Kritiek Algemene Rekenkamer op vervanger DigiD

De voorbereiding van een nieuw stelsel voor digitale identificatie voldoet nog niet aan een aantal belangrijke voorwaarden. Dat zegt de Algemene Rekenkamer over het systeem dat het huidige DigiD moet vervangen, omdat dat niet veilig genoeg is.
De Tweede Kamer kan volgens de Algemene Rekenkamer moeilijk beoordelen of de besluitvorming door het kabinet over vernieuwing van het huidige DigiD op orde is. Er bestaan nog onduidelijkheden over de inrichting van het nieuwe stelsel en over de kosten daarvan. De aanvullende informatie die de minister van BZK op 25 augustus jl. naar de Tweede Kamer heeft gestuurd, neemt de gesignaleerde onduidelijkheden slechts ten dele weg.
President Arno Visser van de Algemene Rekenkamer: “De vernieuwing waar het kabinet naar streeft is van vitaal belang. Daarom hebben wij onderzocht of vooraf goed in kaart gebracht is hoe dat kan en moet, inhoudelijk en financieel. Dat is des te belangrijker, omdat de overheid niet alleen op dit terrein digitaliseert. Een versterking van en verdere uitbouw van de digitale infrastructuur voor de gehele overheid verdient de komende jaren de volle aandacht.”

Digitaal vaststellen wie je bent voor tal van diensten
Het nieuwe stelsel voor elektronische identiteit (eID ) is nodig, omdat de bestaande middelen voor het digitaal aantonen van de identiteit, zoals DigiD, te kwetsbaar zijn. Daarom streeft het kabinet naar een stelsel met meer identificatiemiddelen dat ook een hoog niveau van veiligheid garandeert. Het eID-stelsel moet burgers en bedrijven in staat stellen (overheids)diensten veilig digitaal af te nemen. Digitaal identificeren speelt bijvoorbeeld bij het aanvragen van toeslagen of subsidies, bij het doen van belastingaangifte of bij het inloggen bij zorgverzekeraars.
Op wezenlijke onderdelen moeten voor dit nieuwe stelsel nog besluiten worden genomen, bijvoorbeeld over de eisen waaraan nieuwe middelen moeten voldoen, over de privacybescherming en het toezicht. Ook schort het aan een zakelijke onderbouwing, waardoor niet duidelijk is wat de totale kosten zullen zijn (voor 2016 en 2017 heeft de minister € 23 miljoen extra aan ontwikkelingskosten uitgetrokken). Hoeveel de digitale identificatiemiddelen de individuele burger gaan kosten is evenmin duidelijk. Een actuele integrale business case en alternatievenafweging ontbreken. De Algemene Rekenkamer schrijft in het onderzoeksrapport Stelsel voor digitale identificatie en authenticatie dat ook een toezichtvisie ontwikkeld moet worden.
Risico afhankelijkheid van één middel
Uitgangspunt van kabinetsbeleid is dat identificatiemiddelen van/voor de overheid betrouwbaar moeten zijn en altijd beschikbaar. Dat is met het bestaande DigiD een risico in geval van technische problemen of als het systeem gehackt zou worden. Om toegang tot overheidsdiensten te krijgen wordt DigiD steeds vaker gebruikt: vorig jaar al 200 miljoen keer, en dat aantal loopt naar verwachting snel op.
Inmiddels is proefgedraaid met diverse middelen, waaronder private middelen van bijvoorbeeld banken. Het is echter niet helder of het de bedoeling van de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is dat elke burger uiteindelijk over meerdere middelen beschikt.
Wie is verantwoordelijk?
De huidige situatie is ingewikkeld: diverse ministeries, bedrijven, zelfstandige bestuursorganen en agentschappen van de overheid zijn betrokken bij initiatieven voor het ontwikkelen van meer middelen. In mei jl. heeft het Bureau ICT-toetsing – een instantie vallend onder de minister voor Wonen en Rijksdienst die na parlementair onderzoek is ingesteld om ICT-projecten van de overheid tegen het licht te houden – geconcludeerd dat de eID-aansturing minder complex moet worden. Ook de Algemene Rekenkamer stelt dat vast.
Reactie minister en nawoord Algemene Rekenkamer
De minister van BZK stelt afgelopen jaren vooruitgang te hebben geboekt met een generieke digitale infrastructuur, waarvan het eID-stelsel een onderdeel is. Tegelijk erkent de minister in een reactie op de bevindingen van de Algemene Rekenkamer dat een meer centraal ingerichte governance nodig is. Hierover moet een Studie-groep Informatiesamenleving begin 2017 rapporteren. Nu zijn taken, rollen en bevoegdheden niet eenduidig belegd en is de sturing ingewikkeld. Een strakke sturing op tijd, geld en kwaliteit is echter nodig. De minister verwijst verder naar zijn brief aan de Tweede Kamer van 25 augustus jl., waarin hij het vervolgtraject voor het eID-stelsel schetst. Alsnog een integrale business case opstellen vindt de minister ‘niet opportuun’. In haar nawoord stelt de Algemene Rekenkamer dat meer helderheid nodig is over de toelatingseisen voor nieuwe digitale middelen, de inzet van het kabinet om te komen tot meer identificatiemiddelen en hoe het toezicht en privacybescherming worden ingevuld. Inzicht in de kosten van voorgestelde oplossingen acht de Algemene Rekenkamer onontbeerlijk voor het nemen van onderbouwde besluiten, net als een afweging van alternatieven.
Deel dit artikel via: