Inlogmiddelen waarmee burgers bij de overheid kunnen inloggen moeten straks verplicht open source zijn. Ook moet het burgerservicenummer te allen tijde zijn versleuteld en wordt er gewerkt op basis van pseudoniemen. Dat laat staatssecretaris Van Huffelen van Digitalisering weten in de ministeriële regeling met eisen aan inlogmiddelen voor burgers en bedrijven.

De wet digitale overheid (Wdo) moet het voor burgers mogelijk maken om veiliger in te loggen bij de overheid. Het wordt mogelijk om naast DigiD hiervoor ook private inlogmiddelen te gebruiken. Zowel publieke als private inlogmiddelen die onder de Wdo worden aangeboden zullen aan bepaalde eisen moeten voldoen die nu zijn gepubliceerd. Het gaat dan om zaken als privacy, transparantie, beschikbaarheid, ondersteuning en security.

Burgerservicenummer

Bij het inloggen bij de overheid moet de betreffende overheidsinstantie het burgerservicenummer (BSN) van de burger kunnen ontvangen. In de nu gepresenteerde regels staat dat aanbieders van inlogmiddelen burgerservicenummers altijd versleuteld moeten verwerken en dat er gewerkt wordt op basis van pseudoniemen. Overheidsorganisaties kunnen met een eigen sleutel uit het pseudoniem het burgerservicenummer herleiden.

"Hierdoor wordt de verwerking van het BSN bij het inloggen beperkt tot slechts de overheidsorganisaties die dit nummer daadwerkelijk nodig hebben. Dit heeft een belangrijke privacybeschermende werking", stelt Van Huffelen. Daarnaast worden aanbieders van inlogmiddelen verplicht om burgers en bedrijven inzage te geven in de (persoons)gegevens die worden verwerkt. Daarbij gaat het zowel om gegevens die worden verwerkt om het inlogmiddel te kunnen aanbieden als om gegevens over het gebruik van het middel.

Bescherming bij inloggen

De ministeriële regeling regelt ook dat burgers op het moment dat zij willen inloggen, voordat zij inloggen te zien krijgen bij welke publieke dienstverlener zij inloggen, de specifieke dienst waarvoor de authenticatie plaatsvindt en de gegevens die bij het inloggen worden verstrekt. Aanbieders van inlogmiddelen moeten garanderen dat de manier waarop de informatie aan de burger wordt getoond niet door een derde partij is te manipuleren, zodat de burger op de informatie kan vertrouwen.

Verder worden de aanbieders van inlogmiddelen verplicht om mogelijk misbruik van de inlogmiddelen te kunnen herkennen en te herstellen. Herstellen wil zeggen dat het inlogmiddel wordt ingetrokken of wordt teruggebracht onder de controle van de gebruiker. Burgers moeten de aanbieder ook kunnen bereiken. Zo schrijft de regeling bijvoorbeeld voor dat een helpdesk ten minste zestig uur per week telefonisch bereikbaar moet zijn voor burgers.

Open source

Een andere verplichting die voor aanbieders van inlogmiddelen gaat gelden is het toepassen van open source. "Het voornaamste doel dat mij in dit verband voor ogen staat is om transparantie te realiseren over de werking van inlogmiddelen. Zo is voor eenieder kenbaar hoe inlogmiddelen werken, en is daarmee controleerbaar hoe de verwerking van persoonsgegevens plaatsvindt. Dit doel wordt bereikt door de broncode te publiceren. Van belang is daarbij dat dit op een zodanige manier gebeurt dat deze ook daadwerkelijk raadpleegbaar en controleerbaar is. Dat regelt de ministeriële regeling", stelt Van Huffelen.

Verder merkt de staatssecretaris op dat ze "grote waarde" hecht aan communities die met de broncode meekijken. "Dit stelt iedereen die dat wil in staat om de broncode te onderzoeken, kwetsbaarheden te melden en eventueel verbetervoorstellen te doen. Dit veel-ogen-principe is een aanvullende waarborg voor de veiligheid en betrouwbaarheid van inlogmiddelen. Een belangrijk voordeel van open source."

Volgens Van Huffelen is, voor het behalen van deze voordelen, het regelen van transparantie als verplichting voor de aanbieders alleen niet voldoende. De staatssecretaris noemt het belangrijk dat er een community is of komt die daadwerkelijk meekijkt op de software. Iets wat ze zegt zelf te willen stimuleren. Naast de publicatie van de regels kan er via Internetconsultatie.nl tot 5 december op de gestelde regels worden gereageerd.