|
GEVEN BELGEN HET VOORBEELD MET ELEKTRONISCHE HANDTEKENING?
België voert
massaal de elektronische handtekening voor burgers in,
met de vervanging van oude identiteitskaarten. In Nederland
aarzelen de grote partijen, zoals rijksoverheid, gemeenten,
semi-overheidsinstellingen en grote bedrijven nog met
de grootschalige invoering van elektronische identificatie
op basis van chipkaarten. Zijn de Belgen dom met privacy?
Of vluchten Nederlanders wederom in de overbekende 'pilots'?
Op korte
termijn zal in Nederland de Wet elektronische handtekeningen
in werking treden, waardoor digitale handtekeningen dezelfde
rechtsgeldigheid hebben als het handgeschreven bewijs van
de eigen identiteit. Deze kleine, juridische revolutie
van 2003 heeft in eerste instantie een gewonnen privacyslag
met zich meegebracht: de sleutels voor beveiliging behoeven
geen centrale opslag, iets waarvoor het ministerie van
Justitie wedijverde. Bedrijfsleven noch burgers waren er
voor in.
Maar
een tweede privacyslag woedt al: rond de bouw van een infrastructuur
voor grootschalig gebruik van elektronische handtekeningen
door burgers. Er is geen algemene infrastructuur nodig
voor uitgifte van chipkaarten en het uitlezen daarvan.
Zo'n
kaart zou direct ook voor 'e-identificatie' zijn in te
zetten: voor transacties op internet en voor toegang tot
(overheids)diensten. Dat lijkt nog een brug te ver in Nederland,
België passeerde die brug al.
Veel
projecten
Toch
gaat het redelijk goed met de elektronische handtekening,
zo verklaart Ronald Koorn, deskundige van KPMG Information
Risk Management, Technology & e-Business. Het accountantskantoor
koos er uiteindelijk voor om geen uitgever en beheerder
van elektronische handtekeningen te worden, in tegenstelling
tot PinkRoccade, KPN, Diginotar en Enschedé/Sdu. Zij zijn
nu Certification Service Providers (CSP's), de nieuwe naam
voor wat al jaren Trusted Third Parties heet: partijen
die de certificaten voor authenticatie uitgeven en bewaken.
KPMG is nu de enige geaccrediteerde partij om dit soort
CSP's de maat te nemen alvorens ze aan de slag mogen met
uitgifte van certificaten.
PinkRoccade
had de primeur met deze erkenning. Ondertussen is er, vult
Koorn aan, een flink aantal proefprojecten:
de vier
grootste banken in Nederland (die zelf - nog - geen CSP
zijn) zijn proeven begonnen met transacties op basis van
elektronische identiteit, maar ook met bijvoorbeeld telewerken;
Het
ministerie van VWS en het zelfstandige Centraal Informatiepunt
Beroepen Gezondheidszorg (CIBG)
zijn begonnen met het online authenticeren van zorgverleners.
We vinden daarover op internet een projectbeschrijving.
De zorgverzekeraars
verenigden zich eerder al in de Vecozo om
digitale certificaten te ontwikkelen en uit te geven voor
toegang tot systemen. Eind maart, zo lezen we daar, kwam
er een Elektronisch
Declaratie Portaal van Vecozo om centraal declaraties
voor ziektekosten in te dienen. Dit is er voor zorginstellingen
en zorgverzekeraars, niet voor burgers, ofschoon dat handig
zou zijn.
De Vereniging
van Kamers van Koophandel beproeven de Bedrijvenpas waarmee
ondernemingen wijzingen in het Handelsregister doorgeven
en zich niet meer aan het loket hoeven te vervoegen. De
Kamers van Koophandel en het ministerie van Economische
Zaken proberen de papierhandel van bedrijven te verminderen.
Het
Traumacentrum van het Universitair Medisch Centrum in Utrecht
begon een proef waarbij via een smartcard van DigiNotar
medisch personeel met een vingerafdruk de gegevens in diverse
medische bestanden van ziekenhuizen direct kan raadplegen.
De Nederlandse
Orde van Advocaten, nog enkele ministeries en een groot
aantal Zelfstandige Bestuursorganen (ZBO's) van de overheid
zijn met dit soort trajecten bezig en willen als vervolgstap
elektronische handtekeningen gaan inzetten.
Ronald
Koorn: 'In al deze projecten gaat het om communicatie tussen
overheden en/of bedrijven en instellingen. De grote afwezige
in dit rijtje is de burger. De grote vraag is: wie pakt
de ontwikkeling en uitrol van een brede Public Key Infrastructure
of PKI in Nederland op?'
Gescheiden
trajecten?
Op zijn
vroegst vanaf 2005 komt er in Nederland een nieuwe generatie
paspoorten, hoogstwaarschijnlijk voorzien van elektronische
certificaten en biometrische gegevens. Wat lijkt er meer
voor de hand te liggen dan het uitbreiden van dit project
naar een algemene, ook nationaal te gebruiken identiteit,
die ook geschikt is voor online identificatie?
Koorn:
'We komen hier in Nederland dan toch meteen in opstand,
vanwege de risico's van verlies aan privacy. Je ziet echter
al een toenemende vraag naar identificatie met rijbewijzen
en paspoorten. Bovendien rijst de vraag van de financiering.
Maar ik denk dat uiteindelijk het besluit tot die identiteitskaart
met elektronische handtekening er wel zal komen, maar dat
duurt zeker tot 2005, als het niet langer gaat duren.'
Diverse
overheids- en commerciële partijen zijn met elkaar in gesprek
over mogelijke grootschalige uitrol van de elektronische
handtekening, los van het paspoort. Dat zou betekenen dat
er twee trajecten zijn.
Maar
er kunnen veel meer trajecten van elektronische handtekeningen
naast elkaar ontstaan, bijvoorbeeld door het uitgeven van
kaarten in bepaalde gebruikersgroepen, waarschuwt Koorn.
De vraag is of de burger daarmee gediend is. 'Het is begrijpelijk
dat we hier niet willen naar een verplichte, van bovenaf
opgelegde Public Key Infrastructure zonder enige discussie,
zoals in Hong Kong of Maleisië wordt ingevoerd. Maar anderzijds
is de vraag met hoeveel kaarten de burger op zak wil lopen
voor identificatie. Het besluit om in Nederland één basisinfrastructuur
in te richten die per december 2002 live is voorkomt dit
kaartenprobleem echter grotendeels. Het is echter wel zo
dat het gebruik van de handtekeningen door burgers en bedrijven
onderling buiten de scope valt van de PKI voor de overheid.'
Belgische
manier
Buurland
België loopt in Europa voorop met de grootschalige introductie
van de elektronische handtekening, de bijbehorende PKI
en met de e-identiteit. In Zweden, Finland en Spanje liepen
gelijksoortig projecten vertraging op Het is verbazingwekkend
hoe eenvoudig de invoering in België tot stand kwam. In
het kader van het E-regering
programma stippen de Belgen wel kort het privacyprobleem
aan, maar als een
van de hinderpalen op weg naar elektronische communicatie.
België kent
een Commissie
voor de Bescherming van de Persoonlijke Levenssfeer als
equivalent van College
bescherming persoonsgegevens in Nederland, maar de
houding van deze club is pragmatisch, heel anders dan de
diep zorgelijke en waakzame houding van ons CBP.
Pragmatisme
kenmerkt de Belgische aanpak. Zo bevat
de Belgische kaart geen adres. Uit privacyoogpunt lijkt
dit prettig, maar dit is niet de reden: de Belgen kunnen
hun kaart nu ook behouden en gebruiken na verhuizingen.
Anderzijds
speelt privacy wel degelijk een rol bij de Zuiderburen.
Zo komen er aparte kaarten voor de zorg, de SIS-kaarten voor
sociale verzekering. Een citaat daarover uit genoemd artikel,
uit de mond van de Frank Robben van de Kruispuntbank van
de sociale zekerheid, spreekt boekdelen over de Belgische
aanpak:
'De
ziekenfondsinformatie op de chip laden, was niet te verkopen
aan de publieke opinie vanwege de privacy. Ideaal had de
identiteitskaart de sleutel moeten worden tot een databank
die zegt hoe het staat met je ziekteverzekering. Maar de
apothekers zijn onvoldoende uitgerust om op een beveiligd
netwerk te gaan om die databanken te raadplegen.'
In feite
zegt Robben eerst dat de privacy de oorzaak is van het
niet koppelen van beide kaartsystemen, maar vervolgens
dat de apothekers er nog niet klaar voor waren. Vervolgens
spreekt hij de verwachting uit dat binnen tien jaar de
SIS-kaart voor verzekeringen en de nationale identiteitskaart
zullen integreren.
De
arme zieke
Een
Nederlandse professor maakte tien jaar geleden op een chipkaartcongres
al de volgende grap over een uniforme kaart: 'Kom je bij
de dokter die wil je niet helpen want ziet dat je rood
staat. Vervolgens kom je bij de bank daar kun je niet lenen
daar ze ziet dat je een enge ziekte hebt.'
De oplossing
voor dit probleem lijkt voor de hand te liggen: voer een
kaartsysteem in met een elektronische handtekening, en
zet verder geen gegevens op die kaart. De gegevens van
belang bevinden zich in de databanken. Koorn: 'Bij de PKI
voor de overheid in Nederland is dan ook besloten vrijwel
geen identiteitsgegevens op de kaart op te slaan.'
Feit
is dat nog dat het ene gegeven van de elektronische identiteit
de sleutel is tot vele persoonlijke gegevens in de talloze
databanken. Het wordt, hoe dan ook, eenvoudiger om gegevens
te combineren, tenzij de databanken goed gescheiden en
goed beveiligd zijn. De praktijk leert dat zich daar het
probleem voordoet: ongelukjes, misbruik van bevoegdheden
en inbraak bedreigen de privacy.
Dus,
zeggen privacyvoorvechters, moet je dat risico niet nemen
met een integrale identiteitskaart die zowel in communicatie
met de overheid als met de zorg als met banken en online
winkels dezelfde elektronische handtekening voor identificatie
hanteert.
Ronald
Koorn wijst op voorwaarden die door de overheid zijn uitgevaardigd
in een Programma
van Eisen van de Task
Force PKIoverheid. In feite is hiermee de basis gelegd
voor gebruik van elektronische handtekeningen
Maar
is dit een onvoldoende basis voor een uniforme basisinfrastructuur
voor elektronische identificatie? Korn: 'De uniforme basisinfrastructuur
is er in feite al, maar moet nu worden benut door overheids-
en marktorganisaties voor het gebruik van elektronische
handtekeningen. Een publiek-private samenwerking lijkt
echter noodzakelijk voor een landelijke infrastructuur
inclusief kaarten en kaartlezers. Pas dan kun je alle burgers
en bedrijven voorzien van een online identiteit en de mogelijkheid
tot het zetten van elektronische handtekeningen.'
Zie
ook:
Overwegingen
nationale identiteitskaart
Wie
betaalt onze privacy?
[PeO, 18 april 2003]
|
