Al een aantal jaren is Nederland bezig met ‘e-government’. Helaas moeten we constateren dat er vooral wordt gediscussieerd, bekeken en onderzocht. De vooruitgang die tot nu toe is geboekt, is in veel gevallen uiterst gering. Misschien zou Nederland een voorbeeld moeten nemen aan België.
In België stellen overheden zich veel meer op als ondernemer. Belgische overheden praten en overleggen minder, maar kijken liever hoe zij snel en zonder veel risico kunnen inspelen op de dringendste behoeften van hun klanten – burgers en bedrijven. Toegegeven, ook bij de zuiderburen is niet alles koek en ei, maar één ding is duidelijk: Belgische overheden hebben ‘e-government’ op een doortastende manier omarmd en gaan nu met rasse schreden vooruit. Dat kunnen we van de overheid in Nederland lang niet altijd stellen. Hoe komt dat?
Vorig jaar is in België een belangrijke stap gezet: medio 2003 is een elektronische identiteitskaart voor natuurlijke personen ingevoerd: de e-id-kaart. Deze kaart wordt nu gebruikt door veertigduizend burgers in elf proefgemeenten. Daarnaast lopen nog enkele belangrijke projecten, zoals de Kruispuntbank der Ondernemingen (KBO). Hier is een ‘identiteitskaart voor bedrijven’ ontwikkeld. Met deze twee elementen is het mogelijk gemaakt dat natuurlijke én rechtspersonen zich op digitale wijze kunnen identificeren.
Tastbare resultaten
Er gebeurt nog meer. Inmiddels zijn onder andere de belasting- en de btw-aangifte online geplaatst. Zowel op fiscaal vlak als op het gebied van de sociale zekerheid lopen nu belangrijke hoeveelheden transacties, aanvragen en dergelijke langs elektronische weg. De Vlaamse overheid is verder begonnen met het ontsluiten van tal van informatiesystemen. Daarbij accepteert ze zowel de e-id-kaart als andere rechtszekere authentificatiesystemen. Nog lang niet alles is afgedekt, maar het is nu al voldoende om te spreken van een significante verbetering van de dienstverlening.
Ook in Nederland wordt niet stilgezeten. De ontwikkeling van de nationale authentificatievoorziening is een gezamenlijk initiatief van de Belastingdienst, CVZ, CWI, IBG, SVB en UWV. Iedere overheidsinstantie is aan te sluiten, mits aan bepaalde voorwaarden wordt voldaan.
Het verschil tussen België en Nederland zit hem onder andere in het feit dat Nederland heeft gekozen voor één grootschalige en generieke authentificatievoorziening. De Belgen pakken de zaken wat kleiner aan, zodat een project eerder tot tastbare resultaten leidt en daarmee een brug vormt voor uitbreiding naar grootschalige toepassing op langere termijn. De beleving en wat misschien het beste de culturele aspecten rondom één identiteit voor allerlei contacten met de overheid kunnen noemen, is in Nederland anders dan in België. Toch kunnen we als Nederlanders wel iets leren van de aanpak van de Belgen.
Identiteit
Cruciaal bij e-government is weten met wie je communiceert. Zonder dat gegeven kun je onmogelijk komen tot een dienstverlening die echt meerwaarde biedt. Twee aspecten zijn daarbij belangrijk: het kennen van natuurlijke personen en het kennen van rechtspersonen. Ten onrechte wordt vaak gedacht dat je alleen iets kunt realiseren als de overheid alles in kaart brengt en elke entiteit (burger, bedrijf enzovoort) voorziet van een door de overheid afgegeven ‘credential’, ofwel een bewijs van identiteit.
Voor wat betreft bedrijven en organisaties is het wenselijk om te beschikken over betrouwbare informatiebronnen. Deze bestaan in voldoende mate. Denk alleen al aan de belastingdienst. Daarnaast zijn er ongetwijfeld nog vele commerciële organisaties (bijvoorbeeld banken) of andere instellingen (zoals beroepsorganisaties) met afdoende betrouwbare gegevens. In het ideale geval combineer je al deze gegevens in één geconsolideerde database.
Dit is echter niet noodzakelijk, je kunt evengoed werken met over meerdere organisaties verspreide databases, bijvoorbeeld per doelgroep en eventueel zelfs per doelgroep binnen een bepaalde regio. Het enige dat echt van belang is, is dat je weet waar je een partij uniek kunt identificeren en eventuele gegevens kunt ophalen. Het gebruik van een uniek nummer ofwel identificator, bijvoorbeeld het btw-nummer, is wel wenselijk.
Naast rechtspersonen moet je ook natuurlijke personen kunnen identificeren. Idealiter zorg je ervoor dat je alle personen in één databank stopt en één uniek nummer geeft. Of dit haalbaar is, is vooral een politieke zaak. Op korte termijn zou je echter al een beroep kunnen doen op wederom een groot aantal informatiebronnen en een zelfde aanpak kunnen volgen als bij rechtspersonen. Als uniek nummer ofwel identificator zou je het sofi-nummer kunnen gebruiken, maar ook andere nummers zijn denkbaar.
Eenvoud
Verder zijn sterke authentificatoren ofwel ‘credentials’ nodig. De overheid kan hier vele wegen bewandelen. Ze kan bijvoorbeeld een eigen credential of kaart uitgeven. Ze zou ook een beroep kunnen doen op authentificatoren die reeds in gebruik zijn bij haar doelgroepen of partijen in de markt kunnen verplichten om zelf een credential uit te geven. Ze zou zelfs zover kunnen gaan dat ze bijvoorbeeld bankpasjes als credential inzet. Belangrijk is vooral dat de overheid zich niet vastpint op één mechanisme, maar juist openstaat voor elk mechanisme dat de gewenste juridische of contractuele dekking kan geven.
In discussies over e-government komen vaak vragen naar voren als ‘welke informatiesystemen kunnen nu eigenlijk ontsloten worden’ en ‘hoe gaan we om met digitale handtekeningen’. De les die Nederlanders van de Belgen kunnen leren is: houd het eenvoudig. Er bestaan binnen de overheid meestal al heel wat applicaties en informatiebronnen die snel te ontsluiten zijn, mits het zeker zou zijn dat je deze informatiesystemen alleen toegankelijk maakt voor een gemachtigd gebruiker. Slechts zelden kan je de eis hard maken dat een echte gekwalificeerde handtekening een ‘must’ is. Voor die gevallen waar tot nu toe om historische redenen een met de hand geplaatste handtekening vereist was, is het gebruik van een goed georganiseerde toegangscontrole (access control management) in combinatie met sterke authentificatie vaak ruim voldoende.
Dat is de les die Nederland kan leren van België: begin e-government met een goede toegangscontrole, die gestoeld is op een gedegen authentificatie en identificatie van de gebruiker. Tegelijkertijd een digitale handtekening invoeren is wel mogelijk, maar maakt de zaak vele malen complexer en nauwelijks veiliger.
Bij het communiceren met bedrijven kan ook interactieve (web-gebaseerde) gegevenstoegang worden gebruikt. Ik vraag me echter af of dat wel de beste aanpak is. Het is waarschijnlijk beter langs digitale weg getekende gegevens te versturen. Het voordeel hiervan is dat het schaalbaarder is. Er bestaan al jaren oplossingen die het versturen van grote volumes mogelijk maken. Daarnaast kunnen nieuwe technologieën als gesigneerde XML-berichten zekerheid bieden over de afzender en de vraag of de gegevens onderweg zijn gewijzigd. Een groot bijkomend voordeel is dat je bij een bericht-gebaseerde architectuur het bedrijfsleven toestaat eigen interfaces en applicaties te bouwen – mits deze aan bepaalde eisen voldoen.
Haarlemmerolie
‘Public key infrastructure’ (pki) wordt te vaak gezien als haarlemmerolie waarmee ieder probleem valt op te lossen. In werkelijkheid is het niet meer dan een hulpmiddel. Al te vaak maakt men zich druk over ‘root’-certificaten, hiërarchieën, bruggen en dergelijke, terwijl de echte kwesties zijn ‘wie kan ik op welke manier vertrouwen’ en ‘hoe praten mijn applicaties met elkaar op veilige en rechtsgeldige wijze’.
In het kader van wat ik de ‘pki-enabling’ van overheidsprocessen noem, ben ik er dan ook van overtuigd dat de overheid zich helemaal niet moet bezighouden met de vraag welke pki-structuur nodig is. Veel belangrijker zijn vragen als: welke ‘credentials’ kunnen wij als overheidsorganisatie voor welk doel vertrouwen en gebruiken; hoe valt per overheidsdienst een centrale afdeling te creëren die zich met credentials, certificaten, pki en andere aspecten van toegangscontrolebeheer bezighoudt; en op welke wijze is ‘messaging’ te ondersteunen, zodat bedrijven en overheden met gesigneerde XML-berichten met elkaar kunnen communiceren.
Alleen wanneer de Nederlandse overheden zich op deze manier bezig houden met het langs digitale weg communiceren met burgers en bedrijven, kan e-government in Nederland snel en soepel van de grond komen. Misschien moeten we niet langer zelf het wiel willen uitvinden, maar kunnen we beter goed om ons heen kijken en leren van de aanpak die bijvoorbeeld in België is gekozen.< BR>
Remco Bakker, algemeen directeur van Ascure