DigiD: minder complexiteit, betere IT-security

DigiD: minder complexiteit, betere IT-security

De overheid laat het faciliteren van online dienstverlening in publiek-private samenwerkingsconstructies gedeeltelijk vrij. Hierdoor ontstaat keuzevrijheid en marktwerking, wat een bewuste keuze van de overheid is. In gesprekken met relaties uit de gezondheidszorg merk ik dat dit in praktijk echter voor meer complexiteit zorgt. En dat heeft gevolgen voor de IT-security. Dit levert de vraag op: is keuzevrijheid in het belang van de burger?

Wie spelen een rol?

Binnen het BSN-domein onderkennen we meerdere partijen en belanghebbenden: de rijksoverheid, de burger en de zorgverleners en overheidsinstanties. De openheid ten opzichte van de burger levert binnen het BSN-domein vaak een spanningsveld op: hoe deel je die gegevens met de burger en niet minder belangrijk, hoe bescherm je ze?

De rol van de overheid

De overheid heeft een veelal initiërende en bepalende mening die zich op meerdere vlakken doet gelden. De overheid wil immers dat we steeds vaker zaken online (kunnen) regelen.

De rol van de zorgverleners en lagere overheden

Aan het toevoegen van keuzevrijheid voor de burger (lees: meerdere inlogmethodes) kleven aan de kant van overheden en zorginstellingen ook bezwaren. Meer compliance en normering en een extra securitylast. Per slot van rekening moet men meerdere erkende identificatie- en authenticatiestelsels beheren, monitoren en certificeren. Diensten zoals iDIN en Idensys vormen een “broker-laag” om de keuzevrijheid te faciliteren. Het ontslaat de organisatie er niet van om compliance te toetsen en aansluiting met de eigen interne systemen te borgen. Dit levert een ongewenste beheerlast op voor IT-afdelingen. Er wordt namelijk complexiteit toegevoegd. En het verleden heeft geleerd dat complexiteit vaak de voedingsbodem is voor security incidenten.

De rol van de burger

De burger is uiteindelijk de spil in het BSN-domein. En die heeft een relatief eenvoudige wens: inzicht in zijn of haar persoonlijke gegevens of patiëntendossier.

Is keuzevrijheid gewenst?

Wil een zorgverlener of overheidsinstantie meerdere keuzes? Daar kun je vraagtekens bij stellen. De overheid kiest zelf als login methode DigiD. Een keuze die breed gedragen wordt in onder andere de zorg. Aan DigiD is een normenkader verbonden waaraan toetsing door Logius plaatsvindt. Logius (dienst digitale overheid van het ministerie van BZK) laat de betrouwbaarheid van systemen regelmatig testen door onafhankelijke, professionele partijen. Daarnaast gaat Logius zelf continu de naleving van technische- en organisatorische maatregelen en de betrouwbaarheid van systemen na door middel van interne controles. Op deze manier zorgt de overheid ervoor dat de betrouwbaarheid van DigiD zo hoog mogelijk is en blijft.

Het gevolg van meerdere inlogmethodes

Het Logius normenkader en de DigiD zijn voor veel organisaties op dit moment al reden om de toetsing en compliance als dienst af te nemen en externe security partijen in te schakelen. Bij meer keuzevrijheid zal de vlucht naar beheerde diensten alleen maar toenemen om security incidenten te voorkomen.

Voorkomen is beter dan genezen

Ik pleit er dan ook voor om een opeenstapeling aan identificatie- en authenticatiestelsels te voorkomen. Zelfs wanneer deze gefaciliteerd worden via een secure broker-laag. Een systeem als DigiD heeft grote voordelen:

  • Gemak voor de gebruiker: iedere burger is bekend met DigiD
  • Minder effort nodig: Logius controleert continu de betrouwbaarheid van DigiD
  • Kostenefficiënt: het is een bekend en beproefd systeem en dus eenvoudiger te implementeren

Eenvoud is doorgaans nog steeds de beste methode om ongewenste beheerlast te voorkomen en security beheersbaar te maken. Met DigiD is deze methode er al.

Kortom, soms is keuzevrijheid niet nodig om een goede keuze te maken.

Adrian Ariese, Salesmanager Healthcare bij ON2IT