Tweede netwerk bijeenkomstMaarten Wegdam, projectleider29 september 2010

Agenda

10:00 Opening en status cidSafe10:20 De visie van de Rabobank10:50 cidSafe oplossingsrichting11:30 Pauze11:45 Discussiesessie12:30 Wrap-up12:45 Lunch + netwerken12:45 Lunch + netwerken

2

cidSafe initiatiefa safe consumer identity

• High-trust consumer identity

• Consortium project, sinds 2010Q1

• Doel: doorbraak voor high-trust consumerg

identity in Nederland

K t t ij d l f h dit lijk i• Korte termijn doel: of en hoe dit mogelijk is,

met een initiele focus op de financiele sector

3

ABN AMROWie ABN-AMRO, ING, RBS

Partners

Klankbord Achmea, Aegon, Adfiz, N ti l N d l dKlankbord

groep Nationale Nederlanden, OHRA,SNS Reaal

4

Oplossing in 5 bullets

1. Hergebruik van identiteiten2 Externe identityprovider2. Externe identityprovider3. Trust framework, met governance en audits4. Technologie onafhankelijkg j5. Schaalbaar, o.a. door Levels of Assurance

Belofte: goedkoper, makkelijker en veiliger …

5

Consortium aanpak

• Incrementeel werkt niet• 100% (?) van de consumenten• 100% (?) van de consumenten• Kip en ei: identiteitsprovider en

dienstenaanbieder

• Balanceren belangen• Delen investeringen in totstandkomingDelen investeringen in totstandkoming • Draagvlak

6

Status cidSafe

• Rapport over buitenlandse cases• Whitepaper over gebruik DigiD/BSN• Klankbordgroep• Rol overheid en relatie eHerkenning• Business caseBusiness case• Visie en uitgangspunten consolideren

7

OplossingsrichtingUitgangspunteng g pVoordelen voor service providersTop 5 vragen

Trust framework

Af k ll l i hAfspraken waar alle spelers zichaan moeten houden

Meer vertrouwen en een gezond ecosysteem• Nieuwe identity providers kunnen toetreden• Dienstenaanbieders kunnen makkelijk gebruik maken

van alle identity providers (schaalbaarheid)• Balanceren van belangen van identity providers• Balanceren van belangen van identity providers,

dienstenaanbieders en gebruikers• Privacy afspraken• Governance / audits

9

Uitgangspunten cidSafe

1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief

10

Uitgangspunten cidSafe

1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d

Authenticatie middelonafhankelijk

4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitiefMeerdere

sectoren Aansluiten EU, standaarden etc

11

Uitgangspunten cidSafe

1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi dAudits van afspraken4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitiefVeilig niveau

e-banking

Audits van afspraken

gBetrouwbare attributen(naam, NAW, etc)

12

Uitgangspunten cidSafe

1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief

Consument kan 1 sleutelbij vele dienstverlenersgebruiken

Frequent gebruik

13

g

Uitgangspunten cidSafe

1. Algemeen gebruik2 Betrouwbaar

Technisch eenvoudigaansluiten2. Betrouwbaar

3. Gebruikersgemak4 K t ffi ië t di t bi d

aansluiten

4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief

Delen kosten voor authnmiddel en binding met vele partijen

Contractueel eenvoudigaansluiten

14

p j

Uitgangspunten cidSafe

1. Algemeen gebruik2 Betrouwbaar State-of-the-art privacy-by-2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d

State of the art privacy bydesign & privacy-enhancing technologies

4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief

Gedragsregelsm.b.t. privacy

Informed consent

15

p y

Vier voordelen voor dienstenaanbiedersVier voordelen voor dienstenaanbieders

meer business

gebruikers veiligergebruikers-vriendelijker

i d k t16

minder kosten

Gebruikersvriendelijker

• Gebruikers willen herbruikbare, vertrouwde, identiteit“Ze kunnen daarbij kiezen tussen inloggen met hun DigiD of inloggen met hun patiëntnummer gebruikersnaam eninloggen met hun patiëntnummer, gebruikersnaam en wachtwoord. ‘Ruim 80 procent kiest voor de eerste optie,’ zegt Van Aken.”bron: Zorgvisie.nl, 18 januari 2010

• Gebruikers vergeten wachtwoord bij <1/maandgebruikg“als een eID minder dan 15 keer per jaar gebruikt wordt, vergeten gebruikers hun wachtwoorden/PINs”.bron: Forrester, Government eID Projects Need Private Sector Initiative And Support For Broader Success, April 7, 2008Support For Broader Success, April 7, 2008

17

Veiliger

• Beter registratie proces mogelijk• Veiligere authenticatiemiddelen mogelijk• Vermijden ‘re-use’ wachtwoorden

“73 percent of users were using the password for their online bank sites to access at least one other website”Too man people re se their logins Net ork World Febr ar 2010Too many people re-use their logins, Network World, February 2010

• Meer expertise bij identity providers dan bij service providers

18

Minder kosten Ramingen kosten variëren: 2-80ct per transactie

• Delen kosten met vele partijen• Hergebruik zorgt voor minder identiteiten per consument• Minder helpdesk en andere kosten door vergetenMinder helpdesk en andere kosten door vergeten

wachtwoorden“Gartner estimates that password‐related Help Desk calls – suchas password resets - cost an average of $17 per call”T l th i l i N t k W ld F b 2010Too many people re-use their logins, Network World, February 2010

• Drastische reductie beheerslast van identiteiten• Simpelere (back-end) processen

“ h t B l i h ID M t b ik d id k t h l id“over het Belgische eID: Met gebruik van de e-id kaart herleiden we het administratief proces van dertien stappen naar zes.”bron: Data news - nr 5 - 10 februari 2006

• Kanaalsturings effecten: meer internet, minder post & g , ptelefoon

19

Meer business

• Hogere conversie“because of required registering, one-quarter leavethe site without registering or purchasing.”bron: Forrester, “Required Registration Lowers Online Conversion Rates”, April 15, 2008

“France Telecom … found that at every new screen presented during sign up 50% of users give up andpresented during sign up, 50% of users give up and go elsewhere.”bron: “How will OpenID change your site?”, Blog Peter Nixey (Founder of Clickpass)

• Meer bezoek bestaande klanten door• Meer bezoek bestaande klanten door gebruikersgemak

• Enabler geïntegreerde diensten (service bundling) met partners

20

Top vijf kritische vragen

• Veiligheid: het ultieme phishing target?• Hoe account linking zonder gebruik BSN?Hoe account linking zonder gebruik BSN?• Privacy van de consument?• Afhankelijkheid van vele Identity Provider?j y• Waarom lukt dit en eerdere initiatieven niet?

21

Veiligheid: het ultieme phishing target?

Situatie een identiteit die herbruikbaar is bij vele online diensten is extra aantrekkelijk voor attacks

Antwoord • Identity providers hebben meer geld ter b hikki d d t k t d ldbeschikking doordat kosten gedeeld worden met vele partijen -> veiligere authenticatie middelen en binding mogelijk

• In vergelijking met silo aanpak is er hogere• In vergelijking met silo aanpak is er hogere expertise bij paar identity providers dan bij vele dienstverleners

22

H t li ki d b ik BSN?Hoe account linking zonder gebruik BSN?

Situatie een klant meldt zich online, hoe zeker te weten

• Situatie: een klant meldt zich online, hoe zeker te weten welke interne klant identifier dit is (zonder unieke identifier a la BSN)

welke interne klant identifier dit is (zonder unieke identifier a la BSN)

Antwoord • Klant krijgt unieke en persistent psuedoniem van la BSN)

• Antwoord• Klant krijgt unieke en persistent psuedoniem van zijn identity

jg p pzijn identity provider, dus probleem geldt alleen bij eerste bezoek

• Identity provider geeft rijke set aan gevalideerde• Klant krijgt unieke en persistent psuedoniem van zijn identity provider, dus probleem geldt alleen bij eerste bezoek

• Identity provider geeft rijke set aan gevalideerde attributen mee (NAW geboortedatum geboorteplaats)

Identity provider geeft rijke set aan gevalideerde attributen mee (NAW, geboortedatum, geboorteplaats)

• Afhankelijk van veiligheidsniveau kan klant om(NAW, geboortedatum, geboorteplaats)

• Afhankelijk van veiligheidsniveau kan klant om ‘semi’ geheim zoals klantnummer gevraagd worden. Aanvullend kan de klant op thuisadres een brief krijgen, een handtekening moeten

Afhankelijk van veiligheidsniveau kan klant om ‘semi’ geheim zoals klantnummer gevraagd worden.

• Aanvullend kan de klant op thuisadres een brief krijgen, een handtekening moeten terugsturen ofp jg , g

terugsturen of zelf een fysieke controle.

zie tab beeld/kop- voettekst om dit te wijzigen23

krijgen, een handtekening moeten terugsturen of zelf een fysieke controle.

Privacy van de consument?

Situatie Introduceert dit niet een privacy probleem?

Antwoord • In het trust framework worden privacy eisen gesteld aan identity providers en dienstenaanbiedersdienstenaanbieders

• We gebruiken state-of-the-art privacy denken zoals informed consent en attributen delen (bv alleen 18+).

• Consumenten kunnen kiezen voor meerdere identity providers, indien gewenst.

zie tab beeld/kop- voettekst om dit te wijzigen24

• We introduceren geen unieke identifier

Afhankelijkheid van vele Identity Providers?

Situatie Voor de dienstverlening (continuiteit, veiligheid) is er een externe afhankelijkheidveiligheid) is er een externe afhankelijkheid naar vele identity providers

Antwoord • Er zijn strenge toelatingseisen voor identityproviders, die objectief getoetst worden

• Er zijn afspraken rondom SLA en veiligheid, identity providers die dit breken mogen niet y p gmeer meedoen

• Er zijn afspraken rondom liability

zie tab beeld/kop- voettekst om dit te wijzigen25

Waarom lukt dit en eerdere initiatieven niet?Waarom lukt dit en eerdere initiatieven niet?Situatie Er zijn eerdere pogingen geweest om een generieke

consumer identiteitsoplossing te introduceren in p gNL

Antwoord • Timing: de noodzaak is nu groter:• Consumenten willen meer online dienstverlening• Consumenten willen meer online dienstverlening,• Kostenbesparingen vragen om meer online

dienstverlening• Meer cybercrime• De technologie en standaarden zijn volwassener

• Aanpak: consortium aanpak vanwege realisatie dat p p gdeze markt niet incrementeel zal groeien, vragers en aanbieders samen brengen en onder regie van onafhankelijke expertpartij

zie tab beeld/kop- voettekst om dit te wijzigen26

onafhankelijke expertpartij.

Agenda

10:00 Opening en status cidSafe10:20 De visie van de Rabobank10:50 cidSafe oplossingsrichting11:30 Pauze11:45 Discussiesessie12:30 Wrap-up12:45 Lunch + netwerken12:45 Lunch + netwerken

27

Wrap-up

cidSafe fase 1 afronden

• Business case• Visie en uitgangspunten consolideren• Relatie overheid en eHerkenning• Behoefte en urgentie in financiële sectorGO / NO-GOGO / NO GO • Fase 2 vanaf dec 2010, mogelijke ingrediënten

• Trust framework definieren

• Pilot

• Verbreding in financiële sector, en andere sectoren

29

LUNCH! http://cidsafe.novay.nlmaarten.wegdam@novay.nlBlog: http://maarten wegdam nameBlog: http://maarten.wegdam.name

30