Algemene Rekenkamer: ‘Idensys voldoet niet aan belangrijke voorwaarden’

De overheid werkt al enige tijd aan een nieuw stelsel voor digitale identificatie: Idensys. Dit stelsel voor elektronische identificatie voldoet vooralsnog echter niet aan een aantal belangrijke voorwaarden. Hierdoor kan de Tweede Kamer moeilijk beoordelen of de besluitvorming door het kabinet over vernieuwing van het huidige DigiD op orde is. Er bestaan nog onduidelijkheden over de inrichting van het nieuwe stelsel en over de kosten daarvan. De aanvullende informatie die minister van Binnenlandse Zaken en Koninkrijksrelaties Ronald Plasterk op 25 augustus naar de Tweede Kamer heeft gestuurd, neemt de gesignaleerde onduidelijkheden slechts ten dele weg.

Dit stelt de Algemene Rekenkamer in het onderzoeksrapport ‘Stelsel voor digitale identificatie en authentificatie’. President Arno Visser van de Algemene Rekenkamer: "De vernieuwing waar het kabinet naar streeft is van vitaal belang. Daarom hebben wij onderzocht of vooraf goed in kaart gebracht is hoe dat kan en moet, inhoudelijk en financieel. Dat is des te belangrijker, omdat de overheid niet alleen op dit terrein digitaliseert. Een versterking van en verdere uitbouw van de digitale infrastructuur voor de gehele overheid verdient de komende jaren de volle aandacht."

Digitaal identificeren bij online diensten

Het nieuwe stelsel voor elektronische identiteit (eID) is nodig aangezien de bestaande middelen voor het digitaal aantonen van de identiteit, zoals DigiD, te kwetsbaar zijn. Daarom streeft het kabinet naar een stelsel met meer identificatiemiddelen dat ook een hoog niveau van veiligheid garandeert. Idensysf moet burgers en bedrijven in staat stellen (overheids)diensten veilig digitaal af te nemen. Digitaal identificeren speelt bijvoorbeeld bij het aanvragen van toeslagen of subsidies, bij het doen van belastingaangifte of bij het inloggen bij zorgverzekeraars.

Op wezenlijke onderdelen moeten voor dit nieuwe stelsel nog besluiten worden genomen, bijvoorbeeld over de eisen waaraan nieuwe middelen moeten voldoen, over de privacybescherming en het toezicht. Ook schort het aan een zakelijke onderbouwing, waardoor niet duidelijk is wat de totale kosten zullen zijn. Voor 2016 en 2017 heeft de minister 23 miljoen euro extra aan ontwikkelingskosten uitgetrokken. Hoeveel de digitale identificatiemiddelen de individuele burger gaan kosten is evenmin duidelijk. Een actuele integrale business case en alternatievenafweging ontbreken. De Algemene Rekenkamer stelt dat ook een toezichtvisie ontwikkeld moet worden.

Afhankelijkheid van één identificatiemiddel

Uitgangspunt van kabinetsbeleid is dat identificatiemiddelen van/voor de overheid betrouwbaar en altijd beschikbaar moeten zijn. Met het bestaande DigiD kan dit echter niet worden gegarandeerd, aangezien het systeem door technische problemen of een cyberaanval onbeschikbaar kan zijn. DigiD wordt tegelijkertijd steeds vaker gebruikt om toegang te krijgen tot overheidsdiensten. Het systeem werd in 2015 200 miljoen keer gebruikt, en dat aantal loopt naar verwachting snel op.

Inmiddels is proefgedraaid met diverse middelen, waaronder private middelen van bijvoorbeeld banken. Het is volgens de Algemene Rekenkamer echter niet helder of de minister van Binnenlandse Zaken en Koninkrijksrelaties elke burger uiteindelijk de beschikking wil geven over meerdere identificatiemiddelen.

Wie is verantwoordelijk?

De Algemene Rekenkamer noemt de huidige situatie ingewikkeld: diverse ministeries, bedrijven, zelfstandige bestuursorganen en agentschappen van de overheid zijn betrokken bij initiatieven voor het ontwikkelen van meer middelen. In mei heeft het Bureau ICT-toetsing - een instantie vallend onder de minister voor Wonen en Rijksdienst die na parlementair onderzoek is ingesteld om ICT-projecten van de overheid tegen het licht te houden - geconcludeerd dat de eID-aansturing minder complex moet worden. Ook de Algemene Rekenkamer stelt dat nu vast.

De minister van BZK stelt afgelopen jaren vooruitgang te hebben geboekt met een generieke digitale infrastructuur, waarvan Idensys een onderdeel is. Tegelijk erkent de minister in een reactie op de bevindingen van de Algemene Rekenkamer dat een meer centraal ingerichte governance nodig is. Hierover moet een studiegroep Informatiesamenleving begin 2017 rapporteren. Nu zijn taken, rollen en bevoegdheden niet eenduidig belegd en is de sturing ingewikkeld. Een strakke sturing op tijd, geld en kwaliteit is echter nodig.

Vervolgtraject

De minister verwijst verder naar zijn brief aan de Tweede Kamer van 25 augustus, waarin hij het vervolgtraject voor Idensys schetst. Alsnog een integrale business case opstellen vindt de minister 'niet opportuun'. In haar nawoord stelt de Algemene Rekenkamer dat meer helderheid nodig is over de toelatingseisen voor nieuwe digitale middelen, de inzet van het kabinet om te komen tot meer identificatiemiddelen en hoe het toezicht en privacybescherming worden ingevuld. Inzicht in de kosten van voorgestelde oplossingen acht de Algemene Rekenkamer onmisbaar voor het nemen van onderbouwde besluiten, net als een afweging van alternatieven.