Een cruciaal element binnen Andere Overheid is de centrale ontwikkeling van authenticatiemiddelen. Of de inmiddels geboren “liefdesbaby van de grote instituties nog wil groeien, of dat het kindje ten dode is opgeschreven, moeten we maar even afwachten”, schrijft Jelte Verhoeff.
Een van de dragende ontwikkelingen binnen Andere Overheid is de centrale ontwikkeling van authenticatiemiddelen. De als hoogleraar aan het Centrum voor Recht, Bestuur en Informatisering van de KUB verbonden Corien Prins en onderzoeker Marc de Vries bespreken in hun onder verantwoordelijkheid van het Rathenau Instituut verschenen rapport ID or not to be een aantal van de daarbij optredende dilemma’s. Zij pleiten voor een fundamentele discussie vooraf. Ze signaleren dat de overheid evolueert richting een geïntegreerd stelsel van digitale identificatie. Daarbij komt momenteel onvoldoende aan bod hoe de overheid zou kunnen differentiëren en nuanceren in de wijze waarop de zwaarte van het vereiste identificatiemiddel valt af te stemmen op het afgenomen product of de betreffende dienst.
Prins en De Vries pleiten ervoor de wezenlijke vragen waarbij de vrijheid van de burger in het geding is leidend te laten zijn, en niet de in te zetten middelen of de technologie. Op dat laatste ligt momenteel te veel de nadruk. Zij pleiten ervoor dat de overheid de regierol onder onverdacht voorzitterschap (Ictu) in handen houdt, afstapt van het axioma dat een identiteitsstelsel alleen voor de overheid noodzakelijk zou zijn (te weinig transacties), maximale openheid betracht en de informatieplicht richting burgers vervult. Overheidsorganisaties zouden moeten onderzoeken of het verworven rentmeesterschap over de privacybelangen van de burgers wel gedragen wordt door een voldoende mandaat.
Inertie
Ik betwijfel of die discussie nog integraal gevoerd moet worden. Er is al het nodige aan opinies gevormd en buiten discussie staat dat niemand trek heeft in stalinistische toestanden, waarin de overheid naar believen door de informatiehuishouding van de burgers kan grasduinen. De door Prins en De Vries gesignaleerde dilemma’s, zijn meer beschrijvingen van velden waarop de overheid vanuit een soort inertie tot dusverre in gebreke is gebleven, dan dat bewust sprake zou zijn van het tegenhouden van beschermingsmaatregelen voor de burger of het actief nastreven van een ‘Big Brother’-maatschappij. De overheid laat meer gods water over gods akker lopen. Dat is inderdaad kwalijk.
De aangereikte aanzetten tot discussie en de daarin besloten denkrichting, waarin de vrijheid en het zelfbeschikkingsrecht van de burger centraal staan en een duidelijke regierol voor de overheid is weggelegd, zullen, indien duidelijk geprofileerd, op brede steun kunnen rekenen en sluiten goed aan bij de politieke opvattingen van Thom de Graaf. De vraag is dus meer hoe we nu snel naar een ‘goed’ en veilig stelsel kunnen komen, dan dat allerlei democratische vrijheden bevochten zouden moeten worden op ‘albedil’ overheid. Er is genoeg kennis, maar misschien nog te weinig doorzicht bij de politiek waar dit soort technologisch getinte vraagstukken raken aan fundamentele vrijheden. De discussie moet worden gevoerd en afgerond waar hij thuishoort: in de politieke arena. Een jaren durende ‘brede maatschappelijke discussie’ kan eigenlijk niet meer; de ontwikkelingen denderen door. Er is al te veel tijd verloren gegaan en de rol en sturingsmogelijkheden van de overheid staan in concurrentie met een grote boze buitenwereld. Als we te lang discussiëren, sterven we in schoonheid.
Pissteeg
Iets heel anders is de effectuering van de idee van het centraal ontwikkelen van authenticatievoorzieningen. De Graaf en het programma Andere Overheid (http://www.andereoverheid.nl) hebben redelijk leuke, vrij goed uitziende en werkende sites. Het is hen gegund. Wanneer je je echter als burger op de hoogte wilt stellen van de voortgang in de ontwikkeling van je elektronische identiteit, word je via een pissteeg in cyberspace naar een achterafwerkplaatsje gedirigeerd. http://www.burgerpin.nl.
De site lijkt te zijn gemaakt door iemand die bij speelgoedhuis Bart Smit de cd-rom ‘My first application’ heeft gehaald. Dat is al een beetje suspect voor de berichtgeving over een dergelijke centrale voorziening en helaas, de angstige vermoedens worden bewaarheid. Aangekomen blijkt de ontwikkeling belegd te zijn bij het Bureau Keteninformatisering Werk en Inkomen (Bkwi), waar onder leiding van Olf Kinkhorst wordt gesleuteld aan iets wat misschien wel kan vliegen, maar toch duidelijk houten propellers heeft. Uit enkele tamelijk eufemistische teksten blijkt dat ook binnen het actieprogramma Andere Overheid de kokertjes nog lang niet verslagen zijn. BZK gaat zelfstandig door met de ontwikkeling van een transactieportaal (men onderhoudt ‘een relatie’) en er is ook sprake van een ’theoretische exercitie’ waar vervolgens een veilige afstand tot wordt bewaard. Dat wordt nog wat.
Men kondigt aan voor de technologie gebruik te maken van A-select. De indruk ontstaat dat dit een vorm van authenticatie is. A-select is echter een slimme softwarematige schakelkast, waarin diverse vormen van authenticatie te kunnen worden ‘geklikt’. Een mooi facet daaraan is dat vanuit A-select bestaande authenticatiemechanismen kunnen worden gebruikt zonder alles te hoeven kopiëren. Als je van mening bent dat een bankpas in het gebruik de eigenaar voldoende authenticeert, is het in principe mogelijk daarmee via A-select diensten te ontsluiten. Hetzelfde geldt voor de mobiele telefoon.
De keuze voor A-select is dus een tactische zet, om nog geen definitieve keuze te hoeven maken. Het gevaar is wel dat de massale beschikbaarheid van bankpassen en mobiele telefoons de bovenbeschreven noodzakelijke (politieke) meningsvorming kortsluit en het proces een eigen dynamiek geeft, waarin voldongen feiten worden gesteld: de bankpas en de mobiele telefoon worden ingezet om burgers te authenticeren voor de toegang tot overheidsdiensten. Los van de vraag of dat principieel wenselijk is, zal daarmee de identiteitsfraude bij overheden zich naar het niveau van dat bij banken en telecombedrijven bewegen. Hoe groot dat probleem is weten we niet, maar uit eigen ervaring bij de politie weet ik dat daardoor regelmatig grote schades ontstaan, niet in de laatste plaats door interne corruptie.
Irreëel
Er zijn ook tekenen dat het project langzamerhand wat averij aan het oplopen is. Men is met een vastberaden, enthousiaste, kleine projectgroep de bak met vloeibaar beton ingestapt die overheid heet. Het beton lijkt nu langzamerhand uit te harden.
Bij de start van het project was de minister keurig aanwezig en legden belangrijke partijen als de belastingdienst, het UWV, de Sociale Verzekeringsbank en het CWI zich vast op de ontwikkeling van een Nationale Authenticatie Voorziening (NAV). De initialen zijn nog hetzelfde maar inmiddels wordt gesproken van een Nieuwe AV en is de rol van Belastingdienst en UWV niet meer duidelijk. Het UWV zal ongetwijfeld de complexe fusie hebben aangeroepen als drogreden om de medewerking te temporiseren of te staken. De echte reden is dat het UWV op strategisch niveau het Bkwi als een vreemde beschouwt en een belangrijke ontwikkeling als een authenticatiemiddel zeker niet aan dat bureautje wil overlaten, al kan het dat het zelf evenmin tot stand brengen.
De rapportage over de voortgang is een ander detail dat twijfel wekt. De eerste nieuwsbrief verscheen nog netjes in de laatste week van de maand waarover gerapporteerd werd (juli 2003, ook al staat hij op de knutselsite gedateerd op 30 januari 2004). De tweede verscheen precies eind augustus, de derde in de eerste week van de volgende maand, de vierde (over oktober, staat abusievelijk als nieuwsbrief over november vermeld) al ver in de tweede week van de volgende maand, de vijfde nog een dag verder in de volgende maand en de nieuwsbrief over december, staat abusievelijk als vijfde nieuwsbrief vermeld, verscheen op 13 januari 2004, maar is tekstueel gelijk aan de brief over november. Daarna is niets meer vernomen. Effectief is er nu dus een radiostilte richting burger sinds november 2003.
Het oorspronkelijke irreële idee dat per 1 januari 2004 een operationele voorziening zou kunnen worden opgeleverd, is inmiddels verschoven naar 1 januari 2005. De pilot in Enschede is van start met het sofi-nummer als sleutel, iets wat in een productieomgeving zal moeten worden vervangen.
Vilein
Uit de site blijkt niet of de gemeenten die aan de start verschenen (Amersfoort, Den Haag, Deurne, Rotterdam, Tilburg, Utrecht, Enschede en Purmerend) nog steeds in beeld zijn. Alleen Enschede en Den Haag zijn nog zichtbaar, waarbij Den Haag graag bij een landelijke ontwikkeling wil aansluiten, maar dan ook weer trots op de site van BZK aankondigt met een eigen voorziening te komen.
Er worden ook wat vileine opmerkingen gemaakt over het College Bescherming Persoonsgegevens, waarop nu het wachten zou zijn. Verder wordt een aanloopje genomen om de Landelijk Raadpleegbare Directory, indien niet op tijd opgeleverd, te kunnen passeren. Iedereen die het ambtelijk jargon een beetje kent of getrouwd is geweest, weet dat dit alles een inleiding is om de ander de schuld van een probleem te kunnen geven. Het lijkt er daarom op dat het project aan breedte en impact heeft ingeboet, doordat instanties de kans hebben gekregen zich op het eigen domein terug te trekken. De Rode Baron is inmiddels een staartstuk en een halve vleugel kwijt.
Uit de magere documentatie op de site blijkt ten slotte dat autorisatie en authenticatie geheel zijn losgekoppeld. Kennelijk is er nog geen samenwerkingsverband voorzien met de beperkte groep van systeemleveranciers om het autorisatievraagstuk op te lossen. De te bouwen voorziening kent de functionaliteit inloggen en uitloggen of ik moet het verkeerd begrepen hebben; het pilotplan is onvindbaar en het ‘proof of concept’ blijft zo hinderlijk doorpruttelen dat je je browser moet afsluiten om er weer vanaf te komen.
Een positief puntje is dat men niet bij voorbaat alles al verpest heeft door een van de gevestigde automatiseerders te betrekken bij het project, maar het met een klein bedrijf doet, dat alles van A-select weet. Of deze liefdesbaby van de grote instituties nog wil groeien, of dat het kindje ten dode is opgeschreven, moeten we maar even afwachten. Ik vrees het ergste. Hoe het trapezenummer in het overheidsinformatiseringscircus, het ontwikkelen van de overige basisregisters, ervoor staat, komt in het volgende verhaal aan de orde.< BR>
Jelte Verhoeff, voormalig ict-project manager bij het UWV