Besluit identificatiemiddelen voor burgers i.v.m. Wdo
Reactie
|
Naam
|
Stichting Internet Domeinregistratie Nederland (Dhr. B. Kronenburg)
|
|
Plaats
|
Arnhem, Nederland
|
|
Datum
|
11 mei 2020
|
Vraag1
Het ministerie ontvangt graag uw inhoudelijke reactie op de concept-regeling en -toelichting, u kunt reageren op alle onderdelen daarvan.
Inzenders
SIDN (Stichting Internet Domeinregistratie Nederland) en Stichting Privacy by Design (PbD).
Contactpersoon: Bob Kronenburg «bob.kronenburg@sidn.nl>
Betrokkenheid
SIDN en Privacy by Design werken op contractuele basis samen aan de ontwikkeling van IRMA, een privacyvriendelijk decentraal identiteits-ecosysteem, zie http://www.irma.app.
De volledige reactie op de consultatie van SIDN en Privacy By Design is als bijlage toegevoegd. Een korte opsomming van de belangrijkste punten staat hieronder .
Belangrijkste kritiekpunten
Hieronder worden de drie belangrijkste kritiekpunten uiteengezet: het conceptbesluit bevat belangrijke hiaten op het gebied van architectuur, attributen, en transparantie. De nadruk moet juist liggen op eID-middelen die decentraal, attribuut-gebaseerd en open source zijn.
1. Eenzijdige centrale benadering
Het conceptbesluit lijkt vooral opgesteld vanuit het gedachtengoed van centraal verwerkende identificatiemiddelen. Decentrale oplossingen, zoals IRMA of andere self-souvereign-oplossingen, zijn in het conceptbesluit onvoldoende in scope, terwijl het minimaliseren van data-hotspots juist in het belang is van een veilige en privacyvriendelijke publieke digitale infrastructuur.
2. Attributen ontbreken
In het conceptbesluit wordt niet gesproken over attributen, terwijl deze de basis vormen voor modern privacy-vriendelijk identitymanagement. Het conceptbesluit maakt daarmee onvoldoende onderscheid tussen een eID-middel als kluis (container van attributen) en tussen de daarin opgeslagen attributen. Dit is zeer relevant voor de betrouwbaarheid van de eID-middelen (in eIDAS-kader).
3. Open source is geen vereiste in het conceptbesluit
Onlangs heeft staatssecretaris Knops een “Open tenzij en aanpak open source 2020-2021” gepubliceerd. In het conceptbesluit wordt hieraan niet gerefereerd. Het is eenvoudigweg ondenkbaar dat een overheid vandaag de dag geen harde opensource-eis stelt aan eID-middelen die op een zeer directe manier omgaan met zeer persoonlijke gegevens (attributen) van burgers.
Aanvullende opmerkingen t.a.v. 1) verduidelijking van inzicht in authenticatiehandelingen voor gebruikers en 2) beraadslagingen in de tweede kamer t.a.v. IRMA en non-profit aanbieders zijn in de bijlage opgenomen.
Bijlage
