Diagnose van een spilzieke overheid

Pieter Wisse

Alweer ruim twee jaren geleden, in maart 2001, verscheen het rapport 'GBA in de toekomst.' Het was opgesteld door een commissie onder voorzitterschap van bestuurskundige Snellen. Dat rapport schetst, zoals de ondertitel luidt, de gemeentelijke basisadministratie persoonsgegevens als spil voor toekomstige identiteitsinfrastructuur.

 

 

Gemiste kans

Hoe staat het nu met het spel rondom de ontwikkeling van die spil met vitale betekenis voor het maatschappelijk verkeer? Niet best, moet de conclusie luiden. Zo vertelt de voorzitter van de Regieraad ICT Politie, in een vraaggesprek dat NRC Handelsblad op 24 juni 2003 afdrukte, dat de politie goed op streek is met een personenserver. Is dat eigenlijk geen merkwaardige uitspraak door iemand die tevens lid van de Eerste Kamer is en, sterker nog, vroeger als staatssecretaris van Binnenlandse Zaken de coördinatie van de informatievoorziening voor de openbare sector in portefeuille had? Oppervlakkig klinkt het positief, maar die politiële personenserver is domweg een schaduwbestand. Wat de politie ermee bereikt is dat zij als afnemer niet langer gebukt gaat onder de antwoordtijd van de GBA die immers, zij het maximaal, 2 x 24 uren bedraagt. Voor handhaving van openbare orde en veiligheid is dat inderdaad onaanvaardbaar lang. Terecht zocht de politie daarom ooit naar een alternatief dat directe opvraging toestaat. De personenserver wordt weliswaar gevoed door de GBA, maar de vertraging betreft nu slechts de periodiciteit van actualisering.

De commissie Snellen was uiteraard op de hoogte van de aanpak door de politie (en door zovele andere organisaties in danwel verwant met de openbare sector) die fragmentatie bestendigt of zelfs versterkt. In een poging voor de enkelvoudige "spil voor de identiteitsinfrastructuur" een serieuze kans te verkrijgen stelde zij onder de noemer van tussenoplossing een landelijk raadpleegbare directory voor. Die voorziet aan de "behoefte van de afnemers om direct over de door hen gevraagde [persoons]gegevens te kunnen beschikken." Nota bene, de commissie voegde expliciet eraan toe dat zo'n directory "in deze vorm ook voor de politie voor de korte termijn afdoende is om in haar behoeften te voorzien." Aan Snellen c.s. heeft het dus niet gelegen. De politie heeft echter doorgezet met haar aparte personenserver. Dat kost niet alleen meerdubbel belastinggeld. Het structureel nadelig effect is dat een letterlijk uitgesproken kans verloren raakte om de nieuwe spil te bevorderen. Andere (semi-)overheidsinstellingen volharden eveneens in informatieve zelfvoorziening en dat blijft zeker niet tot persoonsgegevens beperkt.

 

 

Samenhang met electronische communicatie

Het gemis aan coördinatie blijkt tevens uit hoe tot dusver ontwikkeling van een public key infrastructure voor de overheid verloopt. Inderdaad, infrastructuur is een modewoord. Ditmaal gaat het om een voorziening om communicatie via digitale technologie, dus ondermeer het Internet, zekerder en veiliger maken.

Allereerst zou de ontvanger meer zekerheid kunnen verkrijgen over de identiteit van de afzender, omdat laatstgenoemde een certificaat meestuurt dat een gezaghebbende instantie over diens identiteit verstrekte. Waarborg van volkomen zekerheid ontbreekt trouwens met een public key infrastructure ook nog altijd, want met zo'n certificaat kan weer van alles misgaan. Vergelijk het met een bankpas èn bijbehorende pincode. Zolang de klant het tegendeel niet meldt, veronderstelt de bancaire instelling dat de klant zèlf voor transacties vrijelijk pas en code benut. Totdat de pas geblokkeerd is, kan iemand ànders ermee betalen mits zij/hij de 'passende' code hanteert.

Ten tweede bevordert een public key infrastructure voor electronische communicatie vertrouwelijkheid. Informatie kan vercijferd, zeg maar voor derden onleesbaar gemaakt zijn. Voor vercijfering moet de afzender beschikken over de publieke sleutel van de ontvanger. Bij de publieke sleutel past een privésleutel. Zolang de ontvanger haar/zijn bijbehorende privésleutel strikt geheim houdt, kan niemand anders het bericht in kwestie òntcijferen. Daarom kan de publieke steutel ook rustig ... publiek zijn. Ook weer vergelijkbaar met de combinatie van bankpas en pincode betekent diefstal of verlies van de privésleutel de ondermijning van de waarborg, ditmaal van vertrouwelijkheid. Nota bene, een public key infrastructure is dus niets meer of minder dan een hulpmiddel voor beveiliging. Er zijn op haar beurt weer allerlei risico's aan verbonden die niet verdwijnen door ze te ontkennen.

Hoe summier ook, deze uitleg verklaart hopelijk afdoende dat een adequate public key infrastructure zwaar leunt op een identiteitsinfrastructuur. Lees ook dat beveiliging staat of valt met identificatie. In gewone taal is het tenminste duidelijk. Hoe valt anders de identiteit van de wèrkelijke deelnemers aan communicatie op basis van pki-certificaten te toetsen? Dat moet toch minimaal één keer 'aan den lijve,' te weten tijdens de procedure waarin een alom vertrouwde instantie aanvankelijk het identiteitscertificaat voor electronische communicatie afgeeft. Wie anders dan de overheid met beheer over de identiteitsinfrastructuur kan 'dienen' als dat afgiftepunt? En, heel praktisch, hoe kan een afzender anders dan via de identiteitsinfrastructuur de publieke sleutel voor vercijfering van de beoogde ontvanger te pakken krijgen? Toegegeven, daarvoor bestaan allerlei manieren, maar daar hoort mutatis mutandis zoiets als een telefoonboek beslist bij. Daarom ligt kortsluiting met de identiteitsinfrastructuur eveneens voor de hand, want een aparte voorziening betekent opnieuw dubbel werk enzovoort. Al met al is het dus, zachtjes uitgedrukt, opmerkelijk dat de spil voor de identiteitsinfrastructuur nergens expliciet opduikt in de later ondernomen opzet van een public key infrastructure voor de overheid. Wat is dat toch?

 

 

Wat is ook alweer een infrastructuur?

Wie de suggestie van een algemeen bruikbare voorziening wil oproepen, schrijft tegenwoordig gauw 'infrastructuur' op het etiket. Maar is het niet verwarrend allerlei bijzondere voorzieningen, zoals voor identificatie en beveiliging, allemaal apart óók infrastructuur te noemen? Levert hun integratie pas niet (een) infrastructuur op? Wat rechtvaardigt ook alweer de inspanningen voor realisatie en beheer van een heuse infrastructuur?

Misleidende etikettering met infrastructuur daargelaten, juist integratie van een public key infrastructure onder de noemer van de identiteitsinfrastructuur roept wezenlijke vragen op over maatschappelijke inrichting. Die verdienen met prioriteit aandacht in plaats van verwaarlozing. Zij het in voorzichtige termen, mikt Snellen c.s. bijvoorbeeld reeds buiten de informatiebehoeften van overheidsinstellingen en nauw verwante organisaties zoals agentschappen: "Om binnen het maatschappelijk verkeer het gebruik van geverifieerde en geauthenticeerde persoonsgegevens te waarborgen zullen bepaalde infrastructurele voorzieningen nodig zijn." Zo is het precies, maar wat naderhand als public key infrastructure voor de overheid in beweging gezet is, negeert de noodzaak tot aansluiting. Daarbij geldt zelfs, zoals de toevoeging al suggereert, een nadrukkelijke beperking tot communicatie met de overheid. Het is alsof de overheid een snelweg aanlegt, nou ja, financiert, waarover slechts ambtenaren mogen rijden en, vooruit, burgers die op weg zijn naar een ambtenaar of er juist vandaan komen. Maar dat is natuurlijk geen voorziening die de naam infrastructuur ook werkelijk verdient. Verder kunnen burgers aannemelijk bezwaar maken tegen de verkeersbeperking over de weg die zijzelf uiteindelijk betalen. Natuurlijk is de grondslag voor kostenverrekening belangrijk. Is gebruik ogenschijnlijk gratis dankzij omslag via de algemene middelen? Of betalen gebruikers direct, of bestaat een mengvorm? Is er sprake van een nutsvoorziening met marktwerking voor leveranciers van diensten en producten? Wat is eigenlijk de politieke visie op zo'n infrastructuur? Aan welke ontwikkeling van het maatschappelijk verkeer wordt er welke bijdrage van verwacht? Hoe zit het trouwens met burgers die geen gebruik kunnen maken, of dat niet wensen te doen, van de nieuwe infrastructuur? Over de Belastingdienst volgt hieronder meer, maar daar begrijpen ze in elk geval prima dat realistische diversiteit respect verdient. De paradoxale interventie laat het aandeel van electronische aangifte sterk groeien, juist omdàt de papierroute niet dwangmatig afgesloten is.

 

 

Hoe staat het met de persoonlijke levenssfeer?

Overigens maskeert de beperking van de public key infrastructure voor de overheid tot a. interne communicatie van de overheid, b. communicatie tussen overheid en bedrijfsleven en c. overheid en burgers dat de werkingssfeer in een ander opzicht daarentegen ruim genomen is. In overeenstemming met het spilkarakter behoeft de overheid 'slechts' te functioneren als afgifte-instantie voor identiteitscertificaten en afhaalcentrum voor vertrouwelijkheidscertificaten voor gebruik bij electronische communicatie. Waarom dicht de overheid zich nog tegelijk een inhoudelijke rol toe voor certificaten voor vertrouwelijkheid? Houdt zij daarmee, zonder er ruchtbaarheid aan te geven, een exemplaar van de privésleutel van de burger in beheer? Over openbare orde en veiligheid gesproken, dat kan natuurlijk handig uitkomen voor surveillance. Alle dreiging van terrorisme, vermeend of niet, ten spijt is het echter met voorrang de vraag of burgers dergelijke orde wensen. Waarom krijgt iedereen niet de mogelijkheid, en daarvoor bestaat allang ruimschoots open source software, het sleutelpaar voor vertrouwelijkheid zèlf, in eigen beheer te vervaardigen waarna zij/hij de publieke sleutel aanbiedt voor openbaarmaking via de identiteitsinfrastructuur? Dat verschaft de grootste waarborg voor vertrouwelijkheid. Het is voor burgers en bedrijven ook nogeens veel goedkoper dan wanneer zij diensten van tussenschakels moeten gebruiken. Dat laatste kenmerkt tenminste de huidige opzet van de public key infrastructure voor de overheid, maar de beoogde leveranciers doen dat zeker niet voor niets. En denkt de overheid heus dat zware criminelen en terroristen zo naïef zijn keurig gebruik te maken van de infrastructuur voor vertrouwelijkheid die zij aanprijst? Nee, want zoals gezegd zijn er ook nogeens simpel alternatieven voor cryptografie. Vanzelfsprekend moet de overheid beschikken, zelfs ongeacht de infrastructuur, over voorwaardelijke bevoegdheid tot inspectie van electronische communicatie. Wie medewerking weigert aan òntsleuteling zou dan (streng) strafbaar moeten zijn, maar de voorwaarden voor redelijke verdenking moeten willekeurige behandeling voorkomen. Nogmaals, allemaal daarover is publieke discussie en politieke besluitvorming noodzakelijk.

 

 

Beterschap: van diagnose naar behandeling

De wenselijke oriëntatie heeft de commissie Snellen al benadrukt. Dat is de toekomst. Naarmate de identiteitsinfrastructuur 1. ruimere toepassing krijgt, 2. mede onder exclusieve controle van de individuele burger rust voor communicatie in zijn private sfeer èn 3. dankzij inhoudelijke beperking tot identiteitscertificering, gaat het steeds minder om een bestand dat exclusief gemeentelijke activiteiten ondersteunt. Gezondheidszorg, onderwijs, nogmaals openbare orde en veiligheid, inkomensoverdracht zoals uitkeringen, subsidies en belastingen enzovoort vallen (veelal) onder de noemer van overheidsbemoeienis, maar die volgt niet of nauwelijks (meer) gemeentelijke grenzen. Zoiets als 'de overheid' bestaat qua inrichting helemaal niet enkelvoudig. Er bestaan overheidsinstellingen en verwante organisaties in grote aantallen en onderlinge verscheidenheid. Zolang zij informatieve zelfvoorziening nastreven, blijft het stelsel ziek waarbij de besmetting ook nogeens tot het maatschappelijk verkeer in het algemeen reikt. Is het hier nog nodig iets te zeggen over de enorme kans voor administratieve lastenverlichting die zich tegelijk met stroomlijning tot een informatiestelsel voordoet?

Concreet voor persoonsidentificering geldt dat bij een nieuwe spil à la informatiestelsel dus ook heroverweging van (overheids)taken en -verantwoordelijkheden hoort. Uit de losse pols ligt het voor de hand gemeenten te belasten, zoals zij traditioneel zijn, met de toets ter verstrekking van het identiteitscertificaat voor electronische communicatie. (Of zij dat ook voor bedrijven en overige organisaties doen? Het lijkt erop dat daarvoor de Kamers van Koophandel logisch opgesteld staan, maar dat laat uiteraard de verantwoordelijkheid van het ministerie van Economische Zaken onverlet.) Het belang van zo'n certificerende rol groeit zelfs nog sterk met electronische communicatie. Want ergens moet kortsluiting tussen persoon en zijn/haar identiteit gewaarborgd zijn, en blijven. In Nederland gebeurt dat dankzij de gemeente dichtbij de burger. De gemeentelijke taak en verantwoordelijkheid voor de persoonsidentiteit met bijbehorende certificaten zegt echter nog niets over de optimale inrichting van de bijbehorende informatieverzameling(en). Nu benadrukt de G van GBA te eenzijdig het gemeentelijk belang. Dat klopt echter niet (meer) met de werkelijke informatiebehoeften; door talloze zgn. afnemers ligt het zwaartepunt van feitelijk gebruik allang niet (meer) vanzelfsprekend binnen gemeenten. Past daar een ordening nog wel bij die voor gemeentelijke toegang tot persoonsgegevens geoptimaliseerd is? Snellen c.s. heeft zich voorzichtig uitgedrukt en de landelijk raadpleegbare directory een tussenoplossing genoemd. Zo'n landelijke authentieke registratie voor identificerende persoonsgegevens moet er gelet op de huidige en verwachte informatiebehoeften stellig ook duurzaam komen. Als gebruiker van die registratie is een bepaalde gemeente dan één van vele gebruikers, maar ter borging van de informatiekwaliteit krijgt die gemeente voor wat haar inwoners betreft dus zelfs een zwaardere taak. Is het dan trouwens nog van zwaarwegend belang wie het zgn. systeembeheer van de landelijke spil voor identiteitsinfrastructuur verricht? Wordt, bijvoorbeeld, de Belastingdienst daarvoor aangewezen of is het slechts 'politiek' haalbaar met een nieuwe instelling? Vergeet niet dat voor Nederland de complete authentieke basisregistratie met identificerende persoonsgegevens tegenwoordig past op een enkele harde schijf zoals waarmee een personal computer voorzien is. Okee, dat is uitgezonderd biometrie zoals gelaatsfoto's van personen. Maar valt hoe danook versnippering van persoonsgegevens met alle risico's voor zowel rechtsgelijkheid als geldverspilling nog te verantwoorden?

 

 

Unieke kans, twee voorwaarden

A propos Belastingdienst, verheugend is een bericht in Automatisering Gids van 27 juni 2003. De Belastingdienst en zes uitvoeringsorganisaties in de sociale zekerheid hebben nauwe samenwerking aangekondigd. Beter laat dan nooit, dus is dat beslist goed nieuws. De manier waarop zij als ketenpartners hun infrastructuur opzetten, kan echter de haalbaarheid bedreigen van een spil met nòg algemener maatschappelijk nut waarom het Snellen c.s. terecht gaat. Want in wezen blijft het isolement gehandhaafd of wordt zelfs danig versterkt, zij het dat die ene inner circle aanmerkelijk groter wordt. Dat zit zo. Belastingdienst en uitvoeringsorganisaties "willen voor identiteitsverificatie gaan werken met sofi-nummer en pincode ... en niet wachten tot het wat wordt met PKI." Dat zijn in één moeite door eigenlijk twee obstakels op weg naar een optimaal informatiestelsel! Tussen de regels door staat daar immers allereerst dat zij vooral niet willen wachten tot het wat wordt met de toekomstige GBA als spil voor identiteitsinfrastructuur. Waarom ook? Sinds jaar en dag beschikt tenminste de Belastingdienst over een informatieverzameling die qua personen nagenoeg dekkend is. Zeg maar een personenserver avant la lettre, netzo periodiek gevoed vanuit de GBA als ondermeer de politie nu ook gaat doen. Dankzij samenwerking tussen Belastingdienst en uitvoeringsorganisaties groeit het belang, bijvoorbeeld afgemeten naar financiële transacties, van 'hun' personenserver navenant. Het draagvlak voor de toekomstige GBA is daarvoor geen serieuze partij. De praktijk leert dat wachten op eenheid vanuit gemeenten met hun al dan niet vermeend uiteenlopende belangen lang kan duren. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) krijgt de gemeenten maar lastig gecoördineerd, terwijl het ministerie van Financiën met de Belastingdienst over een kant-en-klaar geconcentreerde troefkaart in het spel beschikt. Maar loopt dat erop uit dat kool en geit gespaard blijven? Weigert elke sector — ook gezondheidszorg, onderwijs, vervoer enzovoort — te wachten en blijft van de weeromstuit sectoraal vrijwel compleet afgezonderde informatievoorziening bestaan, zodat de wèrkelijke spil voor identiteitsinfrastructuur op voorhand failliet is? Gaat de overheid er desondanks (opnieuw, veel) geld aan besteden? Duurt de fragmentatie ook voort wat betreft informatie over andere maatschappelijke objecten zoals vastgoed?

Het lijkt erop dat nu een unieke kans bestaat de schijnvertoning van diverse spillen te doorbreken. Zoals het woord uitdrukt, er kan per zgn. maatschappelijk object maar één spil zijn, punt. Om zover te komen vergt een langdurig, ingewikkeld veranderingsproces. Dat krijgt voor personen een impuls, indien de complete ministerraad het besluit neemt tenminste de volgende voorwaarde te verbinden aan de samenwerking tussen Belastingdienst en uitvoeringsorganisaties. Die luidt dat dáár het systeembeheer van de landelijk raadpleegbare directory komt. Nogmaals, feitelijk staat zo'n personenserver daar allang. Afgezien van toevoeging van personen die (nog) niet belastingplichtig zijn, is het 'enige' verschil dat veel en veel bredere maatschappelijke toegankelijkheid gewaarborgd moet zijn. Tegelijk is dat een tussenoplossing, zoals de commissie Snellen aangaf. De duurzame inrichting van de spil voor identiteitsinfrastructuur verdient een behandeling die recht doet aan àlle reële belangen die ermee gemoeid zijn. Tot dusver is die behandeling er niet van gekomen, Daar is niets aan te veranderen, maar maakt dus een tussenoplossing inmiddels onvermijdelijk. Wat gebeurt er trouwens indien de ministerraad die voorwaarde niet oplegt? Zodra Belastingdienst en uitvoeringsorganisaties daadwerkelijk met hun eigen spil doorgaan is er eigenlijk geen rem meer op vèrspilling. En waarom moet de ministerraad zich er eigenlijk mee bemoeien? Dat is nodig omdat fragmentatie sinds jaar en dag tot op ministerieel niveau standhoudt. De strategische verbinding kan daarom, helaas maar het is niet anders, slechts bovenlangs lukken. De tussenoplossing voor de spil voor identiteitsinfrastructuur 'dwingt' vooral BZK en Financiën ertoe een cruciale voorziening sámen te ondersteunen. Slechts zo'n draagvlak is sterk genoeg voor daadwerkelijke verbeteringen. Aan hun samenwerking moeten beide ministeries natuurlijk wennen. Het alternatief komt erop neer een drempel te blijven opwerpen tegen een wèrkelijk algemene voorziening, met andere woorden, tegen een èchte infrastructuur.

De tweede, verwante actie die Belastingdienst en uitvoeringsorganisaties aankondigden ter ondermijning van een infrastructuur met algemene reikwijdte betreft hun openlijke afwijzing van PKI. Die letters staan voor public key infrastructure. Welwillend uitgedrukt, zijn de prille ketenpartners blijkbaar door een misverstand bevangen. Volgens Automatisering Gids beweerde een woordvoerder dat "PKI richt zich op het hoogste beveiligingsniveau en is duur." Niet alleen klinkt dat als kritiek, maar die is zelfs volkomen gegrond als het concreet gaat om de beoogde public key infrastructure voor de overheid. Er bestaat echter niet zoiets als 'de' public key infrastructure. Daarentegen zijn er allerlei, zeg maar, bouwmaterialen waarmee 'een' pk infrastructure wordt geconstrueerd. Er zijn dus pk infrastructures in soorten en maten mogelijk (wat het etiket 'infrastructuur' ervoor alleen maar belachelijker maakt, maar goed). Mede dankzij open source software valt daarom wel degelijk 'een' public key infrastructure te realiseren die simpel en goedkoop werkt voor burgers en bedrijven, in plaats van ingewikkeld en duur. Daarom zou opnieuw de complete minsterraad nog een tweede voorwaarde moeten stellen. De eerste voorwaarde is: Ja, Belastingdienst en uitvoeringsorganisaties, voer het systeembeheer over de landelijk raadpleegbare directory als aanzet tot de duurzame spil voor identiteitsinfrastructuur. De twee voorwaarde wordt dan: Belastingdienst en uitvoeringsorganisaties, verbindt daaraan beveiligingsmaatregelen voor electronische communicatie die zo laagdrempelig, maar tegelijk netzo bruikbaar zijn als wat thans geldt voor de electronische aangifte, maar voeg ze toe als een public key infrastructure met breed maatschappelijk toepassingspotentieel. Met deze tweede voorwaarde krijgt de Belastingdienst zijn welverdiende kans op etalering van het succes met de electronische aangifte, waarbij de aanvankelijke opzet voor een public key infrastructure voor de overheid de noodzakelijke wending ondergaat die past bij de spil voor identiteitsinfrastructuur.

 

 

Infrastructuur voor democratie

Wat is de strekking van bovenstaande diagnose annex behandelplan? Coördinatie vanuit politiek primaat is onmisbaar voor toekomstgerichte voorzieningen voor maatschappelijk verkeer. Dat lukt prima met gezond verstand en (dus) oog voor wettelijke grondslag. Wie ziet samenhang dan niet? Omdat geen maatschappelijk aspect onberoerd blijft, moeten parlement en complete ministerraad zich engageren. Anders gaat de democratische samenleving nooit optimaal draaien om de spil voor identiteitsinfrastructuur.

 

 

 

Dr. ir. P.E. Wisse (www.wisse.cc) is werkzaam als informatiekundig ontwerper. Hij is tevens verbonden aan het onderzoeksprogramma PrimaVera van de Universiteit van Amsterdam.

 

 

1 juli 2003, webeditie 2003 © Pieter Wisse