We werken bij de Rijksdienst voor Identiteitsgegevens (mee) aan diverse projecten die te maken hebben met privacy. Hieronder lichten we er drie uit: Haal Centraal, Digitale Bronidentiteit (DBI) en Self sovereign identity (SSI).

Haal Centraal

‘Afnemers hoeven niet langer zelf BRP-gegevens te verwerken, maar stellen informatievragen aan de BRP’

Haal Centraal is een landelijk programma van de G5 gemeenten (Den Haag, Amsterdam, Eindhoven, Utrecht en Rotterdam) samen met de Vereniging van Nederlandse Gemeenten (VNG), VNG Realisatie, het Kadaster, de Kamer van Koophandel en de Rijksdienst voor Identiteitsgegevens (RvIG). Het programma heeft Application Programming Interfaces (API’s) ontwikkeld waarmee overheidsorganisaties en bestuursorganen basisgegevens rechtstreeks bij landelijke registraties kunnen ophalen. RvIG draagt bij aan dit programma met een pilot, de BRP Bevragen API, Daarmee kunnen afnemers aansluiten op de Basisregistratie Personen (BRP). Deze pilot is binnen RvIG ondergebracht bij het programma Toekomst BRP.

Geen kopieën meer

In de BRP staan de persoonsgegevens van inwoners van Nederland en van personen die Nederland hebben verlaten of die korter dan 4 maanden in Nederland wonen. Deze persoonsgegevens moeten overheidsorganisaties en bestuursorganen gebruiken voor hun taken. Voor het gebruik van die gegevens hebben zij vaak een gegevensmagazijn ingericht waarin zij kopieën van de BRP opslaan. Maar dit is foutgevoelig, zeker als zij niet de actuele gegevens hebben. Wanneer afnemers de informatie rechtstreeks uit de BRP kunnen bevragen is dat sneller en de kans op fouten is veel kleiner. Daarnaast besparen organisaties op kosten en opslag omdat ze geen kopieën meer hoeven te beheren. Dat de kopieën niet meer gebruikt hoeven te worden is ook dataminimalisatie.

Dataminimalisatie

Haal Centraal zorgt dus niet alleen voor minder fouten en kostenbesparing, maar ook voor dataminimalisatie en daarmee voor meer privacy voor de burger. Afnemers kunnen met de API namelijk ook informatievragen stellen aan de BRP, in plaats van zelf de BRP-gegevens te verwerken. Stel bijvoorbeeld dat een gemeente de aanhef wil weten van een burger met een adellijke titel. Daarvoor vraagt de gemeente nu verschillende BRP-gegevens op, waaronder partnergegevens. Met de API van Haal Centraal kan de gemeente in plaats daarvan een informatievraag stellen, namelijk: ‘Wat is de aanschrijfwijze voor deze persoon?’. De gemeente krijgt dan rechtstreeks vanuit de BRP de juiste aanschrijfwijze zonder dat de gemeente de onderliggende gegevens hoeft te verwerken.

Haal centraal zorgt voor dataminimalisatie en daarmee voor meer privacy

Status

Op 11 maart tekenden meer dan 20 organisaties een intentieovereenkomst met RvIG. Dit was samen met een webinar de aftrap van de pilot. De Haal Centraal API’s voor de Basisregistratie Personen zijn begin 2023 klaar om in gebruik te nemen. De pilot duurt maximaal 4 jaar.

Digitale bronidentiteit (DBI)

‘Deze dataminimalisatie is een belangrijke vooruitgang op het gebied van privacy’

Stel je wil een woning huren. Je moet dan digitaal allerlei persoonlijke documenten aanleveren: een kopie van je paspoort en informatie over je inkomen bijvoorbeeld. Maar hoe deel je deze gegevens en behoud je tegelijkertijd wel je privacy?

De digitale bronidentiteit (DBI) biedt hier een oplossing voor. Het stelt burgers in staat om online alleen die identiteitsgegevens te delen die nodig zijn voor een dienst of product. Deze dataminimalisatie is een belangrijke vooruitgang op het gebied van privacy.

Digitale wallet

Een DBI is een door de overheid uitgegeven, erkende en in de wet- en regelgeving verankerde digitale identiteit (zie ook de visiebrief digitale identiteit). Het is de bedoeling dat een DBI terechtkomt in een digitale wallet op bijvoorbeeld de mobiele telefoon van elke burger. Zo heeft de burger volledige controle over zijn of haar persoonsgegevens.

Om bij het voorbeeld van de woning te blijven: om te laten weten dat je bent wie je zegt te zijn en dat jouw inkomen hoog genoeg is, kun je met de wallet dat deel van jouw identiteit delen. De verhuurder ziet dan verder geen gegevens van jou. De verhuurder kan er andersom ook op vertrouwen dat die gegevens echt kloppen omdat de gegevens in zo’n wallet zijn uitgegeven door de Rijksdienst voor Identiteitsgegevens.

Status

Op dit moment is de DBI nog een concept dat een innovatieprojectteam van de Rijksdienst voor Identiteitsgegevens onderzoekt. Het onderzoeksrapport zal binnenkort worden gepubliceerd. De Europese ontwikkelingen met betrekking tot eIDAS spelen daarin een grote rol.

DBI stelt burgers in staat om online alleen die identiteitsgegevens te delen die nodig zijn voor een dienst of product

Self sovereign identity (SSI)

‘Op een veilige manier alleen die gegevens delen die voor een bepaalde handeling nodig zijn’

In een eerdere editie van IDee vertelden we al over SSI. Dat is een ontwikkeling waarbij je zelf kunt beschikken over je eigen digitale verklaringen en dus over je digitale identiteit. Met SSI kun je op een veilige manier alleen die gegevens delen die voor een bepaalde handeling nodig zijn. We zijn bij RvIG continu bezig met SSI. Dit jaar organiseerden we samen met de Spaanse overheid een SSI-pilot met mooie resultaten.

Studeren in Spanje

De casus was als volgt:een Nederlandse burger wil studeren in Spanje en moet daarvoor documenten aanleveren. Hoe kan hij die op een privacyvriendelijke manier grensoverschrijdend digitaal uitwisselen? De student kreeg een digitale identiteit die onlosmakelijk gekoppeld was aan hem. Ook kreeg de student een zogenoemde wallet waarin die identiteit geplaatst. Met deze identiteit kon hij zich identificeren en authentiseren bij de Nederlandse hogeschool Saxion. Die hogeschool herkende hem en hij kreeg de digitale (door Saxion getekende) verklaring dat hij zijn bachelordiploma heeft. Met deze verklaring kon de student inloggen bij een Spaanse universiteit. Op basis daarvan kon hij zich inschrijven aan de Spaanse universiteit voor een masteropleiding. Een succesvolle pilot dus!

Hoe kun je documenten op een privacyvriendelijke manier grensoverschrijdend digitaal uitwisselen?

Status

De hierboven beschreven resultaten zijn gepresenteerd aan de eIDAS expert groep, die zich bezighoudt met het ontwikkelen van een Europese digitale identiteit. De pilot moest het gebruik van de wallet en de techniek van Verifieerbare Credentials (VC) aantonen. De status is dat de techniek (VC) wordt meegenomen bij de ontwikkeling van de Europese wallet.