Nijmegen biedt haar ingezetenen alvast de mogelijkheid DigiD als identificatiemiddel voor gemeentelijke zaken te omzeilen. Nu het vrijwel zeker is dat de ondersteuning van het DigiD-platform binnen de Amerikaanse invloedssfeer komt, is in de oudste stad van Nederland al de alternatieve app voor identificatie Yivi beschikbaar.
Ontwikkelaar van Yivi is Bart Jacobs, hoogleraar cybersecurity en veiligheid aan de Radboud Universiteit. Volgens hem zijn er geen kwalijke consequenties als de Amerikanen de stekker uit DigiD trekken, verzekert hij omroep Gelderland.
Volgens Jacobs is zijn app ook privacyvriendelijker, nuttiger en breder inzetbaar dan DigiD. Waar DigiD uitsluitend het BSN gebruikt, werkt Yivi als een persoonlijke gegevenskluis op je telefoon. Je bepaalt zelf welke gegevens je toevoegt – naast je BSN kunnen dat bijvoorbeeld je adres, e-mail, telefoonnummer of zelfs je bloedgroep zijn. Bij het inloggen wordt vervolgens alleen die informatie gedeeld die op dat moment noodzakelijk is.
Meer regie
De app biedt ook meer grip en leidt tot minder administratie. Alle data staan uitsluitend op de telefoon van de gebruiker en niet bij een externe partij. Volgens een woordvoerder van de gemeente Nijmegen kan daardoor niemand anders zien welke gegevens je hebt gedeeld en met wie. Inwoners krijgen zo meer regie over hun eigen gegevens. Voor de gemeente levert het bovendien betrouwbare data op én minder administratieve lasten.
Daarnaast wilde Nijmegen voorbereid zijn op de nieuwe Europese wetgeving die eind dit jaar ingaat. Die verplicht overheden om, naast DigiD, ook dit soort digitale id-wallets te accepteren voor hun online dienstverlening.
Arnhem
GroenLinks-PvdA, D66 alsmede twee lokale fracties in Arnhem willen het Nijmeegse voorbeeld graag overnemen. Maar zij stuiten op verzet van wethouder Maurits van de Geijn. Die wijst erop dat DigiD het enige middel is dat wettelijk is erkend om inwoners digitaal te laten inloggen bij de overheid. Volgens Jacobs klopt dat op zich wel, maar de gemeente Nijmegen is tot nog toe niet op juridische bezwaren gestuit.
Anders dan veel commerciële identiteitsoplossingen is Yivi niet afhankelijk van buitenlandse investeerders of techgiganten. Yivi is volledig opensource, in Nederlandse handen, en contractueel beschermd tegen verkoop aan buitenlandse partijen.
Klinkt als een mooie en mogelijk nuttige applicatie maar moet niet verward met mogelijke alternatieven voor de verkeerd ontworpen DigiD-architectuur.
Het probleem is hoe je gedelegeerde authenticatie en identificatie op een robuuste, open en controleerbare manier organiseert voor apps zoals deze als je bijvoorbeeld je gegevens niet zelf wil onderhouden maar op een betrouwbare manier verzameld en onderhouden wilt hebben door een vertrouwde partij.
Overheden moeten oppassen dat ze niet opnieuw het bos ingaan door een applicatie als oplossing te presenteren voor niet gerealiseerde infrastructuur.
Eerst moet de onderliggende voorziening gestandaardiseerd, juridisch helder, technisch toetsbaar en geschikt om meerdere identificatiemiddelen te faciliteren.
Pas daarna kun je als overheid of private partij toepassingen als Yivi op een verantwoorde manier introduceren.
Doe gewoon alsnog wat de Googles, Microsofts, Facebooks e.d. twintig jaar geleden al hebben gedaan. Gedelegeerde authenticatie is volkomen robuust en wordt door vrijwel iedereen al jaren dagelijks gebruikt. Meer mag een authenticatievoorziening niet doen en de techniek is in iedere ontwikkelomgeving gratis voorhanden.
(Open) standaards moet je niet belijden maar fysiek uitgevoerd toepassen als voorziening. Dat werkt veel beter dan iedereen een variantje van je pas-toe-of-leg-uit-aanbevelingen laten bouwen want dan heb je het nuttig effect van standaardisatie al grotendeels bij voorbaat als kindje met het badwater weggegooid. Je zit in dat geval nog steeds 84 instanties van ongeveer hetzelfde te deployen.
De overheid is als iemand die iedere keer weer met z’n frites in een emmer yuppie-saus, volgestort met bereklauwen en patatje oorlog rundvlees inclusief duur warmhoud-contract de cafetaria uitkomt.