Hergebruik en publiek-private samenwerking voor mobiele authenticatie en e-wallet
Shared services, multifunctioneel hergebruik van elektronische diensten en componenten, en publiek-private samenwerking zijn troefkaarten voor eGovernment en eHealth. Zelf leid ik 2 openbare instellingen van sociale zekerheid, de Kruispuntbank van de Sociale Zekerheid (KSZ) en het eHealth-platform, en 1 non-for-profit samenwerkingsverband tussen overheidsdiensten, Smals vzw. Alle relevante deeldiensten en componenten die deze organisaties hebben ontwikkeld, zijn gratis (her)bruikbaar en staan publiek gedocumenteerd op de respectievelijke websites, zoals de basisdiensten aangeboden door het eHealth-platform of de ReUse cataloog van Smals vzw. Ik ben mede-initiatiefnemer van de G-Cloud, die tal van shared services aanbiedt aan de overheidsdiensten, met aanzienlijke kostenbesparingen tot gevolg.
In het verleden heb ik bij meerdere initiatieven aan de basis gelegen voor (de facto) publiek-private samenwerking, waarbij de taken tussen de betrokkenen worden verdeeld op basis van de competenties. Dit was het geval met de elektronische identiteitskaart (de controle van de identiteit geschiedt door de gemeente, de kaart en de elektronische certificaten worden aangemaakt door private bedrijven), mobiele authenticatie (samenwerking met bvb. Itsme) of de eBox-burger (samenwerking met bvb. BPostBank, Doccle, KBC en Trusto). Indien er een de facto publiek-private samenwerking wordt opgestart, is het uiteraard van belang dat de taakverdeling tussen de onderscheiden partners en de voorwaarden van de samenwerking duidelijk worden afgesproken, en dat elke partner zich daar nadien ook aan houdt.
Samenwerking voor het mobiel bewijzen van je identiteit
Rond het mobiel bewijs van je identiteit, ook wel mobiele authenticatie genoemd (d.w.z. bewijzen wie je bent én bewijzen dat je wel degelijk degene bent die je beweert te zijn), is in 2017 een kader uitgewerkt voor een de facto publiek-private samenwerking. De vaststelling van de juiste identiteit van elke persoon die in België verblijft en de uitreiking van een elektronische identiteitskaart aan elk van deze personen is beschouwd als een overheidstaak. Het aanbieden van een middel waarmee een persoon die in België verblijft zich vanop een mobiel toestel kan authentiseren, na een initiële verificatie van de identiteit op basis van de elektronische identiteitskaart en een veilige verbinding van de bewezen identiteit aan het mobiel authenticatiemiddel, is overgelaten één of meerdere privé-partners die voldoen aan een aantal criteria vastgelegd bij een koninklijk besluit.
Deze taakverdelingsafspraken zijn gemaakt toen Itsme in 2017 haar oplossing voor mobiele authenticatie wou lanceren. De overheid heeft daarmee het Itsme initiatief omarmd en ruimte gelaten voor andere private initiatieven. In de in 2017 opgestarte de facto publiek-private samenwerking met Itsme zijn toen volgende afspraken gemaakt:
- de overheid, de openbare en meewerkende instellingen van sociale zekerheid en de actoren in de gezondheidssector zorgen ervoor dat een mobiele authenticatie via Itsme mogelijk is voor alle elektronische toepassingen die zij aanbieden en waarvoor authenticatie nodig is
- daartoe wordt Itsme opgenomen als mogelijk authenticatiemiddel in de Federal Authentication Service (FAS), de basisdienst aangeboden door de FOD BOSA die door de toepassingen van overheidsinstellingen en de instellingen uit de sociale en gezondheidssector wordt aangeroepen voor authenticatie
- voor het gebruik van mobiele authenticatiemiddelen (zoals Itsme) t.o.v. de toepassingen van overheidsinstellingen en de instellingen uit de sociale en gezondheidssector wordt een jaarlijkse financiering voorzien, die is vastgelegd in het vermelde koninklijk besluit; deze financiering is gebaseerd op het aantal unieke gebruikers dat gedurende een kalenderjaar minstens éénmaal gebruik maakt van het mobiel authenticatiemiddel, met een maximum van 450.000 € voor alle mobiele authenticatiemiddelen samen
- de regelgeving wordt aangepast zodat de aanbieders van mobiele authenticatiemiddelen onder bepaalde voorwaarden gebruik kunnen maken van het identificatienummer van het Rijksregister en het KSZ-nummer voor de unieke identificatie van de gebruikers
- Itsme wordt ondersteund door de overheid voor het bekomen van een erkenning van hun mobiel authenticatiemiddel op het hoogste niveau in het kader van de eIDAS-verordening
Op deze wijze hebben de overheid en de instellingen uit de sociale en gezondheidssector in zeer aanzienlijke mate bijgedragen tot de huidige hoge marktpenetratie en de internationale uitstraling van Itsme. Naar schatting 80% van de huidige 6,5 miljoen gebruikers van Itsme zijn ingestapt voor het gebruik van toepassingen van de overheid, de sociale en de gezondheidssector. In 2021 heeft de Federale Participatie- en Investeringsmaatschappij (FPIM) Itsme bijkomend ondersteund door een kapitaalinjectie van 14,5 miljoen €.
Gemaakte afspraken onder druk
Uiteraard is de technologische onderbouw van Itsme sedert 2017 geëvolueerd. Zo is o.a. voorzien in de mogelijkheid om de mobiele authenticatie-app van Itsme rechtstreeks aan te roepen vanuit een andere mobiele app. Dat verhoogt de gebruiksvriendelijkheid en vermijdt de passage via een aantal tussenschermen om via de omweg van de FAS door te klikken naar Itsme.
Itsme factureert voor diverse toepassingen van de overheid of instellingen uit de sociale en gezondheidssector (zoals de apps CovidSafe, MyBenefits of platformen voor telegeneeskunde) bijkomend indien zij de mobiele authenticatie-app van Itsme app-to-app willen aanroepen. Dat is in strijd met de afspraken die in 2017 met Itsme zijn gemaakt. Voor het jaar 2021 heeft Itsme minstens voor 800.000 € gefactureerd aan de diverse overheden. Indien Itsme dit beleid aanhoudt t.o.v. elke nieuwe mobiele app van de overheid of van de instellingen uit de sociale en gezondheidssector, dreigt deze factuur nog aanzienlijk op te lopen.
Uiteraard is het van belang dat Itsme beschikt over de nodige financiële middelen om een degelijke dienstverlening te verlenen. Op basis van de beschikbare informatie moet een betrouwbaar en performant mobiel authenticatiemiddel echter kunnen worden aangeboden aan een veel lagere kost dan de huidige kost van het Itsme authenticatiemiddel. De hoger vermelde bijdragen van de overheid aan Itsme, financieel of in een andere vorm, lijken me ruimschoots voldoende als compensatie voor het beroep op Itsme als mobiel authenticatiemiddel in al zijn vormen (via de FAS of app-to-app) door toepassingen van de overheid, de sociale en de gezondheidssector.
Ik vind het niet correct dat Itsme haar huidige dominante marktpositie inzake mobiele authenticatie, die in belangrijke mate het gevolg is van de ondersteuning door de overheid, de sociale en de gezondheidssector, nu probeert te gebruiken om bijkomende kosten door te rekenen, in strijd met de afspraken gemaakt in 2017 en vastgelegd bij koninklijk besluit. Ik betreur dat Itsme niet ingaat op de herhaalde uitnodigingen om haar huidige kostenstructuur kritisch te evalueren en gebruik te maken van even betrouwbare technologieën die veel minder duur zijn. De overheid mag als belangrijkste aandeelhouder van Itsme verwachten dat dergelijke oefening geschiedt en dat de in 2017 afgesproken financiering voldoende blijft als vergoeding voor de dienstverlening van Itsme aan de overheid en de sociale en gezondheidssector.
Ik ben het volledig eens met de beleidsvoerders die stellen dat de overheid voor een basisdienst als mobiele authenticatie niet afhankelijk mag zijn van een private marktspeler die door zijn de facto monopoliepositie eenzijdig zijn prijspolitiek bepaalt, en dat er structurele waarborgen moeten zijn over de continuïteit van een kwalitatieve dienstverlening in het algemeen belang, over de Belgische verankering, over de kostenbeheersing en over het respect van gemaakte afspraken. Ik zou het echter spijtig vinden dat ook op het vlak van de mobiele authenticatiemiddelen niet verder beroep kan worden gedaan op shared services en hergebruik in de vorm van een de facto publiek-private samenwerking. Maar de Belgische overheid en de instellingen uit de sociale en gezondheidssector mogen de evolutie van een gebruiksvriendelijke digitale dienstverlening ook niet laten afremmen door de loyauteit t.o.v. een private partner waarin ze in belangrijke mate hebben geïnvesteerd, indien die onvoldoende oog blijft hebben voor de vermelde structurele waarborgen.
Update 10 augustus 2022
Ik verheug er me over dat gedurende de laatste weken het vertrouwen groeit om tussen Itsme en de overheid te zoeken naar oplossingen om aan de hogervermelde bekommernissen tegemoet te komen. Ik ben graag beschikbaar om daaraan een constructieve bijdrage te leveren en er bvb. ook voor te ijveren dat bepaalde kosten van Itsme kunnen worden vermeden door de terbeschikkingstelling aan Itsme van bijkomende diensten vanuit de overheid, zoals mutaties uit het Rijksregister of het register van de elektronische identiteitskaarten.
En wat met de e-wallet ?
Ik stel vast dat het concept ‘e-wallet’ een containerconcept is dat verschillende functionaliteiten omvat. Niet iedereen verstaat er hetzelfde onder en dat leidt al te vaak tot Babylonische spraakverwarring bij besprekingen eromtrent. In documenten lees ik o.a. volgende functionaliteiten van een mobiele e-wallet app
- bewijzen van je identiteit (authenticatie)
- bewijzen van bepaalde hoedanigheden en/of relaties
- elektronisch betalen
- elektronisch opslaan van documenten die kunnen worden verzonden en die zonder internetconnectie door scanning
- kunnen worden uitgelezen in gestructureerde, naverwerkbare vorm
- kunnen worden beoordeeld op authenticiteit en geldigheid
- elektronische communicatie
- geïntegreerde toegang tot elektronische diensten
Voor de gebruiker moeten deze verschillende functionaliteiten op een gebruiksvriendelijke, geïntegreerde wijze toegankelijk zijn. Dit impliceert echter niet noodzakelijk dat ze allemaal moeten worden geïntegreerd in één app. Architecturaal is het vaak beter om de onderscheiden functionaliteiten onder te brengen in een aantal deelapps die mekaar aanroepen en elk multifunctioneel kunnen worden gebruikt.
Daarenboven mag de invoering van de e-wallet er zeker niet toe leiden dat de burger terug zelf wordt belast met het aanreiken van informatie die overheidsdiensten of instellingen van sociale zekerheid bij mekaar kunnen vinden. De e-wallet mag dus geen aanleiding zijn om de principes van eenmalige gegevensinzameling en gegevensdeling door de overheidsdiensten en de instellingen van sociale zekerheid te ondermijnen, en de burger terug te laten rondzeulen met elektronische documenten opgeslagen in de e-wallet zoals hij/zij dit vroeger moest doen met papieren documenten. Informatie die overheidsinstellingen en instellingen van sociale zekerheid nodig hebben voor hun taakuitvoering en uit mekaars authentieke gegevensbanken kunnen ophalen, moeten ze niet vragen aan de burger door het tonen van documenten opgeslagen in de e-wallet.
Hergebruik van wat in een Europees kader is ontwikkeld in de strijd tegen de COVID-19 pandemie
Voor het mobiel bewijzen van je identiteit en voor het elektronisch betalen bestaan m.i. al zeer degelijke deelapps. Het volstaat om internationale of Europese standaarden af te spreken om deze te kunnen oproepen vanuit andere apps.
Het bewijzen van hoedanigheden (bvb. is de betrokkene arts) en van relaties (bvb. heeft de betrokken arts een zorgrelatie met een bepaalde patiënt) lijkt me best niet te geschieden door het opnemen van informatie in een app. Deze informatie is immers volatiel en kan doorheen de tijd wijzigen (bvb. een arts kan geschorst worden of op pensioen gaan, een patiënt kan zijn zorgrelatie met een arts beëindigen). Dergelijke informatie wordt best opgeslagen en ontsloten in authentieke gegevensbanken en daar geraadpleegd in zijn actuele vorm. Dit zal voornamelijk gebeuren in het kader van gebruikers- en toegangsbeheer: wie mag in welke situaties gedurende welke periode toegang hebben tot welke gegevens m.b.t. welke personen. In de Belgische overheid en sociale en gezondheidssector is dergelijk toegangsbeheer al jaren georganiseerd op basis van de internationale standaard XACML in het kader van het CSAM-programma. Ik zie geen reden om bewijzen van hoedanigheden of relaties op te slaan in een e-wallet.
Voor de elektronische communicatie bestaat de eBox voor burgers en ondernemingen. Daarenboven is recentelijk GovApp gelanceerd als gebruiksvriendelijk en veilig communicatiemiddel van de overheid naar de burgers toe, ter vervanging van de dure, niet-beveiligde en qua communicatiemogelijkheden erg beperkte verzending van SMS’en.
Blijft dus over, de functionaliteit van de e-wallet voor elektronische opslag van documenten die kunnen worden verzonden en die zonder internetconnectie leesbaar zijn in een gestructureerde, naverwerkbare vorm, en verifieerbaar zijn op authenticiteit en geldigheid. Ook daarvoor bestaat eigenlijk al een app, niet alleen in België, maar in alle landen van de Europese Unie en in een 40-tal andere landen ter wereld. Met name de apps die toelaten om de COVID-19 vaccinatie-, test- en herstelcertificaten te downloaden en lokaal op te slaan, met een QR-code die de inhoud bevat van het certificaat en die elektronisch is ondertekend door de uitgever van het certificaat. In België is dat de app CovidSafe.
Het is kinderspel om deze apps, die allen zijn gebouwd op basis van dezelfde referentie-app en gezamenlijke standaarden hanteren, te laten uitgroeien tot apps die ook andere documenten kunnen opslaan, zoals bvb. een identiteitskaart, een rijbewijs of een Europese ziekteverzekeringskaart. Het enige wat moet gebeuren, is de elektronische structuur van deze andere documenten standaardiseren en vastleggen.
Meer nog, alle landen van de Europese Unie en een 40-tal andere landen ter wereld hebben ook een scanapp, die ook telkens is gebouwd op basis van dezelfde referentie-app en die gezamenlijke standaarden hanteert om de QR-code van de certificaten uit te lezen. In België is dat de (inmiddels weliswaar gedeactiveerde) app CovidScan.
En er bestaat een gegevensbank bij de Europese Unie waar de publieke handtekeningsleutels van alle uitgevers van certificaten zijn opgeslagen en die kunnen worden gedownload in de scanapps om de geldigheid na te gaan van de elektronische handtekening waarmee de ingelezen QR-code is getekend. Mocht het een probleem zijn dat deze gegevensbank zich bij de Europese Unie bevindt, dan kunnen de publieke handtekeningsleutels worden ontsloten via blockchaintechnologie.
Uiteraard verdient het aanbeveling om de naam van de opslag- en scanapps voor COVID-19 te wijzigen, maar de technologie, de standaarden, de juridische omkadering en het trust framework kunnen perfect in zeer ruime mate worden hergebruikt. De Europese Unie in het algemeen en België in het bijzonder zou terzake dus zeer snel vooruitgang kunnen boeken zonder miljoenen euro’s te besteden.