Rathenau wil open debat Eidentificatie
De parlementariërs moeten zich een beter beeld vormen van de problematiek rondom digitale identificatie. Ook moeten ze weet hebben van de relevante beleidsinitiatieven en de gevolgen die zij kunnen hebben, aldus Margot Schoenmacker, projectcoördinator ICT van het Rathenau Instituut. In een commentaar op het beleidsdocument zegt ze het stuk vooral te zien als input voor een discussie die mede door de Tweede Kamer gevoerd moet worden. Belangentegenstelling Het Rathenau Instituut pleit voor een open debat over deze materie, temeer daar er vaak sprake is van grote belangentegenstellingen. Bijvoorbeeld de vraag wie de regie moet voeren, de overheid of het bedrijfsleven? En dient er te worden gekeken naar efficiëntie van de systemen of juist naar gebruiksgemak? Moet de identiteit van een persoon altijd voor honderd procent worden bepaald, of zijn er situaties denkbaar waar ook met een lager percentage gewerkt kan worden? Doordachte antwoorden op deze vragen kunnen alleen worden gegeven wanneer de betrokkenen open met elkaar van gedachten wisselen, meent het instituut. De angst van het Rathenau Instituut is dat frauderen bij digitale identificatie makkelijker is dan bij de traditionele methoden zoals aan de hand van paspoort of rijbewijs. Bovendien wordt een vervalst elektronisch ID veel minder snel herkend dan een vervalst echt document, zo stelt het instituut. Inmiddels heeft een groot aantal partijen geëxperimenteerd met digitale identificatie. Alle niveaus zijn daarbij vertegenwoordigd, van de Europese Unie tot aan diverse ministeries. Het meest actief is het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), dat systemen heeft ontwikkeld voor het registreren van gestolen paspoorten, het gebruik van biometrische gegevens in reisdocumenten en de modernisering van de GBA, de Gemeentelijke Basis Administratie. Rommeltje Wetenschappers van de Stanford universiteit hebben bekeken hoe de tweeduizend grootste bedrijven in de wereld omspringen met hun identificatiemechanismes. Om een zo groot mogelijk gebied te kunnen bestrijken is samengewerkt met de universiteit van Hongkong. De academici komen tot de slotsom dat het bij veel bedrijven een rommeltje is. Een voorbeeld: iemand neemt ontslag of wordt ontslagen. In zo’n geval zouden de toegangsrechten van de persoon in kwestie meteen moeten worden ingetrokken. Bij de helft van de onderzochte grote bedrijven duurt dat minstens twee dagen. Er zijn zelfs uitschieters van twee weken gesignaleerd. In die tijd kan de ontslagen persoon nog steeds bij alle gegevens van het bedrijf, waar hij of zij ook bij kon toen het dienstverband nog niet was verbroken. Wie kwaad wil, kan wel heel makkelijk een inbraak in de computer plegen. Het probleem moet veelal worden aangepakt door de helpdesk, wat het goedkoopst is wanneer direct actie kan worden ondernomen. Volgens de onderzoekers van Stanford worden, doordat te laat wordt ingegrepen, miljoenen dollars over de balk gesmeten. Gevoelige informatie Tijdens het onderzoek kwam een aantal misstanden naar boven, zoals een medewerkster van een grote handelsbank, die was overgestapt naar een concurrent. Zij kon nog enkele maanden haar voicemail beluisteren, door een speciaal nummer te draaien. Zo lekte gevoelige informatie naar buiten. Maar het kan ook andersom, zoals in het geval van een medewerker van een grote transportfirma. Doordat afdelingen langs elkaar heen werkten en de ICTafdeling structureel onderbemand was, duurde het ruim een maand voordat de medewerker toegang kreeg tot het netwerk, de computers en zijn email. Al die tijd was zijn productiviteit bedroevend laag. Het komt ook veelvuldig voor dat iedereen op een afdeling het wachtwoord van zijn collega’s kent, zelfs wanneer sprake is van een zogenaamd bedrijfskritische applicatie. Op die manier wordt het weglekken van vertrouwelijke informatie wel heel erg makkelijk gemaakt. "Het wordt tijd dat de leiding van grote bedrijven werk maakt van de identificatiemethoden die door de medewerkers worden gebruikt. Slechte situaties moeten worden onderkend en er moet tegen worden opgetreden", zegt Chris Stone, adjunctdirecteur van Novell, dat opdracht gaf voor het onderzoek.