een rapport van CG in opdracht van min van EZ.
Men heeft heel goed gezien dat het ondoenlijk is, dat iedere instelling/bedrijf zelf zijn toegangsprocedure inricht. Dan moet dus een klant/ burger voor elk bedrijf een 'sleutel' bewaren. Toen al werd duidelijk, dat een grote digitale sleutelbos geen doen is. Heden ten dage nog hebben mensen passwords/userids/ tokens voor diverse sites waar ze komen (banken, verzekeraars, online winkels).
Een goed initiatief van de overheid was DigiD. Op de eerste plaats voor de belastingaangifte, maar ik merkte op zeker moment, dat ook de site Mijn Pensioen Overzicht zo toegang geeft. En vele (semi)-overheidsinstellingen zetten intussen DigiD in voor hun toegangsproces.
E-herkenning is theoretisch ingewikkeld, omdat je 4 betrouwbaarheidsniveaus hebt die elk eisen stellen aan de beveiligingsmiddelen. Verder is het aantal betrokken partijen groter dan twee (de bezoeker en de gastheer). In een studie van Innopay werd op zeker moment de 'derde partij' geintroduceerd. Dus niet de 1 op 1 beveiligingsovereenkomst (bijv burger met belastingdienst), maar een derde partij gaat er tussen zitten (burger, belastingdienst, DigiD). Op die manier wordt het beveiligingsmechanisme 'uitgenormaliseerd' om maar een term uit gegevensanalyse te gebruiken. Want die derde partij kan dus ook makkelijk tussen de burger en andere instellingen gaan zitten, zodat niet voor elke relatie tussen een burger en een instelling nieuwe mechanismen moeten worden gebouwd.
Waarom wordt het aanvankelijk ingewikkelder? Omdat de derde partij de componenten van zijn activiteiten in de markt bij verschillende aanbieders kan beleggen. In Nederland is daarvoor een fraai model ontwikkeld, waarin de markt een belangrijke plaats inneemt. Hopelijk kan Nederland daarin Europees of zelfs mondiaal een voortrekkersrol spelen.
Voordelen: 1. Bedrijven en klanten hoeven niet voor elke relatie speciale veiligheidsmechanismen te bouwen. Dat bespaart veel tijd en geld. 2. Omdat de markt erin springt, kunnen leveranciers in concurrentie laten zien, wie de beste oplossingen heeft. Voor afnemers is dat een goede situatie. 3. Doordat er verschillende lagen zijn gedefinieerd qua soliditeit en betrouwbaarheid, kunnen vele verschillende varianten worden aangeboden, waardoor heel precies maatwerk mogelijk is per klantsituatie. 4. Nieuwe ontwikkelingen (middelen, procedures) kunnen worden geabsorbeerd door de markt. Dus allerlei pasjes, mobiele telefoons en andere apparaatjes kunnen binnen het systeem een plaats verdienen.
Volgens mij loopt Nederland in deze ontwikkeling voorop. Ik ben benieuwd of bedrijven ook de mogelijkheid hebben om daarmee internationaal een positie te verwerven als leverancier van toegangsoplossingen. Het kan natuurlijk ook zijn, dat het gedachtengoed gemakkelijk te kopiƫren en te implementeren is, zodat buitenlandse partijen er in hun land voordeel mee kunnen doen. Dat geldt bijvoorbeeld ook voor Ideal, een betalingsmogelijkheid waarmee je internetaankopen kunt betalen, waarbij je automatisch doorgeleid wordt naar je eigen e-banking-applicatie.