De Digicommissaris en Digipoort: wat gaat er veranderen?

Relatie Digicommissaris en Digipoort

Overheid en markt maken steeds meer gebruik van de digitale infrastructuur. De overheid is verantwoordelijk voor die voorzieningen die (digitaal) verkeer met de overheid mogelijk maken. Deze digitale infrastructuur is op verschillende fronten essentieel voor bijvoorbeeld de belastingdienst en de financieel-administratieve wereld: zo kan de belastingdienst met de GDI-voorziening Digipoort aangiften van intermediairs ontvangen en de kamer van koophandel ontvangt via Digipoort publicatiejaarrekeningen. Een ander voorbeeld is het digitale Ondernemingsdossier. Hiermee kan een ondernemer eenmalig bedrijfsinformatie, bijvoorbeeld ten aanzien van brand- en voedselveiligheid, verstrekken aan toezichthouders.

Veranderingen door fraude-, informatieveiligheid- en privacy-issues

De digitale infrastructuur is door technologische ontwikkelingen zeer dynamisch en veranderlijk. Aan de kant van de overheid zal bijvoorbeeld Digipoort de komende jaren sterk (door)ontwikkeld, gewijzigd en op delen zelfs afgebouwd moeten worden.
De oorzaken zijn issues op het gebied van fraude, informatieveiligheid en privacy.

Een belangrijk vraagstuk bij gegevensuitwisseling is fraude. Doordat de gedigitaliseerde dienstverlening veelal zonder persoonlijk contact verloopt, wordt het voor kwaadwillenden gemakkelijker om ongemerkt foutieve informatie in registraties te zetten of om identiteitsdiefstal te plegen. Dit werkt bijvoorbeeld het onrechtmatig gebruik maken van (overheids)voorzieningen, zoals subsidies, uitkeringen, studiefinanciering of inkomensafhankelijke regelingen in de hand. Fraude is effectiever aan te pakken als overheidsinstanties en bedrijfsleven (ook marktpartijen onderling) samenwerken en gezamenlijk optreden. De Digicommissaris zet daarom in op het verder optimaliseren van de organisatieoverstijgende samenwerking. Doel is dat de overheid, ook als het gaat om fraudebestrijding, steeds meer gaat opereren als één geheel.

In de huidige en toekomstige digitale wereld informatieveiligheid van vitaal belang. Informatie, herleidbaar tot persoonlijke gegevens of niet, moet altijd afdoende worden beschermd. Bij digitale informatie gaat het om beschikbaarheid (weerbaar tegen aanvallen van buitenaf), actualiteit, authenticiteit, integriteit en vertrouwelijkheid (geen ongeautoriseerde toegang, raakt aan privacy).

Informatieveiligheid is natuurlijk altijd een kosten/batenafweging, dit betreft zowel financiële als kwalitatieve kosten/baten.

Er is een sterk groeiend besef van het belang van het waarborgen van privacy. Echter er is wel een groot verschil tussen het besef dat men voorzichtig moet zijn met online persoonsgegevens en het feit dat men deze notie niet altijd naleeft. Dit heeft verschillende redenen. Denk aan gewoonte, gebrek aan kennis en kunde of het bewust delen van persoonlijke gegevens uit eigenbelang, zoals financieel voordeel of gemak en kwaliteit van dienstverlening.

Bezorgdheid over privacy heeft deels te maken met vertrouwen: mogen de gegevens gebruikt worden op de manier waarop de andere partij dit doet? En anderzijds met transparantie: is helder wat er met jouw gegevens gebeurt en waarom? En hoe kom je daar achter? Een privacybestendige website (digitale dienstverlening) is klantgericht, veilig, betrouwbaar en legitiem. Het verantwoord omgaan met data is een teken van kwaliteit, een goede organisatie en dus een goed bestuur.

Wat gaat er in 2016-2017 veranderen voor intermediairs?

In navolging van de Rijksdienst voor Ondernemend Nederland (RvO) zal ook Digipoort snel gaan aansluiten op het stelsel elektronische Toegangsdiensten (eTD). De authenticatiemiddelen in dit stelsel zijn eHerkenning (voor bedrijven) en Idensys (voor burgers als gebruik wordt gemaakt van het BSN nummer en voor consumenten in geval BSN niet nodig is). Dit zal gevolgen hebben voor de PKIoverheid servercertificaten en voor de papieren machtigingen.

Het eTD Stelsel maakt het mogelijk om de identiteit en bevoegdheid van burgers en bedrijven met een voldoende mate van zekerheid vast te stellen. Hiermee worden publieke en private organisaties ontzorgd op het gebied van een veilige en gebruiksvriendelijke toegang tot digitale dienstverlening. eHerkenning en Idensys regelen de digitale herkenning (authenticatie) en controleren de digitale bevoegdheid (autorisatie) van personen die online een dienst willen afnemen. Een belangrijk onderdeel binnen eHerkenning is het machtigingenregister. Het machtigingenregister bevat informatie over welke gebruiker, namens welke organisatie gemachtigd is om een bepaalde dienst af te nemen op een bepaald niveau. eHerkenning is naast een technisch netwerk ook een waarborg voor kwaliteit. De overheid vereist die waarborg, omdat veilige toegang tot digitale dienstverlening van fundamenteel belang is voor de samenleving. Online dienstverleners en gebruikers kunnen daarom met een gerust hart een erkende aanbieder kiezen. De overheid houdt toezicht.

De huidige versie van eTD bevat inmiddels ook machine-to-machine-communicatie, waarmee RvO al in productie aan het testen is. Zoals hiervoor al aangegeven zal ook Digipoort overgaan op eTD : we zullen moeten gaan wennen aan volledig elektronisch uitwisselen van gegevens, zonder papierstromen. Machtigingen zullen vanaf (eind) 2016 eenvoudig via eID elektronisch door de klant worden afgegeven (met het eHerkenning/Idensysmiddel) en door Digipoort elektronisch worden ontvangen en automatisch gecontroleerd. Brieven per post met activeringscodes zijn dan niet meer nodig.

[Frank Jonker (accountant) is Directeur CreAim.]