Wat is een elektronisch identiteitsmiddel? Met een elektronisch identiteitsmiddel bevestig je in de digitale wereld dat je inderdaad degene bent die je beweert te zijn. Daar waar je normaal gesproken je ID-bewijs zou laten zien, doe je dat in de digitale wereld met een identiteitsmiddel. Afhankelijk van waarvoor je jezelf identificeert, worden er betrouwbaarheidseisen gesteld. Die kunnen dus voor verschillende toepassingen verschillende niveaus hebben.
ETD: een elektronisch identiteitsmiddel moet veilig en betrouwbaar zijn.
Agentschap Telecom voert sinds maart 2016 toezicht uit op het “Afsprakenstelsel Elektronische Toegangsdiensten” (afgekort tot “ETD-stelsel”). Dit stelsel bestaat uit een identiteitsmiddel voor burgers (Idensys) en een identiteitsmiddel voor bedrijven (eHerkenning). Deze beide identiteitsmiddelen kunnen tot en met een “hoog” betrouwbaarheidsniveau ingezet worden.
Toezicht is een waarborg om aanbieders van identiteitsmiddelen aan de meest actuele kwaliteits- en veiligheidseisen te laten voldoen. Agentschap Telecom voert, in opdracht van de staatssecretaris van BZK, toezicht uit door middel van bijvoorbeeld inspecties en controles bij de deelnemers aan het ETD-stelsel. De geconstateerde bevindingen uit de inspecties worden gedeeld met de deelnemer. Hieruit voortvloeiende risico’s worden geanalyseerd en gewogen. Deze moet de deelnemer tijdig oplossen om te kunnen blijven voldoen aan de eisen van het ETD-stelsel.
Op het gebied van elektronische identiteiten gaan de technologische ontwikkelingen razendsnel. Denk daarbij bijvoorbeeld aan identificatie op afstand. Voor een deel worden deze innovatieve technieken al toegepast, voor een ander deel wordt de implementatie voorbereid. Als het gaat om de veiligheid en betrouwbaarheid van elektronische identiteiten, dan stellen deze ontwikkelingen niet alleen hoge eisen aan de aanbieders van identiteitsmiddelen, maar ook aan de bijbehorende regelgeving en normenkaders en het toezicht op deze aanbieders.
De Wet Digitale Overheid (wDO) die het toezicht op o.a. Idensys en eHerkenning formeel zal regelen treedt naar de huidige verwachting per 1 januari 2019 in werking. Zolang deze wet nog niet in werking is getreden, is er een tijdelijke constructie met een Commissie van Deskundigen (CvD) die de Staatssecretaris van BZK adviseert.
Een elektronische dienst moet veilig en betrouwbaar zijn.
Met digitalisering schuiven de fysieke en digitale wereld in elkaar. Diensten waarvoor eerder persoonlijk contact nodig was, kunnen we nu ook of juist uitsluitend via internet afnemen. Formulieren die voorheen een natte handtekening vereisten, kunnen nu digitaal worden geformaliseerd door middel van bijvoorbeeld een gekwalificeerde elektronische handtekening. Handig, helemaal in Europees verband! Agentschap Telecom houdt toezicht op de aanbieders van deze vertrouwensdiensten. Want het moet wel veilig en te vertrouwen zijn.
Agentschap Telecom is sinds maart 2017 de toezichthouder op de eIDAS verordening. Het agentschap is aangesloten bij FESA, het Europees samenwerkingsverband van toezichthouders op vertrouwensdiensten en bij activiteiten van het Europese Veiligheidsagentschap ENISA.
Aanbieders van gekwalificeerde vertrouwensdiensten
In Nederland zijn acht verleners van gekwalificeerde vertrouwensdiensten*. Gekwalificeerde vertrouwensdiensten voldoen aan normen die in de eIDAS-verordening beschreven staan. De aanbieders van deze diensten hebben aan AT aangetoond te voldoen aan deze eisen uit de eIDAS verordening.
Met de inwerkingtreding van de eIDAS verordening werd ook een overgangsregeling van beperkte duur van kracht voor reeds gekwalificeerde diensten. Het agentschap heeft zich over de bestaande aanbieders opnieuw zelfstandig een oordeel gevormd, waarbij o.a. ook ‘technische reality checks’ zijn uitgevoerd. Dit om te kijken of de papieren werkelijkheid overeenkomt met de praktijk.
*Op 8 maart 2018 heeft Agentschap Telecom aan Cleverbase ID BV als achtste partij de gekwalificeerde status toegekend.
Overzicht gekwalificeerde verleners van vertrouwensdiensten 2017
| Overheidspartijen | ||
|---|---|---|
| Gekwalificeerde verlener van vertrouwensdiensten | Agentschap CIBG | Het gaat hier om de UZI-pas voor medische sector (bijv. bij apotheek, pas met chip en certificaat). |
| Ministerie van Defensie | ||
| Ministerie van Infrastructuur en Milieu | Hier gaat het om de taxi pas. | |
| Marktpartijen | ||
| Digidentity BV | ||
| ESG de electronische signatuur | ||
| KPN BV | ||
| QuoVadis Trustlink BV | ||
| Cleverbase ID BV* |
Een gekwalificeerde partij kan meerdere vertrouwensdiensten aanbieden. Voorbeelden zijn: het aanmaken van digitale certificaten voor handtekeningen, zegels en websites; het aanmaken van elektronische tijdstempels; bewaring en validering van gekwalificeerde elektronische handtekeningen en zegels en elektronische aangetekende bezorging.
Toezicht op aanbieders van gekwalificeerde diensten vindt structureel plaats. Naar aanleiding van aanvragen is in 2017 de status gekwalificeerd aan drie nieuwe typen diensten toegekend. Dit betreft Certificaten voor authenticatie van een website, Certificaten voor elektronische zegels en Elektronische tijdstempels. Dit is gebeurd op basis van inspectieresultaten, technisch onderzoek en conformiteitsbeoordelingsrapporten van geaccrediteerde auditors.
Aanbieders worden met de door hen verleende gekwalificeerde vertrouwensdiensten door AT geplaatst op de Nederlandse vertrouwenslijst. Deze maakt onderdeel uit van de Europese vertrouwenslijst. Zo kan iedereen op afstand nagaan of de status van ‘gekwalificeerd’ (nog) geldig is voor een bepaalde vertrouwensdienst.
Aanbieders van niet-gekwalificeerde vertrouwensdiensten
Het agentschap houdt ook toezicht op aanbieders van niet-gekwalificeerde vertrouwensdiensten. Dit vindt (op grond van de eIDAS verordening) achteraf plaats in geval van klachten en meldingen van incidenten of verstoringen in de markt van de vertrouwensdienstverlening. Is een partij geïnteresseerd in het verkrijgen van de gekwalificeerde status dan voorzien wij in de informatiebehoefte. In 2017 is er over deze diensten geen melding of klacht ontvangen.
Melden van veiligheidsinbreuken
Verleners van vertrouwensdiensten hebben een plicht om een veiligheidsinbreuk of integriteitsverlies te melden bij het agentschap en zo nodig ook bij het Nationaal Cyber Security Centrum en/of de Autoriteit Persoonsgegevens. Meldingen vergroten uiteindelijk de weerbaarheid van de Nederlandse samenleving in het digitale domein. Het agentschap wil toe naar een ‘community’ met een open en op verbetering gerichte (meld)cultuur van (bijna)incidenten om een negatieve impact op de veiligheid van en het vertrouwen in het stelsel van vertrouwensdiensten te beperken.
Over 2017 heeft het agentschap (op grond van de eIDAS verordening) ENISA geïnformeerd dat er geen incidentmeldingen van verleners van vertrouwensdiensten zijn ontvangen die boven de aangegeven Europese drempel uitkomen.
