Dankzij polymorfe pseudoniemen kunnen burgers op een hoog betrouwbaarheidsniveau inloggen bij publieke en private organisaties. Zo wordt hun privacy optimaal gewaarborgd. IDee ging in gesprek met R&D-adviseur Anouk Cartrysse en kwaliteitsadviseur Egbert Verweij, beiden werkzaam voor de Rijksdienst voor Identiteitsgegevens (RvIG).

‘In Nederland zijn er honderden diensten die werken met de inlogsystemen DigiD, eHerkenning of eIDAS, waarmee de identiteit van natuurlijke personen kan worden geverifieerd’, legt Egbert uit. ‘Sinds juni 2018 zijn rijbewijzen voorzien van een polymorf pseudoniem en sinds 1 januari 2021 zijn polymorfe pseudoniemen gepersonaliseerd op de identiteitskaart. Met een polymorf pseudoniem, ofwel een specifiek cryptografisch element, worden identiteitsgegevens zodanig versleuteld, dat er een nieuw en uniek identificerend gegeven ontstaat. De ontvangers, private en publieke dienstverleners, mogen deze pseudoniemen alleen ontsleutelen als ze daartoe gerechtigd zijn. En dat kunnen ze alleen doen met ontsleutelsoftware.’

Betrouwbaarheidsniveaus

Anouk Cartrysse
Anouk Cartrysse

Dankzij polymorfe pseudoniemen komt de privacybescherming van burgers bij het inloggen en het vaststellen van hun identiteit op een hoog betrouwbaarheidsniveau te liggen. Anouk: ‘We onderscheiden verschillende betrouwbaarheidsniveaus, namelijk ‘geen’, ‘laag’, ‘substantieel’ en ‘hoog’. Hoe privacygevoeliger de informatie van de dienstverleners, hoe hoger het betrouwbaarheidsniveau. Een laag niveau betekent dat authenticatie slechts plaatsvindt door in te loggen met een gebruikersnaam, password en sms. Dit niveau geeft een beperkte zekerheid over iemands opgegeven identiteit. Een substantieel niveau geeft enige zekerheid. Betrouwbaarheidsniveau ‘hoog’ geeft veel zekerheid over iemands identiteit. Die zekerheid heb je nodig bij de verwerking van zeer privacygevoelige informatie, zoals gegevens die onder het medisch beroepsgeheim vallen.’

Hoe privacygevoeliger de informatie van de dienstverleners, hoe hoger het betrouwbaarheidsniveau

Versleuteling

Hoe gaat de versleuteling in zijn werk? ‘Bij traditionele versleuteling vervang je systematisch een teken door een ander teken’, legt Egbert uit. ‘Dat kun je bijvoorbeeld doen door het opschuiven van letters in het alfabet. Het woord ‘auto’ kan dan ‘bvup’ worden. Bij polymorfe pseudoniemen vervang je ‘A’ bijvoorbeeld door ’BC’. En door ‘KPS’. En door ‘GI’. Want er zijn in elk geval meerdere vervangingen mogelijk. Daarom hebben we het over polymorfe pseudoniemen. Al deze vervangingen zijn met de juiste sleutels terug te voeren op ‘A’.’

Extra bescherming van privacy

Een foto van Egbert Verweij
Egbert Verweij

Dat de pseudoniemen polymorf zijn en dus kunnen wisselen, geeft volgens Egbert extra bescherming van privacy. ‘Daardoor kun je niet achterhalen of iemand bijvoorbeeld tweemaal heeft ingelogd bij de Belastingdienst, of de ene keer bij het UWV en de andere keer bij een pensioenfonds of zorgverzekeraar.’

Fraude

Versleuteling leidt weliswaar tot langere codes, maar dat is geen nadeel. ‘Computers kunnen lange codes moeiteloos lezen’, zegt Egbert. ‘Maar als het iemand lukt om zich ondanks versleutelingen als een ander voor te doen en dus te frauderen, is het wel moeilijk om zo iemand te traceren en te achterhalen bij welke diensten hij of zij actief is geweest. Met dit soort technieken balanceer je altijd op de rand tussen twee belangen: het optimaal beschermen van de privacy van de dienstafnemer versus goede mogelijkheden om te traceren dat iemand probeert te frauderen. In dit stelsel is gekozen voor optimale privacybescherming in combinatie met een architectuur die het plegen van fraude erg lastig, maar nooit onmogelijk maakt.’

BSNk PP

Het BSN-koppelregister polymorfe pseudoniemen (BSNk PP) is de voorziening waarmee private en publieke dienstverleners authenticatie op betrouwbaarheidsniveau hoog kunnen uitvoeren om de privacy en veiligheid van de burger bij het inloggen te waarborgen. Anouk: ‘Deze voorziening, die wordt beheerd door Logius, zet een BSN om naar een versleuteld pseudoniem. Dit pseudoniem is alleen leesbaar voor de dienstverlener waarbij de burger inlogt. Door het gebruik van polymorfe cryptografie heeft het pseudoniem bij elke inlogpoging een andere verschijningsvorm.’

'Dit pseudoniem is alleen leesbaar voor de dienstverlener waarbij de burger inlogt'

Juridische toets

RvIG toetst of dienstverleners een wettelijke basis hebben voor het gebruik van het BSN. ‘Daartoe kunnen zij bij ons een verzoek indienen’, aldus Anouk. ‘Als de juridische toets positief is, ontvangt de aanvrager een besluit en wordt dit aan Logius doorgegeven. De dienstverleners ontvangen vervolgens de transformatiesleutels van Logius. Daarmee kunnen ze een pseudoniem omzetten naar een BSN.’

Twee werelden komen bij elkaar

En daarmee is de privacy van burgers volgens Anouk en Egbert nog beter gewaarborgd. ‘RvIG gaat over het veilige en betrouwbare gebruik van identiteitsgegevens. Er werken hier mensen die zich bezighouden met identiteitsgegevens en mensen die zich bezighouden met identiteitsmiddelen. Dat zijn twee verschillende werelden. Het polymorfe pseudoniem brengt die werelden bij elkaar. Dat is mooi om te zien.’