eIDAS verplichting: Mag het een onsje meer zijn?
In september 2018 is het zover. Als overheidsorganisatie moet u dan de elektronische identiteiten van andere lidstaten accepteren in uw elektronische dienstverlening. En open for business zijn voor burgers en bedrijven van die andere lidstaten. De eIDAS verordening wordt dan namelijk van kracht voor elektronische identiteiten. Hiervoor is meer nodig dan alleen een technisch aansluittraject, in tegenstelling tot wat velen denken. Een onsje meer dus.
Allereerst het technische aansluittraject. Het Ministerie van Economische Zaken heeft een eIDAS knooppunt gerealiseerd (factsheet eIDAS). Door aansluiting op dit knooppunt kunt u eenvoudig realiseren dat u die elektronische identiteiten uit andere lidstaten kan herkennen en verifiëren. De technische opgave waar u voor staat is daarmee heel overzichtelijk. Tot zover het goede nieuws.
Daarnaast is het echter zaak om na te denken over wat het betekent om diensten te leveren aan burgers en ondernemers uit andere lidstaten. Ziet dat proces er hetzelfde uit? Wat is er nodig als het om aan te leveren gegevens en documenten gaat. Zo’n mooi systeem als het stelsel van basisregistraties in Nederland is meestal in andere Europese landen niet voorhanden en als het er al is, is het niet zomaar te bevragen vanuit Nederland. Wat is er nodig voor ondersteuning zoals een helpdesk? Hoe gaan we om met meertaligheid?
Als u die vragen heeft beantwoord, komen we tot de zaak van de beveiliging van de toegang tot die elektronische diensten: welke betrouwbaarheid moet een identiteit dan hebben zodat u voldoende zeker weet dat het echt een bepaalde persoon is, die op de elektronische dienst inlogt?
Om de laatste categorie vragen te beantwoorden heeft het Forum Standaardisatie de Handreiking Betrouwbaarheidsniveaus opgesteld, waar wij aan hebben mogen bijdragen. Deze Handreiking is de de facto norm voor overheden, aanbevolen door de Digicommissaris en de Rekenkamer. De Handreiking geeft antwoord op de meest voorkomende vragen en biedt een methode voor verkorte risicoanalyse, die ook elektronisch ondersteund wordt.
Uiteraard kan de Handreiking niet alle vragen voor uw situatie beantwoorden. Soms volstaat zo’n verkorte analyse niet, maar is een volledige risicoanalyse met bijbehorende dataclassificatie nodig. Ook zijn er afwegingen waarin de Handreiking u niet kan helpen omdat het per definitie maatwerk betreft:
– Hoe zwaar beveiligt u ‘de voordeur’ versus welke zekerheden haalt u in het vervolgproces op omtrent de identiteit van de burger of ondernemer?
– Wilt u alleen een verificatie van de identiteit, of is er eigenlijk toch ook wel een ondertekening vereist om de gegevensverstrekking en de wil van de burger of ondernemer onomstotelijk vast te leggen?
Kortom: er is een onsje meer nodig. Inrichting van dienstverlening, risicoafweging en techniek gaan hand in hand bij eIDAS. Heeft u vragen hierbij of ideeën hierover? Neem dan vrijblijvend contact op met DIGITALconfidence.
