De Rijksdienst voor Identiteitsgegevens (RvIG) zet zich voortdurend in om de kwaliteit en de veiligheid van identiteitsgegevens te bewaken. Daarom namen medewerkers van RvIG en van onze ketenpartners deel aan de training Identity assets, waarvan u hieronder een impressie krijgt. Door deel te nemen aan dit soort trainingen kunnen we steeds de meest actuele expertise inzetten voor ons werk.

Suzanne Barber (zie foto) is professor in Engineering en de grondlegger van het Center for Identity (CID), een faculteit van de Universiteit van Austin in Texas (VS). Ze is een expert op het gebied van cybersecurity, kunstmatige intelligentie en software engineering. Haar onderzoeken worden ondersteund door onder andere het Amerikaanse Congres, NIST (National Institute of Standards and Technology), National Cancer Institute, de staat Texas en tal van bedrijfsorganisaties.

Identity Assets: Identifying, Managing and Protecting

Van 9 t/m 11 juli 2019 gaf professor Suzanne Barber van het Center for Identity van de universiteit van Texas de training Identity Assets: Identifying, Managing and Protecting. De training vond plaats in Den Haag en was gericht op het uitbreiden van kennis en vaardigheden in het identiteitsdomein. Deelnemers aan de training waren 30 mensen uit de publieke sector, waaronder RvIG, en een aantal ketenpartners: het ministerie van BZK, Kmar, IND, en de gemeente Amsterdam. Ook waren er deelnemers vanuit de private sector (leveranciers) en de internationale sector: Rijksregister België en de International Organization for Migration.

Center for Identity

Identiteitsmanagement vormt in de Verenigde Staten een cruciaal onderdeel van het nationale veiligheidsbeleid. Het CID voert onder andere onderzoeken uit gericht op bescherming van het veiligheidsbeleid, geeft trainingen en verzorgt publicaties op dit gebied. Het centrum monitort de veranderende dreigingen, kwetsbaarheden, risico’s, de gevolgen van identiteitscriminaliteit en de impact die dat heeft op de nationale veiligheid. De onderzoeks- en onderwijsinspanningen van het CID zijn baanbrekend en anticiperen op huidige en toekomstige identiteitsdreigingen en hoe die te beperken. Het CID geeft op een innovatieve manier richting aan gebieden als recht, beleid, business, technologie, maatschappij en communicatie. Het werkt daarbij samen met leiders uit relevante marktsectoren van overheid, wetshandhaving en bedrijven.

RvIG is een van de strategische partners van het CID. Rhodia Maas, algemeen directeur van RvIG, maakt deel uit van de board of advisors van het CID. Naast industriepartners maken het Department of Homeland Security (DHS), FBI (Department of Justice), United States Secret Service en Department of Information Resources, deel uit van de board of advisors.

Inhoud training

Tijdens de training in juli kwamen zaken aan de orde als: de waarde van een identiteit, de identity lifecycle, rollen en verantwoordelijkheden voor identiteitsmanagers, bedreigingen en kwetsbaarheden, identiteit en privacy en incidentplanning en opvolging. De training was zeer interactief, waarbij de deelnemers ieder vanuit hun eigen perspectief hun ervaringen konden inbrengen en kennis konden uitbreiden.

Het is interessant om te zien waar de identiteitsinfrastructuur van de VS verschilt van die van Nederland en waar de overeenkomsten zitten. Zo laat het vertrouwen in de rol van de overheid onder Amerikanen te wensen over. Private partijen spelen in op deze situatie door zelf activiteiten te ontplooien in het identiteitsdomein.

Tijdens de training werd duidelijk dat er grote verschillen zijn in het niveau van professionaliteit van de private partijen. Hierdoor ontstaan risico’s voor burgers. Aan de hand van praktijkcases uit de VS werd geanalyseerd hoe deze risico’s voorkomen kunnen worden. Hierbij werd duidelijk dat het kennisniveau van het identiteitsdomein bij managers uit de private sector in veel gevallen te wensen overlaat en men zich onvoldoende bewust is van verschillende risico’s.

Zo wordt vaak aangenomen dat cybercrime het grootste risico vormt als het gaat om identiteitscriminaliteit. Onderzoek in de VS toont echter aan dat 51% niet-digitale identiteitscriminaliteit betreft. In 38% van de gevallen kennen fraudeur en slachtoffer elkaar en in 12% van de gevallen is de fraudeur een insider. Een insider is iemand die werkt bij een organisatie en die positie gebruikt om van binnenuit identiteitsinformatie te verzamelen en daarmee fraude te plegen.

ITAP-tool

Tijdens de training werd inzicht gegeven in het instrument ITAP: Identity Threat Assessment and Prediction. CID heeft dit instrument op basis van haar missie ontwikkeld. ITAP is een tool gericht op risicobeheersing en geeft inzicht in processen en patronen die gerelateerd zijn aan identiteitscriminaliteit. ITAP voegt gegevens over identiteitscriminaliteit samen, om  identiteitskwetsbaarheden, de waarde van identiteitsattributen en hun risico’s te analyseren en te beschrijven. Op basis van analyses geeft ITAP inzicht in de werkwijze van identiteitscriminelen. Daardoor wordt zichtbaar welke identiteitsgegevens het meest kwetsbaar zijn en waarvoor fraudeurs dus belangstelling hebben. Analyses waarbij gebruik wordt gemaakt van het ITAP bieden identiteitsoplossingen die relevant zijn voor mensen en organisaties in meerdere gebieden. Bijvoorbeeld financiële diensten, consumentendiensten, gezondheidszorg, onderwijs, defensie, energie en overheid.

Mogelijkheden ITAP voor Nederland

RvIG wil in Nederland graag ervaring opdoen met ITAP en heeft daarover afspraken gemaakt met CID. Onderzocht zal worden of het ITAP-instrument ook geschikt is om de risico’s van identiteitsfraude in Nederland te onderkennen en of die risico’s impact hebben op de vitale infrastructuur van Nederland. Naar verwachting komen in 2020 de eerste ervaringen beschikbaar. Op basis daarvan kan beoordeeld worden of de Nederlandse overheid ITAP meer structureel kan inzetten. Ook CID is zeer geïnteresseerd in de resultaten die met ITAP in Nederland geboekt zouden kunnen worden en werkt daarom graag aan de proef mee.    

ITAP-rapport 2019

CID publiceert via het ITAP-rapport periodiek interessante informatie over het identiteitsdomein. Hieronder enige resultaten uit het International identity theft assessment and prediction report van 2019. Daarin is naast informatie over de situatie in de VS nu ook internationale informatie gebruikt.

Een vaak gehoorde uitspraak is dat identiteitsfraude het meest voorkomt in de digitale omgeving. In het ITAP-report is vastgesteld dat in de VS 49% van de identiteitsfraude gepleegd wordt in het digitale domein, terwijl dat buiten de VS 73% blijkt te zijn.

De top 5 van marktsectoren in de VS waar identiteitsfraude het vaakst wordt gepleegd: 1. gezondheidszorg, 2. overheidssector, 3. consumentensector, 4. financiële sector en 5. commerciële sector.

De top 5 van landen waar - naast de VS - identiteitsfraude het vaakst voorkomt: 1. Groot-Brittannië, 2. Canada, 3. Australië, 4. India en 5 Nieuw Zeeland.

De top 5 van informatie waarmee het vaakst wordt gefraudeerd: 1. naam, 2. adres, 3. e-mailadres, 4. telefoonnummer en 5. geboortedatum.