Op 16 september 2009 vond de Workshop e-IDea 2009 http://www.msec.be/eidea/ws2009/index.php plaats aan de K.U. Leuven.
Presentaties werden gegeven onder meer over eID Belgie, Duitsland en Nederlandse eID. Mijn presentatie, "The Dutch eNIK on its way forward", tref je hierbijgevoegd.
Aardig gezelschap van plm. 50 mensen, naast een goede vertegenwoordiging uit wetenschap en overheid ook enkele policymakers (Griekenland) en een aantal commerciele partijen (o.m. creditcardmij, softwareontwikkelaar).
Er waren enkele leuke discussies, onder andere over de vraag wat een kind jonger dan 5 jaar (DL) met een eID moet – daar kwamen we niet uit...
De vraag werd gesteld of – en zo ja wanneer – er ooit een eenvormige Europese eID zal komen. Die vraag bleef onbeantwoord. Snel zal het in ieder geval niet zijn. Nederland heeft de eNIK plannen voorlopig afgeblazen. De Belgische eID ligt in veel gevallen bij de burger op de plank, om er (soms) van afgehaald te worden wanneer het tijd is voor de belastingaangifte. Duitsland is ver gevorderd met de voorbereidingen voor de eID, de uitrol wordt binnen een jaar verwacht. Maar de – overigens zeer Gruendliche - plannen (daar kunnen wij – ook bij eHerkenning – iets van leren) wijken drastisch af van het lichter uitgevoerde Belgische fabrikaat. Opvallend is ook de Duitse aandacht voor built-in privacy, een thema dat Belgie heeft laten liggen. Maar met een bankkaart kunnen we ook de grens over – wereldwijd zelfs – dus zou dat met een eID niet ook moeten kunnen? Verschil is natuurlijk, grensoverschrijdende financiele transacties zijn sinds jaar en dag gebruikelijk, terwijl transacties tussen burger en overheid – enkele uitzonderingen daargelaten- zich binnen de landsgrenzen afspelen. Ofwel, de eID is bedoeld voor G2C en G2C is naar binnen gericht.
Vervolgens was er de vraag wat mensen ervan weerhoudt een eID te gebruiken. Een mogeljke verklaring is de watervrees voor de electronische handtekening. Want met een klassieke handtekening is het stuk papier dat je ondertekent tastbaar, maar hoe weet je nu zeker dat wat je op het scherm ziet, dat dat ook is wat je tekent? Alleen, dat is bij banktransacties in principe ook zo. Verschil is dat de financiele sector in de loop van tientallen jaren vertrouwen heeft opgebouwd. De transitie van papier naar electronisch is ook niet met een klap gekomen maar is geleidelijk gegaan. En het liability model speelt mee: in geval van security incidenten – die over het algemeen niet naar buiten komen – wordt de financiele schade niet op de klant afgewenteld. Alhoewel het liability model van credit card maatschappijen enigzins lijkt te kantelen sinds de invoering van pincodes op creditcards.
En dan, wat is de business case voor een (nationale) eID. Biedt de eID inderdaad uitzicht op een e-gebouw waarin met een sleutel alle deuren opengaan? Is de business case van de overheden te smal? Staat de business case van de overheid op gespannen voet met de commerciele (neven)doelstellingen? Wordt de eID wel goed in de markt gezet? En – is er wel een business case? Ofwel- zoals men zich in het geval van het BSN – Burger Service Nummer – ook wel afvraagt: wie verleent er service en wie wordt er bediend?
Echter, willen we de business case van de eID boven het domein van G2C uittillen, en gegeven de diversiteit aan Europese oplossingen, is een broker onmisbaar. Maar zo’n broker komt dan wel ‘alles’ van de Europese burger te weten. Weg privacy. De vraag is of daar met zero knowledge cryptografie en challenge response architectuur nog een mouw aan te passen is.
Kortom, er is nog veel werk aan de winkel!
Abonneren op:
Reacties posten (Atom)
Geen opmerkingen:
Een reactie posten